TOELICHTING
1. Inleiding
Deze regeling wijzigt de Tijdelijke regeling maatregelen covid-19 (Trm) om een grondslag
te creëren om coronatoegangsbewijzen (CTB's) in geval van fraude of misbruik te blokkeren.
2. Blokkering coronatoegangsbewijs
2.1 Algemeen
Onlangs is gebleken dat de CTB's worden gekopieerd of nagemaakt en via het internet
beschikbaar worden gesteld om door anderen te worden gebruikt teneinde toegang te
verkrijgen tot activiteiten of voorzieningen waar een CTB is voorgeschreven. Dit kan
vooral gedaan worden met CTB's die op papier zijn uitgegeven. De QR-code van zo'n
CTB is namelijk statisch, anders dan een QR-code die met de applicatie CoronaCheck
wordt gegeneerd en elke minuut wordt ververst. Dergelijk misbruik doet afbreuk aan
de werking van de inzet van het CTB. Het is van belang dat met de applicaties alleen
betrouwbare resultaten getoond worden. Dit is een verantwoordelijkheid die is neergelegd
bij de Minister van Volksgezondheid, Welzijn en Sport (VWS) (artikel 58re, vierde
lid, van de Wet publieke gezondheid (Wpg)).
Een CTB is bruikbaar wanneer bij het lezen ervan de applicatie CoronaCheck Scanner
aangeeft dat sprake is van een geldig CTB en daarbij de initialen en het geboortejaar
en de geboortemaand weergeeft van de persoon waarop het CTB betrekking heeft. Indien
er een gegrond vermoeden bestaat dat handelingen zijn verricht met of met betrekking
tot het CTB die het vertrouwen in het CTB hebben geschaad of zullen schaden (bijvoorbeeld
bij fraude of misbruik, doordat een CTB op internet ter gebruik door anderen wordt
aangeboden of CTB’s tegen vergoeding worden aangeboden), wordt nader onderzoek verricht
door de Minister van VWS. Hierbij wordt onderzocht of de QR-code werkend is en ook
daadwerkelijk is gedeeld of publiek gemaakt. Op basis van de uitkomst van dat onderzoek
wordt door de Minister van VWS bepaald of de code geblokkeerd wordt.
Of er sprake is van geschaad vertrouwen in het CTB wordt beoordeeld in het licht van
het doel waarvoor CTB’s verplicht zijn gesteld en de mogelijkheden die CTB’s bieden.
Zij zijn nodig ter bestrijding van de (directe dreiging van de) epidemie van covid-19
en geven een mogelijkheid dat iemand deelneemt aan een activiteit of toegang heeft
tot een voorziening. CTB’s zijn dan ook strikt persoonsgebonden en gekoppeld aan de
vaccinatie, het herstel of de test van een concrete persoon, die zich veelal ook dient
te identificeren. Wordt zodanig met een CTB omgegaan dat hieraan afbreuk wordt gedaan,
dan verliest een CTB zijn waarde en wordt het vertrouwen erin geschaad. Hiervan kan
bijvoorbeeld sprake zijn als:
-
• iemands CTB op enigerlei wijze aan een ander ter beschikking wordt gesteld of op zodanig
onzorgvuldige manier is achtergelaten of er zodanig onzorgvuldig mee is omgegaan dat
een ander hiervan zonder noemenswaardige moeite misbruik kan maken;
-
• iemand anders CTB wordt gebruikt, gepoogd te gebruiken of dat wordt voorbereid, dan
wel kennelijk daartoe in bezit is;
-
• een CTB op andermans identiteit is verstrekt;
-
• een CTB is vervalst of kennelijk opzettelijk is beschadigd.
Zodra een gegrond vermoeden bestaat dat een bruikbaar CTB wordt gedeeld met anderen,
wordt dit geblokkeerd. Of een CTB met anderen gedeeld wordt, is in ieder geval te
constateren wanneer een vervalsing of kopie van een QR-code op internet is gepubliceerd.
Daarnaast zou tijdens een controle, het houden van toezicht of de handhaving, bijvoorbeeld
tijdens het nalopen van websites waarvan bekend is dat er CTB’s verspreid worden,
kunnen blijken dat een vervalst of gekopieerd CTB verspreid wordt. Ook kunnen ondernemers
die een vals of gekopieerd CTB getoond krijgen, daarvan de politie op de hoogte stellen.
Wanneer het nader onderzoek een gegrond vermoeden oplevert dat een vervalst of gekopieerd
CTB in omloop is (bijvoorbeeld als een QR-code op het internet circuleert), wordt
dit na onderzoek geblokkeerd. Elk CTB is voorzien van een elektronische handtekening
van de Minister van VWS en bevat een willekeurig getal (de zogenoemde challenge).
Dit getal kan niet gewijzigd worden, omdat de elektronische handtekening dan niet
meer geldig is en de CoronaCheck Scanner applicatie zal aangeven dat er geen geldig
CTB is. De challenge wordt met een cryptografische hashfunctie (SHA256) versleuteld
en afgekort tot 16 bytes naar een proof identifier. De proof identifier wordt opgenomen
in een door de Minister van Volksgezondheid, Welzijn en Sport aangelegde lijst (een
denylist) die periodiek door de applicatie CoronaCheck Scanner wordt gedownload. Op
het moment dat CoronaCheck Scanner een CTB leest, wordt de proof identifier van die
QR-code berekend. Daarna controleert de applicatie of deze proof identifier op de
denylist staat. Zo ja, dan geeft CoronaCheck Scanner aan dat het CTB niet geldig is.
Zo nee, dan worden de controle van het CTB zoals normaal uitgevoerd.
Gedupeerden van fraude of misbruik van hun CTB, kunnen op de gebruikelijke wijze een
nieuw CTB aanmaken en daarmee toegang verkrijgen tot activiteiten en voorzieningen.
Dit betekent dat bij een ongeldigverklaring de specifieke QR-code die is gegenereerd
in de app of op papier niet meer geldig is, maar een nieuwe in de app gegenereerde
QR-code of een nieuwe uitdraai van de papieren QR-code niet ongeldig is. Iedere burger
kan daarmee altijd een nieuw CTB generen die wel geldig is. Het plaatsen van een CTB
op de denylist zorgt er daarmee niet voor dat personen die volledig zijn gevaccineerd
geen CTB meer kunnen krijgen, zij moeten alleen een nieuwe genereren. Het is technisch
niet mogelijk om de persoon wiens CTB op de denylist staat daarover te informeren.
Fraude en misbruik vindt voornamelijk plaats met een CTB op papier. Omdat het CTB
geen contactgegevens bevat, kunnen gedupeerden niet worden geïnformeerd over de blokkering
van het CTB. Afhankelijk van de specifieke casus kunnen aanvullende maatregelen getroffen
worden. Overtreding van de bepalingen in de Wpg met betrekking tot CTB's is strafbaar
gesteld en kan leiden tot opleggen van sancties (artikel 68bis Wpg). Daarnaast kan
in geval van fraude aangifte gedaan worden.
Op grond van de verordening1 kan ook een door andere lidstaten uitgegeven Digitaal Corona Certificaat (DCC) gebruikt
worden om toegang te verkrijgen tot activiteiten en voorzieningen waarvoor een CTB
is voorgeschreven. Ook bij een redelijk vermoeden van fraude of misbruik van een DCC
zal dit op dezelfde manier geblokkeerd worden. Hiervoor wordt gebruik gemaakt van
een vergelijkbare methode waarbij de cryptografische hashwaarde (met behulp van het
SHA-256 algoritme) wordt berekend op basis van de elektronische handtekening van het
DCC.
2.2 Grondrechten en bescherming persoonsgegevens
De blokkade van een CTB, nadat uit onderzoek door de Minister van VWS is gebleken
dat sprake is van een gegrond vermoeden van fraude of misbruik, geschiedt op basis
van een willekeurig getal, de challenge, dat op zichzelf geen persoonsgegevens bevat
en vervolgens wordt versleuteld tot een proof identifier om te worden opgenomen op
een denylist. Het herleiden van de proof identifier tot het CTB en vervolgens tot
de persoon waarop het CTB betrekking heeft, is technisch niet mogelijk.
Het doel van de gegevensverwerking ten behoeve van het blokkeren van CTB's en DCC's
is het voorkomen dat onrechtmatig toegang verkregen wordt tot activiteiten en voorzieningen
waarvoor een CTB is voorgeschreven. Dit doel is, gelet op de bestrijding van de epidemie
van covid-19, gerechtvaardigd in het licht van de vervulling van een taak van algemeen
belang (artikel 6, eerste lid, onder e, Algemene Verordening Gegevensbescherming)
en de bescherming van de volksgezondheid (artikel 9, tweede lid, onder i, AVG). Er
worden niet meer persoonsgegevens verwerkt dan strikt noodzakelijk. Met de applicatie
CoronaCheck Scanner wordt de privacy beschermd doordat gebruik gemaakt wordt van een
denylist waarop alleen proof identifiers en unieke certificaatidentificatiecodes zijn
opgenomen. Ook laat de CoronaCheck Scanner niet zien waarom een CTB of DCC niet geldig
is, zodat bij controle voor de toegang tot activiteiten en voorzieningen niet kenbaar
is dat sprake is van een redelijk vermoeden van fraude of misbruik.
3. Regeldruk
Er zijn geen gevolgen voor de regeldruk. Het Adviescollege toetsing regeldruk (ATR)
heeft op 3 november 2021 advies uitgebracht inhoudende dat het ATR het dossier niet
heeft geselecteerd voor een formeel advies, omdat de regeling op dit punt geen gevolgen
voor de regeldruk met zich brengt.
4. Toezicht en handhaving
De maatregelen die in deze regeling zijn opgenomen brengen geen verandering in de
bestaande toezicht- en handhavingssystematiek van de CTB’s.
5. Advisering en consultatie
De in deze regeling voorgestelde maatregelen zijn op 27 oktober 2021 voor advies voorgelegd
aan de Autoriteit Persoonsgegevens (AP) en het ATR.
De AP heeft op 1 november 2021 advies uitgebracht en in het advies aangegeven geen
opmerkingen te hebben. Voor het ATR wordt verwezen naar paragraaf 4.
6. Inwerkingtreding
Gelet op artikel 58c, derde lid, Wpg treedt deze ministeriële regeling onverwijld
na de vaststelling en bekendmaking in werking, aangezien sprake is van een zeer dringende
omstandigheid waarin ter beperking van gevaar direct moet worden gehandeld. Het kabinet
doet een beroep op de spoedprocedure van artikel 58c, derde lid, Wpg, omdat het doorlopen
van de standaardprocedure, zoals opgenomen in artikel 58c, tweede lid, Wpg tot gevolg
zou hebben dat de regeling op haar vroegst een week na vaststelling en gelijktijdige
overlegging aan beide Kamers in werking kan treden op 13 november 2021. Deze regeling
dient, gezien de epidemiologische situatie en het belang van het voorkomen van misbruik
met CTB’s, echter zo spoedig mogelijk in werking te treden. Vanwege de vereiste spoed
wordt daarbij afgeweken van de zogeheten vaste verandermomenten en de minimuminvoeringstermijn
van drie maanden. De regeling wordt binnen twee dagen na vaststelling aan beide Kamers
der Staten-Generaal overgelegd. De regeling vervalt van rechtswege indien de Tweede
Kamer binnen een week na de toezending besluit niet in te stemmen met de regeling.
De Minister van Volksgezondheid, Welzijn en Sport, mede namens de Minister van Justitie en Veiligheid en de Minister van Binnenlandse
Zaken en Koninkrijksrelaties,
H.M. de Jonge