Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 21 december 2021

Hierbij bied ik uw Kamer mijn reactie aan op de motie van het lid Den Haan1 – ingediend en aangenomen tijdens het debat over de ontwikkelingen rondom het coronavirus op 16 november jl. (Handelingen II 2021/22, nr. 22, Debat over de ontwikkelingen rondom het coronavirus) – waarin de regering wordt verzocht de techniek van de CoronaCheck-app aan te passen, zodat mensen die gevaccineerd zijn en daarna corona krijgen geen QR-code krijgen in de periode dat zij in isolatie moeten. In reactie op deze motie heb ik onderzocht wat de mogelijkheden zijn om deze motie tot uitvoering te brengen. In deze brief bericht ik u hierover en geef ik mijn overwegingen daarbij.

Balans tussen fraudebestrijding en privacy

In de CoronaCheck-app kunnen twee soorten bewijzen worden aangemaakt en getoond: een QR-code voor binnenlands gebruik (coronatoegangsbewijs ofwel ctb) en internationale QR-codes (EU Digitaal Corona Certificaat of DCC) ten behoeve van reizen en nationale toegang in andere EU-landen. Voor de ontwikkeling van het ctb (zowel digitaal in de CoronaCheck-app als ook geprint op papier) is de belangrijkste afweging die ik heb gemaakt, die tussen het verkleinen van de kans op misbruik enerzijds, en de verwerking van kwetsbare persoonsgegevens anderzijds. Voorkomen moet immers worden dat gevoelige persoonsgegevens, zoals medische gegevens en gegevens die herleidbaar zijn tot individuen, worden overgedragen aan de controleur van het bewijs, terwijl de betrokkene geen controle heeft over waar die gegevens daarna verder voor worden gebruikt. Tegelijkertijd is er de wens om misbruik te voorkomen om zo het risico op de verspreiding van het virus zo laag mogelijk te houden.

In mijn stand van zakenbrief van 26 februari jl. informeerde ik u over de te vinden balans tussen fraudebestrijding en privacy bij de ontwikkeling van testbewijzen2. Ik schreef u dat ik eraan hecht om het belang van privacy en informatieveiligheid in dit geval zwaarder te laten wegen dan het volledig uitsluiten van alle mogelijke misbruik. Dit omdat het gaat om uiterst gevoelige gegevens die zouden worden getoond aan private controleurs bij toegang tot allerlei voorzieningen of activiteiten. Uiteraard zijn bij de ontwikkeling wel technische maatregelen genomen om de meest voor de hand liggende vormen van misbruik te voorkomen3, maar niet alles zou in techniek geregeld moeten worden. De commissie voor Digitale Zaken van uw Kamer heeft op woensdag 9 juni jl. vastgesteld wat haar taken, werkzaamheden en onderwerpen zijn. Daarbij schrijft de commissie4: «Digitalisering verandert onze samenleving radicaal. Nieuwe technologieën als kunstmatige intelligentie, algoritmen, Big Data, robotica, kwantumcomputers, Internet of Things en de cloud hebben grote gevolgen, zeker in samenhang met elkaar. Deze ontwikkelingen gaan snel en hebben invloed op onder meer de werkgelegenheid, onze veiligheid, de democratie, onze privacy, de verhouding tussen burgers onderling, en tussen burgers en de overheid.«

In dat licht heb ik bij de ontwikkeling van CoronaCheck niet alleen de mogelijkheden van de technologie beschouwd, maar ook de consequenties van de inzet daarvan. Daarbij heb ik de door de commissie genoemde aspecten meegenomen en er voor gewaakt niet vanuit een tunnelvisie op fraude te werken. Niet alles wat technologisch kan, is immers maatschappelijk en politiek wenselijk. Techniek heeft een plaats bij de ontwikkeling van ctb’s, maar de verantwoordelijkheid van de beslissing hoe met de techniek om te gaan ligt ook bij de persoon zelf. De digitale of papieren QR-code bewijst dat iemand is gevaccineerd, hersteld of negatief is getest. Hiermee is het proces voor toegang ingeregeld. De verantwoordelijkheid om goed met dit proces om te gaan ligt ook bij de persoon zelf. We hebben immers ook basisregels met elkaar afgesproken en bij een positieve testuitslag ga je thuis in isolatie om anderen te beschermen. We hebben met elkaar afgesproken ook een beroep te doen op ieders eigen verantwoordelijkheid hierin.

De CoronaCheck-app en de CoronaCheck Scanner-app zijn verder offline te gebruiken en er vindt geen centrale opslag van bewijzen plaats. Alle genoemde ontwerpkeuzes hebben de consequentie dat een QR-code nu niet automatisch op afstand kan worden ingetrokken als na een test blijkt dat iemand besmet is geraakt met het coronavirus.

Technische aanpassingen en risico’s bij kunnen intrekken van QR-codes

Om te beoordelen of het mogelijk is om QR-codes te blokkeren na besmetting moet allereerst onderscheid gemaakt worden tussen bewijzen in de app en papieren bewijzen.

Om QR-codes op afstand te kunnen blokkeren, zou het hiervoor beschreven systeem moeten worden aangepast. Ctb’s zouden daartoe wel gekoppeld moeten kunnen worden aan individuele personen. Dit zou nodig zijn om de relatie te kunnen leggen tussen een positief getest persoon en een specifiek bewijs teneinde dit bewijs tijdelijk te kunnen blokkeren. Daarmee zou niet langer voorkomen kunnen worden dat kwaadwillenden inzicht zouden kunnen krijgen in wie positief getest is en wie niet en dat zij mensen zouden kunnen gaan volgen. Een dergelijke aanpassing van het systeem zou daarmee dus een aanzienlijke inbreuk maken op de waarborgen die er nu zijn om de privacy van de gebruiker van het ctb te beschermen.

Een andere optie zou nog kunnen zijn dat mensen verplicht worden om met enige regelmaat met hun DigiD in te loggen bij de GGD om te checken dat ze niet recent positief zijn getest en dat alleen als mensen dat doen hun QR-code geldig blijft. Ook deze optie heeft echter grote gevolgen. Het zou leiden tot een grote toename van inlogpogingen en daarmee tot overbelasting van systemen.

Voor zowel de optie van de automatische blokkering van het ctb als de optie van een verplichting om regelmatig in te loggen bij de GGD geldt, dat deze niet toe te passen is op de papieren ctb’s. Het zonder meer intrekken van papieren bewijzen op afstand kan niet; ze kunnen immers niet door een ambtenaar worden weggenomen. Dat betekent dat als het gaat om bewijzen op papier alleen bij controle aan de deur kan worden vastgesteld of het eerder afgegeven papieren bewijs op dat moment geldig is. Om die controle te kunnen doen is een publiek beschikbare lijst van positief geteste mensen nodig die toegankelijk is voor de CoronaScanner-app (die daarvoor frequent online zou moeten zijn om de lijst op te halen) en die kan worden gekoppeld aan papieren bewijzen. Papieren ctb’s zijn

in hun huidige vorm echter niet aan een specifieke persoon te koppelen. Er zouden dus opnieuw papieren ctb’s moeten worden afgegeven. Mensen kunnen met behulp van DigiD via coronacheck.nl zelf een papieren ctb zelf afdrukken, maar niet iedereen is daartoe in staat. Van de huidige papieren ctb’s zijn er bijvoorbeeld meer dan 650.000 per post verstuurd aan mensen. Daarnaast worden ook ctb’s uitgeven door een behandelaar – zoals huisartsen en in ziekenhuizen. Vooral voor deze categorie papieren ctb’s geldt dat de invoering van een nieuwe versie van het ctb zou leiden tot een grote last in de uitvoering voor de behandelaars die het eerdere ctb hebben afgegeven. Het opstellen van de eerder genoemde lijst met ongeldige ctb’s heeft daarnaast als risico dat door iedereen met een aangepaste scanner-app kan worden vastgesteld dat mensen positief getest zijn of zijn geweest, wat opnieuw leidt tot een inbreuk op de privacy van de gebruikers van het ctb. Tot slot bestaat het risico dat een dergelijke lijst wordt gelekt. De Belgische Gegevensbeschermingsautoriteit doet nu bijvoorbeeld onderzoek naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen op basis van positieve uitslagen.

Adviezen Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19

Naar aanleiding van motie van het lid Den Haan heb ik de Begeleidingscommissie DOBC gevraagd of en hoe de CoronaCheck-app kan worden aangepast zonder afbreuk te doen aan de hoge eisen van gegevensbescherming en privacy die aan de app zijn gesteld bij de ontwikkeling. De Commissie onderschrijft in haar dertigste advies – bijgevoegd bij deze brief5 – ook dat het met het uitvoeren van de motie noodzakelijk zou worden om zogeheten «blokkeerlijsten» bij te houden van QR-codes die geblokkeerd zijn, omdat mensen positief getest zijn. Daarnaast is het een vereiste dat de digitale QR-code te koppelen is aan individuele personen die daarmee potentieel via het ctb te volgen zouden zijn, dit om de gescande QR codes te kunnen vergelijken met deze zogeheten «blokkeerlijst». Hierdoor zal de CoronaCheck Scanner app ook «online» moeten gaan werken, waar deze momenteel geheel «offline» te gebruiken is. De Commissie benoemt verder het negatieve effect op de toegankelijkheid door de noodzaak om alle bestaande papieren ctb’s in te trekken en opnieuw te moeten uitgeven. Technisch gezien is het intrekken van de QR-code mogelijk, maar hierbij dient rekening gehouden te worden met privacy, de implicaties voor de toegankelijkheid en geldigheid van het papieren coronatoegangsbewijs en de bruikbaarheid van de Scanner.

De Commissie raadt dit alles overwegende het niet verschijnen van een groen vinkje, zoals voorgesteld in motie van het lid Den Haan, af. Wel adviseert de Commissie een dynamisch ctb in overweging te nemen die bij afnemende vaccineffectiviteit niet meer geldig is, totdat een persoon een boostervaccinatie heeft gehaald of zich voor toegang heeft getest. Dit sluit aan bij het negentwintigste advies van de Begeleidingscommissie DOBC dat ik op 19 november ontving6. De commissie wijst daarbij op het feit dat een «groen vinkje» in de CoronaCheck-app op dit moment statisch. Zij draagt aan te onderzoeken hoe het coronatoegangsbewijs dynamischer kan worden gemaakt, zonder verlies aan privacy en toegankelijkheid, waarbij in lijn met de epidemiologische situatie kan worden besloten op basis waarvan een coronatoegangsbewijs wordt uitgegeven en geldig is. Technisch is het verlies van geldigheid van een vaccinatie na een bepaald aantal maanden in de CoronaCheck-app in te richten door de geldigheid van het vaccinatiebewijs aan te passen; voor al uitgegeven papieren bewijzen is dit op deze wijze niet mogelijk omdat deze een jaar geldig zijn vanaf het moment van printen. Op de Europese tafels wordt momenteel uitgewerkt hoe ten aanzien van de DCC met een verlopen geldigheidsduur van vaccinaties wordt omgegaan. Op dit advies van de commissie kom ik daarom in een later stadium terug.

Uitvoering motie

Zoals ook aangegeven in de beantwoording op eerdere schriftelijke vragen die hierover gesteld zijn7, zie ik het dus als eerste als de eigen verantwoordelijkheid van mensen om rekening te houden met anderen en zich bij een eventuele besmetting aan de op dat moment geldende richtlijnen en basisregels te houden. Bij een positieve testuitslag (gevaccineerd of ongevaccineerd) ga je thuis in isolatie, ga je niet naar buiten en gebruik je dus zeker niet de QR-code voor toegang. Zoals hiervoor is beschreven zou een aanpassing van het systeem om bij een positieve testuitslag het ctb automatisch te kunnen blokkeren, ertoe leiden dat de privacy van de gebruiker van het ctb minder kan worden geborgd. Daarbij wil ik ook opmerken dat de introductie van een dergelijke blokkeringsmogelijkheid het probleem van mensen die met een positieve testuitslag niet in isolatie gaan, ook niet zal oplossen. Het houdt mensen niet automatisch thuis. Bovendien bestaat het risico dat de invoering van deze maatregel een negatief effect zou kunnen hebben op de testbereidheid. Mensen laten zich niet meer via de GGD testen omdat zij weten dat bij een positieve testuitslag het ctb automatisch wordt geblokkeerd.

Er is nog wel een alternatief. De CoronaCheck-app zou zo kunnen worden aangepast, dat mensen zelf via hun Digid een positieve testuitslag kunnen ophalen, waarna het ctb tijdelijk wordt ingetrokken. Beide bewijzen (het herstelbewijs en het vaccinatiebewijs) zijn dan zichtbaar in de app, maar de Nederlandse QR-code wordt pas weer geldig na de herstelperiode. Deze methode zou niet van toepassing zijn op eerder uitgegeven papieren bewijzen. Met deze aanpassing blijven de hoge eisen aan gegevensbescherming van kracht, maar ontstaat wel de mogelijkheid het digitale ctb tijdelijk ongeldig te maken. Dit vraagt uiteraard om medewerking van de gebruiker van het ctb. Verwacht mag worden dat goedwillende mensen die nu al na een positieve testuitslag in isolatie gaan, die medewerking zullen willen verlenen. Meewerken heeft ook als voordeel dat met een positieve testuitslag na de herstelperiode weer een ctb beschikbaar komt op basis van herstel. Dit kan meer mensen over de streep trekken om mee te werken.

Alles overwegende zie ik thans te veel nadelen in de invoering van een automatische blokkeringsmogelijkheid van QR-codes. Bovendien leidt deze maatregel er niet ook automatisch toe dat mensen die besmet zijn geraakt met het corona virus in isolatie gaan. Zoals gezegd, is er wel een alternatief – de vrijwillige optie – waarmee voor een deel tegemoet gekomen kan worden aan de motie van uw Kamer. De haalbaarheid van deze vrijwillige optie laat ik onderzoeken en hier informeer ik uw Kamer later over.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge