Antwoord schriftelijke vragen : Antwoord op vragen van het lid Aukje de Vries over het bericht ‘Fraudeurs houden toch groen vinkje’

Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 18 oktober
2021).

Vraag 1 en 2

Bent u bekend met het bericht «Fraudeurs houden toch groen vinkje»? Wat vindt u daar
daarvan?1

Deelt u de mening dat dit het belonen is van frauduleus handelen? Zo nee, waarom niet?

Antwoord 1 en 2

Ik heb kennisgenomen van dit bericht en ben bekend met het feit dat een eventueel
vervalst coronatoegangsbewijs niet leidt tot het intrekken van een «groen vinkje».
Ik ben mij ervan bewust dat dit vragen kan oproepen. In de CoronaCheck-app kunnen
twee soorten bewijzen worden aangemaakt en getoond: een QR-code voor binnenlands gebruik
(coronatoegangsbewijs ofwel CTB) en internationale QR-codes (DCC’s) ten behoeve van
reizen. Bij de ontwikkeling van het Nederlandse CTB (zowel digitaal in de CoronaCheck-app
als ook geprint op papier) is een afweging gemaakt in balans tussen de bescherming
van persoonsgegevens en het tegengaan van misbruik. Dit omdat het gaat om uiterst
gevoelige gegevens die zouden worden getoond aan private controleurs bij toegang tot
allerlei voorzieningen of activiteiten. Hierover heb ik uw Kamer eerder ook geïnformeerd.2 Daarbij is de bewuste keuze gemaakt het belang van privacy en informatieveiligheid
zwaarder te laten wegen dan het volledig uitsluiten van alle mogelijke misbruik.

De CoronaCheck-app is daarom ontwikkeld volgens de principes van privacy- en security
by design waarbij verschillende maatregelen zijn getroffen om de privacy van burgers
te borgen. Zo kiezen mensen zelf om gegevens op te halen en worden deze niet automatisch
naar de app verzonden. Eventuele testgegevens van een besmetting kunnen daarom ook
niet automatisch gelieerd worden aan een verkregen QR-code. Daarnaast zijn in het
geval van een Nederlands coronatoegangsbewijs slechts summiere persoonsgegevens opgenomen
in de QR-code, is de bron van het bewijs (een vaccinatie, een test of een doorgemaakte
COVID19-infectie) niet zichtbaar en zijn mensen ook niet te volgen in welke bezoeken
zij afleggen. De app is verder zonder internetverbinding te gebruiken en er vindt
geen centrale opslag van bewijzen plaats. Deze ontwerpkeuzes hebben ook de consequentie
dat een QR-code niet zonder meer automatisch op afstand kan worden ingetrokken.

Vraag 3

Bent u voornemens acties te ondernemen om ervoor te zorgen dat QR-codes die door frauduleus
handelen tot stand zijn gekomen, ongedaan te maken? Zo nee, waarom niet? Zo ja, welke
acties gaat u ondernemen te voorkomen dat frauduleus handelen wordt beloond en wanneer
kan dit geregeld zijn/worden?

Antwoord 3

De GGD heeft aangegeven dat, voor de gevallen die bekend zijn bij GGD GHOR Nederland
en waarvan bewezen is dat er onterechte vaccinatiebewijzen zijn verstrekt die voortkomen
uit hun bronregistratie, deze nietig zullen worden verklaard en uit het administratiesysteem
worden verwijderd. Zoals in de beantwoording van vraag 1 en 2 is aangegeven, is het
als gevolg van de bewuste privacy keuzes die zijn gemaakt niet mogelijk om een al
uitgegeven Nederlandse QR-code ten behoeve van binnenlands gebruik, automatisch in
te trekken. Ook niet op het moment dat de GGD de vaccinatiegegevens uit het systeem
heeft verwijderd. Het coronatoegangsbewijs bevat namelijk te weinig informatie om
dit daadwerkelijk te kunnen doen. Ik vind dat binnen de gekozen kaders van privacy
en informatieveiligheid wel gezocht moet blijven worden naar mogelijkheden om fraude
te bestrijden. Dit is onder meer van belang voor het draagvlak van het CTB- en DCC-systeem,
ik verken daartoe voortdurend de mogelijkheden.

Recent is ook een andere vorm van fraude toegenomen, namelijk het online verspreiden
van QR-codes van coronatoegangsbewijzen zodat andere personen deze QR-codes kunnen
gebruiken om toegang te krijgen. Deze QR-codes worden geblokkeerd en geven in de Scanner
app een rood scherm.

Vraag 4

Welke gesprekken vinden daar nu over plaats met GGD GHOR Nederland en wat zijn daarvan
de uitkomsten?

Antwoord 4

In algemene zin werken mijn ministerie en GGD GHOR Nederland uiteraard aan het bestrijden
van fraude en werken daarbij, waar nodig, samen. Dat geldt bijvoorbeeld voor vervalste
vaccinatiebewijzen die via diverse (online) kanalen worden aangeboden. Waar mogelijk
worden in overleg met het Ministerie van VWS, GGD GHOR Nederland en externe onderzoekers
maatregelen getroffen.

Vraag 5

Bent u daarnaast voornemens om de app naar Belgisch voorbeeld aan te passen, om de
fout te corrigeren waarbij iemand die gevaccineerd is maar wel besmet is geraakt,
toch een groen vinkje in de CoronaCheck-app blijft houden? Zo nee, waarom niet? Zo
ja, wanneer?

Antwoord 5

Onder de bij het antwoord op vraag 1 genoemde kaders is het niet mogelijk om op afstand
een in de app of op papier afgegeven coronatoegangsbewijs van bijvoorbeeld iemand
die besmet is – al dan niet tijdelijk – in te trekken of ongeldig te maken. Het is
aan mensen zelf om rekening te houden met anderen en zich bij een eventuele besmetting
aan de op dat moment geldende richtlijnen te houden, dat wil zeggen zich te laten
testen en thuis te blijven.