NAV har oppdaget et personvernbrudd i deler av et internt system som brukes til kontroll av leger og andre behandlere. De aktuelle funksjonene er ikke lenger i bruk, og saken er meldt til Datatilsynet.

Personvernbruddet gjelder enkelte funksjoner på et område i et internt saksbehandlingssystem som brukes av NAV-ansatte. Området kalles Behandlermappen og inneholder informasjon om leger og andre behandlere som følger opp NAVs brukere.

NAV har blant annet avdekket at det ikke var god nok tilgangsstyring og logging av NAV-ansattes bruk av disse funksjonene. Det betyr at det var for mange som hadde tilgang til opplysninger som ikke var strengt nødvendig for jobben de gjør i NAV, og det er et personvernbrudd.

NAV har meldt saken til Datatilsynet, og stanset all bruk av Behandlermappen.

Det er ingen utenfor NAV som har hatt tilgang til Behandlermappen. NAV har heller ingen grunn til å tro eller mistanke om at informasjonen har blitt misbrukt internt i NAV, men skal nå kartlegge saken grundig for å finne ut mer.  

Slik ble Behandlermappen brukt

Behandlermappen er en del av det større saksbehandlingssystemet Arena, som NAV bruker til oppfølging av brukere i forbindelse med blant annet dagpenger, arbeidsavklaringspenger og tiltakspenger.

Behandlermappen ble opprettet i 2011 i forbindelse med et regelverk som på den tiden gjaldt sanksjonering av leger som ikke møtte på møter med NAV (folketrygdloven § 25-5a). Regelverket har utviklet seg over tid, men bruken og formålet med Behandlermappen har hele tiden vært knyttet til kontroll.

I Behandlermappen kunne NAV-veiledere legge inn notater for å dokumentere situasjoner der leger og behandlere gjorde feil eller ikke utførte lovpålagte oppgaver.

NAV Kontroll har også brukt Behandlermappen i forbindelse med kontroll av arbeidet leger og behandlere gjør for NAV. De har kunnet hente informasjon i notatene som var lagt der, samt legge inn informasjon om pågående kontroll-saker.

Arena er et stort system som mange ansatte i NAV bruker til forskjellige oppgaver. Totalt har rundt 13 000 personer tilgang til de aktuelle områdene Behandlermappen, men det er langt færre som har hatt oppgaver hvor det var relevant å bruke den.  

Avviket gjelder notatfunksjon og hendelseslogg

Personvernbruddet gjelder to helt spesifikke funksjoner i Behandlermappen.

Det ene er en funksjon hvor NAV-ansatte kunne skrive fritekst i «Notat på behandler». Det er denne funksjonen som har vært brukt til å dokumentere samhandlingsutfordringer med behandlere. Et eksempel er at NAV gjentatte ganger har bedt om dokumentasjon på en brukers helsesituasjon, uten at behandler har sendt inn denne dokumentasjonen. En veileder i NAV kunne da skrive et notat om det.

Årsaken til at dette er et brudd på personvernreglene, er at notatene ikke er tilstrekkelig tilgangsstyrt slik at flere NAV-ansatte enn de som har behov for informasjonen har kunnet finne den. Det kan også ha blitt skrevet inn mer informasjon i disse fritekstfeltene enn det har vært behov for. NAV skal nå undersøke nærmere hvorvidt dette har skjedd.

Den andre funksjonen hvor det har skjedd personvernbrudd kalles «Hendelseslogg». Denne loggfører automatisk dokumenter og elektronisk dialog mellom den enkelte behandler og NAV. I Hendelsesloggen har det for eksempel vært synlig at det har kommet inn en legeerklæring eller en sykmelding, eller at det har vært en dialog mellom NAV og en behandler. Det var også mulig å se deler av innholdet i disse hendelsene, for eksempel i en sykemelding. Den enkelte hendelsen var knyttet til en NAV-bruker med fødselsnummer, men ikke navn. Fordi området ikke var tilstrekkelig tilgangsstyrt, er dette også et personvernbrudd.

Skal kartlegge berørte

De berørte av personvernbruddet kan altså både være leger som har hatt et notat knyttet til seg, og NAV-brukere ettersom helseopplysninger og fødselsnummer kan ha vært tilgjengelig i hendelsesloggen.

NAV er i gang med å kartlegge omfanget av avviket. Vi skal vurdere hvilken risiko bruddet kan ha hatt for de berørte, og videre kartlegge hvem og hvor mange som kan være berørt.

Når kartleggingen er gjennomført gjør vi en juridisk vurdering av alvorlighetsgraden, og videre om de berørte skal varsles om bruddet.