Dagens sak har i lang tid vært omtalt i norsk presse, og mange ganger i nettavisen FriFagbevegelse. Den omhandler varsleren Janne Cecilie Thorenfeldt som varslet om kritikkverdige forhold i NAV, og som enda engang illustrerer den voldsomme motstanden varslere møter når de løfter av lokket på alvorlige uredeligheter og systemsvikt. For nærmere detaljer søk opp Thorenfeldts sak hos FriFagbevegelse.
Dette dreier seg om noe langt mer enn en individuell konflikt mellom en arbeidstaker og etaten hun var ansatt i. Den er enda et vindu inn i en av Norges mest alvorlige og lite erkjente demokratiske svakheter: mangelen på reell rettssikkerhet, og særlig for varslere som utfordrer statlige maktorganer. Her får man innsyn i hvordan etatene, fagforeningene, forvaltningen, rettsvesenet og staten opererer innenfor et system som systematisk beskytter seg selv, også på bekostning av lover, menneskerettigheter og grunnleggende rettsprinsipper, som mest synes å gjelde i festtaler.
Selv om Thorenfeldt formelt sett vant et par delvise juridiske punkter, blant annet at NAV hadde brutt GDPR og at etaten manglet lovpålagte personvernrutiner, ble resultatet for henne som varsler det samme som for de fleste som våger å si ifra: yrkesmessig eksklusjon, økonomisk ruin, personlig svært stor belastning og ingen rettslig oppreisning.
Hennes sak viser igjen tydelig hvordan Norge, som liker å se seg selv som “best i klassen” på demokrati og rettssikkerhet, opererer med et system hvor statens interesser veier mye tyngre enn individets rettigheter, også hos domstolene som på papiret skal være så uavhengige.
Ulovlig innsyn
Varslingen startet med at Thorenfeldt oppdaget at hennes egen leder hadde kjennskap til detaljer om hennes helse som var konfidensielle, og som ikke skulle være tilgjengelig for arbeidsgiver. Det ble senere dokumentert at minst 136 NAV-ansatte over hele landet hadde vært inne i hennes personal- og brukeropplysninger over 1500 ganger. Mange uten tjenstlig grunnlag, og flere i enheter som aldri skulle hatt tilgang. Det Thorenfeldt varslet om var derfor ikke en bagatell, men en systemsvikt som faktisk også er av nasjonal betydning.
NAV-ansatte hadde teknisk og praktisk tilgang til helseopplysninger om både kolleger og brukere. Etaten manglet grunnleggende GDPR-tiltak, loggkontroll og tilgangsstyring. NAV nektet ansatte lovpålagt innsyn i loggene over hvem som hadde vært inne i mappen deres. NAV opererte i en dobbeltrolle: som både arbeidsgiver og myndighetsorgan, noe som gir en kompetanse, makt og tilgang ingen annen arbeidsgiver i Norge har.
Varslingen avdekket i praksis at landets største offentlige etat gjennom flere år har brutt personvernlovgivning og menneskerettigheter i sin behandling av persondata. Saken angår ikke bare NAV-ansatte, men nesten alle innbyggere i Norge, siden de fleste har en sak, mappe eller opplysninger lagret hos NAV.
Systemets reaksjon
Varsleren Thorenfeldt ble dessverre møtt helt «typisk norsk», hva angår landets varslingssaker, men kanskje enda mer alvorlig ettersom arbeidsgiver er staten og Norges største forvaltningsorgan. NAV motarbeidet, bagatelliserte og fornektet problemet varsleren pekte på. Ledelsen forsøkte å redusere saken til et “lokalt problem” knyttet til én ansatt. Varsleren ble fremstilt som problemet, ikke systemsvikten hun varslet om. Thorenfeldt ble møtt med isolasjon på arbeidsplassen, manglende støtte og etter hvert ble hun totalt fryst ut.
Da hun vendte tilbake etter sykmelding, var hun en ansatt uten arbeidsoppgaver. En subtil, vanlig og svært effektiv form for gjengjeldelse som etterlater få formelle spor, men som strategisk og raskt reduserer en medarbeider til passiv status for å presse dem ut.
Den som har varslet om «upopulære» forhold beskriver som regel samme oppskrift knyttet til ulike faser av gjengjeldelse; ignorering, marginalisering, sanksjonering og til slutt utstøtelse. Thorenfeldt ble, i tråd med mønsteret fra andre varslingssaker, til slutt fratatt tilgang til systemer, e-post, intranett og lønnssystemet.
Til tross for at NAV presser alle andre arbeidsgivere i Norge til å følge opp sin lovfestede plikt til å tilrettelegge for arbeidstakere med helseutfordringer, gir de ironisk nok selv blaffen i dette, og bryter altså loven overfor sine egne ansatte.
Millionkostnader og personlig ruin
Et av de mest strukturelle rettssikkerhetsproblemene i Norge er at den som varsler og forsøker å få oppreisning etter gjengjeldelser, i stedet selv sitter igjen med en voldsom økonomisk og personlig byrde. Thorenfeldt er ikke et unntak, og har så langt svidd av mer enn én million kroner av egne midler for å føre en sak som primært er av samfunnsinteresse, ikke egeninteresse. Nettsamfunn og privatpersoner har donert mindre beløp som støtte, men kostnadsbildet står uansett i sterk kontrast til statens.
Staten stilte med Regjeringsadvokaten, en av de mest ressurssterke og kyniske juridiske aktører i Norge, som jeg dessverre selv kjenner godt til fra Siemens-saken. Staten brukte altså skattepenger for å bekjempe den ansatte som forsøkte å beskytte befolkningens rettigheter. Det er mildt sagt ironisk, men ikke spesielt uvanlig.
Når staten møter borgeren i domstolene, må man ikke tro at det er snakk om likestilte parter. På den ene siden finner man en nesten grenseløs ressurssterk makt mot på den andre siden, et individ som må finansiere sannhet, rettssikkerhet og menneskerettigheter av egen lomme. Dette reiser jo et grunnleggende rettssikkerhetsspørsmål. Hvordan kan domstolenes behandling av slike saker bli rettferdig når den ene parten må selge huset for å føre saken, og den andre parten har alle landets skatteinntekter i ryggen? Hvis en borger taper, mister hun penger, helse og karriere. Hvis staten taper, mister staten ingenting; den bare bruker mer av borgernes penger.
Domstolenes behandling: Et lærestykke i statsskjerming
Denne varslingssaken viser hvordan de norske domstolene på en svært bekymringsfull måte behandler lovbrudd begått av makten. Tingrettens dom var for eksempel påpekning av brudd, men det fikk likevel ingen konsekvenser for NAV. Retten slo fast at GDPR var brutt, men frifant etaten likefullt. Dommerne mente NAV hadde brutt loven fordi Thorenfeldt ikke fikk lovpålagt innsyn innen fristen. Men det var ikke alvorlig nok til å utløse noen erstatning. Terskelen ble dermed satt så høyt at den bare ved dette, i praksis fratar ansatte reell rettslig beskyttelse.
Et sentralt punkt her er dommerens begrunnelse om at “så mange mennesker i systemet hadde tilgang til personopplysningene at det ikke var mulig å fastslå at noen hadde misbrukt dem”. Altså at systemet var så dårlig at det var umulig å bevise misbruk, og nettopp derfor slipper systemet unna ansvar!? Denne logikken er åpenbart ikke akseptabel i en reell rettsstat.
Retten unngikk også å stille det prinsipielle spørsmålet om hvorfor 136 mennesker hadde tilgang til Thorenfeldts journal i utgangspunktet. I praksis valgte dommerne dermed å vurdere kun enkeltstående handlinger, ikke systemfeilen. Dette er en «kjent og kjær» juridisk mekanisme domstolene gjør for å beskytte staten. Man oppnår avpolitisering av det strukturelle og individualisering av ansvaret, som dessuten nesten alltid pulveriseres.
Lagmannsretten topper statsskjermingen
Lagmannsretten gikk enda lenger enn tingretten i å redusere NAVs ansvar, blant annet ved å avvise flere punkter hvor tingretten faktisk ga Thorenfeldt medhold. Denne retten senket også terskelen for hva som skal anses som brudd på GDPR, og la vesentlig større vekt på kostnader og praktiske hensyn for staten enn individets personvern.
Det ble ellers lagt tydelig vekt på at dersom Thorenfeldt skulle få erstatning, ville “mange kunne kreve det”. Det vil si ble det til en ren vurdering av konsekvens for statens økonomi. Dermed skapte retten en juridisk presedens for å la statens budsjetthensyn trumfe individets rettigheter. Dette strider direkte mot menneskerettighetene, mot EMK-rettspraksis, mot grunnleggende erstatningsrettslige prinsipper og mot GDPRs intensjon og ordlyd.
Når domstolen vurderer “hva som er praktisk gjennomførbart for staten” som del av rettsanvendelsen, bekrefter domstolen samtidig at den ikke på noen måte er noen nøytral aktør, men en beskytter av makten og i dette tilfellet statens egeninteresser.
Nok en rettsprosess som ble et maktregnskap
Når en varsler går til sak mot nærmest hvilken som helst privat arbeidsgiver, er maktbalansen skjev nok. Men når arbeidsgiver i tillegg er staten, synes rettssystemets karakter å bli enda tydeligere. For det Thorenfeldt og hennes sak har avdekket er ikke bare en arbeidsgiver som bryter loven, men at vi har et rettsapparat som instinktivt beskytter statens interesser når staten selv står på tiltalebenken.
Det er som mange vet bare i teorien at våre domstoler er uavhengige. I praksis, og særlig der staten er varslerens motpart, blir vedkommendes varsel avfeid som støy mot statens forklaring, som på sin side gis autoritet og legitimitet. Det skjer kanskje ikke bare fordi dommere av ulike årsaker vil beskytte staten, men fordi deres bias preges av staten som den “seriøse” part, den med kompetanse, ressurser, og definisjonsmakt over hva som er “saklighet”. Dette i kontrast til individet som må bevise sin rett mot apparatet som både har makt, midler og eierskapet til narrativet. Det er ikke et engangstilfelle, men et mønster. Se bare på NAV-skandalen, og hvordan domstolene i ettertid åpenbart ikke synes å ha lært noe som helst.
Personvernnemndas bidrag
Om noen fortsatt skulle være i tvil om hvordan systemet beskytter seg selv, ble det tydelig da Datatilsynet ila NAV et historisk overtredelsesgebyr på 20 millioner kroner for grove og vedvarende brudd på personvernet. Noe som var imponerende all den tid domstolene allerede hadde sendt varsleren hjem med et vanvittig økonomisk tap. Datatilsynets signal ble dermed et kraftig og helt nødvendig signal om at Norges største offentlige etat hadde brutt loven systematisk, over tid, og på måter som utsatte både ansatte og befolkningen for alvorlige krenkelser. I tillegg førte tilsynets vedtak til at også domstolene til en viss grad ble hengt ut til tørk. Det var ellers første gang en norsk offentlig virksomhet ble møtt med en bot i denne størrelsesorden for personvernbrudd.
Man skulle således tro dette kunne bli starten på en reell oppvask og ansvarliggjøring, men dessverre ikke. I stedet kom læreboka frem i hvordan statlige kontrollorganer i Norge kan nøytraliseres når konsekvensene blir for ubehagelige for staten selv.
Personvernnemnda, enda et «flott» klageorgan oppnevnt av staten, og som i praksis fungerer som “overdommer” over Datatilsynet, valgte nemlig å oppheve boten. Som bevis for deres uavhengighet og avstand til for eksempel domstolene, er denne nemndas leder for tiden en lagdommer i Borgarting lagmannsrett, med fortid som advokat hos Regjeringsadvokaten. Blant de øvrige medlemmene finner man ytterligere en dommer, en kommuneadvokat og litt annet «smågodt» fra arbeidsgiversiden. Uhildet med andre ord..?
Personvernnemnda underkjente ikke Datatilsynets vedtak fordi NAV ikke hadde brutt loven. Heller ikke fordi Datatilsynet tok feil i sine funn. Men fordi nemnda mente at bruddene ikke var begått “med forsett”, altså med vilje. Med andre ord: når landets største etat bryter GDPR på en måte som gjør millioner av nordmenn sårbare for misbruk av sine mest private data, så fritas etaten for økonomiske konsekvenser, fordi man ikke kan bevise at lovbruddene var bevisst. Logikken er absurd. En kan jo prøve å se for seg at du og jeg ville sluppet unna en bot med påstanden om at lovbruddene vi hadde innrømmet, ikke var gjort i hensikt.
I GDPR er det eksplisitt fastslått at sanksjoner skal være effektive, forholdsmessige og avskrekkende. En “vi mente det ikke” - standard er selvfølgelig ikke i tråd med lovens formål, men er åpenbart svært effektiv for å sikre at statlige organer ikke blir holdt økonomisk ansvarlige. Når Personvernnemnda overprøver Datatilsynets strengeste reaksjonsmiddel, er det et signal til hele vår norske forvaltning: Personvernbrudd får ingen reelle konsekvenser, i alle fall så lenge det er staten som begår dem.
Resultatet er at den eneste aktøren, Datatilsynet, som faktisk forsøkte å beskytte varslerens (og borgenes) rettigheter, ble parkert. NAV derimot, spaserte fra overgrepet uten ansvar og uten at noen ble stilt til rette.
Slik systemet er organisert i Norge, får de som bryter loven beskyttelse, mens den som avslører lovbruddet straffes.
God søndag