NAV nadal narusza prywatność zarejestrowanych użytkowników. Zapłaci 20 milionów koron

Audyt wykazał łącznie dwanaście wykroczeń w sposobie przetwarzania danych osobowych w wewnętrznych systemach komputerowych NAV. W podsumowaniu Datatilsynet stwierdza, że ​​naruszenia są bardzo poważne i trwają już od długiego czasu, w związku z czym urząd Pracy musi ponieść konsekwencje finansowe.

Urząd Ochrony Danych już wcześniej wysyłał sygnały i nakazy dotyczące zmian w zakresie zarządzania prywatnymi informacjami beneficjentów, jednak NAV się nie zastosował, dlatego zapadła decyzja o nałożeniu kary pieniężnej. Urząd Pracy w swoich systemach informatycznych nadal nie jest w stanie zapewnić poufności przetwarzania danych osobowych.

Jak wyjaśnia dyrektor NAV, Hans Christian Holte, nie chodzi o to, że poufne informacje zaginęły, ale o luki, jakie urząd ma w swoich rozwiązaniach do przetwarzania i zabezpieczania danych. Tłumaczy, że ​​wiele problemów wynika z przestarzałych systemów komputerowych, wokół których trudno jest zbudować nowe zabezpieczenia. Przyznaje jednak, że NAV nie ma wystarczająco dobrych procedur ani systematycznej kontroli logów, kto miał dostęp do dokumentów użytkowników.

NAV nie zakwestionuje zgłoszonej kary 20 milionów koron, która nawet według Datatilsynet jest wysoka jak na organ publiczny. Jednak naruszenia o podobnej wadze przez podmiot prywatny skutkowałyby znacznie wyższą opłatą.

– Zadania, które stoją przed Nav, wiążą się z przetwarzaniem danych osobowych na ogromną skalę, w tym informacji bardzo wrażliwych. Według danych zawartych w raporcie rocznym NAV za 2022 r. w zeszłym roku ze świadczeń skorzystało około 3,2 mln osób. Dlatego też działalność urzędu wiąże się z wysokim ryzykiem dotyczącym prywatności, co pociąga za sobą rygorystyczne wymogi dotyczące bezpieczeństwa danych osobowych – pisze Norweski Urząd ds. Ochrony Danych.

Problemy nie są nowe. Już w 2006 roku, kiedy utworzono NAV z połączenia kilku instytucji zdrowia publicznego i spraw społecznych, zwracano uwagę na niebezpieczeństwo rozpowszechniania wrażliwych informacji o beneficjentach.

W połowie listopada Datatilsynet poinformowało, że od pięciu lat informacje o zdrowiu, finansach, warunkach socjalnych i pochodzeniu etnicznym osób poszukujących zatrudnienia znajdują się na wewnętrznych listach Urzędu Pracy i Opieki Społecznej, ale mają do nich dostęp nieupoważnieni pracownicy. Norweski Urząd Ochrony Danych uważa, że to poważne naruszenie prywatności i RODO.

Od 2018 roku takie listy tworzą sami zatrudnieni w urzędzie. Po roku listy znikają automatycznie, a następnie powstają nowe. W systemie widnieje kilkadziesiąt tysięcy bezrobotnych w Norwegii, tej jesieni liczba ta wynosi około 54 tys. NAV przyznaje, że nadal nie wie, ilu użytkowników dotknęło naruszenie prywatności.

Źródła: Datatilsynet, NTB, MojaNorwegia.pl