Kontoutskrifter og valutaregister – slik beviste NAV klientenes utenlandsopphold

Ved hjelp av banktransaksjoner og IP-adresser jaktet NAV på klienter som oppholdt seg i utlandet. – Et overgrep, sier Erik Skjoldheim (38) som er rammet av trygdeskandalen.

Den såkalte NAV-skandalen blir beskrevet som en systemsvikt uten sidestykke av flere juseksperter. Ifølge NAV er de som er rammet mottagere av sykepenger, arbeidsavklaringspenger og pleiepenger fra Norge, som har oppholdt seg i et annet EØS-land og fått sin søknad om ytelser behandlet etter 2012.

Nå skal de imidlertid undersøke om også andre ytelser kan være rammet av feiltolkningen, og riksadvokaten har beordret full stans i alle EØS-saker fra NAV.

Minst 48 personer er dømt, ifølge riksadvokaten, for å ha mottatt en trygdeytelse det viser seg at de har krav på. 36 av disse har sonet en ubetinget fengselsstraff, den lengste på åtte måneder.

Les også: Ville besøke døende søster – fikk avslag fra NAV

Satt på kontoutskrifter

VG har gått gjennom alle dommene. Her går det frem at NAV har hatt tilgang på brukeres kontoutskrifter, valutaregister og IP-adresser.

I flere dommer vises det til at NAV har gått gjennom kontoutskrifter. Blant annet i Erik Skjoldheims (38) tilfelle. Han ble i september i år dømt for trygdesvindel fordi han fikk arbeidsavklaringspenger mens han var i Ungarn, noe NAV mente ikke var lov.

NAV har ifølge dommen bevist at Skjoldheims meldekort ble sendt fra en IP-adresse i Ungarn. Retten viser også til fremlagte kontoutskrifter som viser at bankkortet hans er brukt i Ungarn i den aktuelle perioden.

– Det er jo et overgrep, sier Skjoldheim om måten NAV innhentet opplysningene hans på.

– Banktransaksjoner er privat, så enkelt og greit er det. Nå har ikke jeg så mye å skjule, men det er ikke greit uansett hvordan man snur og vender på det.

Se dommene: Heidi (49) dømt til fengsel etter Spania-opphold

Advokat: – En veldig vid adgang

Ifølge folketrygdloven har NAV og andre offentlige instanser «rett til å innhente de opplysninger som er nødvendige for å kontrollere om vilkårene for en ytelse er oppfylt, vil kunne være oppfylt eller har vært oppfylt i tilbakelagte perioder, eller for å kontrollere utbetalinger etter en direkte oppgjørsordning».

Det kan være opplysninger fra helsepersonell, arbeidsgiver, folkeregisteret, forsikringsselskap, utdanningsinstitusjon og finansinstitusjoner. For å nevne noe.

Ekspert på trygderett Olav Lægreid i Advisio Advokat AS understreker at en forutsetning for å innhente denne typen opplysninger, er at det foreligger en rimelig grunn til mistanke om at det har skjedd, eller vil skje, urettmessige utbetalinger fra trygden.

– Da kan de blant annet kontakte fengsler, skoler og utlendingsmyndighetene. Det er en veldig vid adgang, de kan mer eller mindre hente inn hva de vil.

Han trekker frem et eksempel fra taxisvindelsaken for ti år siden, da NAV gikk så langt som å hente inn kjørelister fra enkeltdrosjer i Oslo.

Bruker Facebook aktivt

Folketrygdloven gir også NAV anledning til å hente informasjon fra «en tilbyder av posttjenester».

Til tross for at loven ble skrevet lenge før fremveksten av digitale medier, mener Lægreid at denne formuleringen åpner for en vid juridisk tolkning.

– Microsoft tilbyr Outlook, og det kan derfor spørres om det er postlovens definisjon som avgrenser hva en tilbyder av posttjenester er, eller om det gjelder all elektronisk post. Man kan i så fall trekke det videre og si at Facebook, som tilbyr Messenger, også er en slik tilbyder og derfor må gi innsyn i korrespondanse dersom NAV ønsker det.

Han understreker at dette trolig ikke vil gjelde selve Facebook-profilen til klienten som undersøkes.

– Men det som er sikkert er at NAV bruker Facebook aktivt til å søke opp personer og finne ut av ting. Det har jeg selv sett i saker jeg har hatt, ved at folk har blitt tatt på at de har publisert et bilde fra stranden i Spania.

Lægreid sier han har representert flere klienter som er rammet av NAVs feiltolkning av EØS-regelverket. I disse sakene har innhenting av fullstendige kontoutskrifter, uten at klienten har blitt varslet, vært en gjenganger.

– De har for eksempel funnet ut at han dro kortet på Gardermoen den datoen, og at han samme dag har dratt kortet i Malaga.

Advokaten understreker at han ikke kan svare på om EUs nye personvernforordning (GDPR), som trådte i kraft sommeren 2018, vil begrense folketrygdlovens bestemmelser på dette området.

– Dette er et interessant spørsmål, men jeg har ikke svaret, sier Lægreid.

Sjekket IP-adresser

I en dom fra Asker og Bærum tingrett fra 2015 går det frem at NAV i 2012 startet et prosjekt «med kontroll av om elektronisk innleverte meldekort var blitt sendt fra utenlandsk IP-adresse.»

Det var dette som gjorde at man avdekket av en kvinne i 60-årene, som mottok arbeidsavklaringspenger og oppholdt seg i utlandet i lange perioder i 2011, 2012 og 2013, men ikke ga beskjed til NAV om dette.

Dette kom frem av meldingene hun sendte.

«Som følge av dette ble det innhentet opplysninger fra Valutaregisteret, og deretter kontoutskrifter, som underbygget at [kvinnen] hadde oppholdt seg i utlandet i lengre perioder», står det videre i dommen.

Kvinnen ble dømt til 90 dagers fengsel og til å betale 437.057 kroner. Hun ble dømt for å ha svindlet til seg cirka 470.000 kroner.

I en annen dom fra Halden tingrett i 2016, står det at det er lagt frem en IP-logg som viser at tiltalte i en periode sendte inn meldekort elektronisk fra et annet EØS-land.

Kan du være rammet av NAV-skandalen? Slik er de «nye» reglene.

NAV: Sjekker ikke lenger IP-adresser

Ytelsesdirektør Kjersti Monland i NAV forklarer at etaten har visse begrensninger for hvilke opplysninger de kan innhente om sine klienter.

– NAV kan innhente nødvendige opplysninger for å kontrollere om vilkårene for en ytelse er oppfylt eller har vært oppfylt i tilbakelagte perioder. Når det foreligger rimelig grunn til mistanke om at det har skjedd eller vil skje urettmessige utbetalinger, er adgangen til å innhente opplysninger ytterligere utvidet. I all hovedsak ligger rammene for hvilke opplysninger vi kan innhente i folketrygdloven §21-4 og § 21–4 a, sier hun.

Mottagere av stønader fra NAV har plikt til å informere om forhold som kan ha betydning for stønaden, ofte knyttet til om mottager er i arbeid, har inntekt og bosted.

– NAV har hjemmel til å kontrollere at opplysningene stønadsmottageren oppgir er korrekt. Systemet er tillitsbasert i den forstand at brukeren gir opplysninger til NAV for å vise at hun eller han har krav på stønad, og at NAV gjør etterkontroller av opplysningene.

Direktøren understreker at NAV også fremover i tid vil ettergå om vilkårene for alle ytelser er oppfylt.

– Det inkluderer kontroll av valutatransaksjoner og andre opplysninger som omfatter slike reiser uten avtale med NAV. IP-adresser er etter innføringen av GDPR ikke lenger i bruk som kilde i slike saker.

Datatilsynet: Må vurdere konsekvenser for personvern

Direktør Bjørn Erik Thon i Datatilsynet sier at arbeidet med offentlige og private virksomheters kontrollhjemler og kontrollrutiner ikke har vært prioritert de siste årene.

– Vi har derfor ikke kjennskap til de enkelte kontrollrutinene til NAV, eller hva slags opplysninger de kan bruke i kontrollarbeidet. Det er imidlertid viktig at NAVs kontrollhjemler er klart og tydelig formulert, og at det utarbeides rutiner som for eksempel inneholder regler om hvordan kontrollsaker skal behandles, hvilke opplysninger de kan bruke og om de berørte skal varsles.

Thon sier at det på generell basis er viktig at utforming av reglene balanserer hensynet til borgernes rett til privatliv og det offentliges mulighet til å drive kontroll.

– I tillegg må det gjøres gode utredninger av hvilke konsekvenser reglene får for den enkelte borgers personvern, understreker direktøren.