Skriftlig spørsmål fra Freddy André Øvstegård (SV) til arbeids- og inkluderingsministeren

Dokument nr. 15:1496 (2023-2024)
Innlevert: 08.03.2024
Sendt: 11.03.2024
Besvart: 14.03.2024 av arbeids- og inkluderingsminister Tonje Brenna

Freddy André Øvstegård (SV)

Spørsmål

Freddy André Øvstegård (SV): Viser til Datatilsynets ileggelse av overtredelsesgebyr og flere pålegg til Nav etter tilsyn som avdekket flere alvorlige avvik, samt oppslag om personvern og tilgang på folks opplysninger i Nav ellers. Spørsmålsstiller er blitt gjort kjent med at Nav bruker et fagsystem som heter WebSak til å kommunisere med folk og samarbeidspartnere.
Kan statsråden redegjøre for hvordan dette systemet fungerer, hva slags opplysninger det inneholder og hvem som har tilgang på hvilke opplysninger der?

Begrunnelse

Datatilsynets har varslet ileggelse av overtredelsesgebyr og flere pålegg til Nav etter tilsyn som avdekket flere alvorlige avvik når det gjelder informasjonssikkerheten i IT-systemene deres. Nav bestrider delvis konklusjonene.
Videre har det blitt kjent at ansatte i Nav har stor tilgang på folks opplysninger i forskjellige fagsystemer, og at det etter innsyn i logg har blitt reist spørsmål om det gis tilgang på folks opplysninger uten tjenestlig behov, og rundt hvorvidt systemene hindrer dette.
Spørsmålsstiller har blitt gjort oppmerksom på at Nav bruker et fagsystem kalt WebSak til å sende ut brev i kommunikasjon med innbyggerne og til utveksling av informasjon med eksterne samarbeidspartnere. Dette fagsystemet er ikke omtalt i Datatilsynets rapport. Derfor vil spørsmålsstiller få opplyst hvordan dette systemet fungerer, hva som ligger der av inngående og utgående informasjon og hvem som får tilgang til hva i dette systemet.

Tonje Brenna (A)

Svar

Tonje Brenna: WebSak er Arbeids- og velferdsetatens administrative saksbehandlings- og arkivløsning. Systemet benyttes av etaten og av en rekke offentlige virksomheter, blant annet departementene. WebSak sørger for at etaten ivaretar lovkrav for arkiv, dokumentasjon og offentlighet for de administrative prosessene. WebSak brukes av alle som jobber med administrative prosesser i Arbeids- og velferdsetaten. Bare de som jobber med administrative prosesser benytter systemet.

Sakstyper

WebSak er ikke et fagsystem. Dette betyr at WebSak ikke benyttes til å utføre arbeidsprosesser som omhandler Arbeids- og velferdsetatens brukere, slik som behandling av ytelser eller tjenester. Her brukes egne fagsystemer. Saker som Arbeids- og velferdsetaten behandler i WebSak er blant annet:

• Anskaffelser og avtaler
• Prosjekter og styring av utvikling på IT-området
• Dialog med departement og andre virksomheter
• Møtereferater og administrative interne beslutningsprosesser
• Tilskuddsordninger til organisasjoner
• Innsyn etter offentleglova
• Loggsaker der bruker ber om innsyn i hva etaten har lagret om vedkommende
• Rekrutteringssaker
• Personalmapper og saker for de ansatte i Arbeids- og velferdsetaten
• Saker som omhandler brukere og som har et administrativt preg

I saker relatert til enkeltpersoner og i personalforvaltningssakene er det lagret personopplysninger. Det er opplysninger som er nødvendig for å behandle sakene, dokumentere forhold som juridisk forplikter partene, eller for å kommunisere med den det gjelder.
Kommunikasjon med enkeltbrukere, ansatte eller virksomheter skjer gjennom sikre digitale kanaler som Folkeregisteret, eFormidling og sikker digital post. Slike kanaler er standard i det offentlige og ivaretar krav til sikkerhet og personvern.

Tilganger i WebSak i Arbeids- og velferdsetaten

WebSak har en streng tilgangskontroll som er knyttet til tjenstlig behov for ulike sakstyper. Dette styres utfra rolle, ansvar, oppgaver og hvilken enhet den enkelte er knyttet til.
Personalforvaltningssakene har det som kalles streng tilgang. Det innebærer at saksbehandler må autoriseres for egne tilgangskoder som kan gi tilgang til saker i en begrenset del av organisasjonen. Dette styrer hvorvidt saksbehandler kan opprette og behandle slike saker eller få tilgang til enkeltsaker eller dokumenter ved behov. De brukerrelaterte sakene følger samme strenge prinsipp. Det er kun ansatte med tjenstlig behov som har tilgang.
Dersom en ansatt ikke har tilgang, får vedkommende heller ikke opp treff ved søk, og kan verken se dokumenter, saker eller andre opplysninger i disse sakene.