Til hovedinnhold

NAV lagrer personopplysninger i amerikanskeide skytjenester

Fagforbundet er kritisk til at Nav har lagret persondata i amerikanskeid skyløsning.

Fagforbundet er kritisk til at Nav har lagret persondata i amerikanskeid skyløsning. (Foto: Mostphotos)

I november 2023 avdekket Datatilsynet omfattende personvernbrudd i NAV. Nå kan NAV ilegges et overtredelsesgebyr på 20 millioner kroner for avvik knyttet til informasjonssikkerheten i IT-systemene.

12.01.2024 av Christian Danielsen
Sist oppdatert: 24.01.2024

Før jul fortalte NRK at NAV har brukt kommersielle, amerikanskeide skytjenester over flere år. Persondataene var kryptert, men ble låst opp når dataene ble behandlet i skyløsningen.

NAV opplyser at de aldri har lagret personopplysninger i USA, selv om de bruker amerikanskeide skytjenester. Bruk av amerikanskeide skytjenester til lagring av persondata er forbundet med stor usikkerhet, og Fagforbundet mener praksisen er bekymringsverdig.

– Norske brukere har derfor over mange år ikke hatt den beskyttelse av sitt personvern som de fortjener. Dette viser etter vår mening at det må helt nye løsninger på plass for å sikre personvernet til NAV-brukerne, sier Iren Luther, leder av Yrkesseksjon helse og sosial i Fagforbundet.

Krever nasjonal skytjeneste

– Vi i Fagforbundet har lenge ønsket en nasjonal skytjeneste, drevet av det offentlige, for lagring av innbyggerdata, forteller Trond Finstad, leder av Yrkesseksjon kontor og administrasjon.

Flere andre europeiske land ser i denne retningen, da forholdet til amerikanske skyleverandører er komplisert. Bakgrunnen for dette er de såkalte Schrems I og II-dommene, hvor det fastslås at personvernhensyn ikke er godt nok ivaretatt i amerikansk lovgivning. Dette kommer også i kjølvannet av en rekke saker hvor det er dokumentert at amerikansk etterretning også har spionert på egne innbyggere, som blant annet den amerikanske IT-teknikeren og varsleren Edward Snowden avslørte.

Ny avtale i sommer

I sommer ble det underskrevet en ny rammeavtale for overføring av personopplysninger fra EU til USA, kalt «Data Privacy Framework». Amerikanske selskap må nå registrere seg for å kunne å motta persondata fra EU. Men dette skjer som en selvsertifiseringprosess som er under overoppsyn av det amerikanske handelsdepartementet. Det er derfor vanskelig for EU å sikre at de amerikanske selskapene faktisk følger GDPR. 

Mulig ny rettssak

Derfor kan det bli en ny rettsprosess knyttet til det ferske avtaleverket. Max Schrems og hans organisasjon har varslet et nytt søksmål, som forventes å foreligge i tidlig i 2024.

– Dette bidrar til en usikkerhet som er uholdbar når det gjelder ytelse av offentlige tjenester, og spesielt tjenester som leveres som en del av NAVs samfunnsoppdrag, understreker Luther.

Trond Finstad mener den eneste muligheten man har til å fjerne usikkerheten, er å opprette en offentlig drevet skytjeneste.

– Dette har vi både kompetanse og kapital til å gjøre i Norge, noe som vil bidra til utvikling av bedre tjenester i de vi har i dag, samt gi større forutsigbarhet når det gjelder lagring av innbyggerdata, sier Finstad, og forsetter:

– Spørsmålet er om vi har råd til å la være, for konsekvensene av en ny Schrems-avgjørelse kan være at amerikanskeide skytjenester blir ulovlige å bruke for NAV.

Rettelse: I en tidligere versjon av denne artikkelen gjenga Fagforbundet NRKs opplysinger om at et av systemene i NAV har lagret personopplysninger på en server i USA. Siden har NRK opplyst om at dette ikke stemmer og at det ikke har vært brudd på personvernloven. Fagforundet har endret saken for å gjenspeile dette.

Les mer:

Varsel om gebyr og pålegg til NAV (Datatilsynet.no)

NAV svarer på Datatilsynets varsel (digi.no)

Schrems varsler omkamp (engelsk)

;
Hei, jeg er Fagforbundets chatbot. Hva kan jeg hjelpe med?