Nav brukte Google Oversetter til personopplysninger

Ansatte brøt personopplysningssikkerheten da de skulle oversette søknader.
– Gratistjenester benytter personopplysninger som «betaling», advarer Datatilsynet.

Enkeltansatte brukte Google Oversetter når de skulle brukt verktøy med personvern-avtale.

📸: Ørn E. Borgen

Silje Rognsvåg Silje Rognsvåg Silje Rognsvåg journalist, kode24

Publisert 14.04.2026 - 06:00

– Vi beklager at dette har skjedd, og har stanset bruken og meldt avviket til Datatilsynet.

Det sier Harald Borgerud, avdelingsdirektør i Ytelsesavdelinga til Nav til kode24.

I den daglige driften får de ansatte i Nav i blant søknader om ytelser og tjenester på andre språk enn norsk.

Nå viser det seg at enkelte ansatte har brukt Google Oversetter til oversette slike søknader, får kode24 opplyst.

Utfordringen er at Nav ikke har noen databehandleravtale som sikrer personvernet for dette verktøyet.

– Vi kan dessverre ikke si nøyaktig hvor lenge enkeltansatte har brukt feil digitale omsettelsesverktøy, omfanget av slik bruk eller hvem det gjelder, fordi dette ikke har vært dokumentert, sier Harald Borgerud, avdelingsdirektør i Ytelsesavdelinga til Nav til kode24.

I tillegg til Google Oversetter har Nav funnet eksempler på at andre «store og anerkjente aktører» er brukt.

– Men det har altså manglet databehandlaravtaler for noen av dem.

Sats-innbrudd lekket personinformasjon

Gjerningspersonene fikk uautorisert tilgang til en filserver for delt lagring, opplyser Sats til kode24. – Beklagelig, sier toppsjefen.

Oppdaget det selv

Det var Nav selv som oppdaget at ansatte hadde brukt verktøy som ikke var godkjent.

– Alle saksbehandlere i Nav har fått klar instruks om at de bare skal bruke godkjente oversettelsesverktøy. Det innebærer å bruke tolk, å sende dokumenter til oversettelse hos samarbeidspartnerne våre eller å bruke program fra Microsoft, som vi har hatt databehandleravtale med i mange år, sier Borgerud.

Saken ble først meldt til Datatilsynet i høst, med en oppfølgende melding på nyåret. Nav har også hatt møte med Datatilsynet for å drøfte hvordan vi burde gå fram for å varsle brukerne om avviket.

– Det har kommet noen forespørsel til Nav kontaktsenter etter at vi la ut informasjon om saken på nav.no, men vi har ikke mottatt noen klager, sier Borgerud.

Regnes som brudd

I en pressemelding med tittelen «Bruk av oversettelsesverktøy i Nav – brudd på personopplysningssikkerheten», går det fram at det kan «være en risiko for at personopplysningene dine ikke har blitt behandlet på en trygg og lovlig måte. Dette regner vi som et brudd på personvernregelverket».

«Hvis du sender dokumenter til oss på andre språk enn norsk, kan Nav fortsatt ha behov for å oversette disse med digitale oversettelsesverktøy. For å beskytte personvernet ditt, bruker vi nå kun verktøy fra leverandører vi har avtale med. Nav kan også bruke profesjonelle oversettere og tolker».

– Vi har databehandlaravtale med Microsoft og kan derfor framdeles bruke deres verktøy. I tillegg utvikler vi nå et eget, sikkert oversettelsesverktøy som skal brukes av alle ansatte i Nav, sier Borgerud til kode24.

Varsler tilsyn etter datainnbrudd

Nkom varsler tilsyn med Telia etter omfattende datainnbrudd som rammet blant annet Bergen kommune

Datatilsynet følger saken

Til kode24 opplyser Datatilsynet at saken er under behandling, og at de er i dialog med Nav om saken.

– Videre vil Datatilsynet følge opp Nav hva gjelder tiltak som er iverksatt for å forhindre at lignende hendelser skal gjenta seg. Dette er i tråd med hvordan vi behandler alle meldinger om brudd på personopplysningssikkerheten, skriver Fredrik Christensen, seniorrådgiver for Teknologi, sikkerhet og tilsyn (TST) i en epost.

– Vet dere at noen personers opplysninger har blitt behandlet på en utrygg og ulovlig måte? I så fall hvor mange og hvilke type opplysninger?

– Som Nav selv skriver i sin pressemelding, er personopplysninger behandlet hos en tredjepart som det ikke foreligger noen vurderinger rundt eller hvor det er inngått avtale om behandling av personopplysninger, svarer Christensen.

Fredrik Christensen er seniorrådgiver i Datatilsynet.

– Personopplysninger som «betaling»

– Hvilke utfordringer ser dere med å bruke KI-verktøy til å oversette tekster som kan inneholde personopplysninger?

– Fra et personvernperspektiv kan det ha flere utfordringer. Mange gratistjenester benytter personopplysninger som «betaling». Leverandøren vil kunne benytte personopplysningene til å videreutvikle sine tjenester, eller sett i KI-sammenheng, sine KI-modeller. Dettte gjør det vanskelig for privatpersoner å ha kontroll på egne personopplysninger, samt kunne utøve sine rettigheter som sletting, retting og innsyn, sier Christensen.

– Hvilke oppfordringer har dere til bedrifter om hva de bør gjøre?

– Vi anbefaler alle virksomheter som vurderer å sette ut behandling av personopplysninger til en databehandler å sette seg godt inn i virksomhetens plikter. Risikovurdering og inngåelse av databehandleravtale er sentrale momenter, sier seniorrådgiveren.

Datatilsynet åpner landsdekkende tilsyn: Bekymret for den digitale sikkerheten i kommunene

Datatilsynet åpner tilsyn med datasikkerheten i alle Norges kommuner. – Viktig del av totalforsvaret, sier direktør Line Coll.

Flere krav

– Hvilke leverandører er trygge å bruke for statlige og private aktører som vil bruke oversettelsesverktøy digitalt? Eventuelt hvilke type avtaler bør man inngå?

– På generelt grunnlag kan ikke Datatilsynet forhåndsgodkjenne noen databehandlere eller tjenester som en virksomhet ønsker å bruke. Den som ønsker å sette ut behandling av personopplysninger (behandlingsansvarlig) til en tjenesteleverandør (databehandler) må gjøre egne vurderinger av den spesifikke behandlingen, skriver Christensen og fortsetter:

– Det er en rekke krav i personvernforordningen som den behandlingsansvarlige må oppfylle. Sentralt er behandlingsgrunnlag – også kalt rettslig grunnlag og tilstrekkelig personopplysningssikkerhet.

Han viser til Datatilsynets veiledning om virksomhetens plikter.