De coronapas moest er komen, volgens strenge eisen — nu worden de praktische gevolgen daarvan zichtbaar

Het beleid om de huidige opleving van het coronavirus te beteugelen leunt zwaar op de coronapas: dit weekend werd controle van het coronatoegangsbewijs verplicht bij binnensport, terrassen, musea en kermissen. Het kabinet treft ook voorbereidingen om controle op de werkvloer mogelijk te maken.

Maar er wordt geknaagd aan het maatschappelijk vertrouwen in dat systeem. Naast de levendige handel in frauduleuze QR-codes dringt zich een ander vraagstuk op. Als een gevaccineerde of van Covid-19 herstelde persoon eenmaal het groene vinkje in de CoronaCheck-app heeft, kan dat niet automatisch ingetrokken worden als hij of zij positief test. Die persoon kan dan gewoon toegang krijgen tot volle cafés of drukke sporthallen. Door de stijgende vaccinatiegraad wordt inmiddels bijna de helft van de positieve testen afgenomen bij volledig gevaccineerde personen. Zij kunnen anderen besmetten als ze ondanks die testuitslag op pad gaan.

Dat probleem lijkt technisch niet op te lossen, zeggen Ron Roozendaal, directeur Informatiebeleid bij het ministerie van Volksgezondheid, en Ivo Jansch, software-architect van de CoronaCheck-app. Tenminste, niet zonder te morrelen aan de strenge eisen die het ministerie zelf stelde aan de privacy- en informatieveiligheid van de app. Roozendaal: „We hebben echt gezocht naar een oplossing, maar wij en de experts die ons van advies voorzien, konden er tot nog toe niet een vinden. We krijgen het niet in de app zonder het hele systeem om te gooien. En het omgooien van het systeem heeft een prijs.”

Lees ook: Controle op QR-code bij het zwembad leidt tot wrevel

Invasieve technologie

Na een breed debat over de CoronaMelder, de eerste corona-app van de overheid waarmee gebruikers hun contacten konden waarschuwen na een positieve test, ontstond een duidelijk beeld van de voorwaarden waaraan zulke potentieel zéér invasieve technologie moest voldoen om maatschappelijk en politiek gezien acceptabel te zijn.

De apps moeten zo min mogelijk data verzamelen, gegevens zo min mogelijk herleidbaar maken naar personen en zoveel mogelijk data moesten op de telefoon van de gebruikers bewaard worden. Een enorme centrale database met allerlei medische gegevens zou overheden immers in staat stellen om gebruikers te volgen. Nog los van de interesse die zulke gegevensverzamelingen bij hackers, al dan niet van buitenlandse inlichtingendiensten, zullen wekken. „Gezien de denkbare scenario’s van misbruik riepen organisaties als Bits of Freedom terecht op om heel ver te gaan in het beschermen van gevoelige gegevens van burgers”, memoreert Roozendaal.

Lees ook dit stuk over de CoronaMelder: ‘U liep risico’, zegt de app. En dan?

Dat leidde bij de CoronaCheck-app tot een QR-code en een systeem dat alleen strikt noodzakelijke data gebruikt – van de persoon alleen initialen en de geboortedag- en maand. „Je kan zo’n bewijs aan iedere willekeurige uitsmijter laten zien en dan is het fijn dat hij niet al jouw gegevens kan inzien”, zegt Roozendaal. De scanner kan ook niet zien of iemand toegang krijgt met een vaccinatie-, herstel- of testbewijs.

De praktische gevolgen van die eisen worden nu zichtbaar, maar het ministerie is daar volgens Roozendaal altijd duidelijk over geweest. Fraude moet zoveel mogelijk voorkomen worden, maar privacy en informatieveiligheid, schreef demissionair minister Hugo de Jonge (Volksgezondheid, CDA) in februari aan de Kamer, zou zwaarder wegen „dan het volledig uitsluiten van alle mogelijke misbruik”. Vorige week voegde hij daaraan toe dat het intrekken van de groene vinkjes niet kon.

Want nadat een QR-code is aangemaakt, worden er geen persoonlijke data meer uitgewisseld. „Je telefoon maakt niet nog een keer stiekem contact met de GGD, of wie dan ook, om te controleren of het toegangsbewijs nog geldig is”, zegt Roozendaal. „De enige manier om een bewijs in trekken is om te weten wie gevaccineerd is én wie positief testte. En dat moet ik dan naar een specifieke telefoon op kunnen sturen.” Juist dat kan niet, omdat het systeem anoniem is en de informatie dus niet aan elkaar gekoppeld kan worden. „Wil je dat wel, dan verlies je dat het systeem voor de buitenwereld anoniem is. En dat heeft weer gevolgen voor je privacy en de veiligheid van je gegevens.”

Het bijhouden van de benodigde verzamelingen gegevens is niet zonder risico’s. In België loopt inmiddels een onderzoek van de Gegevensbeschermingsautoriteit naar een mogelijk lek in het Belgische coronatoegangsbewijs, het Covid Safe Ticket. Daar wordt van iedere gevaccineerde wel op een versleutelde lijst bijgehouden of iemand onlangs positief testte. De „potentiële beveiligingsfout” in het scanproces kan volgens de toezichthouder gevolgen hebben voor de privacy van meer dan 39.000 Belgen die op de lijst stonden.

Lees ook: Dit zijn de vier effecten van de coronapas

Testbereidheid

Een technische oplossing, zelfs als die zonder extra persoonsgegevens mogelijk zou zijn, is alsnog niet waterdicht, merkt Jansch op. „Als jij zaterdag naar dat festival wil maar bang bent om positief te testen, dan laat je je als gevaccineerde toch gewoon niet testen?”

Minister De Jonge toonde zich vanwege de gevolgen voor de privacy niet bereid het systeem om te gooien, maar riep op de laatste persconferentie op om „het verstand” te gebruiken en thuis te blijven na een positieve test, zoals al de hele coronacrisis het advies is. Gevaccineerden zijn wel minder besmettelijk dan ongevaccineerden, benadrukte hij.

Na een positieve testuitslag blijft 70 procent van de mensen thuis, blijkt uit gedragsonderzoek van het RIVM. Het grootste probleem is de testbereidheid: inmiddels zegt nog iets meer dan een kwart van de ondervraagden zich te laten testen bij klachten.