[D66] Problemen met Coronapas (Wuhan Coronavirus 2019-nCoV #798)
Dr. Marc-Alexander Fluks
fluks at combidom.com
Mon Nov 8 14:14:15 CET 2021
Bron: NRC Handelsblad
Datum: 7 november 2021
Auteur: Rik Wassens
URL:
https://www.nrc.nl/nieuws/2021/11/07/privacy-en-veiligheid-gaan-bij-de-coronapas-voor-absolute-controle-a4064638
De coronapas moest er komen, volgens strenge eisen - nu worden
de praktische gevolgen daarvan zichtbaar
--------------------------------------------------------------
Wie als gevaccineerde positief test, houdt een geldige code in de
corona-app. Daar is niets aan te doen, zegt het ministerie.
Het beleid om de huidige opleving van het coronavirus te beteugelen
leunt zwaar op de coronapas: dit weekend werd controle van het
coronatoegangsbewijs verplicht bij binnensport, terrassen, musea en
kermissen. Het kabinet treft ook voorbereidingen om controle op de
werkvloer mogelijk te maken.
Maar er wordt geknaagd aan het maatschappelijk vertrouwen in dat
systeem. Naast de levendige handel in frauduleuze QR-codes dringt zich
een ander vraagstuk op. Als een gevaccineerde of van Covid-19 herstelde
persoon eenmaal het groene vinkje in de CoronaCheck-app heeft, kan dat
niet automatisch ingetrokken worden als hij of zij positief test. Die
persoon kan dan gewoon toegang krijgen tot volle cafes of drukke
sporthallen. Door de stijgende vaccinatiegraad wordt inmiddels bijna de
helft van de positieve testen afgenomen bij volledig gevaccineerde
personen. Zij kunnen anderen besmetten als ze ondanks die testuitslag op
pad gaan.
Dat probleem lijkt technisch niet op te lossen, zeggen Ron Roozendaal,
directeur Informatiebeleid bij het ministerie van Volksgezondheid, en
Ivo Jansch, software-architect van de CoronaCheck-app. Tenminste, niet
zonder te morrelen aan de strenge eisen die het ministerie zelf stelde
aan de privacy- en informatieveiligheid van de app. Roozendaal: 'We
hebben echt gezocht naar een oplossing, maar wij en de experts die ons
van advies voorzien, konden er tot nog toe niet een vinden. We krijgen
het niet in de app zonder het hele systeem om te gooien. En het omgooien
van het systeem heeft een prijs.'
Invasieve technologie
Na een breed debat over de CoronaMelder, de eerste corona-app van de
overheid waarmee gebruikers hun contacten konden waarschuwen na een
positieve test, ontstond een duidelijk beeld van de voorwaarden waaraan
zulke potentieel zeer invasieve technologie moest voldoen om
maatschappelijk en politiek gezien acceptabel te zijn.
De apps moeten zo min mogelijk data verzamelen, gegevens zo min mogelijk
herleidbaar maken naar personen en zoveel mogelijk data moesten op de
telefoon van de gebruikers bewaard worden. Een enorme centrale database
met allerlei medische gegevens zou overheden immers in staat stellen om
gebruikers te volgen. Nog los van de interesse die zulke
gegevensverzamelingen bij hackers, al dan niet van buitenlandse
inlichtingendiensten, zullen wekken. 'Gezien de denkbare scenario's van
misbruik riepen organisaties als Bits of Freedom terecht op om heel ver
te gaan in het beschermen van gevoelige gegevens van burgers', memoreert
Roozendaal.
Dat leidde bij de CoronaCheck-app tot een QR-code en een systeem dat
alleen strikt noodzakelijke data gebruikt - van de persoon alleen
initialen en de geboortedag- en maand. 'Je kan zo'n bewijs aan iedere
willekeurige uitsmijter laten zien en dan is het fijn dat hij niet al
jouw gegevens kan inzien', zegt Roozendaal. De scanner kan ook niet zien
of iemand toegang krijgt met een vaccinatie-, herstel- of testbewijs.
De praktische gevolgen van die eisen worden nu zichtbaar, maar het
ministerie is daar volgens Roozendaal altijd duidelijk over geweest.
Fraude moet zoveel mogelijk voorkomen worden, maar privacy en
informatieveiligheid, schreef demissionair minister Hugo de Jonge
(Volksgezondheid, CDA) in februari aan de Kamer, zou zwaarder wegen 'dan
het volledig uitsluiten van alle mogelijke misbruik'. Vorige week voegde
hij daaraan toe dat het intrekken van de groene vinkjes niet kon.
Want nadat een QR-code is aangemaakt, worden er geen persoonlijke data
meer uitgewisseld. 'Je telefoon maakt niet nog een keer stiekem contact
met de GGD, of wie dan ook, om te controleren of het toegangsbewijs nog
geldig is', zegt Roozendaal. 'De enige manier om een bewijs in trekken
is om te weten wie gevaccineerd is en wie positief testte. En dat moet
ik dan naar een specifieke telefoon op kunnen sturen.' Juist dat kan
niet, omdat het systeem anoniem is en de informatie dus niet aan elkaar
gekoppeld kan worden. 'Wil je dat wel, dan verlies je dat het systeem
voor de buitenwereld anoniem is. En dat heeft weer gevolgen voor je
privacy en de veiligheid van je gegevens.'
Het bijhouden van de benodigde verzamelingen gegevens is niet zonder
risico's. In Belgie loopt inmiddels een onderzoek van de
Gegevensbeschermingsautoriteit naar een mogelijk lek in het Belgische
coronatoegangsbewijs, het Covid Safe Ticket. Daar wordt van iedere
gevaccineerde wel op een versleutelde lijst bijgehouden of iemand
onlangs positief testte. De 'potentiele beveiligingsfout' in het
scanproces kan volgens de toezichthouder gevolgen hebben voor de privacy
van meer dan 39.000 Belgen die op de lijst stonden.
Testbereidheid
Een technische oplossing, zelfs als die zonder extra persoonsgegevens
mogelijk zou zijn, is alsnog niet waterdicht, merkt Jansch op. 'Als jij
zaterdag naar dat festival wil maar bang bent om positief te testen, dan
laat je je als gevaccineerde toch gewoon niet testen?'
Minister De Jonge toonde zich vanwege de gevolgen voor de privacy niet
bereid het systeem om te gooien, maar riep op de laatste persconferentie
op om 'het verstand' te gebruiken en thuis te blijven na een positieve
test, zoals al de hele coronacrisis het advies is. Gevaccineerden zijn
wel minder besmettelijk dan ongevaccineerden, benadrukte hij.
Na een positieve testuitslag blijft 70 procent van de mensen thuis,
blijkt uit gedragsonderzoek van het RIVM. Het grootste probleem is de
testbereidheid: inmiddels zegt nog iets meer dan een kwart van de
ondervraagden zich te laten testen bij klachten.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Misbruik - Bijna 300 QR-codes op zwarte lijst
De strenge privacyeisen maken het ook moeilijk voor het ministerie om in
te grijpen bij misbruik van QR-codes. Een idee van de totale omvang van
de fraude is er niet, erkent Ron Roozendaal, hoofd Informatiebeleid bij
het ministerie van Volksgezondheid.
Het ministerie houdt wel '24/7' het aanbod van QR-codes in de gaten.
Fraudeurs maken graag gebruik van papieren QR-codes. De QR-code in de
CoronaCheck-app ververst na een tijdje om het delen tegen te gaan, een
uitgeprinte code heeft die luxe niet, zegt Ron Roozendaal. 'Zo'n geprint
bewijs kan je natuurlijk verspreiden.' Vrijdag deed het ministerie voor
de tweede keer aangifte tegen een website waarop QR-codes uit binnen- en
buitenland worden gedeeld.
Of iemand met andermans QR-code binnenkomt, hangt af van de controle:
eigenlijk moet de identiteit van de houder van de coronapas vastgesteld
worden aan de hand van een identiteitsbewijs. Het ministerie heeft
afgelopen week wijzigingen in de CoronaCheck-scanner doorgevoerd die
duidelijker moeten maken dat die controle echt moet plaatsvinden.
QR-codes die in de kijker lopen, worden op een zwarte lijst geplaatst.
Inmiddels staan er bijna 300 codes uit binnen- en buitenland op. De
bestrijding van fraude is een kat- en-muisspel geworden. 'Dat hoort
erbij en dat gaan we gewoon doen', zegt Roozendaal. Zo'n vijftien
medewerkers zijn betrokken bij het bestrijden van fraude. Daarnaast
werken enkele digitale rechercheurs mee.
Uit proefaankopen van het ministerie blijkt veel aanbod oplichting te
zijn. Het ministerie heeft bij zo'n dertig proefaankopen nog niet een
werkende QR-code kunnen kopen. 'Het grootste gedeelte van wat wij
tegenkomen is pure oplichting, makkelijk geld verdienen. We komen
aanbiedingen tegen tussen de 250 en 1.000 euro.'
--------
(c) 2021 Mediahuis
More information about the D66
mailing list