– Vi synes det er urimelig og overraskende at Datatilsynet trekker konklusjonen at Nav bryter personvernlovgivningen med forsett, sier Nav-direktør Hans Christian Holte til NTB.

I slutten av oktober slo Datatilsynet alarm om personvernhåndteringen i Nav og varslet samtidig et gebyr på 20 millioner kroner.

De siste ukene har Nav gått gjennom varselet og sender nå sitt svarbrev.

– Etter vår vurdering har ikke etaten en ukultur når det gjelder de ansatte sin behandling av personopplysninger, skriver Nav i brevet.

– Uheldig

Holte forklarer at Nav er enige i de fleste avvikene Datatilsynet peker på. Men han mener tilsynet bommer i sine konklusjoner.

– Det er overraskende og uheldig at de trekker generelle konklusjoner om personvernhåndteringen i Nav uten å ha det brede grunnlaget som trengs for en slik konklusjon, sier han.

Da tilsynet hos Nav ble gjennomført, dreide det seg ifølge Holte om et avgrenset felt, nemlig tilgangsstyring og kontroll av logger – altså hvem som har tilgang til hvilke opplysninger, og kontroll med hvem som har sett på opplysninger.

– Det er det vi har forholdt oss til underveis og gitt Datatilsynet dokumentasjon om, sier Holte.

Skal ordne opp

Han mener at Datatilsynet har kommet med generelle vurderinger på bakgrunn av funn på dette avgrensede området.

– De har ikke gitt oss muligheten til å dokumentere og forklare hva vi faktisk har gjort på de områdene de nå uttaler seg om. Det gir vi ganske mye info om i dette svarbrevet, sier han.

Blant annet skriver Nav at de har satt i gang en rekke tiltak for å styrke personvernet de siste årene. De skisserer også en plan for hvordan de skal rette opp i de feilene som er avdekket.

– Uavhengig av den uenigheten som kommer fram, så er jeg trygg på at vi får et konstruktivt og godt samarbeid med Datatilsynet om å lukke avvikene, sier Holte.

– Svært alvorlig

Datatilsynet mener å ha avdekket tolv lovbrudd i måten personopplysninger blir behandlet på i datasystemene til Nav.

I varselet slår Datatilsynet fast at bruddene er meget alvorlige, og at dette har pågått over lang tid.

– Vi har tidligere gitt Nav pålegg om endringer som de ikke har fulgt. Det var derfor nødvendig å ta fram vårt sterkeste virkemiddel som nå er et varsel om overtredelsesgebyr. Dette er et tydelig signal til ledelsen i Nav, sa direktør Line Coll i Datatilsynet til NTB.

Datatilsynet slo også fast at Nav har brutt lovverket med forsett, altså med viten og vilje.

– Datatilsynet gir et inntrykk av personvernet i Nav som vi definitivt mener at ikke er riktig. Det kan også skape usikkerhet hos våre brukere om at vi ikke ivaretar opplysningene deres på en sikker måte. Det er veldig uheldig, og noe vi mener Datatilsynet ikke har grunnlag for å påstå, sier Holte.

Bestrider grunnlaget for milliongebyr

Han mener også at Datatilsynet ser bort ifra noen av rammene og kravene som Nav må oppfylle.

– Vi har krav om å være tilgjengelige og gi våre brukere informasjon raskt og effektivt. Skal vi gjøre dette, må vi kunne la mange av våre saksbehandlere kunne gå inn i en sak hvis noen kontakter oss, men selvsagt ut ifra om at de har behov for det.

Det er nå opp til Datatilsynet å behandle innsigelsene fra Nav og komme med et endelig vedtak.

– Vi mener de må se én gang til på det grunnlaget de har og gjøre en ny vurdering, sier Nav-direktøren.

I brevet går Nav langt i å avvise grunnlaget for gebyret på 20 millioner kroner, men Holte vil ikke gå direkte inn i selve summen.

– Jeg er først og fremst ikke opptatt av gebyret. Men dersom Datatilsynet tar noen av innvendingene våre innover seg, er det naturlig at det kan ha konsekvenser for gebyret når de skal fatte sitt vedtak, sier han.