Informasjon om personvernbruddet i Rekrutteringsbistand

Høsten 2023 oppdaget NAV at det hadde skjedd et personvernbrudd i dataprogrammet Rekrutteringsbistand, som brukes av noen ansatte i NAV. Personvernbruddet handler om at det for noen personer ble skrevet inn personlige opplysninger om dem i dataprogrammet. NAV hadde ikke lov til å skrive slike opplysninger i Rekrutteringsbistand.

Bruddet ble meldt til Datatilsynet, og NAV har siden jobbet med å kartlegge hvem som er berørt av bruddet. Dersom det gjelder deg, har du enten blitt kontaktet nylig, eller du vil bli kontaktet i tiden fremover. Du behøver ikke å selv ta kontakt med NAV dersom du lurer på om du er berørt.

NAV beklager personvernbruddet overfor de berørte.

På denne siden finner du mer informasjon om hva bruddet handler om, hvordan NAV har jobbet med å rydde opp etter at vi oppdaget det, og hva du kan gjøre dersom du er berørt.

Slik har personvernbruddet skjedd

Rekrutteringsbistand er et dataprogram som ansatte i NAV bruker til å hjelpe arbeidssøkere med å finne jobb, og arbeidsgivere med å finne aktuelle kandidater til ledige stillinger. Her kan NAV-ansatte lage lister over kandidater som er aktuelle for en bestemt stilling. Det har også vært mulig å skrive inn tilleggsinformasjon om kandidatene i et fritekstfelt.

Personvernbruddet har skjedd ved at det i noen tilfeller har blitt skrevet inn én eller flere personlige opplysninger om en kandidat i fritekstfeltet som hørte til kandidaten. Det hadde ikke NAV lov til. I tillegg har verktøyet blitt brukt til å lage andre typer lister enn det var ment for, for eksempel lister over kandidater som er aktuelle for ulike arbeidsmarkedstiltak. Dette anses også som et personvernbrudd.

Dersom det har stått personlige opplysninger om deg i et slikt fritekstfelt, eller du har stått på en liste som ikke skulle vært laget, kan du være berørt av personvernbruddet. Hvis du er berørt, vil du bli kontaktet av NAV.

Personopplysningene er fjernet fra Rekrutteringsbistand

NAV har fjernet fritekstfeltet fra verktøyet. Det er ikke lenger mulig for ansatte å skrive inn opplysninger, eller se hvilke opplysninger som har vært skrevet ned om personer tidligere. NAV har også i større grad begrenset hvilke ansatte som kan se listene.

Etter personvernbruddet ble oppdaget, har ansatte fått tydeligere informasjon og opplæring om hvordan vi skal behandle personopplysninger i arbeidet med å koble jobbsøkere til ledige stillinger.

NAV har manuelt gått gjennom alle fritekstfelt og lister som ikke skulle vært laget, og vurdert om det har forekommet personvernbrudd i hvert enkelt tilfelle. Personer som er berørt og har krav på å bli varslet, blir nå varslet.

Kun NAV-ansatte har hatt tilgang til opplysningene

De fleste medarbeidere i NAV har hatt tilgang til Rekrutteringsbistand, men det er først og fremst markedskontaktene i NAV, som jobber med å hjelpe arbeidssøkere i jobb, som bruker det. Det vil si omtrent 500 medarbeidere på landsbasis.

Ingen utenfor NAV har tilgang til Rekrutteringsbistand. Arbeidsgivere har ikke tilgang til programmet. Vi kan ikke utelukke at personopplysninger kan ha vært delt muntlig med mulige arbeidsgivere eller tiltaksarrangører, men vi har heldigvis ikke grunn til å tro at dette har skjedd.

Hva slags personopplysninger har blitt skrevet ned?

Eksempler på personopplysninger som har vært skrevet ned i fritekstfeltet, er blant annet informasjon om personers helsetilstand, familieforhold, språkkunnskaper (som kan avdekke etnisitet), og om man mottar ytelser fra NAV.

Hensikten med fritekstfeltene var å legge til relevante opplysninger som viser at en arbeidssøker er aktuell for stillingen. Opplysningene var ment for ansatte i NAV som jobber med å finne kandidater til en stilling.

Det kan for eksempel være relevant å opplyse om at en aktuell kandidat til en stilling ikke kan gjøre tunge løft på jobb. NAV hadde lov til å skrive at personen ikke kan gjøre tunge løft, men ikke lov til å skrive at personen har en ryggskade. Det er fordi «ryggskade» sier noe om en persons helse og kategoriseres som en sensitiv personopplysning. 

Som regel har slike opplysninger vært skrevet ned i en sammenheng som viser at personen passer til en jobb, er motivert for en jobb eller har noen spesifikke utfordringer som det skal tilrettelegges for. Det er likevel et personvernbrudd fordi NAV ikke har hatt lov til å skrive ned slike opplysninger i Rekrutteringsbistand.

I mange andre tilfeller har NAV lov til å lagre personopplysninger om brukere, fordi disse opplysningene ofte er nødvendig for å gi tjenester og ytelser. Dette krever imidlertid streng kontroll med hvilke ansatte som har tilgang til disse opplysningene. 

Antall berørte av personvernbruddet

Det er for tidlig å si hvor mange som er berørt av personvernbruddet. NAV vurderer fortsatt saker løpende parallelt med at vi varsler. Vi vil oppdatere denne siden med antallet berørte når det er klart.

Konsekvenser for deg som er berørt

Dersom du er berørt av personvernbruddet, betyr det at NAV har brutt personopplysningsloven i behandlingen av dine personopplysninger ved at personlig informasjon om deg har vært tilgjengelig for flere ansatte i NAV enn de med behov.

Mest sannsynlig har ikke personvernbruddet fått ytterligere konsekvenser for deg som er berørt.

Det er likevel slik at NAV har vurdert det som en risiko at opplysningene kan ha påvirket en persons sak, og at noen kan ha blitt utsatt for forskjellsbehandling på bakgrunn av opplysningene som har vært tilgjengelig.

Det er også en risiko for at Rekrutteringsbistand kan ha blitt brukt av ansatte i NAV til å søke opp personer med andre formål enn arbeidsformidling.

Vi har ikke informasjon eller mistanke om at slike ting har skjedd, men dessverre kan vi ikke garantere for det.

Dersom du har fått beskjed om at du er berørt, oppfordrer vi deg til å kontakte NAV hvis du i tillegg mistenker at personvernbruddet har hatt konkrete konsekvenser for din sak. Vi vil da undersøke saken så godt det lar seg gjøre. 

Rettigheter du har som berørt av personvernbruddet

Når dine personopplysninger blir behandlet av NAV, har du rett til å vite hvilke personopplysninger vi behandler og hvordan.

Du kan be om innsyn i hvilke personopplysninger vi behandler om deg, og du kan be om at opplysninger om deg rettes opp eller slettes. Du finner mer informasjon om det lenger ned på siden.

Du kan også lese mer om dine rettigheter, og hva du i praksis kan gjøre på våre personvernsider.

Dersom du vil klage eller gi NAV en tilbakemelding, kan du gjøre det på nav.no/serviceklage.

Her finner du kontaktopplysninger til personvernombudet i NAV.

Hvis du har flere spørsmål i forbindelse med personvernbruddet, kan du ta kontakt med oss via Skriv til oss eller ringe oss på 55 55 33 33.

Slik kan du be om innsyn i hvilke opplysninger NAV har om deg

Du har rett til å få forståelig informasjon om hvordan NAV behandler dine personopplysninger, og det finnes flere innsynsrettigheter som gir ulik informasjon:

• Dersom du er berørt av personvernbruddet i Rekrutteringsbistand, kan du be om innsyn i opplysninger som har vært skrevet ned om deg. Du kan også få vite hvordan din sak har blitt vurdert i forbindelse med personvernbruddet, og hvor mange lister du har vært registrert i.
• Innsyn etter personopplysningsloven gir deg innsyn i alle personopplysninger NAV behandler om deg, eller du kan spesifisere om det er konkrete typer behandlinger eller system du vil ha innsyn i. I et slikt innsyn kan du også be om informasjon om
  • hvilke personopplysninger vi har om deg
  • hvor vi har hentet personopplysningene fra
  • hva vi skal bruke dem til
  • hvem vi utleverer opplysningene til
  • hvor lenge vi lagrer opplysningene om deg
  • hvilke medarbeidere i NAV som har sett dine opplysninger i våre fagsystemer
• Logginnsyn gir deg innsyn i hvilke ansatte om har gjort oppslag på deg i NAVs fagsystemer. Vi kan ikke gi deg fullt logg-innsyn i verktøyet Rekrutteringsbistand, fordi det ikke har vært loggført hvem som har vært inne i den enkelte sak.
• Partsinnsyn gir deg innsyn i saksdokumenter i en konkret sak hvor du er part.

Henvendelse om innsyn sendes inn gjennom å bruke løsningen Spørsmål til oss – nav.no eller kontakte NAV på telefon 55 55 33 33. Når du ber om innsyn, ber vi deg presisere hva du ber om innsyn i.

Du kan lese mer om retten til innsyn, og hvordan du kan be om innsyn på våre personvernsider.

Erstatningskrav

Hvis du har lidt en skade på grunn av avviket i Rekrutteringsbistand, kan det i noen tilfeller føre til at du har en rett til erstatning etter personvernregelverket.

Et brudd på rettighetene etter personvernforordningen vil ikke automatisk føre til at det er grunnlag for erstatning. Det er ikke tilstrekkelig at du selv har følt eller mener at bruddet har medført et ubehag.

For deg innebærer dette at du må kunne sannsynliggjøre at bruddet har ført til objektiv skade på ditt selvbilde, omdømme eller på andre måter har fått negative konsekvenser for deg. Du er selv ansvarlig for å dokumentere at du har lidt en skade.

Det er tre vilkår som må være oppfylt for at du skal kunne ha rett på erstatning: At det har skjedd en feil som NAV er ansvarlig for, der du har lidd et økonomisk eller ikke-økonomisk tap, og dette må stå i direkte sammenheng med personvernbruddet. Du kan lese mer om erstatning som følge av brudd på personvernreglene nederst på NAVs sider om klagerettigheter.

Personvernerklæring for gjennomgang av personvernbrudd