Het Europese coronapaspoort toont bij het scannen meer medische gegevens dan Nederland had gewild, meldt het ministerie van volksgezondheid, welzijn en sport. Rondom de invoering van het paspoort spelen meerdere privacykwesties.

Vanaf 21 juni is reizen weer een stukje makkelijker: dan installeren de meeste EU-lidstaten het coronapaspoort, of het ‘digitale groene certificaat’, zoals het officieel heet. Wie gevaccineerd is of een negatief testbewijs heeft, kan aan de hand van een QR-code een groen vinkje tonen en zo een vliegtuig, boot of trein betreden naar een zonnig buitenland.

Maar het coronapaspoort toont meer medische gegevens dan Nederland in eerste instantie wilde, meldt een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) aan Trouw. Zo kan een buitenlandse reisbeambte zien welk vaccin iemand heeft gehad, hoeveel doses en wanneer. Ook is zichtbaar of je ziek bent geweest, negatief getest of gevaccineerd. “Ik ben verbaasd dat zichtbaar is om welk vaccin het gaat, omdat zulke medische gegevens erg gevoelig liggen”, zegt privacyadvocaat Jurriaan Jansen van Norton Rose Fulbright over de kwestie. “Het is mij niet duidelijk waarom het type vaccin zichtbaar moet zijn.”

Volgens VWS had Nederland liever geen persoonsgegevens getoond op het coronapaspoort, maar sneuvelde die eis tijdens EU-onderhandelingen tussen de lidstaten deze week. Dat komt omdat lidstaten zelf inzicht willen houden wie met welk vaccin is gevaccineerd. “Onze inzet bij het digitale certificaat is altijd geweest: een code die niet te herleiden valt naar de persoon”, zegt de VWS-woordvoerder. “Maar met de EU-landen is nu wat anders afgesproken.” Europese lidstaten mogen de gegevens uit het digitale groene certificatat niet centraal opslaan. “Dat is bij wet vastgelegd”, benadrukt privacyadvocaatJansen.

Hoe werkt het coronapaspoort?

Bij het opzetten van het coronapaspoort maakt Nederland gebruik van de CoronaCheck-app van ministerie van Volksgezondheid, Welzijn en Sport. Die app wordt nu al gebruikt om toegang te verlenen bij binnenlandse testevenementen, en binnenkort ook bij de entree van musea of restaurants. Bij het scannen van een QR-code maakt de corona-app verbinding met je priklocatie, zoals het ziekenhuis of de GGD. Die priklocatie bevestigt vervolgens de echtheid van het certificaat op je telefoon. “Er is dus geen landelijke of Europese database die bijhoudt of je gevaccineerd bent of een negatief testbewijs hebt”, zegt privacy-advocaat Jurriaan Jansen.

Bij het opstappen van boot, trein of vliegtuig tonen reizigers met een QR-code dat ze gevaccineerd zijn, of negatief zijn getest. Ook wie corona heeft gehad, moet een groen vinkje krijgen, maar daarvoor heeft Nederland nog geen systeem geïnstalleerd. Europese landen mogen het Europese certificaat niet verplicht stellen: in quarantaine gaan, of een negatieve test laten zien, voldoet ook.

Vanwege de extra data-eisen van de EU besloot VWS twee codes in de app te genereren: een binnenlandse en een buitenlandse. “De code voor binnenlands gebruik bevat minder persoonsgegevens dan de Europese”, legt een woordvoerder van VWS uit. “Die is alleen gekoppeld aan de eerste twee cijfers van je geboortedatum en je initialen, zodat je niet de telefoon van je buurman kunt gebruiken.” Het Nederlandse streven is om de data zo minmaal mogelijk te houden, legt hij uit. “Maar op Europees niveau zijn meer gegevens nodig.”

Privacy-advocaat Jansen heeft “sterke twijfels” over privacy bij het coronapaspoort. “De eerste regel bij gebruik van medische gegevens is: leg het minimale vast, dat wat je écht nodig hebt om je doel te bereiken.” Of het coronapaspoort door die test komt, betwijfelt hij. “In principe zijn de vaccins allemaal goedgekeurd door de EU. Daarom is de vraag of het medisch relevant is welk vaccin iemand heeft gehad. Zonder die relevantie mag het delen van gegevens niet.” Overigens maakt onder andere Hongarije al wel gebruik van het Spoetnikvaccin, dat nog niet is goedgekeurd door het Europees Geneesmiddelenagentschap.

Registratie

Naast privacyoverwegingen roept ook de achterstallige registratie van Nederlandse vaccins vragen op. Zo berekende Nieuwsuur dit weekend dat in totaal 1 miljoen Nederlandse prikken nog niet zijn opgenomen in het centrale RIVM-systeem (CIMS), dat de vaccinaties bijhoudt. Zonder zo’n registratie kan een gevaccineerde geen coronapaspoort krijgen.

De achterstallige registratie komt omdat 5 à 10 procent van de gevaccineerden ervoor koos hun registratie niet te registreren bij de GGD, meldt de woordvoerder van VWS. “Sommige mensen wisten niet dat het weigeren van registratie ook betekent dat ze niet worden opgenomen in het digitale certificaat”, zegt hij. Eerder schreef minister De Jonge nog in een Kamerbrief dat de vaccinaties van die groep handmatig in het systeem moeten worden gezet. Dat kan bijvoorbeeld via het papieren vaccinatiebewijs dat iedere gevaccineerde ontvangt. “Maar een handmatige registratie op basis van een bewijs zonder QR-code is niet zonder risico’s”, denkt Jansen, “Het is lastiger de echtheid van een papieren bewijs te checken en dus minder veilig.”

Ook bij huisartsen en verpleeghuizen is de registratie van gevaccineerden nog niet op orde, waardoor deze groep geen coronapaspoort kan krijgen. Het ministerie is “druk bezig” met het koppelen van alle gegevens van de GGD, de verpleeghuizen en de huisartsen aan het centrale systeem, meldt de VWS-woordvoerder.

De komende weken moet de EU met een technische uitwerking van het plan komen, waarmee de zorgen over het Europese coronapaspoort worden weggehaald. Vooral enkele noordelijke landen, zoals Ierland en Duitsland, zijn voorzichtig. Zij zeggen meer tijd nodig te hebben voor het verzamelen van de data. Daardoor kunnen hun inwoners pas later gebruikmaken van het Europese reiscertificaat.

Bron: Trouw.nl