InnenriksNyheter

Nok en ny Nav-skandale

Skandalene rundt Nav ser ikke ut til å ha noen slutt. Stadig detter det nye skjeletter ut av skapene. Denne gang er det manglende sikkerhet rundt tilgang til sensitive data om norske leger som Nav granskes for.

Ikke før har etaten gått på et sviende nederlag for sin tolkning av EØS-reglene for opptjening av pensjon, så kommer nok en ny skandale ramlende ut. Lørdag ble det nemlig kjent at Nav har et eget register over norske leger. Dette registeret består av notater om norske leger som på en eller annet måte har vært i kontakt med Nav, og er skrevet av ansatte i Nav. Disse notatene inneholder detaljer og vurderinger av legers samarbeid med Nav. I tillegg inneholder notatene detaljer rundt personlige forhold knyttet til den enkelte lege.

Disse notatene er laget av Nav i saker der etaten ikke er fornøyd med enten legens oppfølging av pasientene eller samarbeidet med den enkelte lege.

I mappene er det beskrevet ulike sanksjoner rettet mot enkelte leger som har mistet retten til å praktisere for trygdens regning. Innholdet i mappene kunne også avsløre helseopplysninger knyttet til legenes pasienter som har vært Nav-klienter.

Allmenn tilgang

I seg selv er det ingen skandale at Nav har et slikt arkiv. Alle virksomheter bør ha et slikt «arbeidsregister» til bruk, for eksempel i forhandlinger med ulike leverandører. Også pressen har slike «arbeidsregistre» eller arkiv. Det er et nyttig redskap når artikler skal skrives, eller for Nav. Men det er når det gjelder tilgangen til slike registre det gjerne knoter seg til for Nav.

En ting er å lage slike registre, men man bør også lage oversikter over hvem som har tilgang til dem. Dette gjøres normalt med at man for eksempel en kombinasjon av brukernavn/passord, gir tilgang til visse områder av et IT-system. En siste mekanisme er at en virksomhets IT-systemer har en innebygget funksjon som viser hvem som har vært inne og sett på innholdet i en mappe eller fil – kalt logg. Denne loggen bør også ha en oversikt over hvem som har prøvd å komme seg inn, men ikke lyktes. Kort sagt må et IT-system ha en loggfunksjon som viser hvem som har gjort hva.

Her har Nav nok en gang rotet seg bort. Ikke bare har samtlige av Navs rundt 17.000 ansatte hatt tilgang til dette registeret, men det har heller ikke vært noen loggfunksjon i registeret som har vist hvem som har vært inne i det. Det betyr at det er umulig for noen å ettergå bruken av det.

Ett tenkt eksempel er dersom jeg som skriver denne artikkelen hadde vært Nav-ansatt og ønsket å snoke litt rundt min fastlege, så hadde det vært fritt fram for meg å gjøre. Dersom noen så i ettertid ønsket å ettergå meg for å se om jeg hadde snoket i dette registeret, ja så ville ingen noensinne ha kunnet se om jeg hadde vært inne i dette registeret.

Men det stopper ikke med dette. I og med at det i notatene om den enkelte lege også lå inne pasientopplysninger, kunne jeg, uten frykt for å bli avslørt, utstyrt med kunnskap om hvilken fastlege naboen hadde, rolig kunnet snoke i legens mappe og se hva jeg eventuelt fant om naboen.

På tide med en grundig Nav-gransking?

Heldigvis har vi i Norge et våkent tilsyn, Datatilsynet, som våker over hvordan offentlige og private virksomheter utøver dette med personvern og personregistre.

Da de fikk kjennskap til Navs slappe sikring av dette registeret, reagerte de sporenstreks. Tilsynet kontaktet Nav, og utba seg en forklaring. De vil rett og slett vite Navs begrunnelse for sammenblanding av kontroll med leger med ordinær saksbehandling overfor Nav-klienter.

Datatilsynet er også nysgjerrig på å få vite hvorfor dette Nav-systemet det er snakk om, mangler loggfunksjon

Men ett spørsmål tilsynet ikke stiller, men som kanskje politikerne, og alle vi som er brukere av Nav bør stille, er hvor mange flere Nav-skandaler vi tåler? Kan vi stole på Nav? Er det ikke snart på tide med en skikkelig gransking av Nav, en gransking hvor man ser på alle sider ved denne mastodonten Nav nå en gang er?

For ordens skyld; Nav opplyser nå at tilgangen til dette registeret som er omtalt i denne artikkelen, er nå stengt for alle andre enn ni personer. Vi får håpe at dette innskrenkingen også følges opp med loggføring av hvem av disse som bruker registeret og hva de henter ut av data?

Følg Extraavisen på facebook!