Presidenten: Dette spørsmålet, fra Sylvi Graham til arbeidsministeren, blir tatt opp av representanten Erna Solberg.

Erna Solberg (H) [12:30:19]: Da vil jeg få stille følgende spørsmål til arbeidsministeren:

«Den 30. juni 2006 ble følgende publisert på Navs nettsider: «Det er summen av tiltak, rutiner og organisering som har betydning for det faktiske nivået på personvernet. Nav legger stor vekt på personvern og sikkerhet, og jevn dialog med Datatilsynet skal være med på å sikre at dette gis tilstrekkelig oppmerksomhet.»

Hva har regjeringen igangsatt av tiltak i løpet av de siste fire årene for å sikre at Nav har etablert tilfredsstillende informasjonssikkerhet hva gjelder tilgangsstyring og loggføring?»

Statsråd Hanne Inger Bjurstrøm [12:31:02]: Arbeids- og velferdsetaten arbeider med informasjonssikkerhet på flere plan, bl.a. arbeides det med forbedrede postrutiner som sikrer at dokumenter ikke kommer på avveier, førstelinjekontorer som ivaretar hensynet til diskresjon, kompetanse og holdningsskapende arbeid rettet mot ansatte, og IKT-systemer som tilfredsstiller grunnleggende sikkerhetsstandarder ved overføring og lagring av personopplysninger.

Departementet har valgt en overordnet strategi ved styring og oppfølging av informasjonssikkerheten i etaten ved å pålegge direktoratet å implementere Nasjonale retningslinjer for informasjonssikkerhet og legge føringer for ivaretakelse av informasjonssikkerhet i tildelingsbrevene. Departementet har i tillegg hatt særlig oppmerksomhet på oppfølgingen av Riksrevisjonens merknader til 2005-regnskapet, hvor Riksrevisjonen pekte på svakheter og mangler i informasjonssikkerhetsrutiner for stormaskinmiljøet i trygdeetaten.

Departementet har mottatt en overordnet statusrapport for informasjonssikkerhetsarbeidet i Arbeids- og velferdsetaten. I rapporten fra 2008 går det bl.a. fram at direktoratet har etablert et eget internkontrollsystem for personvern, informasjonssikkerhet og beredskap. Direktoratet har utarbeidet strategiplaner for sikkerhetskultur, etterlevelse og kontroller. Det er blitt gjennomført egne kritikalitets- og risikovurderinger, bl.a. for å sikre ivaretakelse av konfidensialitet og integritet.

Riksrevisjonens anmerkninger til 2005-regnskapet har departementet fulgt opp i dialog med direktoratet. Direktoratet igangsatte i 2006 et større prosjekt for å forbedre tilgangsstyring, logging og overvåking i stormaskinmiljøet. Dette arbeidet ble gjennomført i henhold til planen, og resultatene er implementert i etatens virksomhet.

Arbeids- og velferdsetaten har fungerende rutiner for tildeling av tilganger og kontroller av logging og annen overvåking av etatens IKT-baserte saksbehandlingssystemer. Men etatens komplekse og aldrende IKT-systemer medfører bl.a. manglende standardisering og brukeridentiteter, ved at brukeridentiteter må gis på de ulike systemer og applikasjoner, og at kontrollhandlinger i for liten grad kan automatiseres. I direktoratets IKT-strategi for perioden 2009–2015 er det en sentral forutsetning at framtidige IKT-systemer tilrettelegger for helhetlige løsninger for tilgangsstyring og økt bruk av automatiserte nøkkelkontroller. Departementet følger dette arbeidet.

Erna Solberg (H) [12:33:27]: I det arbeidet som nå skjer med bl.a. å følge opp IA-avtalen, følge opp når det gjelder uføretrygden, altså det å følge opp ganske mange ulike punkter, blir mer og mer sensitiv informasjon om personer samlet inn i Nav-systemene. Hensikten med det er bl.a. å kunne følge hver enkelt bruker, slik at man kan gi god og tilpasset hjelp. Men det øker også faren for at informasjonen kommer på flere hender, bl.a. er det en pågående debatt om f.eks. hvor mye av en legejournal Nav skal ha innsyn i. Derfor er dette spørsmålet knyttet til tilgang et enormt viktig spørsmål.

Datatilsynet ga Nav et pålegg 9. januar 2009 om å opprette tilfredsstillende sikkerhet for tilgangsstyring og logging. Så vidt vi har fått opplyst, er dette ennå ikke gjort, ett år etter pålegget, og det sies at det skal etableres i nær fremtid.

Mitt spørsmål er: Er det etablert? Eventuelt: Hva definerer man som «nær fremtid»?

Statsråd Hanne Inger Bjurstrøm [12:34:35]: Først vil jeg understreke at jeg deler representantens syn på at dette er en etat som sitter med store mengder personsensitive opplysninger. Det er derfor et stort ansvar som er forbundet med å ha den mengden opplysninger.

Jeg vil også si at jeg følger opp dette veldig klart i styringsdialogen med direktøren, og jeg har altså mottatt denne rapporten som viser at man jobber mye med dette. Men jeg må bare være helt ærlig: Akkurat hvorvidt det vedtaket er fulgt opp eller ikke, vil jeg komme tilbake til representanten med senere, fordi det har jeg ikke tilstrekkelig kunnskap om.

Erna Solberg (H) [12:35:16]: Da håper jeg at man kommer tilbake til det, og at man samtidig også avklarer spørsmålet om innsyn for brukeren – altså se hvem som har fått tilgang til å se på mappen. For det er jo kjernespørsmålet: Vil en bruker som i en gitt situasjon føler at en person som ikke burde ha opplysninger om en, faktisk har opplysninger om en, da ha muligheten til den typen kontroll? Fra Høyres side mener vi at det burde vi ha mer av i offentlig sektor generelt sett, nemlig at en bruker skal ha rett til å vite hvem som har sett. At jeg har rett til å vite hvem som har sett på mine skattelister, mine journalføringer og annet, er kjempeviktig, også for å ha en kontroll på at ting ikke misbrukes. Både innenfor helse, sosialtjeneste og innenfor andre sensitive områder vil retten til å se hvem som har sett i mappen din, kanskje være en av de største kontrollene mot misbruk av opplysninger.

Statsråd Hanne Inger Bjurstrøm [12:36:16]: Her har man jo også et regelverk gjennom personvernlovgivningen som regulerer nettopp hvem det er som har sett, og som i utgangspunktet setter begrensninger for hvem som skal se. Jeg legger til grunn at det lovverket følges i Nav, slik at det er ikke noe behov for å ha en egen regulering av dette i forhold til Nav, altså hvem som ser og ikke ser. Det må vi legge til grunn. Men jeg er enig i at en så stor etat med sensitive opplysninger må ha et våkent øye på dette hele tiden, og jeg kan berolige med at dette er en tematikk jeg har jobbet mye med tidligere også, så jeg følger det tett opp i forhold til direktøren.