Skriftlig spørsmål fra Øyvind Håbrekke (KrF) til arbeidsministeren

Dokument nr. 15:791 (2012-2013)
Innlevert: 08.02.2013
Sendt: 11.02.2013
Besvart: 15.02.2013 av arbeidsminister Anniken Huitfeldt

Øyvind Håbrekke (KrF)

Spørsmål

Øyvind Håbrekke (KrF): Personopplysninger innenfor Nav-systemet skal håndteres på en personvern- og sikkerhetsmessig trygg og god måte.
I hvilken grad er det i dag mulig at uvedkommende internt kan se i og videreformidle sensitive personopplysninger, eller kjenner statsråden seg trygg på at personvernet og sikkerheten er tilfredsstillende sikret innenfor hele Nav-systemet i dag?

Begrunnelse

Lekkasje av sensitive personopplysninger er i seg selv alvorlig. Alvorligheten av den type handlinger øker i omfang hvis slike lekkede opplysninger er tenkt benyttet i kriminell sammenheng.
Et eksempel på en i den sammenheng sårbar gruppe, er de som påtar seg oppgave som fosterhjem / beredskapshjem. Dette er mennesker som har påtatt seg oppgaver der barnets foreldre noen ganger kommer fra kriminelle miljøer. De er derfor en gruppe som har et krav på, og behov for ekstra støtte og beskyttelse. De som påtar seg å være fosterforeldre og beredskapshjem, må være trygge på at deres personvern og deres sikkerhet er fullt ut ivaretatt.
Det vil være grunn til stor bekymring hvis vi ikke kan være fullt ut sikre på at det forekommer lekkasje av personopplysninger og om det ikke kan spores hvem som har vært inne i de ulike sakene/mappene.

Anniken Huitfeldt (A)

Svar

Anniken Huitfeldt: Arbeids- og velferdsforvaltningen er avhengig av at brukere, oppdragsgivere, samarbeidspartnere og tilsynsmyndigheter har tillit til at forvaltningen av informasjonen skjer på en sikker og kvalitetsmessig forsvarlig måte. Riksrevisjonen og Datatilsynet følger også Arbeids- og velferdsetaten tett i spørsmål knyttet til informasjonssikkerhet og personvern.
Direktoratet har orientert meg om at det er iverksatt en rekke tiltak for å sikre dette på en best mulig måte. Det iverksettes fortløpende korrigerende tiltak overfor identifiserte avvik, herunder anmerkninger fra tilsynsmyndigheten og Riksrevisjonen.
NAV-kontoret i kommunene omfatter både en statlig og en kommunal del, og de behandler en stor mengde personopplysninger. Mye av denne informasjonen er sensitiv. All informasjon om en bruker av NAV-kontoret er underlagt lovpålagt taushetsplikt. Denne taushetsplikten gjelder både mellom saksbehandlere i NAV- kontoret, mellom NAV-kontoret og andre enheter i Arbeids- og velferdsetaten og utad.
Som en del av sikkerhetsregimet er det i samarbeid med KS utarbeidet felles sikkerhetsnormer for arbeids- og velferdsforvaltningen som skal sikre felles forståelse mellom stat og kommune hva gjelder sikkerhetsnivået, herunder sikker behandling av beskyttelsesverdig informasjon. Alle medarbeidere i arbeids- og velferdsforvaltningen skal være kjent med disse sikkerhetsnormene.
Partene (stat og kommune) er behandlingsansvarlige etter personopplysningsloven for egne ansvarsområder, og de har således hver for seg plikt til å oppfylle lovens krav om personvern og informasjonssikkerhet. Det gjelder også for de tilfeller hvor noen kommuner har lagt andre tjenester til NAV-kontoret utover de som er den lovpålagte minimumsløsningen, som for eksempel barnevern og flyktningetjeneste.
Arbeids- og velferdsdirektoratet har gjennom sitt internkontrollsystem organisert sikkerhetsarbeidet i etaten. Det er satt en rekke sikkerhetsnormer og -krav for ivaretakelse av personvern, taushetsplikt og informasjonssikkerhet. Arbeids- og velferdsetaten arbeider målrettet med tiltak for å beskytte sine brukere, verdier og for å redusere risikoen forbundet med informasjonsbehandling. Sikkerhet har høy prioritet i etaten.
Arbeids- og velferdsetaten har krav om at alle medarbeidere skal påse at taushetsplikten ivaretas i samhandling med brukere, samhandlingspartnere og andre aktører. Videre at taushetsbelagt informasjon aldri skal utleveres uten at det foreligger et tilstrekkelig og klart lovhjemmelsgrunnlag eller samtykke fra den enkelte. For trusselutsatte brukere med adresseskjerming er det egne særskilte behandlingsrutiner. Noen av disse brukerne kan være barn plassert i fosterhjem/beredskapshjem. Det er kun et fåtall personer som har tilgang til personer med strengt fortrolig adresse.
Ved tilgangsstyring og logging av oppslag i etatens fagsystemer kan etaten kontrollere hvem som skal ha tilgang til informasjonen og hindre uautorisert innsyn i konfidensiell informasjon. De systemene som har flest oppslag og flest brukere, har i dag slik logging, men det arbeides med å etablere slik logging for flere av Arbeids- og velferdsetatens systemer.
Arbeids- og velferdsetaten har egne rutiner for å håndtere kommunikasjon på telefon med brukere slik at de ikke utleverer unødig informasjon eller gir ut taushetsbelagt informasjon til innringere som de ikke med sikkerhet kan vite hvem er.
Samlet sett er det min vurdering at det er etablert tilfredsstillende ordninger og systemer for å hindre at uvedkommende får tilgang til sensitive personopplysninger fra arbeids- og velferdsforvaltningen. Selv om gode systemer en nødvendig forutsetning for å unngå at uvedkommende kan ha mottatt informasjon om brukere, så er det ingen garanti for at dette ikke kan skje. Jeg legger derfor vekt på at Arbeids- og velferdsdirektoratet prioriterer at det er en høy bevissthet om sikkerhet både i Arbeids- og velferdsetaten og i partnerskapet med kommunene om NAV-kontorene.