Nav har oppdaget et personvernbrudd i deler av et internt system som brukes til kontroll av leger og andre behandlere. De aktuelle funksjonene er ikke lenger i bruk, og saken er meldt til Datatilsynet.

Personvernbruddet gjelder enkelte funksjoner på et område i et internt saksbehandlingssystem som brukes av Nav-ansatte. Området kalles Behandlermappen og inneholder informasjon om leger og andre behandlere som følger opp Navs brukere.

Nav har blant annet avdekket at det ikke var god nok tilgangsstyring og logging av Nav-ansattes bruk av disse funksjonene. Det betyr at det var for mange som hadde tilgang til opplysninger som ikke var strengt nødvendig for jobben de gjør i Nav, og det er et personvernbrudd.

Nav har meldt saken til Datatilsynet, og stanset all bruk av Behandlermappen.

Det er ingen utenfor Nav som har hatt tilgang til Behandlermappen. Nav har heller ingen grunn til å tro eller mistanke om at informasjonen har blitt misbrukt internt i Nav, men skal nå kartlegge saken grundig for å finne ut mer.  

Slik ble Behandlermappen brukt

Behandlermappen er en del av det større saksbehandlingssystemet Arena, som Nav bruker til oppfølging av brukere i forbindelse med blant annet dagpenger, arbeidsavklaringspenger og tiltakspenger.

Behandlermappen ble opprettet i 2011 i forbindelse med et regelverk som på den tiden gjaldt sanksjonering av leger som ikke møtte på møter med Nav (folketrygdloven § 25-5a). Regelverket har utviklet seg over tid, men bruken og formålet med Behandlermappen har hele tiden vært knyttet til kontroll.

I Behandlermappen kunne Nav-veiledere legge inn notater for å dokumentere situasjoner der leger og behandlere gjorde feil eller ikke utførte lovpålagte oppgaver.

Nav kontroll har også brukt Behandlermappen i forbindelse med kontroll av arbeidet leger og behandlere gjør for Nav. De har kunnet hente informasjon i notatene som var lagt der, samt legge inn informasjon om pågående kontroll-saker.

Arena er et stort system som mange ansatte i Nav bruker til forskjellige oppgaver, men det er et langt mindre antall som har hatt oppgaver hvor det var relevant å bruke Behandlermappen.

Avviket gjelder notatfunksjon og hendelseslogg

Personvernbruddet gjelder to helt spesifikke funksjoner i Behandlermappen.

Det ene er en funksjon hvor Nav-ansatte kunne skrive fritekst i «Notat på behandler». Det er denne funksjonen som har vært brukt til å dokumentere samhandlingsutfordringer med behandlere. Et eksempel er at Nav gjentatte ganger har bedt om dokumentasjon på en brukers helsesituasjon, uten at behandler har sendt inn denne dokumentasjonen. En veileder i Nav kunne da skrive et notat om det.

Årsaken til at dette er et brudd på personvernreglene, er at notatene ikke er tilstrekkelig tilgangsstyrt slik at flere Nav-ansatte enn de som har behov for informasjonen har kunnet finne den. Det kan også ha blitt skrevet inn mer informasjon i disse fritekstfeltene enn det har vært behov for. Nav skal nå undersøke nærmere hvorvidt dette har skjedd.

Den andre funksjonen hvor det har skjedd personvernbrudd kalles «Hendelseslogg». Denne loggfører automatisk dokumenter og elektronisk dialog mellom den enkelte behandler og Nav. I Hendelsesloggen har det for eksempel vært synlig at det har kommet inn en legeerklæring eller en sykmelding, eller at det har vært en dialog mellom Nav og en behandler. Det var også mulig å se deler av innholdet i disse hendelsene, for eksempel i en sykemelding. Den enkelte hendelsen var knyttet til en Nav-bruker med fødselsnummer, men ikke navn. Fordi området ikke var tilstrekkelig tilgangsstyrt, er dette også et personvernbrudd.

Skal kartlegge berørte

De berørte av personvernbruddet kan altså både være leger som har hatt et notat knyttet til seg, og Nav-brukere ettersom helseopplysninger og fødselsnummer kan ha vært tilgjengelig i hendelsesloggen.

Nav er i gang med å kartlegge omfanget av avviket.

Det skal gjøres et uttrekk av notatene i Notatfeltet for gjennomgang på en så lite inngripende måte som mulig. I de sakene der vi vurderer at det er høy risiko for brudd på den enkeltes rettigheter og friheter, vil vi varsle de berørte.

Videre arbeid med avviket

Informasjon på nav.no vil oppdateres fortløpende med håndtering av bruddet.

• Behandlermappen ble stengt for bruk 29. august 2024. Det betyr at ansatte ikke lenger kan gå inn i Behandlermappen. Det ble opprettet nye rutiner for oppfølging og kontroll av behandlere utenfor Arena. 

• Behandlermappen i Arena vil ikke bli gjenåpnet. Nav vil vurdere behovet for å utvikle nye systemer for å ivareta formålet i tråd med personvernreglementet. 

• Det er etablert egne tilganger til Behandlermappen for å ivareta nødvendig utredning i kontrollsaker og ivaretakelse av innsynsrett. For å ivareta personvernet ved disse tilgangene er det stilt krav om at det iverksetter nødvendige tiltak for å sikre at de med denne tilgang, kun gjør oppslag når de har et tjenstlig behov. Tilgangen er begrenset til så få personer som mulig (ni personer). Behovet for bruk i kontrollsaker avgrenses til tre år fram i tid.