Brief regering : Reactie op de motie van het lid Den Haan c.s. over geen groen vinkje in de CoronaCheck-app bij een besmetting (Kamerstuk 25295-1540)

Nr. 1704
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 21 december 2021

Hierbij bied ik uw Kamer mijn reactie aan op de motie van het lid Den Haan1 – ingediend en aangenomen tijdens het debat over de ontwikkelingen rondom het coronavirus
op 16 november jl. (Handelingen II 2021/22, nr. 22, Debat over de ontwikkelingen rondom
het coronavirus) – waarin de regering wordt verzocht de techniek van de CoronaCheck-app
aan te passen, zodat mensen die gevaccineerd zijn en daarna corona krijgen geen QR-code
krijgen in de periode dat zij in isolatie moeten. In reactie op deze motie heb ik
onderzocht wat de mogelijkheden zijn om deze motie tot uitvoering te brengen. In deze
brief bericht ik u hierover en geef ik mijn overwegingen daarbij.

Balans tussen fraudebestrijding en privacy

In de CoronaCheck-app kunnen twee soorten bewijzen worden aangemaakt en getoond: een
QR-code voor binnenlands gebruik (coronatoegangsbewijs ofwel ctb) en internationale
QR-codes (EU Digitaal Corona Certificaat of DCC) ten behoeve van reizen en nationale
toegang in andere EU-landen. Voor de ontwikkeling van het ctb (zowel digitaal in de
CoronaCheck-app als ook geprint op papier) is de belangrijkste afweging die ik heb
gemaakt, die tussen het verkleinen van de kans op misbruik enerzijds, en de verwerking
van kwetsbare persoonsgegevens anderzijds. Voorkomen moet immers worden dat gevoelige
persoonsgegevens, zoals medische gegevens en gegevens die herleidbaar zijn tot individuen,
worden overgedragen aan de controleur van het bewijs, terwijl de betrokkene geen controle
heeft over waar die gegevens daarna verder voor worden gebruikt. Tegelijkertijd is
er de wens om misbruik te voorkomen om zo het risico op de verspreiding van het virus
zo laag mogelijk te houden.

In mijn stand van zakenbrief van 26 februari jl. informeerde ik u over de te vinden
balans tussen fraudebestrijding en privacy bij de ontwikkeling van testbewijzen2. Ik schreef u dat ik eraan hecht om het belang van privacy en informatieveiligheid
in dit geval zwaarder te laten wegen dan het volledig uitsluiten van alle mogelijke
misbruik. Dit omdat het gaat om uiterst gevoelige gegevens die zouden worden getoond
aan private controleurs bij toegang tot allerlei voorzieningen of activiteiten. Uiteraard
zijn bij de ontwikkeling wel technische maatregelen genomen om de meest voor de hand
liggende vormen van misbruik te voorkomen3, maar niet alles zou in techniek geregeld moeten worden. De commissie voor Digitale
Zaken van uw Kamer heeft op woensdag 9 juni jl. vastgesteld wat haar taken, werkzaamheden
en onderwerpen zijn. Daarbij schrijft de commissie4: «Digitalisering verandert onze samenleving radicaal. Nieuwe technologieën als kunstmatige
intelligentie, algoritmen, Big Data, robotica, kwantumcomputers, Internet of Things
en de cloud hebben grote gevolgen, zeker in samenhang met elkaar. Deze ontwikkelingen
gaan snel en hebben invloed op onder meer de werkgelegenheid, onze veiligheid, de
democratie, onze privacy, de verhouding tussen burgers onderling, en tussen burgers
en de overheid.«

In dat licht heb ik bij de ontwikkeling van CoronaCheck niet alleen de mogelijkheden
van de technologie beschouwd, maar ook de consequenties van de inzet daarvan. Daarbij
heb ik de door de commissie genoemde aspecten meegenomen en er voor gewaakt niet vanuit
een tunnelvisie op fraude te werken. Niet alles wat technologisch kan, is immers maatschappelijk
en politiek wenselijk. Techniek heeft een plaats bij de ontwikkeling van ctb’s, maar
de verantwoordelijkheid van de beslissing hoe met de techniek om te gaan ligt ook
bij de persoon zelf. De digitale of papieren QR-code bewijst dat iemand is gevaccineerd,
hersteld of negatief is getest. Hiermee is het proces voor toegang ingeregeld. De
verantwoordelijkheid om goed met dit proces om te gaan ligt ook bij de persoon zelf.
We hebben immers ook basisregels met elkaar afgesproken en bij een positieve testuitslag
ga je thuis in isolatie om anderen te beschermen. We hebben met elkaar afgesproken
ook een beroep te doen op ieders eigen verantwoordelijkheid hierin.

Vanuit dit perspectief is de CoronaCheck-app ontwikkeld volgens de principes van privacy-
en security by design, waarbij verschillende maatregelen zijn getroffen om de privacy
van burgers te borgen. Heel kort gezegd heeft dit ertoe geleid dat in het ctb (anders
dan in het DCC) slechts summiere persoonsgegevens worden opgenomen en dat medische
gegevens daar helemaal niet in voorkomen. Zo wordt niet vermeld op basis waarvan het
ctb is afgegeven (dat wil zeggen een vaccinatie, een test of een doorgemaakte corona
infectie). Hierdoor kan niet worden vastgesteld of de QR-code is verstrekt naar aanleiding
van een negatieve test of vaccinatie en is het voor kwaadwillenden niet mogelijk om
mensen via de QR-code te volgen. Deze inrichting van het systeem brengt mee dat mensen
zelf

de gegevens ophalen (vanuit de bronbestanden van vaccinatiezetters of testaanbieders)
die nodig zijn om een ctb te kunnen verkrijgen. De gegevens worden dus niet automatisch
naar de app verzonden of door de app zonder medeweten van de gebruiker opgehaald.
Dit betekent ook dat een testresultaat of een tweede of derde prik niet automatisch
in de app verschijnen, maar dat dit pas gebeurt nadat iemand zelf het initiatief heeft
genomen om via het daarvoor ingerichte systeem in te loggen met zijn DigiD om de nieuwe
gegevens aan de app

toe te voegen. Binnen het huidige systeem kan een positieve testuitslag daarom niet
zonder tussenkomst van de gebruik worden toegevoegd aan een eerder verkregen QR-code.

De CoronaCheck-app en de CoronaCheck Scanner-app zijn verder offline te gebruiken
en er vindt geen centrale opslag van bewijzen plaats. Alle genoemde ontwerpkeuzes
hebben de consequentie dat een QR-code nu niet automatisch op afstand kan worden ingetrokken
als na een test blijkt dat iemand besmet is geraakt met het coronavirus.

Technische aanpassingen en risico’s bij kunnen intrekken van QR-codes

Om te beoordelen of het mogelijk is om QR-codes te blokkeren na besmetting moet allereerst
onderscheid gemaakt worden tussen bewijzen in de app en papieren bewijzen.

Om QR-codes op afstand te kunnen blokkeren, zou het hiervoor beschreven systeem moeten
worden aangepast. Ctb’s zouden daartoe wel gekoppeld moeten kunnen worden aan individuele
personen. Dit zou nodig zijn om de relatie te kunnen leggen tussen een positief getest
persoon en een specifiek bewijs teneinde dit bewijs tijdelijk te kunnen blokkeren.
Daarmee zou niet langer voorkomen kunnen worden dat kwaadwillenden inzicht zouden
kunnen krijgen in wie positief getest is en wie niet en dat zij mensen zouden kunnen
gaan volgen. Een dergelijke aanpassing van het systeem zou daarmee dus een aanzienlijke
inbreuk maken op de waarborgen die er nu zijn om de privacy van de gebruiker van het
ctb te beschermen.

Een andere optie zou nog kunnen zijn dat mensen verplicht worden om met enige regelmaat
met hun DigiD in te loggen bij de GGD om te checken dat ze niet recent positief zijn
getest en dat alleen als mensen dat doen hun QR-code geldig blijft. Ook deze optie
heeft echter grote gevolgen. Het zou leiden tot een grote toename van inlogpogingen
en daarmee tot overbelasting van systemen.

Voor zowel de optie van de automatische blokkering van het ctb als de optie van een
verplichting om regelmatig in te loggen bij de GGD geldt, dat deze niet toe te passen
is op de papieren ctb’s. Het zonder meer intrekken van papieren bewijzen op afstand kan niet; ze kunnen immers niet door een ambtenaar worden weggenomen.
Dat betekent dat als het gaat om bewijzen op papier alleen bij controle aan de deur
kan worden vastgesteld of het eerder afgegeven papieren bewijs op dat moment geldig
is. Om die controle te kunnen doen is een publiek beschikbare lijst van positief geteste
mensen nodig die toegankelijk is voor de CoronaScanner-app (die daarvoor frequent
online zou moeten zijn om de lijst op te halen) en die kan worden gekoppeld aan papieren
bewijzen. Papieren ctb’s zijn

in hun huidige vorm echter niet aan een specifieke persoon te koppelen. Er zouden
dus opnieuw papieren ctb’s moeten worden afgegeven. Mensen kunnen met behulp van DigiD
via coronacheck.nl zelf een papieren ctb zelf afdrukken, maar niet iedereen is daartoe
in staat. Van de huidige papieren ctb’s zijn er bijvoorbeeld meer dan 650.000 per
post verstuurd aan mensen. Daarnaast worden ook ctb’s uitgeven door een behandelaar
– zoals huisartsen en in ziekenhuizen. Vooral voor deze categorie papieren ctb’s geldt
dat de invoering van een nieuwe versie van het ctb zou leiden tot een grote last in
de uitvoering voor de behandelaars die het eerdere ctb hebben afgegeven. Het opstellen
van de eerder genoemde lijst met ongeldige ctb’s heeft daarnaast als risico dat door
iedereen met een aangepaste scanner-app kan worden vastgesteld dat mensen positief
getest zijn of zijn geweest, wat opnieuw leidt tot een inbreuk op de privacy van de
gebruikers van het ctb. Tot slot bestaat het risico dat een dergelijke lijst wordt
gelekt. De Belgische Gegevensbeschermingsautoriteit doet nu bijvoorbeeld onderzoek
naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes
die gebruikt wordt om QR-codes te blokkeren bij scannen op basis van positieve uitslagen.

Adviezen Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19

Naar aanleiding van motie van het lid Den Haan heb ik de Begeleidingscommissie DOBC
gevraagd of en hoe de CoronaCheck-app kan worden aangepast zonder afbreuk te doen
aan de hoge eisen van gegevensbescherming en privacy die aan de app zijn gesteld bij
de ontwikkeling. De Commissie onderschrijft in haar dertigste advies – bijgevoegd
bij deze brief5 – ook dat het met het uitvoeren van de motie noodzakelijk zou worden om zogeheten
«blokkeerlijsten» bij te houden van QR-codes die geblokkeerd zijn, omdat mensen positief
getest zijn. Daarnaast is het een vereiste dat de digitale QR-code te koppelen is
aan individuele personen die daarmee potentieel via het ctb te volgen zouden zijn,
dit om de gescande QR codes te kunnen vergelijken met deze zogeheten «blokkeerlijst».
Hierdoor zal de CoronaCheck Scanner app ook «online» moeten gaan werken, waar deze
momenteel geheel «offline» te gebruiken is. De Commissie benoemt verder het negatieve
effect op de toegankelijkheid door de noodzaak om alle bestaande papieren ctb’s in
te trekken en opnieuw te moeten uitgeven. Technisch gezien is het intrekken van de
QR-code mogelijk, maar hierbij dient rekening gehouden te worden met privacy, de implicaties
voor de toegankelijkheid en geldigheid van het papieren coronatoegangsbewijs en de
bruikbaarheid van de Scanner.

De Commissie raadt dit alles overwegende het niet verschijnen van een groen vinkje,
zoals voorgesteld in motie van het lid Den Haan, af. Wel adviseert de Commissie een
dynamisch ctb in overweging te nemen die bij afnemende vaccineffectiviteit niet meer
geldig is, totdat een persoon een boostervaccinatie heeft gehaald of zich voor toegang
heeft getest. Dit sluit aan bij het negentwintigste advies van de Begeleidingscommissie
DOBC dat ik op 19 november ontving6. De commissie wijst daarbij op het feit dat een «groen vinkje» in de CoronaCheck-app
op dit moment statisch. Zij draagt aan te onderzoeken hoe het coronatoegangsbewijs
dynamischer kan worden gemaakt, zonder verlies aan privacy en toegankelijkheid, waarbij
in lijn met de epidemiologische situatie kan worden besloten op basis waarvan een
coronatoegangsbewijs wordt uitgegeven en geldig is. Technisch is het verlies van geldigheid
van een vaccinatie na een bepaald aantal maanden in de CoronaCheck-app in te richten
door de geldigheid van het vaccinatiebewijs aan te passen; voor al uitgegeven papieren
bewijzen is dit op deze wijze niet mogelijk omdat deze een jaar geldig zijn vanaf
het moment van printen. Op de Europese tafels wordt momenteel uitgewerkt hoe ten aanzien
van de DCC met een verlopen geldigheidsduur van vaccinaties wordt omgegaan. Op dit
advies van de commissie kom ik daarom in een later stadium terug.

Uitvoering motie

Zoals ook aangegeven in de beantwoording op eerdere schriftelijke vragen die hierover
gesteld zijn7, zie ik het dus als eerste als de eigen verantwoordelijkheid van mensen om rekening
te houden met anderen en zich bij een eventuele besmetting aan de op dat moment geldende
richtlijnen en basisregels te houden. Bij een positieve testuitslag (gevaccineerd
of ongevaccineerd) ga je thuis in isolatie, ga je niet naar buiten en gebruik je dus
zeker niet de QR-code voor toegang. Zoals hiervoor is beschreven zou een aanpassing
van het systeem om bij een positieve testuitslag het ctb automatisch te kunnen blokkeren,
ertoe leiden dat de privacy van de gebruiker van het ctb minder kan worden geborgd.
Daarbij wil ik ook opmerken dat de introductie van een dergelijke blokkeringsmogelijkheid
het probleem van mensen die met een positieve testuitslag niet in isolatie gaan, ook
niet zal oplossen. Het houdt mensen niet automatisch thuis. Bovendien bestaat het
risico dat de invoering van deze maatregel een negatief effect zou kunnen hebben op
de testbereidheid. Mensen laten zich niet meer via de GGD testen omdat zij weten dat
bij een positieve testuitslag het ctb automatisch wordt geblokkeerd.

Er is nog wel een alternatief. De CoronaCheck-app zou zo kunnen worden aangepast,
dat mensen zelf via hun Digid een positieve testuitslag kunnen ophalen, waarna het
ctb tijdelijk wordt ingetrokken. Beide bewijzen (het herstelbewijs en het vaccinatiebewijs)
zijn dan zichtbaar in de app, maar de Nederlandse QR-code wordt pas weer geldig na
de herstelperiode. Deze methode zou niet van toepassing zijn op eerder uitgegeven
papieren bewijzen. Met deze aanpassing blijven de hoge eisen aan gegevensbescherming
van kracht, maar ontstaat wel de mogelijkheid het digitale ctb tijdelijk ongeldig
te maken. Dit vraagt uiteraard om medewerking van de gebruiker van het ctb. Verwacht
mag worden dat goedwillende mensen die nu al na een positieve testuitslag in isolatie
gaan, die medewerking zullen willen verlenen. Meewerken heeft ook als voordeel dat
met een positieve testuitslag na de herstelperiode weer een ctb beschikbaar komt op
basis van herstel. Dit kan meer mensen over de streep trekken om mee te werken.

Alles overwegende zie ik thans te veel nadelen in de invoering van een automatische
blokkeringsmogelijkheid van QR-codes. Bovendien leidt deze maatregel er niet ook automatisch
toe dat mensen die besmet zijn geraakt met het corona virus in isolatie gaan. Zoals
gezegd, is er wel een alternatief – de vrijwillige optie – waarmee voor een deel tegemoet
gekomen kan worden aan de motie van uw Kamer. De haalbaarheid van deze vrijwillige
optie laat ik onderzoeken en hier informeer ik uw Kamer later over.

De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge