• Forside
  • Uttalelser
  • Brudd på taushetsplikten under et Nav-kontors innhenting av opplysninger fra lege

Brudd på taushetsplikten under et Nav-kontors innhenting av opplysninger fra lege

Saken gjelder en klage til Sivilombudet der klageren ga uttrykk for at Nav hadde brutt taushetsplikten ved å sende et brev til hennes nye fastlege, før hun selv hadde møtt vedkommende. Brevet inneholdt sensitive opplysninger om klagerens helse.

Sivilombudet kom til at Nav-kontoret ikke hadde hatt rettslig grunnlag for å dele de aktuelle helseopplysningene. Ombudet fant derfor grunn til å rette kritikk mot Nav for brudd på taushetsplikten og personvernlovgivningen.

Ombudet sa seg enig med Arbeids- og velferdsdirektoratet i at det var hensiktsmessig å gjøre endringer i Navs interne saksbehandlingsrutine for innhenting av helseopplysninger. Det burde tas inn et punkt om i hvilken grad Nav har adgang til å utlevere opplysninger i forbindelse med slik innhenting. Det burde også poengteres at det må foretas en vurdering av forholdet til taushetsplikten og personvernregelverket før Nav eventuelt kan utlevere opplysninger om brukernes personlige forhold til andre. Utleveringen av opplysninger må både ligge innenfor hjemmelen for å gjøre unntak fra taushetsplikten, og være nødvendig og forsvarlig.

Ombudet ba direktoratet om å om å vurdere om Nav kunne eller burde gjort noe annerledes i håndteringen av saken overfor klageren, og om det er behov for tydeligere føringer for hva de lokale Nav-kontorene skal gjøre når det oppstår spørsmål om brudd på taushetsplikten.

Ombudet ba om å bli orientert om direktoratets oppfølgning av saken.

1.  Sakens bakgrunn

A (heretter klageren) klaget 16. oktober 2023 til Sivilombudet. Hun ga uttrykk for at Nav X (heretter Nav-kontoret) hadde brutt taushetsplikten i et brev til en fastlege om innhenting av helseopplysninger.

Nav-kontoret sendte 18. oktober 2022 et brev til klagerens nye fastlege. Klageren opplyser at hun aldri har møtt den aktuelle legen. På tidspunktet da Nav-kontoret sendte brevet, hadde klageren nettopp fått ham tildelt som ny fastlege, og hadde avtalt en time hos ham.

Brevet 18. oktober 2022 fra Nav-kontoret til fastlegen hadde tittelen «Forespørsel om “Legeerklæring ved Arbeidsuførhet”». I brevet informerte Nav fastlegen om klagerens deltakelse i et prosjekt. Nav spurte fastlegen om han kom til å få oversendt journalnotater om klageren fra hennes tidligere fastlege. I brevet var det også et avsnitt der Nav orienterte den nye legen om at klageren hadde gjennomgått en operasjon i underlivet og at hun «sliter psykisk». Det er særlig utleveringen av disse sensitive helseopplysningene som reiser spørsmål om taushetsplikten er brutt.

Samme dag sendte klageren en serviceklage på den aktuelle saksbehandleren til Nav, og reiste spørsmål ved lovligheten av det aktuelle brevet. I serviceklagen beskrev klageren flere forhold ved saksbehandlerens opptreden som hun reagerte på, og ba om å få bytte saksbehandler.

Nav-kontoret svarte på serviceklagen, og viste til telefonsamtaler med klageren om innholdet i klagen. Nav ga uttrykk for at de hadde hatt adgang til å sende brevet til fastlegen på grunnlag av folketrygdloven § 21-4 om innhenting av uttalelser og opplysninger fra blant annet helsepersonell.

Klageren sendte 16. desember 2022 en klage til Statsforvalteren i Oslo og Viken der hun ba Statsforvalteren om å åpne tilsyn med brudd på taushetsplikten ved Nav-kontoret. Hun skrev at brevet fra Nav-kontoret inneholdt unødvendig informasjon om henne, og at hun opplevde det som invaderende at Nav skulle sette premisset for hennes første time hos ny lege. Hun opplyste også at hun kort tid etter fikk innvilget førstevalget sitt som ny fastlege, og at hun derfor endte opp med å aldri treffe den fastlegen som mottok brevet med hennes helseopplysninger.

I sitt svar til klageren skrev Statsforvalteren at de hadde vært i telefonkontakt med både klageren og Nav-kontoret om saken. Statsforvalteren ga uttrykk for at opplysningene i brevet fra Nav til legen var delt i forbindelse med statlige ytelser. Statsforvalteren mente at de derfor ikke hadde myndighet til å behandle klagen, og anbefalte klageren å kontakte Sivilombudet.

2. Våre undersøkelser

Vi fant grunn til å undersøke saken nærmere med Arbeids- og velferdsdirektoratet. I brev 3. november 2023 ble direktoratet bedt om å svare på hva som var hjemmelen for å utlevere klagerens helseopplysninger til legen, og om taushetsplikten etter direktoratets syn var brutt. Vi ga uttrykk for at folketrygdloven § 21-4 bare ga hjemmel til å innhente opplysninger fra helsepersonell, ikke til å utlevere helseopplysninger.

Arbeids- og velferdsdirektoratet svarte ombudet i brev 14. desember 2023, og redegjorde i brevet for sin forståelse av Nav-ansattes taushetsplikt. Direktoratet sa seg enig i at folketrygdloven § 21-4 bare gir Nav hjemmel til innhenting av helseopplysninger i visse sammenhenger, og ikke til å utlevere taushetsbelagt informasjon.

Direktoratet ga samtidig uttrykk for at det i en del sammenhenger er nødvendig å gi ut taushetsbelagte opplysninger, for eksempel personnummer eller fødselsdato, for å sikre at man får rett informasjon ved innhenting av helseopplysninger, og at dette er hjemlet i forvaltningsloven § 13 b første ledd nr. 2. I enkelte sammenhenger, for eksempel ved innhenting av spesialisterklæringer, kan det dessuten være nødvendig at Nav gir noen opplysninger for at det skal være mulig for helsepersonellet å gi den informasjonen Nav trenger. Direktoratet uttalte at den viktige vurderingen i slike tilfeller, både etter regelverket om taushetsplikt og etter personvernlovgivningen, er om det er nødvendig og forsvarlig å gi ut de taushetsbelagte opplysningene.

Direktoratet hadde vært i kontakt med det lokale Nav-kontoret, som hadde gitt uttrykk for at det var «effektivitetshensyn» som lå bak utleveringen av de taushetsbelagte opplysningene om klagerens helsetilstand. Hensikten var å komme til “en hurtigere konklusjon for bruker, slik at hun kunne få en mer forutsigbar hverdag”. Direktoratet mente imidlertid effektivitetshensyn, slik denne saken lå an, ikke var tungtveiende nok til at det kunne anses nødvendig å utlevere de aktuelle opplysningene. Ettersom utleveringen av taushetsbelagte opplysninger oversteg det som var nødvendig for å innhente helseopplysninger fra legen, var det etter direktoratets syn ikke hjemmel for å gjøre dette. Direktoratet ga uttrykk for at det ikke er normal praksis at Nav utleverer brukernes helseopplysninger på en slik måte som i saken her.

Direktoratet ga uttrykk for at Navs saksbehandlere har flere lag med retningslinjer som forklarer hvordan innhenting av opplysninger fra andre enn bruker skal foregå. Direktoratet viste blant annet til rundskrivet til folketrygdloven kapittel 21. Sammen med direktoratets brev fikk vi også oversendt en intern saksbehandlingsrutine om innhenting av helseopplysninger. Direktoratet ga uttrykk for at de i lys av saken så at det kunne være aktuelt å endre saksbehandlingsrutinen ved å ta inn et punkt om hva slags opplysninger Nav kan utlevere til helsepersonell, jf. forvaltningsloven § 13 b første ledd nr. 2.

Klageren fikk oversendt direktoratets brev til orientering, og sendte ved brev 17. januar 2024 inn merknader til svaret. Klageren var kritisk til Nav-kontorets forklaring på motivet for å gi ut de taushetsbelagte opplysningene, og mente at motivet i realiteten var knyttet til det dårlige samarbeidsklimaet som var oppstått mellom henne og den aktuelle saksbehandleren. Klageren trakk også frem Nav-kontorets håndtering av hennes serviceklage. Klageren mente det lokale Nav-kontoret ikke ga noen adekvat respons på spørsmålet om det hadde vært lovlig å sende det aktuelle brevet, og at Nav-kontoret burde ha veiledet henne om hvordan hun kunne ta saken videre dersom hun ikke var fornøyd med svaret.

Direktoratet har ikke hatt ytterligere merknader.

3.  Sivilombudets syn på saken

Spørsmålet i saken er om innholdet i brevet fra Nav-kontoret til legen innebar brudd på taushetsplikten, og i så fall om dette skyldes mangler ved Arbeids- og velferdsetatens retningslinjer eller forståelse av rettstilstanden på området, eller om det dreier seg om en mer enkeltstående feil. Ombudet har ikke funnet grunn til å gå nærmere inn på enkelte andre spørsmål som klageren har reist, herunder spørsmålet om Nav hadde adgang til å henvende seg til hennes nye lege før hun selv hadde møtt vedkommende.

3.1 Rettslige utgangspunkter

Grunnloven § 102 og Den europeiske menneskerettskonvensjon (EMK) artikkel 8 beskytter retten til privatliv. Etter EMK artikkel 8 kan inngrep i denne rettigheten kun skje på nærmere angitte vilkår. Det stilles blant annet krav til hjemmel i lov, og til at inngrepet må være forholdsmessig.

3.1.1  Navs taushetsplikt om brukernes personlige forhold

NAV-loven § 7 første til tredje ledd lyder:

«Enhver som utfører tjeneste eller arbeid for Arbeids- og velferdsetaten etter denne loven, har taushetsplikt etter forvaltningsloven §§ 13 til 13 e og 13 g. Taushetsplikten gjelder også fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bosted og arbeidssted. Det kan bare gjøres unntak fra taushetsplikten når dette følger av bestemmelsene i andre til fjerde ledd eller av andre bestemmelser gitt i eller i medhold av lov.

Opplysninger om en person kan brukes ved formidling av arbeid eller ved gjennomføring av arbeidsmarkedstiltak.

Det kan bare gis opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b første ledd nr. 6 når det er nødvendig for å fremme Arbeids- og velferdsetatens oppgaver eller for å hindre at noen urettmessig får utbetalt offentlige midler eller unndrar midler fra innbetaling til det offentlige.»

Forvaltningsloven § 13 første ledd nr. 1 fastsetter at enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om blant annet «noens personlige forhold». Opplysninger om helsemessige forhold hos Navs brukere faller klart innenfor bestemmelsen, og slike opplysninger er dermed taushetsbelagte.

Etter personopplysningsloven § 1 gjelder EUs personvernforordning (GDPR) som norsk lov. Etter definisjonen i GDPR artikkel 4 nr. 1 omfatter «personopplysninger» «enhver opplysning om en identifisert eller identifiserbar fysisk person». Personvernforordningen artikkel 9 regulerer sensitive personopplysninger, slik som opplysninger om noens helsetilstand. Etter artikkel 9 nr. 2 kan slike opplysninger behandles dersom det er «nødvendig» for at den behandlingsansvarlige skal kunne «oppfylle sine forpliktelser» innenfor arbeidsrett, trygderett og sosialrett.

I tillegg må det, for at opplysninger skal kunne deles uten hinder av taushetsplikt, være hjemmel for å gjøre unntak fra taushetsplikten.

3.1.2 Unntak fra taushetsplikten – innhenting av opplysninger fra helsepersonell

Unntak fra taushetsplikten er fastsatt i flere steder i lovverket. Folketrygdloven § 21-4, som Nav X opprinnelig viste til, gir Arbeids- og velferdsetaten m. fl. adgang til å blant annet innhente «opplysninger som er nødvendige for å kontrollere om vilkårene for en ytelse er oppfylt». Opplysningene kan innhentes fra blant annet helsepersonell. Helsepersonell skal gi opplysninger, erklæringer og uttalelser etter § 21-4 uten hinder av taushetsplikt, jf. bestemmelsens sjette ledd. Bestemmelsen gjelder innhenting av opplysninger fra helsepersonell, ikke utlevering av slike opplysninger fra Nav.

Som hjemmel for at Nav i visse tilfeller har anledning til å utlevere taushetsbelagte opplysninger har direktoratet vist til forvaltningsloven § 13 første ledd nr. 2, som fastsetter at taushetsplikten ikke er til hinder for:

«[a]t opplysningene brukes for å oppnå det formål de er gitt eller innhentet for, bl.a. kan brukes i forbindelse med saksforberedelse, avgjørelse, gjennomføring av avgjørelsen, oppfølging og kontroll».

I Arbeids- og velferdsetatens rundskriv R36-00 til forvaltningsloven er denne bestemmelsen omtalt:

«Ofte vil det være behov for å innhente uttalelser eller opplysninger fra utenforstående i en konkret sak. For at det skal være praktisk mulig å innhente opplysningene eller uttalelsene, vil det f.eks. være nødvendig å gi noen opplysninger for å identifisere saken og presisere hva slags opplysninger man er ute etter. Hvis det i slike tilfeller er nødvendig å gi taushetsbelagte opplysninger, gir § 13 b første ledd nr. 2 hjemmel for det. Det er imidlertid et vilkår for å gi opplysninger etter denne bestemmelsen at det er nødvendig og forsvarlig for arbeidet med den konkrete saken, og at de opplysningene som mottas, bare brukes i den konkrete saken som er til behandling.»

Hva som ligger i kravet om at delingen må skje «for å oppnå det formålet» opplysningene «er gitt eller innhentet for» er omtalt i Karnov lovkommentar note 5 til forvaltningsloven § 13 b av Marius Stub (på Lovdata.no). Det heter der at det er «et rent bevisspørsmål» å ta standpunkt til hvilket – eller hvilke – formål dette er, men at det i praksis koker ned til at «opplysninger som gis eller innhentes som ledd i saksforberedelsen av en konkret sak kan brukes for å forberede og avgjøre saken». Videre heter det:

«At opplysningene også kan benyttes til «oppfølgning og kontroll», innebærer at formålskravet kan være oppfylt også ved bruk som ikke faller innenfor rammene av den opprinnelige saken. […] Bakgrunnen for at bestemmelsen likevel åpner for bruk også ved oppfølgning og kontroll, er at det i slike tilfeller er en så nær sammenheng mellom det opprinnelige vedtaket og oppfølgningen av det at det ville svekke håndhevingsmulighetene om det ikke skulle være adgang til å gjøre bruk av de opplysninger som ble gitt eller innhentet ved tildelingen. Opplysningene kan derimot ikke brukes for å behandle andre saker som hører under forvaltningsorganets ansvarsområde. I slike tilfeller foreligger ikke den tilknytningen til den opprinnelige saken som bestemmelsen forutsetter, se for eksempel JDLOV-1993-2921.»

Det kan også tenkes tilfeller der opplysningene er gitt eller innhentet til flere ulike formål. I så fall vil bruk av opplysningene med sikte på bare ett av formålene gi grunnlag for unntak fra taushetsplikten, se omtalen i Efjestad og Selman, Taushetsplikt i forvaltningen, Universitetsforlaget 2021, punkt 11.3.3 på side 263.

Kravet om at det må være nødvendig å dele de aktuelle opplysningene følger ikke direkte av ordlyden i forvaltningsloven § 13 b første ledd nr. 2, men må innfortolkes, se Sivilombudets tidligere uttalelse 6. april 2016, jf. SOM-2015-943 og Lovavdelingens tolkningsuttalelse i JDLOV-1995-78, jf. også Efjestad og Selman, Taushetsplikt i forvaltningen, Universitetsforlaget 2021, punkt 11.3.6 på side 265.

Et krav om nødvendighet ved deling av opplysninger om noens personlige forhold følger dessuten av EUs personvernforordning (GDPR), som er nevnt ovenfor. Deling av sensitive personopplysninger vil dessuten kunne utgjøre et inngrep i retten til privatliv etter Grunnloven og EMK. I slike tilfeller gjelder det krav om at inngrepet er «nødvendig i et demokratisk samfunn», noe som blant annet forutsetter en vurdering av forholdsmessighet, jf. blant annet EMK artikkel 8 nr. 2.

3.2  Ombudets vurdering – utgjorde innholdet i brevet brudd på taushetsplikten?

Helseopplysningene som var tatt med i brevet til fastlegen må klart regnes som opplysninger om «noens personlige forhold», jf. forvaltningsloven § 13 første ledd nr. 1. Det dreier seg om opplysninger som ligger i kjerneområdet av denne bestemmelsen. Opplysningene var dermed taushetsbelagte, jf. forvaltningsloven § 13 og Nav-loven § 7.

«Helseopplysninger» faller dessuten inn under personvernforordningen artikkel 9 om særlige kategorier av personopplysninger som det i utgangspunktet er forbudt å dele. Etter artikkel 9 nr. 2 kan slike opplysninger likevel behandles dersom det er «nødvendig» for at den behandlingsansvarlige skal kunne «oppfylle sine forpliktelser» innenfor arbeidsrett, trygderett og sosialrett.

Arbeids- og velferdsdirektoratet har gitt uttrykk for at det ikke var hjemmel for å dele de taushetsbelagte opplysningene som saken dreier seg om. Direktoratet viser her først og fremst til at det ikke kunne anses nødvendig å gi ut opplysningene. Direktoratet skriver i denne sammenheng:

«Som det kommer frem i Navs rundskriv er den viktige vurderingen hvorvidt det er nødvendig og forsvarlig å gi ut de taushetsbelagte opplysningene. Dette er også i tråd med kravet om at behandlingen er «nødvendig» etter personvernforordningen artikkel 9 nr. 2.»

Ombudet er enig i at dette er viktige momenter i vurderingen av om det er anledning til å gi ut taushetsbelagte opplysninger eller ikke. Ombudet minner likevel om at kravet til hjemmel innebærer mer enn kravet om nødvendighet. Det er også et selvstendig spørsmål hvorvidt delingen av opplysningene ligger innenfor rammene av forvaltningsloven § 13b første ledd nr. 2. Spørsmålet her er om utleveringen av klagerens sensitive helseopplysninger i brevet til fastlegen skjedde «for å oppnå det formål de er gitt eller innhentet for».  I sitt svarbrev til ombudet har ikke direktoratet foretatt noen konkret vurdering på dette punktet.

Ombudet har ikke tilstrekkelig informasjon til å vurdere spørsmålet. Vi vet ikke hvordan Nav hadde innhentet de aktuelle helseopplysningene, for eksempel om det var i tilknytning til samme sak som brevet til fastlegen gjaldt, eller en annen, tidligere sak. I lys av at direktoratet har erkjent at det uansett ikke var rettslig grunnlag for å dele opplysningene, har ombudet ikke funnet det nødvendig å sørge for at saken blir bedre opplyst på dette punktet.

Når det gjelder formålet med utleveringen av opplysningene, skriver direktoratet at det lokale Nav-kontoret har begrunnet dette med effektivitetshensyn. Direktoratet mener imidlertid at slike hensyn ikke gjorde seg gjeldende på en slik måte at det var grunnlag for å utlevere de aktuelle opplysningene. Klageren mener at Nav-kontorets forklaring om «effektivitetshensyn» ikke kan være riktig, men det det må ha vært andre, usaklige, motiver som lå bak. Heller ikke dette har ombudet faktisk grunnlag for å ta stilling til.

Direktoratet har erkjent at det ikke var rettslig adgang til å dele de sensitive opplysningene om klagerens helsetilstand, og at dette ikke var nødvendig eller forsvarlig. Delingen av de aktuelle personopplysningene utgjorde dermed brudd på taushetsplikten og personvernlovgivningen, jf. forvaltningsloven § 13 første ledd nr. 1, NAV‑loven § 7 første ledd og personvernforordningen artikkel 9.

3.3 Navs praksis, rundskriv og rutiner

I svarbrevet til ombudet skriver direktoratet at det ikke er normal praksis at Nav utleverer brukernes helseopplysninger på en slik måte som i denne saken. Ombudet har heller ikke opplysninger som tilsier at saken her dreier seg om noe mer enn en enkeltsak.

Direktoratet viser til at Nav har flere lag med retningslinjer for hvordan innhenting av personopplysninger skal gjøres, herunder rundskriv R21-00 til folketrygdloven kapittel 21, som gir overordnede føringer ved innhenting av helseopplysninger. Direktoratet skriver videre:

«Som ekstra saksbehandlingsstøtte har NAV utarbeidet en intern rutine «Slik innhenter vi helseopplysninger». Rutinen skal sikre at vi innhenter informasjonen fra riktig helsepersonell på riktig måte og at vi ikke innhenter mer enn nødvendig. Rutinen er tydelig på hvordan vi innhenter opplysninger. Direktoratet ser at det kunne vært et punkt i rutinen som også omhandlet hva slags informasjon vi kan utlevere til helsepersonell, jf. forvaltningsloven § 13 b nr. 2. Dette vil følges opp av direktoratet.»

Ombudet fikk denne rutinen oversendt sammen med direktoratets svarbrev. Felles for rundskrivet og rutinen er at fokuset er på innhenting av helseopplysninger, ikke på hvilke opplysninger som i denne sammenheng eventuelt kan utleveres.

Samtidig har direktoratet gitt uttrykk for at det ved innhenting av helseopplysninger regelmessig vil være behov for å utlevere i hvert fall visse identifiserende opplysninger, og at det også kan tenkes situasjoner der det er behov for å utlevere noe mer. I lys av dette er ombudet enig i at det fremstår som hensiktsmessig å ta inn et punkt i rutinen om hva slags informasjon som kan utleveres til helsepersonell. Direktoratet har selv gitt uttrykk for at dette vil bli fulgt opp.

Ombudet nevner i denne sammenheng at det bør fremgå tydelig av omtalen at en eventuell deling av taushetsbelagte opplysninger både må være i samsvar med de nærmere vilkårene for å gjøre unntak fra taushetsplikten i den aktuelle lovbestemmelsen, og være i tråd med kravene til nødvendighet og forsvarlighet. Arbeids- og velferdsetatens rundskriv R36-00 til forvaltningsloven gir mer veiledning om innholdet i taushetsplikten enn rundskriv R21-00 til folketrygdloven. Det vil derfor kunne være hensiktsmessig å vise til det førstnevnte rundskrivet.

Vi legger til grunn at Arbeids- og velferdsetaten også på andre måter søker å sikre at alle ansatte har nødvendig kunnskap om hvilke regler som gjelder for taushetsplikt og håndtering av personopplysninger.

3.4  Navs håndtering av saken og oppfølgning av klageren

I sine merknader til direktoratets svarbrev, reagerer klageren på hvordan det lokale Nav-kontoret håndterte hennes henvendelser om lovligheten av å sende brevet til fastlegen. Klageren gir uttrykk for at hun opplever Nav-kontorets håndtering som «trenering, og spekulering i hvorvidt jeg kommer til å ta saken videre».

Klageren sendte først en serviceklage til Nav-kontoret 18. oktober 2022, dagen før den planlagte legetimen. Klageren har gitt uttrykk for at hun på dette tidspunktet ikke var kjent med innholdet i brevet fra Nav-kontoret, men at hun reagerte på at det allerede var sendt et brev, før hun selv hadde fått anledning til å møte legen. I serviceklagen stilte hun spørsmål ved lovligheten av dette. Hun ga uttrykk for at tilliten hennes til saksbehandler etter flere hendelser var «på et absolutt bunnivå», og ba om å få bytte saksbehandler.

Nav sendte 11. november 2022 et brev om at klageren hadde fått ny saksbehandler, men adresserte ikke klagerens spørsmål om lovligheten av det aktuelle brevet. Ifølge klageren var hun 21. november 2022 igjen i kontakt med Nav angående lovligheten av det aktuelle brevet. Hun mottok da et brev fra Nav-kontoret 25. november 2022, der Nav-kontoret kort ga uttrykk for at det rettslige grunnlaget for å sende det aktuelle brevet var folketrygdloven § 21-4 om innhenting av opplysninger og uttalelser. Brevet avsluttes med «Jeg håper dette er tilfredsstillende svar».

Klageren reagerer på at Nav-kontoret ikke viste noen reell vilje til å ta tak i saken, og ikke ga henne noen informasjon om hva hun kunne gjøre dersom hun ikke opplevde svaret som tilfredsstillende. Direktoratet har i svaret på vår undersøkelse ikke benyttet anledningen til å kommentere klagerens merknader på dette punktet.

Som det fremgår av drøftelsen ovenfor, var svaret klageren fikk fra det lokale Nav‑kontoret misvisende, ettersom folketrygdloven § 21-4 ikke gir hjemmel for at Nav kan utlevere personopplysninger. Saksdokumentene som vi har mottatt fra Nav inneholder ikke noe som tyder på at saken eller det bestemte spørsmålet ble adressert på annen adekvat måte, f.eks. ved å henvise til Navs personvernombud.

Klageren sendte deretter en klage til Statsforvalteren over brudd på taushetsplikten, herunder lovligheten av å dele de sensitive helseopplysningene som brevet inneholdt. Av Statsforvalterens svarbrev 13. januar 2023 fremgår det at Statsforvalteren var i telefonkontakt med både klageren og Nav-kontoret om saken.

Ombudet har ikke klare opplysninger om når spørsmålet om de sensitive personopplysningene i brevet første gang ble tatt opp med Nav-kontoret. Det virker sannsynlig at dette skjedde 21. november 2022 eller i forbindelse med den senere klagen til Statsforvalteren. Vi mangler imidlertid nærmere informasjon om dette, og spørsmålet er heller ikke særskilt tematisert i vårt undersøkelsesbrev til direktoratet. Ombudet har derfor ikke funnet grunn til å rette direkte kritikk mot Arbeids- og velferdsetaten på dette punktet. Det betyr ikke at ombudet ser bort fra at det kan ha vært uheldig håndtering fra det lokale Nav-kontoret.

Det er viktig at forvaltningen følger opp eventuelle feil overfor den det gjelder, og at spørsmål om brudd på taushetsplikt blir håndtert på en adekvat måte. Dette er av betydning både overfor den det gjelder og for å hindre liknende hendelser i fremtiden. Ombudet ber direktoratet vurdere om det lokale Nav-kontoret har opptrådt på en hensiktsmessig måte i saken, og om det er behov for å klargjøre hvordan det forventes at slike saker blir håndtert.

5. Konklusjon

Sivilombudet har kommet til at Nav har brutt taushetsplikten og personvernlovgivningen ved å sende et brev som inneholdt sensitive helseopplysninger om klageren til en lege, uten at det var rettslig grunnlag for å dele opplysningene. På denne bakgrunn finner ombudet grunn til å rette kritikk mot Nav, selv om vi ikke har informasjon som tilsier at det dreier seg om mer enn en enkeltstående hendelse.

Ombudet er enig med Arbeids- og velferdsdirektoratet i at det er hensiktsmessig å gjøre endringer i Navs interne saksbehandlingsrutine for innhenting av helseopplysninger. Det bør tas inn en omtale av i hvilken grad Nav har adgang til å utlevere opplysninger i slike sammenhenger. Det bør poengteres at forholdet til taushetsplikten og personvernregelverket må vurderes, og at en eventuell utlevering av opplysninger både må ligge innenfor hjemmelen for å gjøre unntak fra taushetsplikten og være nødvendig og forsvarlig. Ombudet ber om å bli orientert om hvilke endringer som blir gjort i saksbehandlingsrutinen.

Ombudet ber direktoratet vurdere om det lokale Nav-kontoret har opptrådt på en hensiktsmessig måte i saken, og om det er behov for å klargjøre hvordan det forventes at slike saker blir håndtert. Vi ber om tilbakemelding innen 31. mai 2024.