Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 30 juni 2021, kenmerk 3220904-1011753-PDC19, houdende tijdelijke bepalingen ter uitvoering van de Europese verordening over certificaten met betrekking tot covid-19 (Tijdelijke spoedregeling DCC)

De Minister van Volksgezondheid, Welzijn en Sport,

Gelet op artikel 6ba, vierde lid, van de Wet publieke gezondheid;

Besluit:

Artikel 1

In deze regeling wordt verstaan onder:

applicatie:

door de minister beschikbaar gestelde applicatie, waaronder een mobiele applicatie, een webapplicatie en een portalapplicatie;

betrokkene:

persoon waarop het certificaat betrekking heeft;

certificaat:

vaccinatiecertificaat, testcertificaat of herstelcertificaat;

CIBG:

agentschap Centraal Informatiepunt Beroepen Gezondheidszorg, bedoeld in artikel 1 van het Instellingsbesluit agentschap Centraal Informatiepunt Beroepen Gezondheidszorg;

CIMS:

COVID-vaccinatie Informatie- en Monitoringsysteem van het RIVM;

gemeentelijke gezondheidsdienst:

gemeentelijke gezondheidsdienst als bedoeld in artikel 14 van de Wet publieke gezondheid of de afdeling publieke gezondheid van het openbare lichaam Bonaire, Sint Eustatius of Saba;

herstelcertificaat:

certificaat als bedoeld in artikel 3, eerste lid, onder c, van de verordening;

minister:

Minister van Volksgezondheid, Welzijn en Sport;

testcertificaat:

certificaat als bedoeld in artikel 3, eerste lid, onder b, van de verordening;

tester:

uitvoerder van een test op infectie met het virus SARS-CoV-2 waarvan de uitslag wordt opgenomen in een testcertificaat of een herstelcertificaat;

vaccinatiecertificaat:

certificaat als bedoeld in artikel 3, eerste lid, onder a, van de verordening;

vaccineerder:

toediener van een vaccin tegen het virus SARS-CoV-2 dat wordt opgenomen in een vaccinatiecertificaat;

verordening:

verordening (EU) 2021/953 van het Europees Parlement en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren (PbEU 2021, L 211/1);

wet:

Wet publieke gezondheid;

zorgaanbieder:

tester of vaccineerder.

Artikel 2

Deze regeling is, met uitzondering van artikel 8, tweede lid, mede van toepassing in de openbare lichamen Bonaire, Sint Eustatius en Saba.

Artikel 3

Een certificaat wordt uitsluitend op verzoek van betrokkene aangemaakt, waarbij een verzoek om een coronatoegangsbewijs als bedoeld in artikel 58a, eerste lid, van de Wet publieke gezondheid tevens wordt aangemerkt als een verzoek om een certificaat.

Artikel 4

Een certificaat wordt voorzien van een digitale handtekening van de minister.

Artikel 5

De tester die een test op infectie met het virus SARS-CoV-2 heeft uitgevoerd waarvan de uitslag negatief is, draagt er op verzoek van betrokkene, gedaan met een mobiele applicatie of webapplicatie, zorg voor dat de persoonsgegevens die nodig zijn voor het aanmaken van een testcertificaat op zodanige wijze verstrekt worden dat betrokkene door middel van de:

  • a. mobiele applicatie een digitaal testcertificaat kan aanmaken;

  • b. webapplicatie een testcertificaat kan aanmaken om op papier af te drukken.

Artikel 6

  • 1. Het RIVM of, indien het RIVM niet in CIMS over de benodigde persoonsgegevens beschikt, de vaccineerder dan wel, indien het vaccin is toegediend in de openbare lichamen Bonaire, Sint Eustatius of Saba, de desbetreffende gemeentelijke gezondheidsdienst draagt er op verzoek van betrokkene, gedaan met een mobiele applicatie of webapplicatie, zorg voor dat de persoonsgegevens die nodig zijn voor het aanmaken van een vaccinatiecertificaat op zodanige wijze verstrekt worden dat betrokkene door middel van de:

    • a. mobiele applicatie een digitaal vaccinatiecertificaat kan aanmaken;

    • b. webapplicatie een vaccinatiecertificaat kan aanmaken om op papier af te drukken.

  • 2. Indien bij het aanmaken van een vaccinatiecertificaat met de mobiele applicatie of de webapplicatie uit raadpleging van persoonsgegevens waarover de gemeentelijke gezondheidsdienst beschikt blijkt dat betrokkene geïnfecteerd is geweest met het virus SARS-CoV-2, wordt de vaccinatiecyclus reeds als voltooid aangemerkt na toediening van de eerste dosis van een vaccinatie die uit twee doses bestaat.

Artikel 7

De tester die een test op infectie met het virus SARS-CoV-2 heeft uitgevoerd waarvan de uitslag positief is, draagt er op verzoek van betrokkene, gedaan met een mobiele applicatie of webapplicatie, zorg voor dat de persoonsgegevens die nodig zijn voor het aanmaken van een herstelcertificaat op zodanige wijze verstrekt worden dat betrokkene door middel van de:

  • a. mobiele applicatie een digitaal herstelcertificaat kan aanmaken;

  • b. webapplicatie een herstelcertificaat kan aanmaken om op papier af te drukken.

Artikel 8

  • 1. Op verzoek van betrokkene wordt een testcertificaat op papier verstrekt door de tester die een test op infectie met het virus SARS-CoV-2 heeft uitgevoerd waarvan de uitslag negatief is, een vaccinatiecertificaat op papier door de vaccineerder of, indien het vaccin is toegediend in de openbare lichamen Bonaire, Sint Eustatius of Saba, de desbetreffende gemeentelijke gezondheidsdienst, en een herstelcertificaat op papier door de tester die een test op infectie met het virus SARS-CoV-2 heeft uitgevoerd waarvan de uitslag positief is. De daarvoor benodigde persoonsgegevens worden verwerkt met een portalapplicatie.

  • 2. Een vaccinatiecertificaat of herstelcertificaat op papier kan voorts op telefonisch verzoek van betrokkene per post worden verstrekt door het CIBG door middel van een portalapplicatie, indien:

    • a. betrokkene identificerende persoonsgegevens kan verstrekken;

    • b. de daarvoor benodigde persoonsgegevens beschikbaar zijn gesteld door de vaccineerder respectievelijk de tester die een test op infectie met het virus SARS-CoV-2 heeft uitgevoerd waarvan de uitslag positief is; en

    • c. betrokkene is ingeschreven in de basisregistratie personen.

  • 3. Artikel 6, tweede lid, is van overeenkomstige toepassing op een vaccinatiecertificaat als bedoeld in het eerste en tweede lid.

Artikel 9

Personen of organisaties die verplicht of bevoegd zijn te verifiëren of betrokkene beschikt over een bepaald certificaat of een daarmee ingevolge artikel 3, tiende lid, of 8, tweede lid, van de verordening gelijk gesteld certificaat, verwerken de daartoe noodzakelijke persoonsgegevens.

Artikel 10

Personen en organisaties verwerken bij de uitvoering van de verordening en deze regeling de gegevens en persoonsgegevens die noodzakelijk zijn voor het realiseren van de gegevensuitwisseling ter uitvoering van de verordening en deze regeling.

Artikel 11

Deze regeling wordt aangehaald als: Tijdelijke spoedregeling DCC.

Artikel 12

Deze regeling treedt in werking met ingang van 1 juli 2021 en vervalt op 1 oktober 2021.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge

TOELICHTING

Algemeen

Inleiding

Op 1 juli 2021 treedt in werking de verordening (EU) 2021/953 van het Europees Parlement en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren (hierna: verordening of Vo). De verordening verplicht de lidstaten of door de lidstaten aangewezen instanties tot het uitgeven van certificaten betreffende vaccinatie tegen, negatieve test op en herstel van een infectie met het virus SARS-CoV-2 (hierna: coronavirus). De certificaten worden volgens de verordening automatisch of op verzoek verstrekt. Certificaten kunnen zowel digitaal als in papieren vorm worden afgegeven. De verordening schrijft bovendien het opstellen en onderhouden van een door de Europese Commissie en lidstaten gebouwd trusted framework voor, een infrastructuur waarmee de authenticiteit van een certificaat kan worden geverifieerd. Lidstaten moeten elkaars certificaten aanvaarden. De verordening bevat juridische grondslagen voor het verwerken van de (medische) persoonsgegevens die nodig zijn voor het uitgeven en verifiëren van de certificaten. De verordening kent een werkingsduur van 12 maanden. Afhankelijk van de epidemiologische situatie met betrekking tot de pandemie van covid-19, kan in Europees verband eventueel besloten worden tot verlenging.

De verordening heeft rechtstreekse werking. Desalniettemin zijn enkele aanvullende regels nodig ter uitvoering van de verordening. Zo biedt de verordening de ruimte om instanties aan te wijzen voor de afgifte van certificaten (artikel 3, tweede lid, Vo). Daarnaast gaat de verordening uit van decentrale gegevensbronnen, terwijl het in de Nederlandse situatie efficiënter is gegevens te betrekken van een ander dan de toediener van een vaccin voor een vaccinatiecertificaat (artikel 10, lid 7, Vo). Ook in Bonaire, Sint Eustatius of Saba worden namens de Minister van Volksgezondheid, Welzijn en Sport (VWS) certificaten verstrekt (artikel 8, vijfde lid, Vo). Voorts is het van belang bepaalde uitvoeringsmodaliteiten vast te leggen. Geregeld dient te worden dat:

  • certificaten in Nederland alleen op verzoek worden uitgegeven;

  • voor de uitgifte bepaalde applicaties gebruikt worden;

  • de Minister van VWS de certificaten digitaal ondertekent, betrokkene een certificaat kan afdrukken en de zorgaanbieder die de test of vaccinatie heeft uitgevoerd en de helpdesk bij het agentschap Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) van het Ministerie van VWS het desbetreffende certificaat op papier kan verstrekken;

  • gegevens behalve van de zorgaanbieder die de test of vaccinatie heeft uitgevoerd, ook verkregen kunnen worden van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) en de gemeentelijke gezondheidsdienst (GGD);

  • persoonsgegevens verwerkt mogen worden bij de controle van een certificaat;

  • de voor het gegevensverkeer benodigde persoonsgegevens verwerkt mogen worden.

Deze regels worden in de artikelsgewijze toelichting op de daartoe strekkende bepalingen nader toegelicht.

Met de Tijdelijke wet coronatoegangsbewijzen (Twc; Stb. 2021, 240), die op 1 juni 2021 in werking is getreden, is aan de Wet publieke gezondheid (Wpg) artikel 6ba toegevoegd om een grondslag te creëren voor het stellen van regels ter uitvoering van de verordening. Het vierde lid van deze bepaling biedt de mogelijkheid in geval van spoed deze regels gedurende ten hoogste drie maanden per ministeriële regeling te stellen, in plaats van bij of krachtens algemene maatregel van bestuur. Een algemene maatregel van bestuur dient ingevolge artikel 6ba, derde lid, gedurende een week te worden voorgehangen bij het parlement; daarnaast vergt een algemene maatregel van bestuur besluitvorming door de ministerraad, advisering door de Autoriteit Persoonsgegevens (AP) en de Raad van State alsmede vaststelling bij koninklijk besluit. De termijn tot inwerkingtreding van de verordening op 1 juli a.s. is te kort om dit proces tijdig te doorlopen. Daarom is gekozen voor een tijdelijke ministeriële regeling; hiervoor is wel advisering door de AP vereist. Uiterlijk 1 oktober 2021 zal alsnog de algemene maatregel van bestuur tot stand worden gebracht.

Uitvoering

De uitvoering van de verordening vertoont grote overlap met de uitvoering van de Tijdelijke wet coronatoegangsbewijzen. Een belangrijk verschil met de nationale coronatoegangsbewijzen is dat de Europese certificaten meer gegevens bevatten en dat deze gegevens ook kunnen worden gelezen bij het tonen van het certificaat. De nationale coronatoegangsbewijzen zijn er speciaal om toegang te verkrijgen tot bepaalde activiteiten of voorzieningen in Nederland waar dat is voorgeschreven. De Europese certificaten zijn vooral van belang voor reizen naar en verblijf in de Europese Unie. Overigens kunnen Europese certificaten die zijn uitgegeven door andere lidstaten, ook worden gebruikt om toegang te krijgen tot activiteiten of voorzieningen in Nederland waar een coronatoegangsbewijs is voorgeschreven; deze certificaten worden op dezelfde manier gelezen door de applicatie CoronaCheck Scanner. Certificaten die door Nederland zijn uitgeven, zijn niet bruikbaar om toegang te krijgen tot activiteiten of voorzieningen in Nederland waar een coronatoegangsbewijs is voorgeschreven. Betrokkene beschikt daarvoor over een coronatoegangsbewijs. Voor meer informatie over coronatoegangsbewijzen wordt kortheidshalve verwezen naar de memorie van toelichting (Kamerstukken II 2020/21, 35 807, nr. 3), en de toelichtingen bij de desbetreffende wijzigingsregelingen (Stcrt. 2021, 28498 en 33032).

Certificaten worden uitsluitend op verzoek van betrokkene uitgegeven en daaraan zijn voor de ontvanger geen kosten verbonden. Zij kunnen op drie manieren verkregen worden. Digitale certificaten worden beschikbaar gesteld in een applicatie. Dat zal verreweg de meest gebruikte methode zijn. Certificaten op papier kan men zelf afdrukken dan wel verkrijgen bij de zorgaanbieder. Een vaccinatiecertificaat op papier wordt verstrekt door de zorgaanbieder die één of beide vaccins heeft toegediend. Een testcertificaat op basis van een negatieve testuitslag wordt op papier verstrekt door de zorgaanbieder die de test heeft uitgevoerd; een herstelcertificaat op basis van een positieve testuitslag wordt op papier eveneens verstrekt door de zorgaanbieder, veelal de GGD, die de test heeft uitgevoerd. Daarnaast kunnen vaccinatie- en herstelcertificaten op papier worden verkregen van de helpdesk bij het CIBG, tegelijk met coronatoegangsbewijzen op papier. Alle digitale en papieren certificaten worden aangemaakt met applicaties die door de Minister van VWS beschikbaar zijn gesteld. Voor betrokkenen zijn dit mobiele applicaties voor smartphones die draaien op Android of iOS en webapplicaties die draaien op de meest gangbare internetbrowsers; voor zorgaanbieders en helpdesk zijn er portalapplicaties die eveneens draaien op de meest gangbare internetbrowers. Alle certificaten worden voorzien van een digitale handtekening van de Minister van VWS.

Het streven is de mobiele applicatie CoronaCheck medio juli 2021 aan te passen, zodat betrokkene een certificaat op papier met die applicatie kan omzetten naar een digitaal certificaat. Dat kan eenvoudig door de QR-code in te lezen. Waarschijnlijk is daarvoor een wijziging van deze regeling nodig.

De bron van de gegevens die ingevolge de verordening opgenomen dienen te worden in de certificaten, ligt bij de zorgaanbieder die het vaccin heeft toegediend of de test heeft uitgevoerd.

Het RIVM beschikt over het COVID-vaccinatie Informatie- en Monitoringsysteem (CIMS). Dit systeem is opgezet om informatie te vergaren ten behoeve van de infectieziektebestrijding; ook kunnen gevaccineerde personen zo nodig geïnformeerd worden over bijwerkingen van vaccins. Verreweg de meeste gevaccineerde personen geven toestemming om de vaccinatiegegevens op te nemen in CIMS. Dan verstrekt de zorgaanbieder die het vaccin heeft toegediend, de gegevens aan het RIVM. Deze gegevens kunnen op basis van deze regeling ook worden gebruikt om op verzoek van betrokkene een vaccinatiecertificaat uit te geven. Wanneer de gegevens niet in CIMS staan, worden ze verkregen van de toediener van het vaccin. De toedieners van vaccins zijn onder meer de GGD'en, de ziekenhuizen en de huisartsen. Op dit moment is er alleen een directe koppeling met de systemen van de GGD'en. Daar worden de vaccinatiegegevens geautomatiseerd gezocht en opgehaald. Ziekenhuizen en huisartsen kunnen via de portalapplicatie een vaccinatiebewijs maken voor mensen die geen toestemming hebben gegeven om hun gegevens in CIMS op te nemen. Huisartsinformatiesystemen die ook direct benaderbaar zijn, kunnen later alsnog worden aangesloten.

Zorgaanbieders die testen uitvoeren ten behoeve van een negatieve uitslag, kunnen zich direct aansluiten op de applicaties voor het genereren van testcertificaten. GGD'en worden eveneens aangesloten voor het beschikbaar stellen van negatieve uitslagen.

De positieve uitslagen van testen die zijn uitgevoerd door GGD'en en andere zorgaanbieders kunnen gebruikt worden voor herstelcertificaten.

Bescherming persoonsgegevens

Voor het afgeven, verifiëren en aanvaarden van certificaten worden persoonsgegevens verwerkt, waaronder persoonsgegevens betreffende de gezondheid in de zin van artikel 4, onderdeel 15, van de Algemene verordening gegevensbescherming (AVG). Verwerking van deze gegevens is verboden (artikel 9, eerste lid AVG). Dit verbod is niet van toepassing indien de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene (artikel 9, tweede lid, onder g, AVG). Daaraan wordt voldaan met de verordening. Deze verwerking is voorts rechtmatig te achten, aangezien de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (artikel 6, eerste lid, onder c, AVG). In casu betreft het de uitvoering van de verordening, zoals in artikel 1 Vo uitdrukkelijk is vastgelegd, en de daartoe gestelde regels op grond van artikel 6ba Wpg, welke bepaling om elk misverstand uit te sluiten wordt aangevuld met een expliciete grondslag wat betreft het regelen van de verwerking van (medische) persoonsgegevens (Kamerstukken II 2020/21, 35 853, nr. 1-2). Deze rechtvaardiging wordt ook aangevoerd in overweging 48 van de verordening. Het behoeft geen betoog dat het in het licht van de pandemie van covid-19 van groot belang is maatregelen te kunnen treffen ter bestrijding van de verspreiding van het coronavirus. Eén van die maatregelen kan zijn het vereiste om aan te tonen dat men gevaccineerd is tegen, negatief getest is op of hersteld is van een infectie met het coronavirus. Met het oog op het bevorderen van het vrij verkeer van personen voorziet de verordening in afgifte, verificatie en aanvaarding van interoperabele vaccinatie-, test- en herstelcertificaten. Hiermee is het doel van de gegevensverwerking voor certificaten afgebakend. De ingevolge de verordening in de certificaten op te nemen persoonsgegevens zijn tot het minimum beperkt. Tevens wordt een trusted framework ingericht die met de bijbehorende specificaties borgt dat voldaan wordt aan de eisen van de AVG, onder meer wat betreft de juistheid en beveiliging van persoonsgegevens. De introductie van certificaten levert een aanzienlijke beperking op van de mogelijkheden om fraude te plegen met allerhande bewijzen van vaccinatie tegen, test op of herstel van een infectie met het coronavirus. De wijze waarop de uitgifte, verificatie en aanvaarding van certificaten vorm is gegeven, brengt het risico op fraude nog verder terug.

Bij het proces tot verstrekking van certificaten worden behalve de ingevolge de verordening in een certificaat op te nemen (medische) persoonsgegevens ook persoonsgegevens verwerkt die nodig zijn om het daarvoor noodzakelijke gegevensverkeer in goede banen te leiden. Een belangrijk voorbeeld daarvan is het gebruik van het burgerservicenummer om te waarborgen dat de gegevens betrekking hebben op de juiste persoon. Zorgaanbieders en overheidsorganen zoals GGD'en, het RIVM en de Minister van VWS zijn reeds bevoegd en zelfs gehouden om het burgerservicenummer te gebruiken op grond van artikel 10 e.v. van de Wet algemene bepalingen burgerservicenummer en artikel 4 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Bij het gegevensverkeer worden daarnaast gegevens gebruikt zoals een IP-adres of unieke inlogcodes. De onderhavige regeling biedt daarvoor de juridische grondslag.

Er worden geen regels gesteld aan de aansluiting van zorgaanbieders, de GGD'en en het RIVM op de applicaties voor de afgifte van certificaten of het gebruik van de applicaties voor het tonen en lezen van een certificaat. Het ontwerp van de applicaties en de privaatrechtelijke aansluit- en gebruiksvoorwaarden bieden de benodigde waarborgen tegen verlies of onrechtmatige verwerking voor een verantwoorde inzet van coronatoegangsbewijzen, ook vanuit het oogpunt van privacy. Dit is derhalve dezelfde benadering als is gehanteerd bij coronatoegangsbewijzen.

Voor het uitgeven, tonen en lezen van certificaten moet door de Minister van VWS beschikbaar gestelde software worden gebruikt. Dat zijn CoronaCheck en de portalapplicatie voor het maken van digitale certificaten, de webapplicatie en de portalapplicatie voor het maken van een papieren certificaat en CoronaCheck Scanner voor het lezen van een digitaal of papieren certificaat. Teneinde de persoonsgegevens voor certificaten beschikbaar te kunnen maken, treft de Minister van VWS verder de benodigde technische voorzieningen om zorgaanbieders, GGD'en en het RIVM in staat te stellen hun automatiseringssystemen voor dit doel aan te sluiten op CoronaCheck, de webapplicatie en de portalapplicatie. Bij het aanbieden van deze software worden gebruiks- en aansluitvoorwaarden gesteld, waarbij het vooral om veiligheid en betrouwbaarheid van de gegevens en het gegevensverkeer gaat. Elk certificaat is ook weer met het oog op de veiligheid en betrouwbaarheid voorzien van een digitale handtekening van de Minister van VWS.

Door dit samenstel van software, voorwaarden en handtekeningen heeft de Minister van VWS direct controle over de condities voor het uitgeven, verifiëren en aanvaarden van certificaten. De voorwaarden worden door de Minister van VWS opgesteld. Wanneer deze niet worden geaccepteerd of nagekomen, kan de software niet in werking worden gesteld respectievelijk buiten werking worden gesteld. De software wordt door de Minister van VWS ontwikkeld en onderhouden. Bij het ontwikkelen van de software zijn privacy en security by design het vertrekpunt geweest. Dataminimalisatie en beveiliging van persoonsgegevens zijn ingebouwd in de software. Bescherming van persoonsgegevens wordt ook geborgd in de aansluit- en gebruiksvoorwaarden. Waar nodig zal ook de omgeving waarin de software functioneert worden getoetst. Een en ander betekent bijvoorbeeld dat verouderde versies van de applicaties CoronaCheck en CoronaCheck Scanner niet gebruikt kunnen worden of dat deze applicaties niet gebruikt kunnen worden op verouderde besturingssystemen.

Het proces tot uitgifte van een digitaal certificaat verloopt geautomatiseerd en het al dan niet beschikken over een certificaat kan betrokkene in aanmerkelijke mate raken – bijvoorbeeld indien een certificaat vereist wordt bij het reizen. Aangezien desgewenst door menselijke tussenkomst ook een certificaat op papier kan worden verkregen, is geen sprake van schending van artikel 22, eerste lid, AVG. Betrokkene is immers niet uitsluitend onderworpen aan geautomatiseerde besluitvorming.

Voorts is rekening gehouden met de samenhang tussen Nederlandse coronatoegangsbewijzen en Europese certificaten. Toegang tot een activiteit of voorziening waar een coronatoegangsbewijs is verplicht, moet ook met een certificaat van een andere lidstaat worden verkregen. Dit vloeit voort uit het vrij verkeer (artikel 21 Verdrag betreffende de werking van de Europese Unie (VWEU)). Bij het lezen van een certificaat met CoronaCheck Scanner voor het verlenen van deze toegang, zal – net als bij Nederlandse coronatoegangsbewijzen – het beeldscherm alleen rood of groen kleuren en in het laatste geval uitsluitend de initialen en geboortemaand- en dag van betrokkene tonen.

Caribisch Nederland

In Bonaire, Sint Eustatius en Saba (BES) worden namens de Minister van VWS certificaten uitgegeven. Dit zijn gebieden overzee als bedoeld in artikel 355, lid 2, VWEU en opgenomen in bijlage II van het VWEU. Gelet op artikel 8, vijfde lid, tweede volzin, Vo en overweging 23, geldt de verordening – en daarmee de onderhavige regeling – ook voor die certificaten. Omdat de meeste inwoners van de BES-eilanden geen burgerservicenummer hebben, wordt daar ingezet op het verstrekken van certificaten op papier. Curaçao, Aruba en Sint Maarten (CAS) geven zelf certificaten uit.

Financiële gevolgen

De verordening bepaalt dat certificaten kosteloos worden verstrekt (artikel 3, vierde lid, Vo). In geval van herhaaldelijk verlies kan wel een passende vergoeding in rekening worden gebracht. Vooralsnog zal van deze mogelijkheid geen gebruik worden gemaakt. Aldus wordt ook voorkomen dat bijgehouden dient te worden of en zo ja, hoe vaak aan iemand een certificaat is verstrekt.

GGD’en, het RIVM en zorgaanbieders zullen uitvoeringskosten maken voor de afgifte van certificaten. De kosten voor de aansluiting van hun automatiseringssystemen op de applicaties voor het genereren van certificaten zullen eenmalig zijn. GGD'en krijgen deze kosten vergoed via de meerkostenregeling, net als hun kosten voor eventuele uitgifte van het certificaat. Voor zorgaanbieders die worden gecontracteerd voor het uitvoeren van testen, maakt de vergoeding deel uit van de overeenkomst.

Regeldruk

Het effect van deze regeling op de regeldruk is minimaal. De toediener van de vaccinatie is al verplicht de vaccinatie te registreren; ook de uitvoerders van testen waarop een test- of herstelcertificaat kan worden gestoeld, hebben een medisch dossier aan te houden. Wanneer een zorgaanbieder rechtstreeks door betrokkene benaderd wordt om een certificaat te genereren door de gegevens in te voeren in een portalapplicatie die door de Minister van VWS wordt ontwikkeld, ontstaan wel enige administratieve lasten. Dit zal naar verwachting vooral beperkt zijn tot personen die in het geheel niet beschikken over ICT-middelen of ook geen beroep kunnen doen op hun omgeving om met behulp van de webapplicatie een certificaat op papier af te drukken. Daarnaast kan het gaan om mensen zonder burgerservicenummer of waarvan de gegevens omtrent vaccinatie, test of herstel niet of niet volledig zijn opgenomen in het systeem van de zorgaanbieder. Het is ook mogelijk dat de gegevens zijn opgenomen in het systeem van een zorgaanbieder die niet is aangesloten op de mobiele applicatie CoronaCheck of de webapplicatie coronacheck.nl. In deze laatste gevallen kan ook geen gebruik gemaakt worden van de helpdesk van het CIBG.

Voor de BES-eilanden zal deze methode standaard worden gehanteerd om een certificaat te genereren. Vanwege de kleine bevolkingsaantallen op de BES-eilanden zal ook daar de regeldruk aanvaardbaar zijn, ondanks de hogere administratieve lasten.

Toezicht en handhaving

Voor toezicht en handhaving wordt aangesloten bij hetgeen reeds is bepaald in de Wpg. Toezicht en handhaving bij de uitgifte van certificaten is gericht op zorgaanbieders. Zij hebben tot taak om de gegevens aan te leveren die nodig zijn voor de uitgifte van certificaten. Daarbij dienen zij de wettelijke voorschriften in acht te nemen met betrekking tot de gegevensverwerking. Behalve de verordening en de onderhavige regeling zijn dat de AVG, de bepalingen in Boek 7, Titel 7, Afdeling 5, van het Burgerlijk Wetboek (BW) omtrent de geneeskundige behandelingsovereenkomst en de eisen omtrent de kwaliteit van zorg in de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Op de naleving van de AVG en de Wet bescherming persoonsgegevens BES (Wbp-BES) wordt toegezien door de AP respectievelijk de Commissie toezicht bescherming persoonsgegevens BES (CPB-BES). Daarnaast heeft de Inspectie gezondheidszorg en jeugd (IGJ) als taak toezicht te houden op de wijze waarop zorgorganisaties en zorgprofessionals vanuit hun professionaliteit invulling geven aan goede zorg (Wkkgz) en de professionele afwegingen die daarbij worden gemaakt. Het toezicht van de inspectie strekt zich in dit verband uit tot de kwaliteit en veiligheid van de zorgverlening. De inspectie toetst in de praktijk onder meer of de randvoorwaarden voor goede en veilige zorg aanwezig zijn. Daarbij gaat de aandacht ook uit naar het aanleggen en onderhouden van het medisch dossier van betrokkene als bedoeld in het BW. Deze rol sluit aan bij de aanwijzing als toezichthouder op de naleving van de Wpg, waarop deze regeling is gebaseerd. AP, CBP-BES en IGJ kunnen de handhavingsinstrumenten inzetten die op grond van de AVG en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de Wbp-BES, respectievelijk de Wkgkz en de Wpg zijn toebedeeld.

Wat betreft het RIVM en de GGD'en wordt nog opgemerkt dat deze ook bestuurlijk kunnen worden aangesproken op een adequate uitvoering van de verordening en de regeling. Het RIVM ressorteert onder de Minister van VWS en de GGD'en vallen onder de colleges van burgemeester en wethouders, al dan niet via een gemeenschappelijke regeling.

Toezicht en handhaving bij de verificatie en aanvaarding van certificaten zijn wat betreft de aanwending van certificaten voor het verkrijgen van toegang tot activiteiten en voorzieningen waarvoor een coronatoegangsbewijs is voorgeschreven, gericht op de organisator van de activiteiten en beheerder van de voorzieningen. Zij hebben de regels in acht te nemen die bij of krachtens de Wpg daarvoor gesteld zijn en op de naleving waarvan toezicht en handhaving in die wet is geregeld. Voor de goede orde wordt opgemerkt dat de IGJ geen rol heeft bij het toezicht op de verificatie en aanvaarding van certificaten.

Voor zover anderen bij wettelijk voorschrift verplicht of bevoegd zijn tot verificatie en aanvaarding van certificaten, bijvoorbeeld bij internationaal personenvervoer, zullen toezicht en handhaving verlopen overeenkomstig hetgeen ten aanzien van de desbetreffende regelgeving is bepaald. Daarbij dient de verordening in acht genomen te worden. Zo dienen certificaten zowel digitaal, als op papier geaccepteerd te worden en is het verboden om de persoonsgegevens daarna te bewaren. Daarnaast is ook voor de verificatie en aanvaarding van certificaten van belang dat de AP ten algemene de toezichthouder is wat betreft de verwerking van persoonsgegevens.

Rechtsbescherming

De afgifte van een certificaat is niet aan te merken als een besluit in de zin van de Algemene wet bestuursrecht (Awb). Een certificaat is immers niet meer dan een bewijsstuk van een feitelijke medische situatie, namelijk een toegediende vaccinatie tegen of uitgevoerde test op infectie met het coronavirus, zoals genoemd in de verordening. De uitgifte door de Minister van VWS is niet gericht op enig rechtsgevolg. Ook de verordening verbindt geen juridische consequenties aan het al dan niet bezitten van een certificaat. Tegen de uitgifte van een certificaat staat derhalve geen bestuursrechtelijke rechtsbescherming open.

Civielrechtelijke rechtsbescherming kan wel aan de orde zijn. Ten eerste wanneer zorgaanbieders, het RIVM, GGD'en of de Minister van VWS tekortschieten in de vervulling van hun taken voor de uitgifte, verificatie en aanvaarding van certificaten. Een vordering uit onrechtmatige daad behoort tot de mogelijkheden.

Ten tweede bij de applicaties voor het genereren en lezen van een certificaat (CoronaCheck, webapplicatie, portalapplicatie en CoronaCheck Scanner). Bij de installatie van deze applicaties worden voor akkoord voorwaarden gepresenteerd. Het gaat hier bijvoorbeeld om de voorwaarde om de meest recente versie van de applicatie te laten functioneren op een recent besturingssysteem. Zonder akkoord zijn de applicaties niet te installeren. Handelen in strijd met de voorwaarden kan ertoe leiden dat de applicatie buiten gebruik wordt gesteld.

Verder worden overeenkomsten gesloten met zorgaanbieders over de aansluiting op de applicaties voor genereren en het tonen van het certificaat (CoronaCheck, webapplicatie en portalapplicatie). In deze overeenkomsten worden onder meer eisen gesteld aan de automatiseringssystemen en de wijze van verwerking van (persoons)gegevens. Deze eisen zijn van belang voor de validatie van de (persoons)gegevens die gebruikt wordt voor het certificaat. Wanneer niet of niet meer aan deze eisen voldaan wordt, wordt de aansluiting niet gerealiseerd of beëindigd. Rechtsbescherming verloopt ook hier langs privaatrechtelijke weg.

Volledigheidshalve wordt tot slot nog geattendeerd op de mogelijkheid om een klacht in te dienen bij een bestuursorgaan of een zorgaanbieder en om een melding te doen bij toezichthouders zoals de AP, CBP-BES en de IGJ over vermeende schendingen van respectievelijk de bescherming van persoonsgegevens of de kwaliteit van zorg.

Advisering en consultatie

Deze regeling is op 14 juni 2021 voor advies voorgelegd aan het Adviescollege toetsing regeldruk (ATR) en de AP. Ook is de regeling geconsulteerd bij de CBP-BES en de openbare lichamen BES. Voor deze advisering en consultatie is een reactietermijn van één week gehanteerd vanwege het spoedeisend karakter van deze regeling. Met (belangen)organisaties die betrokken zijn bij de uitvoering van deze regeling, worden doorlopende gesprekken gevoerd over de implementatie.

Het Adviescollege toetsing regeldruk (ATR) bij brief van 17 juni 2021, kenmerk MvH/RvZ/MK/cd/ATR1789/2021-U054, advies uitgebracht. Het college adviseert duidelijkheid te verschaffen over de uitvoering van het Europees certificaat per 1 juli 2021, met bijzondere aandacht voor hoe en bij welke persoon of instantie de burger het certificaat kan krijgen. Voorts adviseert het college de uitvoering zo te organiseren dat bij gebrekkige uitvoering van de regelgeving de minister of de bevoegde instantie voor een snelle oplossing voor de burger zorg draagt. Naar aanleiding daarvan wordt het volgende opgemerkt. De onderhavige regeling specificeert op welke wijze een certificaat verkregen kan worden en wie daarbij betrokken zijn. Over de uitvoering van de verordening zal omvangrijke voorlichting gegeven worden. Deze voorlichting bestaat uit een publiciteitscampagne en informatievoorziening via het internet. Verder kunnen burgers met hun vragen terecht bij ‘24/7 BZ Informatiepunt’ van het Ministerie van Buitenlandse Zaken, in het bijzonder waar het reizen betreft. Dit informatiepunt is te bereiken met het telefoonnummer +31 247 247 247. Daarnaast is er een ‘Publieksinformatienummer coronavirus’ waar iedereen terecht kan met vragen over het coronavirus, met inbegrip van coronatoegangsbewijzen. Het nummer daarvan is 0800 1351 (vanuit het buitenland +312 0205 1351). Indien nodig, kunnen het informatiepunt en het publieksinformatienummer betrokkene doorverbinden naar de helpdesk van het CIBG dat speciaal is ingericht voor het verstrekken van certificaten op papier. Terecht wijst het college op de mogelijkheid dat zich bij het verschaffen van certificaten problemen kunnen voordoen. Wanneer er via het informatiepunt, het publieksinformatienummer of de helpdesk geen oplossing geboden kan worden, kan de burger zich wenden tot zijn zorgaanbieder. Deze kan met behulp van de portalapplicatie een certificaat op papier aanmaken voor zijn cliënt. Naar verwachting zal medio juli 2021 deze regeling worden aangepast, zodat een certificaat op papier met de mobiele applicatie CoronaCheck kan worden omgezet naar een digitaal certificaat door de QR-code in te lezen. Dat de burger zich in dergelijke gevallen uiteindelijk tot zijn zorgaanbieder moet wenden, vloeit voort uit het decentrale karakter van het zorgstelsel in Nederland. Om dit zoveel mogelijk te voorkomen, is de inzet er op gericht de gegevens die bij de zorgaanbieders berusten langs digitale weg te ontsluiten zodat de burger met de mobiele applicatie CoronaCheck en de webapplicatie coronacheck.nl op eenvoudige wijze kan beschikken over de gewenste certificaten.

De AP heeft op 22 juni 2021, kenmerk z2021-11575, advies uitgebracht. Ten eerste adviseert de AP in deze tijdelijke regeling en in de regeling voor de coronatoegangsbewijzen gebruik van het CIMS voor afgifte van certificaten te expliciteren. Dit advies is overgenomen door in artikel 6 tot uitdrukking te brengen dat het RIVM nagaat of de benodigde vaccinatiegegevens in het CIMS zijn opgenomen. Met een separate wijziging van de Trm zal dat ook zo worden geregeld voor coronatoegangsbewijzen. Van verankering van het CIMS bij formele wet, zoals door de AP voorgesteld, kan uiteraard geen sprake zijn in het kader van de lagere regelgeving ter uitvoering van de verordening. Besluitvorming hierover zal later plaatsvinden.

Ten tweede adviseert de AP een expliciete gelijkstelling van (bepaalde) DCC’s met coronatoegangsbewijzen in de tekst van de regeling op te nemen. Naar aanleiding hiervan wordt er op gewezen dat de door de AP gewenste wettelijke basis reeds bestaat. Hoofdstuk Va Wpg bevat de grondslag voor de inzet van coronatoegangsbewijzen. Op basis daarvan zijn in de Trm regels gesteld met betrekking tot coronatoegangsbewijzen. Deze brengen een verplichting mee om een coronatoegangsbewijs te tonen, zodat deze tezamen met de identiteit gecontroleerd kan worden alvorens toegang te verschaffen tot activiteiten of voorzieningen waar deze bewijzen zijn voorgeschreven. De verordening bepaalt dat in dergelijk gevallen in plaats van een coronatoegangsbewijs ook een DCC gebruikt moet kunnen worden. Wanneer een lidstaat een test-, vaccinatie- of herstelbewijs aanvaardt om vrijstelling te verlenen van overeenkomstig het Unierecht ingestelde beperkingen van het vrije verkeer om de verspreiding van het coronavirus in te dammen, moet onder dezelfde voorwaarden ook een test-, vaccinatie of herstelcertificaat worden aanvaard die door andere lidstaten overeenkomstig de verordening zijn afgegeven (artikelen 5, vijfde lid, 6, vijfde lid, en 7, achtste lid, Vo).

Ten derde adviseert de AP de toelichting op drie punten aan te vullen. Dit advies is overgenomen door in de inleiding de indruk weg te nemen dat over een ministeriële regeling geen advies van de AP ingewonnen hoeft te worden (punt i). De opmerking van de AP over certificaten voor in derde landen toegediende vaccins, is niet meer van belang aangezien de desbetreffende bepaling is geschrapt (punt ii). Verder twijfelt de AP terecht aan de meerwaarde van de voorgestelde artikelen 9, 10 en 11 ten opzichte van hetgeen al is geregeld in de verordening (punt iii). Daarom geeft de AP in overweging die artikelen toe te lichten of te schrappen.

Om te beginnen met het voorgestelde artikel 9. Zoals hierboven reeds opgemerkt schrijft de verordening voor dat een DCC gebruikt moet kunnen worden wanneer daarmee kan worden aangetoond te zijn getest, gevaccineerd of hersteld. Dat bewijs kan in diverse situaties verlangd worden, terwijl artikel 10, derde lid, Vo is beperkt tot reizen. Juist om boven elke twijfel te verheffen dat ook in andere situaties dan reizen DCC gebruikt kunnen worden, is in artikel 9 van deze regeling een algemener geformuleerde bepaling opgenomen.

In het voorgestelde artikel 10 van deze regeling werd ten behoeve van de leesbaarheid één keer bepaald dat het in de voorgaande bepalingen ook om medische persoonsgegevens kan gaan. Dit artikel is geschrapt, omdat uit de verordening en deze regeling ter uitvoering van de verordening reeds voortvloeit dat er medische persoonsgegevens verwerkt worden bij de uitgifte, verificatie en aanvaarding van certificaten.

Ook het eerste lid van het voorgestelde artikel 11 van deze regeling is naar aanleiding van het advies van de AP geschrapt. Gelet op de rechtstreekse werking van de verordening en de verbindendheid van de uitvoeringshandelingen van de Europese Commissie, hoeft niet geregeld te worden dat de artikelen 9 en 10 Vo in acht genomen moeten worden bij de uitvoering van deze regeling. Voor het overige is artikel 11, thans artikel 10, van deze regeling gehandhaafd om de grondslag zeker te stellen voor de verwerking van persoonsgegevens die – in aanvulling op de inhoud van een certificaat – nodig zijn om certificaten uit te geven, te verifiëren en te aanvaarden.

De CBP-BES heeft op 23 juni 2021, kenmerk CBP/WA2021-04, advies uitgebracht. Ten eerste merkt de CBP-BES op dat de regeling en de beschrijving van de uitvoering daarvan nog onvoldoende duidelijk maken hoe de uitgifte van certificaten en de verwerking van persoonsgegevens vorm krijgt in de openbare lichamen Bonaire, Sint Eustatius en Saba. Naar aanleiding daarvan wordt het volgende opgemerkt. Ten opzichte van het ontwerp dat aan de CBP-BES is voorgelegd, is uitdrukkelijk bepaald dat de regeling ook van toepassing is in de openbare lichamen Bonaire, Sint Eustatius en Saba. Verder is de regeling waar nodig gespecificeerd naar de BES-eilanden. Zo zijn de afdelingen Publieke gezondheid van de openbare lichamen in de regeling opgenomen. Inwoners van de BES kunnen met hun vragen terecht bij ‘24/7 BZ Informatiepunt’ en het ‘Publieksinformatienummer coronavirus’. Het is echter niet mogelijk dat het CIBG hen certificaten op papier verstrekt; dat is nu expliciet geregeld. Aangezien het op de BES-eilanden niet mogelijk is langs digitale weg de gegevensbronnen te ontsluiten, worden certificaten daar uitsluitend op papier verstrekt. Dit vloeit voort uit de bepalingen van de regeling en kan ook het geval zijn in het Europese deel van Nederland. Daarvoor gebruiken zorgaanbieders, net als in het Europese deel van Nederland, de portalapplicatie. De certificaten op papier kunnen vervolgens door de inwoners van de BES in persoon worden afgehaald bij hun zorgaanbieder. De toelichting op de regeling bevat een algemene beschrijving van met name het proces van uitgifte van certificaten. Er wordt niet ingegaan op verschillen tussen diverse sectoren in de zorg of gebieden van het land. Het zou te ver voeren om in de toelichting een dergelijke differentiatie aan te brengen. De uitvoeringspraktijk zal binnen de kaders van de verordening en de regeling gaandeweg gestalte krijgen, rekening houdend met alle relevante factoren. Evenmin wordt in de toelichting ingegaan op alle eisen ter bescherming van de privacy die zorgaanbieders – ook los van deze regeling – daarbij in acht behoren te nemen.

Ten tweede wijst de CBP-BES op de gegevensuitwisseling tussen het Europees deel van Nederland waar de AVG geldt en de openbare lichamen Bonaire, Sint Eustatius en Saba waar de Wbp-BES geldt. Terecht merkt de CBP-BES op dat doorgifte van persoonsgegevens naar de BES-eilanden bij gebreke aan een adquaatheidsbesluit van de Europese Commissie alleen is toegestaan als er passende waarborgen zijn en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (artikel 46 AVG). De doorgifte van persoonsgegevens aan de BES kan op deze bepaling worden gebaseerd. Ook ten aanzien van de openbare lichamen Bonaire, Sint Eustatius en Saba geldt de opdracht van artikel 10 van de Grondwet om bij wet regels te stellen ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. De Wbp-BES geeft uitvoering aan deze grondwettelijke opdracht. De CBP-BES heeft als onafhankelijke toezichthouder de taak om toe te zien op de verwerking van persoonsgegevens overeenkomstig deze wet. Bovendien geldt in de openbare lichamen Bonaire, Sint Eustatius en Saba ook het Burgerlijk Wetboek BES, dat in Boek 7, Titel 7, Afdeling 5, regelt dat zorgaanbieders een medisch dossier van hun cliënten hebben aan te houden; die afdeling bevat onder meer bepalingen ter bescherming van de privacy van cliënten. In aanvulling daarop is van belang dat de grondslag voor en de condities waaronder de gegevensverwerking ten behoeve van certificaten wordt geboden door de verordening en de regeling zelf. Daarnaast is sprake van het hierboven in de paragraaf Bescherming persoonsgegevens bechreven samenstel van software, voorwaarden en handtekeningen waardoor heeft de Minister van VWS direct controle over de condities voor het uitgeven, verifiëren en aanvaarden van certificaten. De gegevensuitwisseling met de BES hoeft daarom niet aan verdere vereisten te voldoen.

Inwerkingtreding en verval

Deze regeling treedt tegelijk met de verordening in werking, namelijk op 1 juli 2021. Op grond van artikel 6ba, vierde lid, Wpg is de werkingsduur ten hoogste drie maanden. Daarom is bepaald dat de regeling op 1 oktober 2021 vervalt. In de tussenliggende periode zal een algemene maatregel van bestuur tot stand worden gebracht die uiterlijk 1 oktober 2021 in werking zal treden. Bij of krachtens die algemene maatregel van bestuur zullen de regels worden gesteld die nodig zijn ter uitvoering van de verordening.

Artikelsgewijs

Artikel 1

Ten behoeve van de leesbaarheid van de regeling zijn een aantal begripsbepalingen opgenomen, vaak ontleend aan de verordening. De applicatie voor het genereren van een certificaat heeft thans diverse verschijningsvormen (CoronaCheck, webapplicatie en portalapplicatie). De mobiele applicatie waarmee tevens het digitale certificaat getoond kan worden, CoronaCheck, is ook geschikt voor de Nederlandse coronatoegangsbewijzen als bedoeld in artikel 58re, eerste lid, onder a, sub 1o, Wpg.

Artikel 2

Deze regeling geldt ook voor de openbare lichamen Bonaire, Sint Eustatius en Saba. Weliswaar kan de helpdesk van het CIBG geen certificaten op papier verstrekken aan inwoners van de BES-eilanden, maar zij kunnen wel contact opnemen met ‘24/7 BZ Informatiepunt’ of het ‘Publieksinformatienummer coronavirus’ als zij vragen hebben over DCC’s. Verder zijn – waar nodig – bepalingen toegesneden op toepassing in Bonaire, Sint Eustatius en Saba.

Artikel 3

De verordening laat open of certificaten automatisch worden verstrekt of op verzoek. In artikel 3 is bepaald dat certificaten alleen op verzoek worden verstrekt. Vanwege de samenhang en gelijkenis worden op een verzoek om een nationaal coronatoegangsbewijs of een DCC beide verstrekt. Dat wordt onder meer gedaan omdat met een Nederlands DCC geen toegang kan worden verkregen tot activiteiten of voorzieningen waarvoor een nationaal coronatoegangsbewijs is voorgeschreven.

Aan een verzoek zal binnen een redelijke termijn voldaan worden. De lengte van deze termijn hangt af van de vorm en het type certificaat. Een digitaal certificaat is eerder beschikbaar dan wanneer een certificaat op papier per post wordt verzonden. Deze laatste methode is minder geschikt voor een testcertificaat vanwege de kortere periode waarin een negatieve testuitslag relevant is.

Artikel 4

De verordening bepaalt dat de lidstaat of een aangewezen instantie het certificaat verstrekt. Certificaten worden voorzien van een digitale handtekening van de Minister van VWS. Certificaten kunnen alleen worden verstrekt met software van de Minister van VWS: de applicatie CoronaCheck die draait op een smartphone van betrokkene en waarmee een digitaal certificaat kan worden verzocht en ontvangen, de webapplicatie coronacheck.nl die betrokkene kan gebruiken in een browser en waarmee een certificaat kan worden afgedrukt of de speciale portalapplicatie waarmee zorgaanbieders een certificaat op papier kunnen genereren, afdrukken en uitreiken of opsturen. Ook de helpdesk bij het CIBG gebruikt deze portalapplicatie.

Artikel 5

Betrokkene vraagt via CoronaCheck of coronacheck.nl zijn gegevens over een negatieve testuitslag op bij de uitvoerder van de test. Indien de tester is aangesloten op deze applicaties en de voor een testcertificaat benodigde gegevens beschikbaar zijn, worden deze geautomatiseerd verstrekt, voorzien van een digitale handtekening. Vervolgens kan betrokkene met de applicatie een digitaal testcertificaat genereren.

Artikel 6

Betrokkene vraagt via CoronaCheck of coronacheck.nl zijn gegevens over een vaccinatie op bij het RIVM en zo nodig, als de gegevens niet in CIMS staan, vervolgens bij de toediener van de vaccinatie. Indien het RIVM beschikt over de gegevens, worden deze geautomatiseerd verstrekt. Anders zoekt de applicatie naar de vaccineerder die de benodigde gegevens heeft. Als deze gevonden is – wat alleen mogelijk is wanneer de vaccineerder is aangesloten op de applicatie en de gegevens in zijn systeem heeft opgenomen – worden de voor een vaccinatiecertificaat benodigde gegevens geautomatiseerd verstrekt, voorzien van een digitale handtekening. Vervolgens kan betrokkene met de applicatie een digitaal vaccinatiecertificaat genereren.

Het RIVM valt als overheidsinstantie onder het begrip lidstaat van de verordening en behoeft dus niet aangewezen te worden als instantie die certificaten verstrekt. Toch wordt het RIVM vermeld in artikel 6 van deze regeling om een grondslag te bieden voor het leveren van persoonsgegevens uit het bestand dat met een ander doel is opgebouwd, namelijk CIMS. De tekst van dit artikel maakt ook duidelijk dat de gegevens in CIMS worden gebruikt voor een vaccinatiecertificaat.

Ingevolge artikel 5, derde lid, Vo moet het certificaat duidelijk vermelden of de vaccinatie voltooid is. Daarvan is uiteraard sprake als alle doses van de vaccinatiecyclus zijn toegediend. Een vaccinatie wordt ook als voltooid aangemerkt indien één van de twee doses van een cyclus is toegediend aan iemand die eerder geïnfecteerd was met het coronavirus. De applicaties voor het aanmaken van een vaccinatiecertificaat gaan in de systemen bij de GGD'en na of iemand eerder geïnfecteerd was. De GGD'en beschikken over uitslagen van testen die zijn afgenomen in het kader van de bestrijding van de epidemie van covid-19. De systemen met de uitslagen zijn gekoppeld aan de applicaties. Tevens beschikken GGD'en over meldingen die door artsen en laboratoria gedaan moeten worden over vastgestelde infecties met het coronavirus. Binnenkort zou de registratie van deze meldingen mogelijk ook gekoppeld kunnen worden aan de applicaties. Als uit een gekoppelde bron blijkt dat betrokkene geïnfecteerd is geweest met het coronavirus, wordt de vaccinatiecyclus automatisch als voltooid aangemerkt na toediening van de eerste dosis van een vaccinatie die uit twee doses bestaat. Benadrukt wordt, dat dit los staat van de uitvoering van het vaccinatieprogramma. Betrokkene kan desgewenst een tweede dosis van het vaccin toegediend krijgen. Als daarna een vaccinatiecertificaat wordt gegenereerd, zal de vaccinatie met de toediening van twee doses als voltooid worden vermeld.

In Bonaire, Sint Eustatius en Saba hebben de afdelingen Publieke gezondheid van de openbare lichamen het vaccinatieprogramma uitgevoerd. Zij beschikken over de vaccinatiegegevens en kunnen deze gegevens leveren voor de vaccinatiecertificaten. Vooralsnog zal dat echter niet langs digitale weg geschieden. Op de BES-eilanden zullen certificaten op papier worden verstrekt op grond van artikel 8, eerste lid, van deze regeling.

Artikel 7

Betrokkene vraagt via CoronaCheck of coronacheck.nl zijn gegevens over een positieve testuitslag op bij de GGD of een andere zorgaanbieder die de positieve test heeft afgenomen. Indien de zorgaanbieder is aangesloten op deze applicaties en de voor een herstelcertificaat benodigde gegevens beschikbaar zijn, worden deze geautomatiseerd verstrekt, voorzien van een digitale handtekening. Vervolgens kan betrokkene met de applicatie een digitaal herstelcertificaat genereren.

Artikel 8

Een certificaat op papier wordt verstrekt door de zorgaanbieder of de helpdesk van het CIBG. Wanneer betrokkene om een certificaat vraagt, zal eerst de identiteit gecontroleerd worden. Zorgaanbieders hebben de identiteit van de betrokkene al eerder vastgesteld. Dit is verplicht volgens de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Bij een telefonisch verzoek om een certificaat zal de zorgaanbieder of de helpdesk ter controle vragen naar identificerende persoonsgegevens, zoals het burgerservicenummer en de geboortedatum. Daarna wordt met een speciale portalapplicatie een certificaat gegeneerd dat vervolgens wordt afgedrukt en aan betrokkene wordt overhandigd of toegestuurd. Dit is voor de helpdesk van het CIBG alleen mogelijk als de benodigde gegevens bij de zorgaanbieder kunnen worden ontsloten met behulp van de portalapplicatie. Van de helpdesk kunnen alleen certificaten per post worden ontvangen, zodat deze faciliteit niet geboden wordt voor testcertificaten vanwege de relatief korte periode waarin een negatieve testuitslag relevant is.

In Bonaire, Sint Eustatius en Saba kan een certificaat op papier worden verkregen van de afdeling Publieke gezondheid van het desbetreffende openbare lichaam. De helpdesk van het CIBG is daar niet beschikbaar.

Artikel 9

Wanneer het beschikken over een test-, vaccinatie- of herstelbewijs verplicht is gesteld, bijvoorbeeld bij in- en uitreizen of transit, dient het bezit ervan te kunnen worden gecontroleerd. Daarvoor kan een certificaat worden gebruikt. Er kunnen ook situaties zijn waarbij het kennis nemen van een certificaat is toegestaan, bijvoorbeeld wanneer betrokkene zich tot een hulpverlener wendt voor het verkrijgen van zorg. Bij het verifiëren en aanvaarden van een certificaat worden persoonsgegevens verwerkt. Voor zover er bij de plicht of bevoegdheid tot verificatie van een certificaat nog geen juridische grondslag is gecreëerd voor de verwerking van (medische) persoonsgegevens, is in artikel 9 bepaald dat certificaten en de daarin vervatte gegevens verwerkt mogen worden. De verordening bevat daarvoor een beperkte grondslag voor exploitanten van grensoverschrijdende personenvervoersdiensten (artikel 10, derde lid, Vo). Wellicht dekt de verordening niet alle mogelijke situaties af. Daarom is in de onderhavige regeling een meeromvattende bepaling opgenomen. Voorwaarde voor toepassing van deze bepaling is een juridische grondslag voor de verificatie van een certificaat. Een dergelijke verplichting of bevoegdheid kan onder meer voortvloeien uit een wettelijk voorschrift of een overeenkomst, dan wel verkregen worden door de toestemming van betrokkene, mits deze toestemming voldoet aan de eisen van de AVG.

Een concreet voorbeeld van de toepassing van artikel 9 is het lezen van een certificaat met CoronaCheck Scanner om toegang te mogen verlenen tot activiteiten of voorzieningen waar een nationaal coronatoegangsbewijs is voorgeschreven. In dergelijke gevallen dient vanwege het vrij verkeer van personen zoals verankerd in artikel 21 VWEU ook een Europees certificaat geaccepteerd te worden, mits daarmee wordt voldaan aan de voorwaarden voor toegang.

Artikel 10

Dit artikel biedt de grondslag voor verwerking van persoonsgegevens die nodig zijn voor het noodzakelijke gegevensverkeer. Wanneer een verzoek om een vaccinatiecertificaat wordt gedaan met de applicatie CoronaCheck of de webapplicatie, gaat de Minister van VWS eerst na waar de vaccinatiegegevens van betrokkene berusten. Om te waarborgen dat deze gegevens betrekking hebben op degene die op basis daarvan een certificaat wenst te genereren, wordt bij het verwerken van het verzoek aan de Minister van VWS behalve de naam en geboortedatum van betrokkene ook zijn burgerservicenummer gebruikt. Deze bevoegdheid bestaat reeds op grond van de Wet algemene bepalingen burgerservicenummer (Wabb). Het verzoek wordt gedaan door in te loggen met DigiD. Bij het doen van het verzoek om de vaccinatiegegevens en het genereren van het daarop te baseren certificaat, is het IP-adres zichtbaar van het toestel of het systeem dat de gevaccineerde persoon gebruikt. Indien de vaccinatiegegevens reeds zijn opgenomen in CIMS, kunnen de gegevens rechtstreeks uit dat systeem worden opgehaald. Anders dient de bron van de vaccinatiegegevens te worden gezocht. De toediener van het vaccin beschikt immers over de gegevens die nodig zijn voor het vaccinatiecertificaat. Dit zijn onder meer GGD'en, ziekenhuizen en huisartsen. Daartoe worden genoemde gegevens van de verzoeker om een vaccinatiecertificaat op zo'n manier gepseudonimiseerd dat alleen degene die de vaccinatie heeft toegediend, de sleutel heeft om deze te lezen en aan de Minister van VWS kenbaar te maken dat de bron van de vaccinatiegegevens gevonden is. De vindplaats van de vaccinatiegegevens wordt teruggekoppeld naar de (web)applicatie, die vervolgens de vaccinatiegegevens ophaalt bij het RIVM, bij de toediener van het vaccin of – indien betrokkene door verschillende zorgaanbieders is gevaccineerd – bij de toedieners van de vaccins. Daarbij plaatsen zij een digitale handtekening ter beveiliging en waarmerking van de gegevens. Vooralsnog zijn alleen de GGD'en aangesloten op de applicatie CoronaCheck en de webapplicatie. Ook wordt in de systemen van de GGD'en gezocht naar gegevens over een eerdere infectie met het coronavirus op basis waarvan kan worden vastgesteld dat de vaccinatie volledig is na toediening van één vaccin in plaats van twee.

Vervolgens zet de gevaccineerde persoon de gegevens over zijn vaccinatie met CoronaCheck om in een digitaal vaccinatiecertificaat. De digitale handtekening onder de vaccinatiegegevens van de toediener van de vaccins wordt vervangen door een digitale handtekening van de Minister van VWS. Dit wordt gedaan door een ICT-dienstverlener in opdracht van de Minister van VWS. Ook wanneer het vaccinatiecertificaat wordt gemaakt met gegevens van het RIVM, wordt het voorzien van een digitale handtekening van de Minister van VWS. Voor een papieren vaccinatiecertificaat geldt hetzelfde, zij het dat de gevaccineerde persoon daarvoor de door de Minister van VWS beschikbaar gestelde webapplicatie gebruikt in plaats van CoronaCheck.

Voor testcertificaten zijn de gegevens over de negatieve testuitslag afkomstig van de uitvoerder van de test. De testuitslag wordt verstrekt wanneer de geteste persoon daarom vraagt. Om te verifiëren dat het de geteste persoon is die de uitslag opvraagt, krijgt deze na de afname van de test een unieke, persoonsgebonden code mee waarmee de uitslag kan worden opgevraagd. Bovendien vindt op het moment van opvragen van de testuitslag een extra controle plaats. Afhankelijk van de uitvoerder van de test en of de uitslag wordt gebruikt voor een digitaal dan wel papieren certificaat, kan dat bijvoorbeeld een tweetraps authenticatie via sms zijn bij het gebruik van CoronaCheck. De uitvoerder van de test zorgt voor zijn digitale handtekening onder de negatieve testuitslag. Vervolgens zet de geteste persoon de gegevens over de testuitslag met CoronaCheck om in een digitaal certificaat. De digitale handtekening van de uitvoerder van de test onder de testuitslag wordt vervangen door een digitale handtekening van de Minister van VWS; dit wordt gedaan door een ICT-dienstverlener in opdracht van de Minister van VWS. Bij het doen van het verzoek om de negatieve testuitslag en het genereren van het daarop te baseren testcertificaat is het IP-adres zichtbaar van het toestel of het systeem dat de geteste persoon gebruikt.

Voor herstelcertificaten is eveneens een testuitslag nodig, zij het met een positief resultaat. Deze testuitslagen worden verkregen van een zorgaanbieder, meestal de GGD. In het kader van de infectieziektebestrijding hebben de GGD'en immers de testen uitgevoerd bij mensen die mogelijk geïnfecteerd waren met het coronavirus.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge

Naar boven