BEKLAGER: NAV-direktør Hans Christian Holte beklager hendelsen.
BEKLAGER: NAV-direktør Hans Christian Holte beklager hendelsen. Foto: Lise Åserud

200.000 kan være rammet av NAV-tabbe: – Vi er lei oss

NAV beklager etter brudd på personvernet.

Så mange som 200.000 nordmenn kan være rammet av personvernbruddet, der NAV har delt opplysninger de ikke hadde lov til.

De berørte har fått CV-en sin delt gjennom arbeidsplassen.no, som er en tjeneste fra NAV som skal sørge for at arbeidsgivere og arbeidssøkere raskt kan komme i kontakt med hverandre.

NAV-direktør Hans Christian Holte skriver i en mail til TV 2 at de berørte av personvernbruddet er personer som har vært registrert som arbeidssøkere hos NAV etter lanseringen av arbeidsplassen.no i februar 2019.

– Vi har varslet over 200.000 arbeidssøkere, som var under arbeidsrettet oppfølging. Nå jobber vi med å analysere hvem som kan ha vært berørt siden arbeidsplassen.no ble lansert i februar 2019; det vil si de som har hatt CV synlig for arbeidsgivere i en periode da de var under oppfølging fra NAV, skriver Holte.

– Deres CV er ikke synlig for arbeidsgivere i dag. Det endelig tallet på denne gruppen må vi komme tilbake til, når vi er ferdig med våre analyser, fortsetter han.

Ikke oversikt

TV 2 har fått tilgang til mailen som ble sendt ut til de berørte. Der beklager NAV hendelsen.

– Vi beklager at vi har gjort CV-en din tilgjengelig for arbeidsgivere i kandidatsøket på arbeidsplassen.no. Det er gjort en vurdering om dette er lov, og vi har kommet fram til at delingen er et brudd på personvernet ditt, skriver NAV i mailen.

NAV skriver at de ikke har oversikt over hvem som har sett CV-ene. Det er arbeidsgivere mer riktig tilgang via Altinn som har hatt muligheten til å finne dem.

Direktør Holte skriver at de jobber med å få oversikt over saken, og at de beklager å ha brutt tilliten.

– Arbeidsplassen.no ble etablert for at arbeidsgivere og arbeidssøkere raskt kan komme i kontakt med hverandre, uavhengig om de har en relasjon til NAV eller ikke. Vi har vurdert hvorvidt vi har hjemmel i lov for å gjøre tilgjengelig registrerte CV-er for innloggede arbeidsgivere i vår digitale løsning arbeidsplassen.no, og vi har kommet til at vi ikke har lovhjemmel til dette, skriver han.

– Vi jobber med å få full oversikt over saken. Folk skal føle seg trygge på at vi behandler personopplysninger i tråd med lovgivningen. Vi er derfor lei oss for at vi i dette tilfelle har brutt denne tilliten.

– Avhengige av transparens

– Når skjedde dette og hvor lenge lå informasjonen ute?

– Et velfungerende arbeidsmarked er avhengig av mest mulig transparens. Arbeidsplassen.no ble derfor etablert i 2019 som en base der arbeidsgivere kan logge seg inn via Altinn og søke etter kandidater basert på kvalifikasjonskrav. Jo flere jobbsøkere og arbeidsgivere som kan finne hverandre uavhengig av NAV, desto bedre. Da vi oppdaget at vi ikke har lovhjemmel til å automatisk gjøre CV-er til arbeidssøkere som er under oppfølging fra NAV tilgjengelige for innloggede arbeidsgivere på jakt etter jobbkandidater, stengte vi tilgangen og meldte avviket til Datatilsynet, skriver Holte.

Videre skriver han at de da begynte å informere de berørte brukerne og arbeidsgivere, og informerte i media og på NAVs hjemmesider. De berørte kontaktes i disse dager.

Dette kan ha skjedd med informasjonen

I brevet til de berørte lister NAV opp en rekke mulige konsekvenser av personvernbruddet:

  • Misbruk av personopplysningene til andre formål enn rekruttering, for eksempel salg og markedsføring.
  • At du har blitt kontaktet av arbeidsgivere.
  • At du har blitt identifisert som registrert arbeidssøker hos NAV.
  • At personer med tilstrekkelig kompetanse kan ha hatt tilgang til en kode som viser ditt statsborgerskap.
  • At det har påvirket dine økonomiske ytelser eller andre rettigheter fra NAV.
  • At løsningen kan ha blitt brukt av arbeidsgivere til å søke opp personer for andre formål enn rekruttering til arbeid (snoking).

Holte skriver at de ikke har fått noen tilbakemeldinger som tyder på at opplysninger er misbrukt.

– Når man varsler om brudd på personvernet er det formelle krav til utformingen av varselet. Det skal, blant annet, alltid informeres om ulike mulige konsekvenser av bruddet. Vi har ikke fått noen tilbakemeldinger som tyder på at opplysninger er misbrukt, avslutter Holte.

NAV ber de berørte om å være oppmerksomme på uvanlige brev, rar kommunikasjon på nett, og eventuelt andre henvendelser de tror kan ha med personvern å gjøre.

Relatert