Norway DPA Responds to Health Crisis Legislation Proposals, Flags Privacy Gaps
Summary
Datatilsynet (Norway's Data Protection Authority) has submitted formal consultation responses to two proposed laws from the Ministry of Health and Care Services: the proposed Health Preparedness Act (helseberedskapsloven) and the proposed Infection Control Act (smittevernloven). The DPA finds that privacy impact assessments in both proposals are insufficient, raising concerns about extensive personal data collection without consent, extended registry use, and prolonged data retention periods. The authority cites its experience with the Smittestopp coronavirus app, where it had to issue a temporary prohibition due to inadequate documentation of necessity and violations of data minimisation principles.
“Personvernkonsekvensene av lovforslagene bør etter vår vurdering utredes bedre. Uten en grundig vurdering av risikoer er det vanskelig å fastslå om lovforslagene styrker eller svekker personvernet.”
Healthcare providers and public health authorities in Norway should monitor how these proposals develop, as Datatilsynet's specific concerns—data minimisation failures, inadequate necessity documentation, and deployment of technical solutions before privacy review—directly describe the failure pattern seen with the Smittestopp app. Any organisation planning crisis-related data processing or digital health surveillance tools should conduct privacy impact assessments before deployment, not during.
About this source
GovPing monitors Norway Datatilsynet News for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 3 changes logged to date.
What changed
Datatilsynet has submitted formal responses to two proposed Norwegian health laws currently open for public consultation. For the Health Preparedness Act, the DPA raises concerns that extensive personal data collection without consent, extended registry use, and prolonged storage periods create heightened risks for fundamental rights violations, particularly when assessments must be conducted under time pressure during crises. For the Infection Control Act, the DPA notes that placing responsibility for privacy assessments on data controllers creates risks that authorities may implement unnecessarily intrusive measures and incomplete privacy assessments during critical situations. The DPA's experience with the first Smittestopp app—where it issued a temporary prohibition—demonstrates the concrete dangers of deploying technical solutions before privacy consequences are adequately examined.
Healthcare providers, public health authorities, and government agencies that would operate under these frameworks should carefully review Datatilsynet's responses. The concerns raised point to a need for robust data governance frameworks, clear necessity documentation, and privacy-by-design approaches when implementing crisis-related data processing systems. Organisations currently relying on or planning similar emergency data infrastructure should conduct thorough privacy impact assessments ahead of any deployment.
Archived snapshot
Apr 23, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Høringssvar om smittevernloven og helseberedskapsloven
Helse- og omsorgsdepartementet har kommet med to nye lovforslag. Personvernkonsekvensene av lovforslagene bør etter vår vurdering utredes bedre. Uten en grundig vurdering av risikoer er det vanskelig å fastslå om lovforslagene styrker eller svekker personvernet.
Nedenfor følger en kort gjennomgang av de to lovforslagene og våre viktigste merknader til hvordan disse vil påvirke personvernet.
Lovforslag om helseberedskapsloven
Forslaget til ny helseberedskapslov (regjeringen.no) har som mål å etablere et moderne og robust rammeverk for krisehåndtering i Norge. Regjeringen ønsker å sikre nødvendige fullmakter for å kunne handle raskt i alvorlige situasjoner, samtidig som Stortingets kontrollfunksjon og befolkningens rettssikkerhet ivaretas. Lovendringene bygger i stor grad på lærdommer fra koronapandemien og skal sørge for at myndighetene har klare og forutsigbare hjemler i fremtidige krisesituasjoner.
I lovforslaget til ny helseberedskapslov åpnes det for omfattende innsamling og bruk av personopplysninger uten samtykke, utvidet registerbruk og mulighet for lang lagringstid. Selv om Helse- og omsorgsdepartementet understreker at personvernet er sentralt i forholdsmessighetsvurderinger, vil slike vurderinger i praksis måtte gjøres under tidspress. Det vil kunne øke risikoen for at grunnleggende rettigheter ikke blir tilstrekkelig ivaretatt. Selv om forslaget skal styrke arbeidet med håndtering av kriser, innebærer forslaget etter vår vurdering en risiko for svekket personvern.
Lovforslag om smittevernloven
Forslaget til ny smittevernlov (regjeringen.no) har som mål å sikre at Norge har et moderne og robust regelverk for å håndtere smittevernutfordringer, både i hverdagen og under store kriser. Regjeringen ønsker å tydeliggjøre rammene for når smitteverntiltak kan iverksettes, og sikre en bedre balanse mellom rask krisehåndtering og demokratisk kontroll. Lovendringene bygger på erfaringer fra koronapandemien og skal sørge for at lovverket er forutsigbart og har høy tillit i befolkningen.
I lovforslaget til ny smittevernlov legges ansvaret for personvernvurderinger i stor grad på dataansvarlige. Dette betyr at det er dataansvarlige selv som må etablere systemer som ivaretar rettighetene til de berørte, i tråd med det faktiske smittevernbehovet. I kritiske situasjoner med tidspress og uoversiktlighet, vil det etter vår vurdering være høyere sannsynlighet for at en dataansvarlig myndighet innfører unødvendig inngripende tiltak og mangelfulle risiko- og personvernvurderinger.
Erfaring viser at personvernet er særlig sårbart i kriser
Krisetider medfører særskilte personvernutfordringer, som økt og raskere datadeling, svakere dokumentasjon og risiko for at midlertidige registre får lengre levetid enn det som er nødvendig for formålet. Slike forhold kan svekke både taushetsplikt, sporbarhet og pasienters kontroll over egne opplysninger. Dette understreker behovet for klare rammer og tydelige vurderingskriterier, særlig når midlertidige forskrifter skal fastsettes og hensyn som barnets beste og samfunnsmessige konsekvenser skal avveies.
Datatilsynets erfaringer fra koronahåndteringen viser tydelig risikoen ved å innføre tekniske løsninger før personvernkonsekvensene er tilstrekkelig utredet. Et eksempel er den første Smittestopp-appen, hvor vi måtte nedlegge et midlertidig forbud mot behandlingen av personopplysninger. Her manglet det dokumentasjon på tiltakets faktiske nytteverdi, og det ble samlet inn store mengder lokasjonsdata i strid med prinsippet om dataminimering. Smittestopp-saken står som et eksempel på hvordan gode intensjoner i en krise kan føre til uforholdsmessig inngripende overvåking dersom man ikke har klare juridiske rammer og grundige vurderinger i bunn.
Last ned
Publisert: 08.04.2026
Named provisions
Related changes
Get daily alerts for Norway Datatilsynet News
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from Datatilsynet.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when Norway Datatilsynet News publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.