Ovenstående tittel var også tittel på et innlegg på den nasjonale fagkonferansen i offentlig revisjon, avholdt høsten 2018. Hensikten var å gi en overordnet status på GDPR og fortelle hva internrevisjonen gjorde våren 2018 for å vurdere hvor langt fra å oppfylle GDPR forordningens krav NAV ville være ved forventet ikrafttredelsesdato ultimo mai 2018.
Det hele starter noen år tilbake. NAV har som mange andre organisasjoner vært underlagt personvernlovgivningen som har eksistert i Norge i en år-rekke. Tidlig i 2016 ble det avdekket at en betrodd medarbeider hadde gjort en rekke uberettigede oppslag i NAVs fagsystemer på personer vedkommende ikke hadde tjenstlig behov for å undersøke. NAV valgte i dette tilfelle å anmelde vedkommende.
På bakgrunn av denne saken valgte Arbeids- og velferdsdirektøren å engasjere et eksternt advokatfirma, som i samarbeid med et revisjonsselskap gjennomførte undersøkelser av blant annet hvordan NAV forholdt seg til regelverket om behandling av personopplysninger. I slutten av oktober 2016 avga disse en omfattende rapport til ledelsen i NAV, som valgte å offentliggjøre hele rapporten.
En av anbefalingene i rapporten var at NAV etablerer et personvernombud. På dette tidspunktet var det kjent hvilke krav som ville komme i GDPR forordningen som var ventet å tre i kraft ca 1,5 år etter at rapporten til NAV ble presentert. Ett av disse kravene var at NAV måtte ansette et personvernombud senest i annet halvår 2018. På bakgrunn av rapportens anbefaling ble arbeidet med å ansette et personvernombud igangsatt, og høsten 2017 ansatte NAV sitt første personvernombud.
Internrevisjonen i NAV starter planleggingsarbeidet for kommende kalenderår på høsten. Ett av prosjektene som ble diskutert med ledelsen og vedtatt av Arbeids- og velferdsdirektøren sent i 2017 het; «Implementering av personvernforordningen». Målet for denne revisjonen var å kartlegge hvor langt NAV var kommet med hensyn til implementering av GDPR ved forventet ikrafttredelsesdato 28.05.2018 (denne fristen ble som kjent senere utsatt flere ganger sist til 28.07.2018). Dette revisjonsoppdraget, som vi i kortversjon kalte «GDPR readiness», måtte derfor gjennomføres tidlig i 2018.
Vi startet revisjonsprosjektet vinteren 2018, og i vår oppdragsdefinisjon valgte vi følgende innfallsvinkel; «Internrevisjonen vil i denne revisjonen undersøke om:
- NAV har kartlagt hvilke personopplysninger de har og hvilket formål disse brukes til
- Hjemmel for behandling av personopplysninger er på plass
- Nødvendigheten av personopplysningene er vurdert
- Risikoanalyse for brukers forhold er gjennomført
- Det finnes regler og rutiner for lagring, retting, sletting av personopplysninger
- Det finnes regler og rutiner for innsyn
- Det finnes rutiner for informasjon om rettigheter og plikter til bruker
- Avtaler (eks. databehandleravtaler ol.) er på plass
Revisjonen ble basert på intervjuer og dokumentgjennomgang, og vi tok sikte på å levere vår revisjonsrapport før sommerferien. Rapporten ble sendt på høring tidlig i juni, og den endelige revisjonsrapporten ble datert 29. juni 2018. På det tidspunktet var det klart at tidspunktet for implementering av GDPR forordningen hadde blitt utsatt til 6. juli, slik at vår rapport ble sendt til toppledelsen i NAV før reglene trådte i kraft. Fordi Norge fulgte implementeringstidspunktet for EØS land ble ikrafttredelsen ytterligere utsatt til 28. juli, uten at det hadde noen praktisk betydning.
Internrevisjonen hadde en hypotese om at NAV ikke ville klare å oppfylle alle forordningens krav ved implementeringstidspunktet. Denne hypotesen ble da bekreftet gjennom revisjonsarbeidet, og vi trakk følgende hovedkonklusjon i vår rapport:
«Etaten er i gang med forberedelser for å imøtekomme GDPR krav, men arbeidet er ikke helhetlig og systematisk og mye gjenstår. Samtidig er det ikke avsatt nok ressurser til arbeidet. Etaten vil ikke etterleve alle sentrale GDPR krav når forordningen trer i kraft.»
Som det fremgår av hovedkonklusjonen hadde NAV iverksatt mye arbeid, og flere av tiltakene ble også nevnt i vår hovedoppsummering hvor vi skrev; «Følgende er utført:
- Personvernombud er ansatt
- Det er utarbeidet en oversikt over etatens behandlinger av personopplysninger på et overordnet nivå
- Det er gjennomført personvernkonsekvensvurderinger for alle nye systemer, om enn av forskjellig detaljgrad og kvalitet
- Det er laget informasjonspakker for NAV kontaktsenter og NAV kontorene og egen side på Navet (som er NAVs interne intranettside)
- Klageinstansen i Bergen har fått delegert ansvaret for forespørsler om retting og sletting
- Styringsdokumenter for personvern er utarbeidet
- Mal for Databehandleravtaler er oppdatert
- Det er gitt opplæring til flere personer i direktoratet
- Det er opprettet Personvernforum som møteplass og for læring i direktoratet
- Personvernerklæring er publisert på nav.no (NAVs eksterne kilde til informasjon)
- Rutiner for varsling til Datatilsynet og bruker ved brudd på personvernet lages av Sikkerhetsseksjonen og vil være på plass fra 01.08.18
En god del arbeid var altså igangsatt før eller under perioden vi gjennomførte vår revisjon. Imidlertid var det relativt mye arbeid som gjenstod på det tidspunkt vi avga vår revisjonsrapport. De forhold vi valgte å fremheve i vår konklusjon var følgende;
- Vi kommer ikke i mål på alle punkter med implementeringen av GDPR i etaten før fristen 06.07.18
- Prosjekt fase 3 er ennå ikke fullstendig oppbemannet og prosjektet er forsinket
- Det gjenstår å gjøre personvernkonsekvensvurderinger for så å si alle gamle systemer med høy risiko
- Etatens kompetanse på området er mangelfull og det er ikke satt av tilstrekkelige ressurser til arbeidet
- Noe testing foregår fortsatt på reelle brukerdata
- Når det gjelder automatisering og sammenstilling av opplysninger på utviklingssiden må GDPR krav ivaretas og det er krevende
- Det er utfordringer med fortolkningen av kravene i det nye regelverket, og dette påvirker spesielt utviklingssiden
- Systematisk opplæringsløp for etaten er ikke på plass
- Etatens arbeid for å imøtekomme GDPR krav er skriftlig dokumentert i varierende grad
- Det synes å mangle en helhetlig koordinering av etatens arbeid, enheter adresserer GDPR separat, noe som ikke er effektivt og innebærer risiko for ulik adressering og tolkning»
Ovenstående kan synes som en lang liste med mangler. Det er imidlertid et meget omfattende regelverk som nå er gjeldende. Selv om forordningen ble vedtatt i EU våren 2016, er nok erkjennelsen at de fleste kom sent i gang med arbeidet for å tilpasse seg regelverket, og at det vil være mange andre instanser i Norge som nok opplever å ha mye gjenstående arbeid før alt er på plass, selv mange måneder etter forordningens ikrafttredelse.
Etter at vår rapport ble publisert har NAV satt ekstra ressurser på arbeidet – og også engasjert eksterne konsulenter med spisskompetanse på forordningen. En del av tiltakene vi anbefalte i vår rapport hadde forfall først mot slutten av året. Så selv om det fremdeles er en del gjenstående
arbeid når denne artikkelen skrives, vil NAV ved inngangen til 2019 være langt bedre stilt enn da internrevisjonen startet sin gjennomgang av «GDPR Readiness».