| Ingediend | 21 oktober 2021 |
|---|---|
| Beantwoord | 26 november 2021 (na 36 dagen) |
| Indiener | Aukje de Vries (VVD) |
| Beantwoord door | Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA) |
| Onderwerpen | economie gezondheidsrisico's ict zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z18314.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-934.html |
Ja, ik heb kennisgenomen van dit bericht. Zoals ook aangegeven in de beantwoording op eerdere schriftelijke vragen die hierover gesteld zijn2, zie ik het als de eigen verantwoordelijkheid van mensen om rekening te houden met anderen en zich bij een eventuele besmetting aan de op dat moment geldende richtlijnen en basisregels te houden. Bij een positieve testuitslag (gevaccineerd of ongevaccineerd) ga je thuis in isolatie en gebruik je de QR-code niet voor toegang. Als iedereen zich aan deze afspraak houdt, zie ik geen reden om de QR-code in te trekken.
Op dit moment is het (tijdelijk) op afstand intrekken of ongeldig maken van deze coronatoegangsbewijzen (CTB’s) technisch niet mogelijk zonder afbreuk te doen aan de hoge eisen van gegevensbescherming die ik heb gesteld aan de ontwikkeling van het Nederlandse CTB (zowel digitaal in de CoronaCheck-app als ook geprint op papier). Hierbij is een afweging gemaakt in de balans tussen de bescherming van persoonsgegevens en het tegengaan van misbruik. In die afweging heb ik uw Kamer eerder dit jaar meegenomen.3 De CoronaCheck-app is daarom ontwikkeld volgens de principes van privacy- en security by design waarbij verschillende maatregelen zijn getroffen om de privacy van burgers te borgen. Door deze ontwerpkeuzes bevat het CTB te weinig informatie om de QR-code in te trekken. Naar aanleiding van de Motie Den Haan4; «geen Groen vinkje in de CoronaCheck-app na besmetting» zal ik u binnenkort nader berichten over de keuzes die te maken zijn. Daarbij geef ik u alvast het volgende mee.
Allereerst moet er onderscheid gemaakt worden tussen papieren bewijzen en bewijzen in de app. Het zonder meer intrekken van papieren bewijzen op afstand kan niet, ze kunnen immers niet worden weggenomen of vernietigd. Wel kan worden gedacht aan het controleren aan de deur of een eerder afgegeven papieren bewijs op dat moment geldig is. Dat vergt een publiek beschikbare zwarte lijst van positief geteste mensen die kan worden gekoppeld aan papieren bewijzen. De huidige papieren bewijzen zijn daarvoor niet geschikt. De al meer dan 600.000 per post uitgegeven papieren bewijzen en alle daarnaast door mensen zelf afgedrukte bewijzen zouden allemaal moeten worden ingetrokken (en opnieuw aangevraagd). Ze zouden daarbij zo moeten worden gemaakt dat ze direct te koppelen worden aan individuele personen, om de relatie te leggen tussen een positief getest persoon en een specifiek bewijs teneinde dit bewijs op een lijst van besmette personen te kunnen plaatsen. Het opstellen van een dergelijke lijst heeft als risico dat door iedereen met een scanner-app kan worden vastgesteld dat mensen positief getest zijn of zijn geweest. Daarbij bestaat het risico dat een dergelijke lijst wordt gelekt. De Belgische Gegevensbeschermingsautoriteit doet nu bijvoorbeeld onderzoek naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Bewijzen in de app zouden wellicht wel technisch kunnen worden ingetrokken. Een mogelijke werkwijze daarbij kan zijn dat mensen verplicht worden om (bijvoorbeeld elke dag) met DigiD in te loggen bij de GGD om te checken dat ze niet recent positief zijn getest en dat alleen als mensen dat doen hun QR-code geldig blijft. Ook dit brengt allerlei risico’s met zich mee. Het leidt tot hoge kosten (voor onder meer dagelijks gebruik van DigiD), overbelasting van systemen omdat dit aantal inlogpogingen niet ondersteund kan worden en sluit heel veel mensen uit (zoals de groep mensen die niet beschikt over DigiD of een Burgerservicenummer).
Zoals gezegd zal ik uw Kamer nader informeren naar aanleiding van genoemde motie. Ter voorbereiding daarvan wordt de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 om advies gevraagd. Aan de Begeleidingscommissie is de vraag gesteld of en hoe de CoronaCheck-app kan worden aangepast zonder afbreuk te doen aan de hoge eisen van gegevensbescherming en privacy die aan de app zijn gesteld bij de ontwikkeling. Hierbij maak ik graag gebruik van alle expertise van de Begeleidingscommissie, waaronder op het gebied van ethiek, gedragswetenschappen, privacy en informatieveiligheid en morele aspecten.
Zie antwoord vraag 1.
Ja.
Onlangs is gebleken dat CTB’s en buitenlandse DCC’s worden gekopieerd en via het internet beschikbaar worden gesteld om door anderen te worden gebruikt voor binnenlandse toegang. Dit gebeurt vooral met bewijzen die op papier zijn uitgegeven. Deze QR-code is statisch, anders dan een QR-code die in de CoronaCheck-app wordt gemaakt en elke minuut wordt ververst. Zodra wordt geconstateerd dat een CTB of DCC met anderen wordt gedeeld, kan deze worden geblokkeerd. Gedupeerden van fraude of misbruik kunnen op de gebruikelijke wijze een nieuw CTB aanmaken en daarmee opnieuw toegang verkrijgen tot activiteiten en voorzieningen.
Omdat voor zover het gaat om papieren QR-codes, de codes van mensen die positief getest zijn niet door hen of anderen gepubliceerd zijn, kunnen deze niet op dezelfde wijze worden geblokkeerd.
In een Nederlands CTB zijn – zoals toegelicht in het antwoord op vraag 1 en 2 – nauwelijks gegevens opgenomen, waardoor het intrekken of ongeldig maken van de QR-code in de CoronaCheck app op dit moment onmogelijk is. Dit in tegenstelling tot de internationale QR-code die meer gegevens bevat. Het is aan een land zelf om te bepalen of en hoe invulling wordt gegeven aan coronabewijzen voor binnenlands gebruik. In sommige Europese landen zoals België wordt alleen gebruik gemaakt van het DCC, in andere landen is een eigen CTB-equivalent ontwikkeld. Hierdoor kan het zijn dat de QR-code in een ander land – zoals België – door andere ontwerpkeuzes wel herleidbaar is naar een specifiek persoon en dus kan worden ingetrokken door deze op een lijst te plaatsen. De Belgische Gegevensbeschermingsautoriteit doet nu onderzoek naar een mogelijk datalek bij een versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Uit navraag begin oktober is bekend dat het op dit moment in Letland, Frankrijk, België en Liechtenstein mogelijk is om vaccinatiebewijzen tijdelijk in te trekken in het geval van een positief testresultaat.
Zie het antwoord op vraag 2.
Zie antwoord vraag 6.
Wanneer iemand, ondanks een positieve coronatest, een legaal CTB gebruikt om toegang te krijgen tot een CTB-plichtige activiteit, dan is dat in de eerste plaats zeer onverantwoordelijk handelen van deze persoon. Dergelijk onverantwoordelijk handelen kan een gevaar vormen voor anderen en kan afhankelijk van de specifieke omstandigheden in sommige gevallen mogelijk als strafbaar worden beschouwd.
Vanaf het begin van de coronapandemie is het dringende advies om bij klachten thuis te blijven, je te laten testen en als je weet dat je corona hebt in quarantaine te gaan. Dit wordt op alle mogelijke manieren uitgedragen. Als je gevaccineerd bent en klachten hebt of positief bent getest, geldt dit ook. Wanneer iemand positief test, dan neemt de GGD contact met diegene op voor het bron- en contactonderzoek. De medewerker van de GGD zal tijdens dit gesprek de informatie verschaffen die is opgesteld door het landelijk centrum infectieziektebestrijding (LCI) van het RIVM.6