TOELICHTING
Algemeen
Inleiding
Op 1 juli 2021 treedt in werking de verordening (EU) 2021/953 van het Europees Parlement
en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en
aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten
(digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie
te faciliteren (hierna: verordening of Vo). De verordening verplicht de lidstaten
of door de lidstaten aangewezen instanties tot het uitgeven van certificaten betreffende
vaccinatie tegen, negatieve test op en herstel van een infectie met het virus SARS-CoV-2
(hierna: coronavirus). De certificaten worden volgens de verordening automatisch of
op verzoek verstrekt. Certificaten kunnen zowel digitaal als in papieren vorm worden
afgegeven. De verordening schrijft bovendien het opstellen en onderhouden van een
door de Europese Commissie en lidstaten gebouwd trusted framework voor, een infrastructuur waarmee de authenticiteit van een certificaat kan worden
geverifieerd. Lidstaten moeten elkaars certificaten aanvaarden. De verordening bevat
juridische grondslagen voor het verwerken van de (medische) persoonsgegevens die nodig
zijn voor het uitgeven en verifiëren van de certificaten. De verordening kent een
werkingsduur van 12 maanden. Afhankelijk van de epidemiologische situatie met betrekking
tot de pandemie van covid-19, kan in Europees verband eventueel besloten worden tot
verlenging.
De verordening heeft rechtstreekse werking. Desalniettemin zijn enkele aanvullende
regels nodig ter uitvoering van de verordening. Zo biedt de verordening de ruimte
om instanties aan te wijzen voor de afgifte van certificaten (artikel 3, tweede lid,
Vo). Daarnaast gaat de verordening uit van decentrale gegevensbronnen, terwijl het
in de Nederlandse situatie efficiënter is gegevens te betrekken van een ander dan
de toediener van een vaccin voor een vaccinatiecertificaat (artikel 10, lid 7, Vo).
Ook in Bonaire, Sint Eustatius of Saba worden namens de Minister van Volksgezondheid,
Welzijn en Sport (VWS) certificaten verstrekt (artikel 8, vijfde lid, Vo). Voorts
is het van belang bepaalde uitvoeringsmodaliteiten vast te leggen. Geregeld dient
te worden dat:
-
– certificaten in Nederland alleen op verzoek worden uitgegeven;
-
– voor de uitgifte bepaalde applicaties gebruikt worden;
-
– de Minister van VWS de certificaten digitaal ondertekent, betrokkene een certificaat
kan afdrukken en de zorgaanbieder die de test of vaccinatie heeft uitgevoerd en de
helpdesk bij het agentschap Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG)
van het Ministerie van VWS het desbetreffende certificaat op papier kan verstrekken;
-
– gegevens behalve van de zorgaanbieder die de test of vaccinatie heeft uitgevoerd,
ook verkregen kunnen worden van het Rijksinstituut voor Volksgezondheid en Milieu
(RIVM) en de gemeentelijke gezondheidsdienst (GGD);
-
– persoonsgegevens verwerkt mogen worden bij de controle van een certificaat;
-
– de voor het gegevensverkeer benodigde persoonsgegevens verwerkt mogen worden.
Deze regels worden in de artikelsgewijze toelichting op de daartoe strekkende bepalingen
nader toegelicht.
Met de Tijdelijke wet coronatoegangsbewijzen (Twc; Stb. 2021, 240), die op 1 juni 2021 in werking is getreden, is aan de Wet publieke gezondheid (Wpg)
artikel 6ba toegevoegd om een grondslag te creëren voor het stellen van regels ter
uitvoering van de verordening. Het vierde lid van deze bepaling biedt de mogelijkheid
in geval van spoed deze regels gedurende ten hoogste drie maanden per ministeriële
regeling te stellen, in plaats van bij of krachtens algemene maatregel van bestuur.
Een algemene maatregel van bestuur dient ingevolge artikel 6ba, derde lid, gedurende
een week te worden voorgehangen bij het parlement; daarnaast vergt een algemene maatregel
van bestuur besluitvorming door de ministerraad, advisering door de Autoriteit Persoonsgegevens
(AP) en de Raad van State alsmede vaststelling bij koninklijk besluit. De termijn
tot inwerkingtreding van de verordening op 1 juli a.s. is te kort om dit proces tijdig
te doorlopen. Daarom is gekozen voor een tijdelijke ministeriële regeling; hiervoor
is wel advisering door de AP vereist. Uiterlijk 1 oktober 2021 zal alsnog de algemene
maatregel van bestuur tot stand worden gebracht.
Uitvoering
De uitvoering van de verordening vertoont grote overlap met de uitvoering van de Tijdelijke
wet coronatoegangsbewijzen. Een belangrijk verschil met de nationale coronatoegangsbewijzen
is dat de Europese certificaten meer gegevens bevatten en dat deze gegevens ook kunnen
worden gelezen bij het tonen van het certificaat. De nationale coronatoegangsbewijzen
zijn er speciaal om toegang te verkrijgen tot bepaalde activiteiten of voorzieningen
in Nederland waar dat is voorgeschreven. De Europese certificaten zijn vooral van
belang voor reizen naar en verblijf in de Europese Unie. Overigens kunnen Europese
certificaten die zijn uitgegeven door andere lidstaten, ook worden gebruikt om toegang
te krijgen tot activiteiten of voorzieningen in Nederland waar een coronatoegangsbewijs
is voorgeschreven; deze certificaten worden op dezelfde manier gelezen door de applicatie
CoronaCheck Scanner. Certificaten die door Nederland zijn uitgeven, zijn niet bruikbaar
om toegang te krijgen tot activiteiten of voorzieningen in Nederland waar een coronatoegangsbewijs
is voorgeschreven. Betrokkene beschikt daarvoor over een coronatoegangsbewijs. Voor
meer informatie over coronatoegangsbewijzen wordt kortheidshalve verwezen naar de
memorie van toelichting (Kamerstukken II 2020/21, 35 807, nr. 3), en de toelichtingen bij de desbetreffende wijzigingsregelingen (Stcrt. 2021, 28498 en 33032).
Certificaten worden uitsluitend op verzoek van betrokkene uitgegeven en daaraan zijn
voor de ontvanger geen kosten verbonden. Zij kunnen op drie manieren verkregen worden.
Digitale certificaten worden beschikbaar gesteld in een applicatie. Dat zal verreweg
de meest gebruikte methode zijn. Certificaten op papier kan men zelf afdrukken dan
wel verkrijgen bij de zorgaanbieder. Een vaccinatiecertificaat op papier wordt verstrekt
door de zorgaanbieder die één of beide vaccins heeft toegediend. Een testcertificaat
op basis van een negatieve testuitslag wordt op papier verstrekt door de zorgaanbieder
die de test heeft uitgevoerd; een herstelcertificaat op basis van een positieve testuitslag
wordt op papier eveneens verstrekt door de zorgaanbieder, veelal de GGD, die de test
heeft uitgevoerd. Daarnaast kunnen vaccinatie- en herstelcertificaten op papier worden
verkregen van de helpdesk bij het CIBG, tegelijk met coronatoegangsbewijzen op papier.
Alle digitale en papieren certificaten worden aangemaakt met applicaties die door
de Minister van VWS beschikbaar zijn gesteld. Voor betrokkenen zijn dit mobiele applicaties
voor smartphones die draaien op Android of iOS en webapplicaties die draaien op de
meest gangbare internetbrowsers; voor zorgaanbieders en helpdesk zijn er portalapplicaties
die eveneens draaien op de meest gangbare internetbrowers. Alle certificaten worden
voorzien van een digitale handtekening van de Minister van VWS.
Het streven is de mobiele applicatie CoronaCheck medio juli 2021 aan te passen, zodat
betrokkene een certificaat op papier met die applicatie kan omzetten naar een digitaal
certificaat. Dat kan eenvoudig door de QR-code in te lezen. Waarschijnlijk is daarvoor
een wijziging van deze regeling nodig.
De bron van de gegevens die ingevolge de verordening opgenomen dienen te worden in
de certificaten, ligt bij de zorgaanbieder die het vaccin heeft toegediend of de test
heeft uitgevoerd.
Het RIVM beschikt over het COVID-vaccinatie Informatie- en Monitoringsysteem (CIMS).
Dit systeem is opgezet om informatie te vergaren ten behoeve van de infectieziektebestrijding;
ook kunnen gevaccineerde personen zo nodig geïnformeerd worden over bijwerkingen van
vaccins. Verreweg de meeste gevaccineerde personen geven toestemming om de vaccinatiegegevens
op te nemen in CIMS. Dan verstrekt de zorgaanbieder die het vaccin heeft toegediend,
de gegevens aan het RIVM. Deze gegevens kunnen op basis van deze regeling ook worden
gebruikt om op verzoek van betrokkene een vaccinatiecertificaat uit te geven. Wanneer
de gegevens niet in CIMS staan, worden ze verkregen van de toediener van het vaccin.
De toedieners van vaccins zijn onder meer de GGD'en, de ziekenhuizen en de huisartsen.
Op dit moment is er alleen een directe koppeling met de systemen van de GGD'en. Daar
worden de vaccinatiegegevens geautomatiseerd gezocht en opgehaald. Ziekenhuizen en
huisartsen kunnen via de portalapplicatie een vaccinatiebewijs maken voor mensen die
geen toestemming hebben gegeven om hun gegevens in CIMS op te nemen. Huisartsinformatiesystemen
die ook direct benaderbaar zijn, kunnen later alsnog worden aangesloten.
Zorgaanbieders die testen uitvoeren ten behoeve van een negatieve uitslag, kunnen
zich direct aansluiten op de applicaties voor het genereren van testcertificaten.
GGD'en worden eveneens aangesloten voor het beschikbaar stellen van negatieve uitslagen.
De positieve uitslagen van testen die zijn uitgevoerd door GGD'en en andere zorgaanbieders
kunnen gebruikt worden voor herstelcertificaten.
Bescherming persoonsgegevens
Voor het afgeven, verifiëren en aanvaarden van certificaten worden persoonsgegevens
verwerkt, waaronder persoonsgegevens betreffende de gezondheid in de zin van artikel
4, onderdeel 15, van de Algemene verordening gegevensbescherming (AVG). Verwerking
van deze gegevens is verboden (artikel 9, eerste lid AVG). Dit verbod is niet van
toepassing indien de verwerking noodzakelijk is om redenen van zwaarwegend algemeen
belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met
het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming
van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden
getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene
(artikel 9, tweede lid, onder g, AVG). Daaraan wordt voldaan met de verordening. Deze
verwerking is voorts rechtmatig te achten, aangezien de verwerking noodzakelijk is
om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke
rust (artikel 6, eerste lid, onder c, AVG). In casu betreft het de uitvoering van
de verordening, zoals in artikel 1 Vo uitdrukkelijk is vastgelegd, en de daartoe gestelde
regels op grond van artikel 6ba Wpg, welke bepaling om elk misverstand uit te sluiten
wordt aangevuld met een expliciete grondslag wat betreft het regelen van de verwerking
van (medische) persoonsgegevens (Kamerstukken II 2020/21, 35 853, nr. 1-2). Deze rechtvaardiging wordt ook aangevoerd in overweging 48 van de verordening.
Het behoeft geen betoog dat het in het licht van de pandemie van covid-19 van groot
belang is maatregelen te kunnen treffen ter bestrijding van de verspreiding van het
coronavirus. Eén van die maatregelen kan zijn het vereiste om aan te tonen dat men
gevaccineerd is tegen, negatief getest is op of hersteld is van een infectie met het
coronavirus. Met het oog op het bevorderen van het vrij verkeer van personen voorziet
de verordening in afgifte, verificatie en aanvaarding van interoperabele vaccinatie-,
test- en herstelcertificaten. Hiermee is het doel van de gegevensverwerking voor certificaten
afgebakend. De ingevolge de verordening in de certificaten op te nemen persoonsgegevens
zijn tot het minimum beperkt. Tevens wordt een trusted framework ingericht die met de bijbehorende specificaties borgt dat voldaan wordt aan de eisen
van de AVG, onder meer wat betreft de juistheid en beveiliging van persoonsgegevens.
De introductie van certificaten levert een aanzienlijke beperking op van de mogelijkheden
om fraude te plegen met allerhande bewijzen van vaccinatie tegen, test op of herstel
van een infectie met het coronavirus. De wijze waarop de uitgifte, verificatie en
aanvaarding van certificaten vorm is gegeven, brengt het risico op fraude nog verder
terug.
Bij het proces tot verstrekking van certificaten worden behalve de ingevolge de verordening
in een certificaat op te nemen (medische) persoonsgegevens ook persoonsgegevens verwerkt
die nodig zijn om het daarvoor noodzakelijke gegevensverkeer in goede banen te leiden.
Een belangrijk voorbeeld daarvan is het gebruik van het burgerservicenummer om te
waarborgen dat de gegevens betrekking hebben op de juiste persoon. Zorgaanbieders
en overheidsorganen zoals GGD'en, het RIVM en de Minister van VWS zijn reeds bevoegd
en zelfs gehouden om het burgerservicenummer te gebruiken op grond van artikel 10
e.v. van de Wet algemene bepalingen burgerservicenummer en artikel 4 van de Wet aanvullende
bepalingen verwerking persoonsgegevens in de zorg. Bij het gegevensverkeer worden
daarnaast gegevens gebruikt zoals een IP-adres of unieke inlogcodes. De onderhavige
regeling biedt daarvoor de juridische grondslag.
Er worden geen regels gesteld aan de aansluiting van zorgaanbieders, de GGD'en en
het RIVM op de applicaties voor de afgifte van certificaten of het gebruik van de
applicaties voor het tonen en lezen van een certificaat. Het ontwerp van de applicaties
en de privaatrechtelijke aansluit- en gebruiksvoorwaarden bieden de benodigde waarborgen
tegen verlies of onrechtmatige verwerking voor een verantwoorde inzet van coronatoegangsbewijzen,
ook vanuit het oogpunt van privacy. Dit is derhalve dezelfde benadering als is gehanteerd
bij coronatoegangsbewijzen.
Voor het uitgeven, tonen en lezen van certificaten moet door de Minister van VWS beschikbaar
gestelde software worden gebruikt. Dat zijn CoronaCheck en de portalapplicatie voor
het maken van digitale certificaten, de webapplicatie en de portalapplicatie voor
het maken van een papieren certificaat en CoronaCheck Scanner voor het lezen van een
digitaal of papieren certificaat. Teneinde de persoonsgegevens voor certificaten beschikbaar
te kunnen maken, treft de Minister van VWS verder de benodigde technische voorzieningen
om zorgaanbieders, GGD'en en het RIVM in staat te stellen hun automatiseringssystemen
voor dit doel aan te sluiten op CoronaCheck, de webapplicatie en de portalapplicatie.
Bij het aanbieden van deze software worden gebruiks- en aansluitvoorwaarden gesteld,
waarbij het vooral om veiligheid en betrouwbaarheid van de gegevens en het gegevensverkeer
gaat. Elk certificaat is ook weer met het oog op de veiligheid en betrouwbaarheid
voorzien van een digitale handtekening van de Minister van VWS.
Door dit samenstel van software, voorwaarden en handtekeningen heeft de Minister van
VWS direct controle over de condities voor het uitgeven, verifiëren en aanvaarden
van certificaten. De voorwaarden worden door de Minister van VWS opgesteld. Wanneer
deze niet worden geaccepteerd of nagekomen, kan de software niet in werking worden
gesteld respectievelijk buiten werking worden gesteld. De software wordt door de Minister
van VWS ontwikkeld en onderhouden. Bij het ontwikkelen van de software zijn privacy
en security by design het vertrekpunt geweest. Dataminimalisatie en beveiliging van persoonsgegevens zijn
ingebouwd in de software. Bescherming van persoonsgegevens wordt ook geborgd in de
aansluit- en gebruiksvoorwaarden. Waar nodig zal ook de omgeving waarin de software
functioneert worden getoetst. Een en ander betekent bijvoorbeeld dat verouderde versies
van de applicaties CoronaCheck en CoronaCheck Scanner niet gebruikt kunnen worden
of dat deze applicaties niet gebruikt kunnen worden op verouderde besturingssystemen.
Het proces tot uitgifte van een digitaal certificaat verloopt geautomatiseerd en het
al dan niet beschikken over een certificaat kan betrokkene in aanmerkelijke mate raken
– bijvoorbeeld indien een certificaat vereist wordt bij het reizen. Aangezien desgewenst
door menselijke tussenkomst ook een certificaat op papier kan worden verkregen, is
geen sprake van schending van artikel 22, eerste lid, AVG. Betrokkene is immers niet
uitsluitend onderworpen aan geautomatiseerde besluitvorming.
Voorts is rekening gehouden met de samenhang tussen Nederlandse coronatoegangsbewijzen
en Europese certificaten. Toegang tot een activiteit of voorziening waar een coronatoegangsbewijs
is verplicht, moet ook met een certificaat van een andere lidstaat worden verkregen.
Dit vloeit voort uit het vrij verkeer (artikel 21 Verdrag betreffende de werking van
de Europese Unie (VWEU)). Bij het lezen van een certificaat met CoronaCheck Scanner
voor het verlenen van deze toegang, zal – net als bij Nederlandse coronatoegangsbewijzen
– het beeldscherm alleen rood of groen kleuren en in het laatste geval uitsluitend
de initialen en geboortemaand- en dag van betrokkene tonen.
Caribisch Nederland
In Bonaire, Sint Eustatius en Saba (BES) worden namens de Minister van VWS certificaten
uitgegeven. Dit zijn gebieden overzee als bedoeld in artikel 355, lid 2, VWEU en opgenomen
in bijlage II van het VWEU. Gelet op artikel 8, vijfde lid, tweede volzin, Vo en overweging
23, geldt de verordening – en daarmee de onderhavige regeling – ook voor die certificaten.
Omdat de meeste inwoners van de BES-eilanden geen burgerservicenummer hebben, wordt
daar ingezet op het verstrekken van certificaten op papier. Curaçao, Aruba en Sint
Maarten (CAS) geven zelf certificaten uit.
Financiële gevolgen
De verordening bepaalt dat certificaten kosteloos worden verstrekt (artikel 3, vierde
lid, Vo). In geval van herhaaldelijk verlies kan wel een passende vergoeding in rekening
worden gebracht. Vooralsnog zal van deze mogelijkheid geen gebruik worden gemaakt.
Aldus wordt ook voorkomen dat bijgehouden dient te worden of en zo ja, hoe vaak aan
iemand een certificaat is verstrekt.
GGD’en, het RIVM en zorgaanbieders zullen uitvoeringskosten maken voor de afgifte
van certificaten. De kosten voor de aansluiting van hun automatiseringssystemen op
de applicaties voor het genereren van certificaten zullen eenmalig zijn. GGD'en krijgen
deze kosten vergoed via de meerkostenregeling, net als hun kosten voor eventuele uitgifte
van het certificaat. Voor zorgaanbieders die worden gecontracteerd voor het uitvoeren
van testen, maakt de vergoeding deel uit van de overeenkomst.
Regeldruk
Het effect van deze regeling op de regeldruk is minimaal. De toediener van de vaccinatie
is al verplicht de vaccinatie te registreren; ook de uitvoerders van testen waarop
een test- of herstelcertificaat kan worden gestoeld, hebben een medisch dossier aan
te houden. Wanneer een zorgaanbieder rechtstreeks door betrokkene benaderd wordt om
een certificaat te genereren door de gegevens in te voeren in een portalapplicatie
die door de Minister van VWS wordt ontwikkeld, ontstaan wel enige administratieve
lasten. Dit zal naar verwachting vooral beperkt zijn tot personen die in het geheel
niet beschikken over ICT-middelen of ook geen beroep kunnen doen op hun omgeving om
met behulp van de webapplicatie een certificaat op papier af te drukken. Daarnaast
kan het gaan om mensen zonder burgerservicenummer of waarvan de gegevens omtrent vaccinatie,
test of herstel niet of niet volledig zijn opgenomen in het systeem van de zorgaanbieder.
Het is ook mogelijk dat de gegevens zijn opgenomen in het systeem van een zorgaanbieder
die niet is aangesloten op de mobiele applicatie CoronaCheck of de webapplicatie coronacheck.nl.
In deze laatste gevallen kan ook geen gebruik gemaakt worden van de helpdesk van het
CIBG.
Voor de BES-eilanden zal deze methode standaard worden gehanteerd om een certificaat
te genereren. Vanwege de kleine bevolkingsaantallen op de BES-eilanden zal ook daar
de regeldruk aanvaardbaar zijn, ondanks de hogere administratieve lasten.
Toezicht en handhaving
Voor toezicht en handhaving wordt aangesloten bij hetgeen reeds is bepaald in de Wpg.
Toezicht en handhaving bij de uitgifte van certificaten is gericht op zorgaanbieders.
Zij hebben tot taak om de gegevens aan te leveren die nodig zijn voor de uitgifte
van certificaten. Daarbij dienen zij de wettelijke voorschriften in acht te nemen
met betrekking tot de gegevensverwerking. Behalve de verordening en de onderhavige
regeling zijn dat de AVG, de bepalingen in Boek 7, Titel 7, Afdeling 5, van het Burgerlijk
Wetboek (BW) omtrent de geneeskundige behandelingsovereenkomst en de eisen omtrent
de kwaliteit van zorg in de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Op
de naleving van de AVG en de Wet bescherming persoonsgegevens BES (Wbp-BES) wordt
toegezien door de AP respectievelijk de Commissie toezicht bescherming persoonsgegevens
BES (CPB-BES). Daarnaast heeft de Inspectie gezondheidszorg en jeugd (IGJ) als taak
toezicht te houden op de wijze waarop zorgorganisaties en zorgprofessionals vanuit
hun professionaliteit invulling geven aan goede zorg (Wkkgz) en de professionele afwegingen
die daarbij worden gemaakt. Het toezicht van de inspectie strekt zich in dit verband
uit tot de kwaliteit en veiligheid van de zorgverlening. De inspectie toetst in de
praktijk onder meer of de randvoorwaarden voor goede en veilige zorg aanwezig zijn.
Daarbij gaat de aandacht ook uit naar het aanleggen en onderhouden van het medisch
dossier van betrokkene als bedoeld in het BW. Deze rol sluit aan bij de aanwijzing
als toezichthouder op de naleving van de Wpg, waarop deze regeling is gebaseerd. AP,
CBP-BES en IGJ kunnen de handhavingsinstrumenten inzetten die op grond van de AVG
en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de Wbp-BES,
respectievelijk de Wkgkz en de Wpg zijn toebedeeld.
Wat betreft het RIVM en de GGD'en wordt nog opgemerkt dat deze ook bestuurlijk kunnen
worden aangesproken op een adequate uitvoering van de verordening en de regeling.
Het RIVM ressorteert onder de Minister van VWS en de GGD'en vallen onder de colleges
van burgemeester en wethouders, al dan niet via een gemeenschappelijke regeling.
Toezicht en handhaving bij de verificatie en aanvaarding van certificaten zijn wat
betreft de aanwending van certificaten voor het verkrijgen van toegang tot activiteiten
en voorzieningen waarvoor een coronatoegangsbewijs is voorgeschreven, gericht op de
organisator van de activiteiten en beheerder van de voorzieningen. Zij hebben de regels
in acht te nemen die bij of krachtens de Wpg daarvoor gesteld zijn en op de naleving
waarvan toezicht en handhaving in die wet is geregeld. Voor de goede orde wordt opgemerkt
dat de IGJ geen rol heeft bij het toezicht op de verificatie en aanvaarding van certificaten.
Voor zover anderen bij wettelijk voorschrift verplicht of bevoegd zijn tot verificatie
en aanvaarding van certificaten, bijvoorbeeld bij internationaal personenvervoer,
zullen toezicht en handhaving verlopen overeenkomstig hetgeen ten aanzien van de desbetreffende
regelgeving is bepaald. Daarbij dient de verordening in acht genomen te worden. Zo
dienen certificaten zowel digitaal, als op papier geaccepteerd te worden en is het
verboden om de persoonsgegevens daarna te bewaren. Daarnaast is ook voor de verificatie
en aanvaarding van certificaten van belang dat de AP ten algemene de toezichthouder
is wat betreft de verwerking van persoonsgegevens.
Rechtsbescherming
De afgifte van een certificaat is niet aan te merken als een besluit in de zin van
de Algemene wet bestuursrecht (Awb). Een certificaat is immers niet meer dan een bewijsstuk
van een feitelijke medische situatie, namelijk een toegediende vaccinatie tegen of
uitgevoerde test op infectie met het coronavirus, zoals genoemd in de verordening.
De uitgifte door de Minister van VWS is niet gericht op enig rechtsgevolg. Ook de
verordening verbindt geen juridische consequenties aan het al dan niet bezitten van
een certificaat. Tegen de uitgifte van een certificaat staat derhalve geen bestuursrechtelijke
rechtsbescherming open.
Civielrechtelijke rechtsbescherming kan wel aan de orde zijn. Ten eerste wanneer zorgaanbieders,
het RIVM, GGD'en of de Minister van VWS tekortschieten in de vervulling van hun taken
voor de uitgifte, verificatie en aanvaarding van certificaten. Een vordering uit onrechtmatige
daad behoort tot de mogelijkheden.
Ten tweede bij de applicaties voor het genereren en lezen van een certificaat (CoronaCheck,
webapplicatie, portalapplicatie en CoronaCheck Scanner). Bij de installatie van deze
applicaties worden voor akkoord voorwaarden gepresenteerd. Het gaat hier bijvoorbeeld
om de voorwaarde om de meest recente versie van de applicatie te laten functioneren
op een recent besturingssysteem. Zonder akkoord zijn de applicaties niet te installeren.
Handelen in strijd met de voorwaarden kan ertoe leiden dat de applicatie buiten gebruik
wordt gesteld.
Verder worden overeenkomsten gesloten met zorgaanbieders over de aansluiting op de
applicaties voor genereren en het tonen van het certificaat (CoronaCheck, webapplicatie
en portalapplicatie). In deze overeenkomsten worden onder meer eisen gesteld aan de
automatiseringssystemen en de wijze van verwerking van (persoons)gegevens. Deze eisen
zijn van belang voor de validatie van de (persoons)gegevens die gebruikt wordt voor
het certificaat. Wanneer niet of niet meer aan deze eisen voldaan wordt, wordt de
aansluiting niet gerealiseerd of beëindigd. Rechtsbescherming verloopt ook hier langs
privaatrechtelijke weg.
Volledigheidshalve wordt tot slot nog geattendeerd op de mogelijkheid om een klacht
in te dienen bij een bestuursorgaan of een zorgaanbieder en om een melding te doen
bij toezichthouders zoals de AP, CBP-BES en de IGJ over vermeende schendingen van
respectievelijk de bescherming van persoonsgegevens of de kwaliteit van zorg.
Advisering en consultatie
Deze regeling is op 14 juni 2021 voor advies voorgelegd aan het Adviescollege toetsing
regeldruk (ATR) en de AP. Ook is de regeling geconsulteerd bij de CBP-BES en de openbare
lichamen BES. Voor deze advisering en consultatie is een reactietermijn van één week
gehanteerd vanwege het spoedeisend karakter van deze regeling. Met (belangen)organisaties
die betrokken zijn bij de uitvoering van deze regeling, worden doorlopende gesprekken
gevoerd over de implementatie.
Het Adviescollege toetsing regeldruk (ATR) bij brief van 17 juni 2021, kenmerk MvH/RvZ/MK/cd/ATR1789/2021-U054,
advies uitgebracht. Het college adviseert duidelijkheid te verschaffen over de uitvoering
van het Europees certificaat per 1 juli 2021, met bijzondere aandacht voor hoe en
bij welke persoon of instantie de burger het certificaat kan krijgen. Voorts adviseert
het college de uitvoering zo te organiseren dat bij gebrekkige uitvoering van de regelgeving
de minister of de bevoegde instantie voor een snelle oplossing voor de burger zorg
draagt. Naar aanleiding daarvan wordt het volgende opgemerkt. De onderhavige regeling
specificeert op welke wijze een certificaat verkregen kan worden en wie daarbij betrokken
zijn. Over de uitvoering van de verordening zal omvangrijke voorlichting gegeven worden.
Deze voorlichting bestaat uit een publiciteitscampagne en informatievoorziening via
het internet. Verder kunnen burgers met hun vragen terecht bij ‘24/7 BZ Informatiepunt’
van het Ministerie van Buitenlandse Zaken, in het bijzonder waar het reizen betreft.
Dit informatiepunt is te bereiken met het telefoonnummer +31 247 247 247. Daarnaast
is er een ‘Publieksinformatienummer coronavirus’ waar iedereen terecht kan met vragen
over het coronavirus, met inbegrip van coronatoegangsbewijzen. Het nummer daarvan
is 0800 1351 (vanuit het buitenland +312 0205 1351). Indien nodig, kunnen het informatiepunt
en het publieksinformatienummer betrokkene doorverbinden naar de helpdesk van het
CIBG dat speciaal is ingericht voor het verstrekken van certificaten op papier. Terecht
wijst het college op de mogelijkheid dat zich bij het verschaffen van certificaten
problemen kunnen voordoen. Wanneer er via het informatiepunt, het publieksinformatienummer
of de helpdesk geen oplossing geboden kan worden, kan de burger zich wenden tot zijn
zorgaanbieder. Deze kan met behulp van de portalapplicatie een certificaat op papier
aanmaken voor zijn cliënt. Naar verwachting zal medio juli 2021 deze regeling worden
aangepast, zodat een certificaat op papier met de mobiele applicatie CoronaCheck kan
worden omgezet naar een digitaal certificaat door de QR-code in te lezen. Dat de burger
zich in dergelijke gevallen uiteindelijk tot zijn zorgaanbieder moet wenden, vloeit
voort uit het decentrale karakter van het zorgstelsel in Nederland. Om dit zoveel
mogelijk te voorkomen, is de inzet er op gericht de gegevens die bij de zorgaanbieders
berusten langs digitale weg te ontsluiten zodat de burger met de mobiele applicatie
CoronaCheck en de webapplicatie coronacheck.nl op eenvoudige wijze kan beschikken
over de gewenste certificaten.
De AP heeft op 22 juni 2021, kenmerk z2021-11575, advies uitgebracht. Ten eerste adviseert
de AP in deze tijdelijke regeling en in de regeling voor de coronatoegangsbewijzen
gebruik van het CIMS voor afgifte van certificaten te expliciteren. Dit advies is
overgenomen door in artikel 6 tot uitdrukking te brengen dat het RIVM nagaat of de
benodigde vaccinatiegegevens in het CIMS zijn opgenomen. Met een separate wijziging
van de Trm zal dat ook zo worden geregeld voor coronatoegangsbewijzen. Van verankering
van het CIMS bij formele wet, zoals door de AP voorgesteld, kan uiteraard geen sprake
zijn in het kader van de lagere regelgeving ter uitvoering van de verordening. Besluitvorming
hierover zal later plaatsvinden.
Ten tweede adviseert de AP een expliciete gelijkstelling van (bepaalde) DCC’s met
coronatoegangsbewijzen in de tekst van de regeling op te nemen. Naar aanleiding hiervan
wordt er op gewezen dat de door de AP gewenste wettelijke basis reeds bestaat. Hoofdstuk
Va Wpg bevat de grondslag voor de inzet van coronatoegangsbewijzen. Op basis daarvan
zijn in de Trm regels gesteld met betrekking tot coronatoegangsbewijzen. Deze brengen
een verplichting mee om een coronatoegangsbewijs te tonen, zodat deze tezamen met
de identiteit gecontroleerd kan worden alvorens toegang te verschaffen tot activiteiten
of voorzieningen waar deze bewijzen zijn voorgeschreven. De verordening bepaalt dat
in dergelijk gevallen in plaats van een coronatoegangsbewijs ook een DCC gebruikt
moet kunnen worden. Wanneer een lidstaat een test-, vaccinatie- of herstelbewijs aanvaardt
om vrijstelling te verlenen van overeenkomstig het Unierecht ingestelde beperkingen
van het vrije verkeer om de verspreiding van het coronavirus in te dammen, moet onder
dezelfde voorwaarden ook een test-, vaccinatie of herstelcertificaat worden aanvaard
die door andere lidstaten overeenkomstig de verordening zijn afgegeven (artikelen
5, vijfde lid, 6, vijfde lid, en 7, achtste lid, Vo).
Ten derde adviseert de AP de toelichting op drie punten aan te vullen. Dit advies
is overgenomen door in de inleiding de indruk weg te nemen dat over een ministeriële
regeling geen advies van de AP ingewonnen hoeft te worden (punt i). De opmerking van
de AP over certificaten voor in derde landen toegediende vaccins, is niet meer van
belang aangezien de desbetreffende bepaling is geschrapt (punt ii). Verder twijfelt
de AP terecht aan de meerwaarde van de voorgestelde artikelen 9, 10 en 11 ten opzichte
van hetgeen al is geregeld in de verordening (punt iii). Daarom geeft de AP in overweging
die artikelen toe te lichten of te schrappen.
Om te beginnen met het voorgestelde artikel 9. Zoals hierboven reeds opgemerkt schrijft
de verordening voor dat een DCC gebruikt moet kunnen worden wanneer daarmee kan worden
aangetoond te zijn getest, gevaccineerd of hersteld. Dat bewijs kan in diverse situaties
verlangd worden, terwijl artikel 10, derde lid, Vo is beperkt tot reizen. Juist om
boven elke twijfel te verheffen dat ook in andere situaties dan reizen DCC gebruikt
kunnen worden, is in artikel 9 van deze regeling een algemener geformuleerde bepaling
opgenomen.
In het voorgestelde artikel 10 van deze regeling werd ten behoeve van de leesbaarheid
één keer bepaald dat het in de voorgaande bepalingen ook om medische persoonsgegevens
kan gaan. Dit artikel is geschrapt, omdat uit de verordening en deze regeling ter
uitvoering van de verordening reeds voortvloeit dat er medische persoonsgegevens verwerkt
worden bij de uitgifte, verificatie en aanvaarding van certificaten.
Ook het eerste lid van het voorgestelde artikel 11 van deze regeling is naar aanleiding
van het advies van de AP geschrapt. Gelet op de rechtstreekse werking van de verordening
en de verbindendheid van de uitvoeringshandelingen van de Europese Commissie, hoeft
niet geregeld te worden dat de artikelen 9 en 10 Vo in acht genomen moeten worden
bij de uitvoering van deze regeling. Voor het overige is artikel 11, thans artikel
10, van deze regeling gehandhaafd om de grondslag zeker te stellen voor de verwerking
van persoonsgegevens die – in aanvulling op de inhoud van een certificaat – nodig
zijn om certificaten uit te geven, te verifiëren en te aanvaarden.
De CBP-BES heeft op 23 juni 2021, kenmerk CBP/WA2021-04, advies uitgebracht. Ten eerste
merkt de CBP-BES op dat de regeling en de beschrijving van de uitvoering daarvan nog
onvoldoende duidelijk maken hoe de uitgifte van certificaten en de verwerking van
persoonsgegevens vorm krijgt in de openbare lichamen Bonaire, Sint Eustatius en Saba.
Naar aanleiding daarvan wordt het volgende opgemerkt. Ten opzichte van het ontwerp
dat aan de CBP-BES is voorgelegd, is uitdrukkelijk bepaald dat de regeling ook van
toepassing is in de openbare lichamen Bonaire, Sint Eustatius en Saba. Verder is de
regeling waar nodig gespecificeerd naar de BES-eilanden. Zo zijn de afdelingen Publieke
gezondheid van de openbare lichamen in de regeling opgenomen. Inwoners van de BES
kunnen met hun vragen terecht bij ‘24/7 BZ Informatiepunt’ en het ‘Publieksinformatienummer
coronavirus’. Het is echter niet mogelijk dat het CIBG hen certificaten op papier
verstrekt; dat is nu expliciet geregeld. Aangezien het op de BES-eilanden niet mogelijk
is langs digitale weg de gegevensbronnen te ontsluiten, worden certificaten daar uitsluitend
op papier verstrekt. Dit vloeit voort uit de bepalingen van de regeling en kan ook
het geval zijn in het Europese deel van Nederland. Daarvoor gebruiken zorgaanbieders,
net als in het Europese deel van Nederland, de portalapplicatie. De certificaten op
papier kunnen vervolgens door de inwoners van de BES in persoon worden afgehaald bij
hun zorgaanbieder. De toelichting op de regeling bevat een algemene beschrijving van
met name het proces van uitgifte van certificaten. Er wordt niet ingegaan op verschillen
tussen diverse sectoren in de zorg of gebieden van het land. Het zou te ver voeren
om in de toelichting een dergelijke differentiatie aan te brengen. De uitvoeringspraktijk
zal binnen de kaders van de verordening en de regeling gaandeweg gestalte krijgen,
rekening houdend met alle relevante factoren. Evenmin wordt in de toelichting ingegaan
op alle eisen ter bescherming van de privacy die zorgaanbieders – ook los van deze
regeling – daarbij in acht behoren te nemen.
Ten tweede wijst de CBP-BES op de gegevensuitwisseling tussen het Europees deel van
Nederland waar de AVG geldt en de openbare lichamen Bonaire, Sint Eustatius en Saba
waar de Wbp-BES geldt. Terecht merkt de CBP-BES op dat doorgifte van persoonsgegevens
naar de BES-eilanden bij gebreke aan een adquaatheidsbesluit van de Europese Commissie
alleen is toegestaan als er passende waarborgen zijn en betrokkenen over afdwingbare
rechten en doeltreffende rechtsmiddelen beschikken (artikel 46 AVG). De doorgifte
van persoonsgegevens aan de BES kan op deze bepaling worden gebaseerd. Ook ten aanzien
van de openbare lichamen Bonaire, Sint Eustatius en Saba geldt de opdracht van artikel
10 van de Grondwet om bij wet regels te stellen ter bescherming van de persoonlijke
levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. De
Wbp-BES geeft uitvoering aan deze grondwettelijke opdracht. De CBP-BES heeft als onafhankelijke
toezichthouder de taak om toe te zien op de verwerking van persoonsgegevens overeenkomstig
deze wet. Bovendien geldt in de openbare lichamen Bonaire, Sint Eustatius en Saba
ook het Burgerlijk Wetboek BES, dat in Boek 7, Titel 7, Afdeling 5, regelt dat zorgaanbieders
een medisch dossier van hun cliënten hebben aan te houden; die afdeling bevat onder
meer bepalingen ter bescherming van de privacy van cliënten. In aanvulling daarop
is van belang dat de grondslag voor en de condities waaronder de gegevensverwerking
ten behoeve van certificaten wordt geboden door de verordening en de regeling zelf.
Daarnaast is sprake van het hierboven in de paragraaf Bescherming persoonsgegevens bechreven samenstel van software, voorwaarden en handtekeningen waardoor heeft de
Minister van VWS direct controle over de condities voor het uitgeven, verifiëren en
aanvaarden van certificaten. De gegevensuitwisseling met de BES hoeft daarom niet
aan verdere vereisten te voldoen.
Inwerkingtreding en verval
Deze regeling treedt tegelijk met de verordening in werking, namelijk op 1 juli 2021.
Op grond van artikel 6ba, vierde lid, Wpg is de werkingsduur ten hoogste drie maanden.
Daarom is bepaald dat de regeling op 1 oktober 2021 vervalt. In de tussenliggende
periode zal een algemene maatregel van bestuur tot stand worden gebracht die uiterlijk
1 oktober 2021 in werking zal treden. Bij of krachtens die algemene maatregel van
bestuur zullen de regels worden gesteld die nodig zijn ter uitvoering van de verordening.
Artikelsgewijs
Artikel 1
Ten behoeve van de leesbaarheid van de regeling zijn een aantal begripsbepalingen
opgenomen, vaak ontleend aan de verordening. De applicatie voor het genereren van
een certificaat heeft thans diverse verschijningsvormen (CoronaCheck, webapplicatie
en portalapplicatie). De mobiele applicatie waarmee tevens het digitale certificaat
getoond kan worden, CoronaCheck, is ook geschikt voor de Nederlandse coronatoegangsbewijzen
als bedoeld in artikel 58re, eerste lid, onder a, sub 1o, Wpg.
Artikel 2
Deze regeling geldt ook voor de openbare lichamen Bonaire, Sint Eustatius en Saba.
Weliswaar kan de helpdesk van het CIBG geen certificaten op papier verstrekken aan
inwoners van de BES-eilanden, maar zij kunnen wel contact opnemen met ‘24/7 BZ Informatiepunt’
of het ‘Publieksinformatienummer coronavirus’ als zij vragen hebben over DCC’s. Verder
zijn – waar nodig – bepalingen toegesneden op toepassing in Bonaire, Sint Eustatius
en Saba.
Artikel 3
De verordening laat open of certificaten automatisch worden verstrekt of op verzoek.
In artikel 3 is bepaald dat certificaten alleen op verzoek worden verstrekt. Vanwege
de samenhang en gelijkenis worden op een verzoek om een nationaal coronatoegangsbewijs
of een DCC beide verstrekt. Dat wordt onder meer gedaan omdat met een Nederlands DCC
geen toegang kan worden verkregen tot activiteiten of voorzieningen waarvoor een nationaal
coronatoegangsbewijs is voorgeschreven.
Aan een verzoek zal binnen een redelijke termijn voldaan worden. De lengte van deze
termijn hangt af van de vorm en het type certificaat. Een digitaal certificaat is
eerder beschikbaar dan wanneer een certificaat op papier per post wordt verzonden.
Deze laatste methode is minder geschikt voor een testcertificaat vanwege de kortere
periode waarin een negatieve testuitslag relevant is.
Artikel 4
De verordening bepaalt dat de lidstaat of een aangewezen instantie het certificaat
verstrekt. Certificaten worden voorzien van een digitale handtekening van de Minister
van VWS. Certificaten kunnen alleen worden verstrekt met software van de Minister
van VWS: de applicatie CoronaCheck die draait op een smartphone van betrokkene en
waarmee een digitaal certificaat kan worden verzocht en ontvangen, de webapplicatie
coronacheck.nl die betrokkene kan gebruiken in een browser en waarmee een certificaat
kan worden afgedrukt of de speciale portalapplicatie waarmee zorgaanbieders een certificaat
op papier kunnen genereren, afdrukken en uitreiken of opsturen. Ook de helpdesk bij
het CIBG gebruikt deze portalapplicatie.
Artikel 5
Betrokkene vraagt via CoronaCheck of coronacheck.nl zijn gegevens over een negatieve
testuitslag op bij de uitvoerder van de test. Indien de tester is aangesloten op deze
applicaties en de voor een testcertificaat benodigde gegevens beschikbaar zijn, worden
deze geautomatiseerd verstrekt, voorzien van een digitale handtekening. Vervolgens
kan betrokkene met de applicatie een digitaal testcertificaat genereren.
Artikel 6
Betrokkene vraagt via CoronaCheck of coronacheck.nl zijn gegevens over een vaccinatie
op bij het RIVM en zo nodig, als de gegevens niet in CIMS staan, vervolgens bij de
toediener van de vaccinatie. Indien het RIVM beschikt over de gegevens, worden deze
geautomatiseerd verstrekt. Anders zoekt de applicatie naar de vaccineerder die de
benodigde gegevens heeft. Als deze gevonden is – wat alleen mogelijk is wanneer de
vaccineerder is aangesloten op de applicatie en de gegevens in zijn systeem heeft
opgenomen – worden de voor een vaccinatiecertificaat benodigde gegevens geautomatiseerd
verstrekt, voorzien van een digitale handtekening. Vervolgens kan betrokkene met de
applicatie een digitaal vaccinatiecertificaat genereren.
Het RIVM valt als overheidsinstantie onder het begrip lidstaat van de verordening
en behoeft dus niet aangewezen te worden als instantie die certificaten verstrekt.
Toch wordt het RIVM vermeld in artikel 6 van deze regeling om een grondslag te bieden
voor het leveren van persoonsgegevens uit het bestand dat met een ander doel is opgebouwd,
namelijk CIMS. De tekst van dit artikel maakt ook duidelijk dat de gegevens in CIMS
worden gebruikt voor een vaccinatiecertificaat.
Ingevolge artikel 5, derde lid, Vo moet het certificaat duidelijk vermelden of de
vaccinatie voltooid is. Daarvan is uiteraard sprake als alle doses van de vaccinatiecyclus
zijn toegediend. Een vaccinatie wordt ook als voltooid aangemerkt indien één van de
twee doses van een cyclus is toegediend aan iemand die eerder geïnfecteerd was met
het coronavirus. De applicaties voor het aanmaken van een vaccinatiecertificaat gaan
in de systemen bij de GGD'en na of iemand eerder geïnfecteerd was. De GGD'en beschikken
over uitslagen van testen die zijn afgenomen in het kader van de bestrijding van de
epidemie van covid-19. De systemen met de uitslagen zijn gekoppeld aan de applicaties.
Tevens beschikken GGD'en over meldingen die door artsen en laboratoria gedaan moeten
worden over vastgestelde infecties met het coronavirus. Binnenkort zou de registratie
van deze meldingen mogelijk ook gekoppeld kunnen worden aan de applicaties. Als uit
een gekoppelde bron blijkt dat betrokkene geïnfecteerd is geweest met het coronavirus,
wordt de vaccinatiecyclus automatisch als voltooid aangemerkt na toediening van de
eerste dosis van een vaccinatie die uit twee doses bestaat. Benadrukt wordt, dat dit
los staat van de uitvoering van het vaccinatieprogramma. Betrokkene kan desgewenst
een tweede dosis van het vaccin toegediend krijgen. Als daarna een vaccinatiecertificaat
wordt gegenereerd, zal de vaccinatie met de toediening van twee doses als voltooid
worden vermeld.
In Bonaire, Sint Eustatius en Saba hebben de afdelingen Publieke gezondheid van de
openbare lichamen het vaccinatieprogramma uitgevoerd. Zij beschikken over de vaccinatiegegevens
en kunnen deze gegevens leveren voor de vaccinatiecertificaten. Vooralsnog zal dat
echter niet langs digitale weg geschieden. Op de BES-eilanden zullen certificaten
op papier worden verstrekt op grond van artikel 8, eerste lid, van deze regeling.
Artikel 7
Betrokkene vraagt via CoronaCheck of coronacheck.nl zijn gegevens over een positieve
testuitslag op bij de GGD of een andere zorgaanbieder die de positieve test heeft
afgenomen. Indien de zorgaanbieder is aangesloten op deze applicaties en de voor een
herstelcertificaat benodigde gegevens beschikbaar zijn, worden deze geautomatiseerd
verstrekt, voorzien van een digitale handtekening. Vervolgens kan betrokkene met de
applicatie een digitaal herstelcertificaat genereren.
Artikel 8
Een certificaat op papier wordt verstrekt door de zorgaanbieder of de helpdesk van
het CIBG. Wanneer betrokkene om een certificaat vraagt, zal eerst de identiteit gecontroleerd
worden. Zorgaanbieders hebben de identiteit van de betrokkene al eerder vastgesteld.
Dit is verplicht volgens de Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg. Bij een telefonisch verzoek om een certificaat zal de zorgaanbieder of
de helpdesk ter controle vragen naar identificerende persoonsgegevens, zoals het burgerservicenummer
en de geboortedatum. Daarna wordt met een speciale portalapplicatie een certificaat
gegeneerd dat vervolgens wordt afgedrukt en aan betrokkene wordt overhandigd of toegestuurd.
Dit is voor de helpdesk van het CIBG alleen mogelijk als de benodigde gegevens bij
de zorgaanbieder kunnen worden ontsloten met behulp van de portalapplicatie. Van de
helpdesk kunnen alleen certificaten per post worden ontvangen, zodat deze faciliteit
niet geboden wordt voor testcertificaten vanwege de relatief korte periode waarin
een negatieve testuitslag relevant is.
In Bonaire, Sint Eustatius en Saba kan een certificaat op papier worden verkregen
van de afdeling Publieke gezondheid van het desbetreffende openbare lichaam. De helpdesk
van het CIBG is daar niet beschikbaar.
Artikel 9
Wanneer het beschikken over een test-, vaccinatie- of herstelbewijs verplicht is gesteld,
bijvoorbeeld bij in- en uitreizen of transit, dient het bezit ervan te kunnen worden
gecontroleerd. Daarvoor kan een certificaat worden gebruikt. Er kunnen ook situaties
zijn waarbij het kennis nemen van een certificaat is toegestaan, bijvoorbeeld wanneer
betrokkene zich tot een hulpverlener wendt voor het verkrijgen van zorg. Bij het verifiëren
en aanvaarden van een certificaat worden persoonsgegevens verwerkt. Voor zover er
bij de plicht of bevoegdheid tot verificatie van een certificaat nog geen juridische
grondslag is gecreëerd voor de verwerking van (medische) persoonsgegevens, is in artikel
9 bepaald dat certificaten en de daarin vervatte gegevens verwerkt mogen worden. De
verordening bevat daarvoor een beperkte grondslag voor exploitanten van grensoverschrijdende
personenvervoersdiensten (artikel 10, derde lid, Vo). Wellicht dekt de verordening
niet alle mogelijke situaties af. Daarom is in de onderhavige regeling een meeromvattende
bepaling opgenomen. Voorwaarde voor toepassing van deze bepaling is een juridische
grondslag voor de verificatie van een certificaat. Een dergelijke verplichting of
bevoegdheid kan onder meer voortvloeien uit een wettelijk voorschrift of een overeenkomst,
dan wel verkregen worden door de toestemming van betrokkene, mits deze toestemming
voldoet aan de eisen van de AVG.
Een concreet voorbeeld van de toepassing van artikel 9 is het lezen van een certificaat
met CoronaCheck Scanner om toegang te mogen verlenen tot activiteiten of voorzieningen
waar een nationaal coronatoegangsbewijs is voorgeschreven. In dergelijke gevallen
dient vanwege het vrij verkeer van personen zoals verankerd in artikel 21 VWEU ook
een Europees certificaat geaccepteerd te worden, mits daarmee wordt voldaan aan de
voorwaarden voor toegang.
Artikel 10
Dit artikel biedt de grondslag voor verwerking van persoonsgegevens die nodig zijn
voor het noodzakelijke gegevensverkeer. Wanneer een verzoek om een vaccinatiecertificaat
wordt gedaan met de applicatie CoronaCheck of de webapplicatie, gaat de Minister van
VWS eerst na waar de vaccinatiegegevens van betrokkene berusten. Om te waarborgen
dat deze gegevens betrekking hebben op degene die op basis daarvan een certificaat
wenst te genereren, wordt bij het verwerken van het verzoek aan de Minister van VWS
behalve de naam en geboortedatum van betrokkene ook zijn burgerservicenummer gebruikt.
Deze bevoegdheid bestaat reeds op grond van de Wet algemene bepalingen burgerservicenummer
(Wabb). Het verzoek wordt gedaan door in te loggen met DigiD. Bij het doen van het
verzoek om de vaccinatiegegevens en het genereren van het daarop te baseren certificaat,
is het IP-adres zichtbaar van het toestel of het systeem dat de gevaccineerde persoon
gebruikt. Indien de vaccinatiegegevens reeds zijn opgenomen in CIMS, kunnen de gegevens
rechtstreeks uit dat systeem worden opgehaald. Anders dient de bron van de vaccinatiegegevens
te worden gezocht. De toediener van het vaccin beschikt immers over de gegevens die
nodig zijn voor het vaccinatiecertificaat. Dit zijn onder meer GGD'en, ziekenhuizen
en huisartsen. Daartoe worden genoemde gegevens van de verzoeker om een vaccinatiecertificaat
op zo'n manier gepseudonimiseerd dat alleen degene die de vaccinatie heeft toegediend,
de sleutel heeft om deze te lezen en aan de Minister van VWS kenbaar te maken dat
de bron van de vaccinatiegegevens gevonden is. De vindplaats van de vaccinatiegegevens
wordt teruggekoppeld naar de (web)applicatie, die vervolgens de vaccinatiegegevens
ophaalt bij het RIVM, bij de toediener van het vaccin of – indien betrokkene door
verschillende zorgaanbieders is gevaccineerd – bij de toedieners van de vaccins. Daarbij
plaatsen zij een digitale handtekening ter beveiliging en waarmerking van de gegevens.
Vooralsnog zijn alleen de GGD'en aangesloten op de applicatie CoronaCheck en de webapplicatie.
Ook wordt in de systemen van de GGD'en gezocht naar gegevens over een eerdere infectie
met het coronavirus op basis waarvan kan worden vastgesteld dat de vaccinatie volledig
is na toediening van één vaccin in plaats van twee.
Vervolgens zet de gevaccineerde persoon de gegevens over zijn vaccinatie met CoronaCheck
om in een digitaal vaccinatiecertificaat. De digitale handtekening onder de vaccinatiegegevens
van de toediener van de vaccins wordt vervangen door een digitale handtekening van
de Minister van VWS. Dit wordt gedaan door een ICT-dienstverlener in opdracht van
de Minister van VWS. Ook wanneer het vaccinatiecertificaat wordt gemaakt met gegevens
van het RIVM, wordt het voorzien van een digitale handtekening van de Minister van
VWS. Voor een papieren vaccinatiecertificaat geldt hetzelfde, zij het dat de gevaccineerde
persoon daarvoor de door de Minister van VWS beschikbaar gestelde webapplicatie gebruikt
in plaats van CoronaCheck.
Voor testcertificaten zijn de gegevens over de negatieve testuitslag afkomstig van
de uitvoerder van de test. De testuitslag wordt verstrekt wanneer de geteste persoon
daarom vraagt. Om te verifiëren dat het de geteste persoon is die de uitslag opvraagt,
krijgt deze na de afname van de test een unieke, persoonsgebonden code mee waarmee
de uitslag kan worden opgevraagd. Bovendien vindt op het moment van opvragen van de
testuitslag een extra controle plaats. Afhankelijk van de uitvoerder van de test en
of de uitslag wordt gebruikt voor een digitaal dan wel papieren certificaat, kan dat
bijvoorbeeld een tweetraps authenticatie via sms zijn bij het gebruik van CoronaCheck.
De uitvoerder van de test zorgt voor zijn digitale handtekening onder de negatieve
testuitslag. Vervolgens zet de geteste persoon de gegevens over de testuitslag met
CoronaCheck om in een digitaal certificaat. De digitale handtekening van de uitvoerder
van de test onder de testuitslag wordt vervangen door een digitale handtekening van
de Minister van VWS; dit wordt gedaan door een ICT-dienstverlener in opdracht van
de Minister van VWS. Bij het doen van het verzoek om de negatieve testuitslag en het
genereren van het daarop te baseren testcertificaat is het IP-adres zichtbaar van
het toestel of het systeem dat de geteste persoon gebruikt.
Voor herstelcertificaten is eveneens een testuitslag nodig, zij het met een positief
resultaat. Deze testuitslagen worden verkregen van een zorgaanbieder, meestal de GGD.
In het kader van de infectieziektebestrijding hebben de GGD'en immers de testen uitgevoerd
bij mensen die mogelijk geïnfecteerd waren met het coronavirus.
De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge