Skriftleg spørsmål fra Erlend Wiborg (FrP) til arbeids- og sosialministeren

Dokument nr. 15:401 (2016-2017)
Innlevert: 15.12.2016
Sendt: 15.12.2016
Svart på: 21.12.2016 av arbeids- og sosialminister Anniken Hauglie

Erlend Wiborg (FrP)

Spørsmål

Erlend Wiborg (FrP): Hvordan vil statsråden sikre at personlige opplysninger, som håndteres av offentlige virksomheter slik som Nav, ikke kommer på avveie eller blir lest av personer som ikke trenger tilgang til opplysningene?

Grunngiving

En rapport, utarbeidet for Nav av Revisjonsselskapet BDO og advokatfirmaet Wiersholm, viser at det foregår utstrakt uautorisert innsyn i personopplysninger i Nav sine systemer. Dette omtales ofte som snoking.
Rapporten viser at opplysninger om enkeltpersoner ikke er tilstrekkelig sikret i IT-systemene, at ansatte med tilgang til systemene gjør uautoriserte søk, og at det medfører få eller ingen konsekvenser for den ansatte å bryte reglene.
En enkeltsak som omhandler en ansatt i Nav som var i konflikt viste gjentatte uautoriserte søk. I henhold til uttalelser i media (NRK) ble den ansatte ikke sagt opp fra sin jobb, og Navdirektør Vågeng vil ikke melde det straffbare forholdet til politiet.

Anniken Hauglie (H)

Svar

Anniken Hauglie: Jeg vil først presisere at jeg i mitt svar begrenser meg til å redegjøre for hvordan departementet følger opp at Arbeids- og velferdsetaten, som er mitt departements ansvarsområde, håndterer personopplysninger på en betryggende måte.
Arbeids- og velferdsetaten behandler store mengder personopplysninger. Etaten er avhengig av at brukerne har tillit til at etaten ivaretar konfidensialitet om opplysningene. Det er derfor viktig å formidle at dette er et tema som jeg tar på det største alvor. Samtidig er det viktig at det er ryddige og avklarte ansvarsforhold mellom departement og direktorat. Det er arbeids- og velferdsdirektøren som leder Arbeids- og velferdsetatens daglige virksomhet, som skal sørge for at personopplysninger behandles forsvarlig, og at dette skjer i henhold til gjeldende regelverk.
I departementets tildelingsbrev til Arbeids- og velferdsetaten og i den løpende etatsstyringsdialogen med etaten stilles krav til informasjonssikkerhet. I tildelingsbrevet for 2016 ble det stilt følgende krav til informasjonssikkerhet:

"Ved utviklingen av nye systemløsninger skal alle relevante lover og forskrifter oppfylles.
Arbeids- og velferdsdirektoratet skal påse at kravene til informasjonssikkerhet blir overholdt, og at nye systemløsninger designes slik at det bidrar til å lette Arbeids- og velferdsetatens arbeid med å overholde det samme regelverk. Siden nødvendig IKT-modernisering løper over flere år, må etaten i mellomtiden gjennomføre kompenserende tiltak for å redusere risiko for sikkerhetsbrudd og sikre etterlevelse av økonomireglementet og krav til informasjonssikkerhet. Arbeids- og velferdsdirektoratet må vurdere kostnader og nytte av tiltak basert på risiko- og sårbarhetsanalyser."

Arbeids- og velferdsdirektoratet rapporterer på oppfølging av kravene i virksomhetsrapporter, og temaet er jevnlig oppe i departementets styringsdialog med etaten.
Som kjent bestilte Arbeids- og velferdsdirektoratet tidligere i år en uavhengig gjennomgang av etatens systemer og rutiner for informasjonssikkerhet og personvern. Bakgrunnen for bestillingen var blant annet kritikk fra Riksrevisjonen og Datatilsynet om etatens håndtering av informasjonssikkerhet. I rapporten fremkommer det at tilgangskontroll og uberettigede oppslag utgjør en utfordring i etaten, og at styringssystem og organisatoriske forhold ikke i tilstrekkelig grad underbygger virksomhetens evne til å ivareta krav på området. Det påpekes imidlertid at etaten har styrket sitt arbeid med personvern de senere år, og at medarbeidernes kompetanse om og etterlevelse av regelverket gjennomgående er god. Videre påpekes det at krav til personvern blir ivaretatt i nye systemløsninger.
Arbeids- og velferdsdirektøren har orientert departementet om at direktoratet tar funnene og kritikken i rapporten alvorlig og vil iverksette nye tiltak i lys av rapporten. Blant annet vil etaten innføre et tydelig og enhetlig reaksjonsmønster ved snoking og gi brukere innsyn i logger over oppslag i etatens IT-systemer tre måneder tilbake i tid. Det vil bli opprettet et eget personvernombud. Videre har arbeids- og velferdsdirektøren orientert om at det er tatt organisatoriske grep for å sikre et økt strategisk og holdnings fokus på området. Departementet har tatt til etterretning orienteringen om etatens oppfølging av rapporten så langt. Departementet er innstilt på å følge med på etatens videre gjennomføring av tiltak.
Stortingsrepresentant Wiborg viser i begrunnelsen for sitt spørsmål til en enkeltsak omtalt av NRK. En ansatt skal ha foretatt uautoriserte oppslag i den hensikt å tilegne seg informasjon om en bekjent hun hadde en konflikt med. Arbeids- og velferdsdirektoratet har orientert departementet om at medarbeideren har fått en tjenstlig reaksjon for forholdet. Departementet har blitt forsikret om at etaten nå har rutiner som sikrer at uautoriserte oppslag håndteres med det alvor de fortjener. Og at det gis en reaksjon som står i forhold til alvorligheten av handlingen innenfor rammene av de lover og avtaler som regulerer tilsettingsforhold i etaten.