[D66] Problemen met Coronapas (Wuhan Coronavirus 2019-nCoV #798)

Dr. Marc-Alexander Fluks fluks at combidom.com
Mon Nov 8 14:14:15 CET 2021 

Bron:   NRC Handelsblad
Datum:  7 november 2021
Auteur: Rik Wassens
URL:    
https://www.nrc.nl/nieuws/2021/11/07/privacy-en-veiligheid-gaan-bij-de-coronapas-voor-absolute-controle-a4064638


De coronapas moest er komen, volgens strenge eisen - nu worden
de praktische gevolgen daarvan zichtbaar
--------------------------------------------------------------
Wie als gevaccineerde positief test, houdt een geldige code in de 
corona-app. Daar is niets aan te doen, zegt het ministerie.

Het beleid om de huidige opleving van het coronavirus te beteugelen 
leunt zwaar op de coronapas: dit weekend werd controle van het 
coronatoegangsbewijs verplicht bij binnensport, terrassen, musea en 
kermissen. Het kabinet treft ook voorbereidingen om controle op de 
werkvloer mogelijk te maken.

Maar er wordt geknaagd aan het maatschappelijk vertrouwen in dat 
systeem. Naast de levendige handel in frauduleuze QR-codes dringt zich 
een ander vraagstuk op. Als een gevaccineerde of van Covid-19 herstelde 
persoon eenmaal het groene vinkje in de CoronaCheck-app heeft, kan dat 
niet automatisch ingetrokken worden als hij of zij positief test. Die 
persoon kan dan gewoon toegang krijgen tot volle cafes of drukke 
sporthallen. Door de stijgende vaccinatiegraad wordt inmiddels bijna de 
helft van de positieve testen afgenomen bij volledig gevaccineerde 
personen. Zij kunnen anderen besmetten als ze ondanks die testuitslag op 
pad gaan.

Dat probleem lijkt technisch niet op te lossen, zeggen Ron Roozendaal, 
directeur Informatiebeleid bij het ministerie van Volksgezondheid, en 
Ivo Jansch, software-architect van de CoronaCheck-app. Tenminste, niet 
zonder te morrelen aan de strenge eisen die het ministerie zelf stelde 
aan de privacy- en informatieveiligheid van de app. Roozendaal: 'We 
hebben echt gezocht naar een oplossing, maar wij en de experts die ons 
van advies voorzien, konden er tot nog toe niet een vinden. We krijgen 
het niet in de app zonder het hele systeem om te gooien. En het omgooien 
van het systeem heeft een prijs.'


Invasieve technologie

Na een breed debat over de CoronaMelder, de eerste corona-app van de 
overheid waarmee gebruikers hun contacten konden waarschuwen na een 
positieve test, ontstond een duidelijk beeld van de voorwaarden waaraan 
zulke potentieel zeer invasieve technologie moest voldoen om 
maatschappelijk en politiek gezien acceptabel te zijn.

De apps moeten zo min mogelijk data verzamelen, gegevens zo min mogelijk 
herleidbaar maken naar personen en zoveel mogelijk data moesten op de 
telefoon van de gebruikers bewaard worden. Een enorme centrale database 
met allerlei medische gegevens zou overheden immers in staat stellen om 
gebruikers te volgen. Nog los van de interesse die zulke 
gegevensverzamelingen bij hackers, al dan niet van buitenlandse 
inlichtingendiensten, zullen wekken. 'Gezien de denkbare scenario's van 
misbruik riepen organisaties als Bits of Freedom terecht op om heel ver 
te gaan in het beschermen van gevoelige gegevens van burgers', memoreert 
Roozendaal.

Dat leidde bij de CoronaCheck-app tot een QR-code en een systeem dat 
alleen strikt noodzakelijke data gebruikt - van de persoon alleen 
initialen en de geboortedag- en maand. 'Je kan zo'n bewijs aan iedere 
willekeurige uitsmijter laten zien en dan is het fijn dat hij niet al 
jouw gegevens kan inzien', zegt Roozendaal. De scanner kan ook niet zien 
of iemand toegang krijgt met een vaccinatie-, herstel- of testbewijs.

De praktische gevolgen van die eisen worden nu zichtbaar, maar het 
ministerie is daar volgens Roozendaal altijd duidelijk over geweest. 
Fraude moet zoveel mogelijk voorkomen worden, maar privacy en 
informatieveiligheid, schreef demissionair minister Hugo de Jonge 
(Volksgezondheid, CDA) in februari aan de Kamer, zou zwaarder wegen 'dan 
het volledig uitsluiten van alle mogelijke misbruik'. Vorige week voegde 
hij daaraan toe dat het intrekken van de groene vinkjes niet kon.

Want nadat een QR-code is aangemaakt, worden er geen persoonlijke data 
meer uitgewisseld. 'Je telefoon maakt niet nog een keer stiekem contact 
met de GGD, of wie dan ook, om te controleren of het toegangsbewijs nog 
geldig is', zegt Roozendaal. 'De enige manier om een bewijs in trekken 
is om te weten wie gevaccineerd is en wie positief testte. En dat moet 
ik dan naar een specifieke telefoon op kunnen sturen.' Juist dat kan 
niet, omdat het systeem anoniem is en de informatie dus niet aan elkaar 
gekoppeld kan worden. 'Wil je dat wel, dan verlies je dat het systeem 
voor de buitenwereld anoniem is. En dat heeft weer gevolgen voor je 
privacy en de veiligheid van je gegevens.'

Het bijhouden van de benodigde verzamelingen gegevens is niet zonder 
risico's. In Belgie loopt inmiddels een onderzoek van de 
Gegevensbeschermingsautoriteit naar een mogelijk lek in het Belgische 
coronatoegangsbewijs, het Covid Safe Ticket. Daar wordt van iedere 
gevaccineerde wel op een versleutelde lijst bijgehouden of iemand 
onlangs positief testte. De 'potentiele beveiligingsfout' in het 
scanproces kan volgens de toezichthouder gevolgen hebben voor de privacy 
van meer dan 39.000 Belgen die op de lijst stonden.


Testbereidheid

Een technische oplossing, zelfs als die zonder extra persoonsgegevens 
mogelijk zou zijn, is alsnog niet waterdicht, merkt Jansch op. 'Als jij 
zaterdag naar dat festival wil maar bang bent om positief te testen, dan 
laat je je als gevaccineerde toch gewoon niet testen?'

Minister De Jonge toonde zich vanwege de gevolgen voor de privacy niet 
bereid het systeem om te gooien, maar riep op de laatste persconferentie 
op om 'het verstand' te gebruiken en thuis te blijven na een positieve 
test, zoals al de hele coronacrisis het advies is. Gevaccineerden zijn 
wel minder besmettelijk dan ongevaccineerden, benadrukte hij.

Na een positieve testuitslag blijft 70 procent van de mensen thuis, 
blijkt uit gedragsonderzoek van het RIVM. Het grootste probleem is de 
testbereidheid: inmiddels zegt nog iets meer dan een kwart van de 
ondervraagden zich te laten testen bij klachten.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Misbruik - Bijna 300 QR-codes op zwarte lijst

De strenge privacyeisen maken het ook moeilijk voor het ministerie om in 
te grijpen bij misbruik van QR-codes. Een idee van de totale omvang van 
de fraude is er niet, erkent Ron Roozendaal, hoofd Informatiebeleid bij 
het ministerie van Volksgezondheid.

Het ministerie houdt wel '24/7' het aanbod van QR-codes in de gaten. 
Fraudeurs maken graag gebruik van papieren QR-codes. De QR-code in de 
CoronaCheck-app ververst na een tijdje om het delen tegen te gaan, een 
uitgeprinte code heeft die luxe niet, zegt Ron Roozendaal. 'Zo'n geprint 
bewijs kan je natuurlijk verspreiden.' Vrijdag deed het ministerie voor 
de tweede keer aangifte tegen een website waarop QR-codes uit binnen- en 
buitenland worden gedeeld.

Of iemand met andermans QR-code binnenkomt, hangt af van de controle: 
eigenlijk moet de identiteit van de houder van de coronapas vastgesteld 
worden aan de hand van een identiteitsbewijs. Het ministerie heeft 
afgelopen week wijzigingen in de CoronaCheck-scanner doorgevoerd die 
duidelijker moeten maken dat die controle echt moet plaatsvinden.

QR-codes die in de kijker lopen, worden op een zwarte lijst geplaatst. 
Inmiddels staan er bijna 300 codes uit binnen- en buitenland op. De 
bestrijding van fraude is een kat- en-muisspel geworden. 'Dat hoort 
erbij en dat gaan we gewoon doen', zegt Roozendaal. Zo'n vijftien 
medewerkers zijn betrokken bij het bestrijden van fraude. Daarnaast 
werken enkele digitale rechercheurs mee.

Uit proefaankopen van het ministerie blijkt veel aanbod oplichting te 
zijn. Het ministerie heeft bij zo'n dertig proefaankopen nog niet een 
werkende QR-code kunnen kopen. 'Het grootste gedeelte van wat wij 
tegenkomen is pure oplichting, makkelijk geld verdienen. We komen 
aanbiedingen tegen tussen de 250 en 1.000 euro.'

--------
(c) 2021 Mediahuis

More information about the D66 mailing list