Kamervraag 2021Z18314

Het bericht 'Besmet, maar de QR-code blijft geldig'

Ingediend 21 oktober 2021
Beantwoord 26 november 2021 (na 36 dagen)
Indiener Aukje de Vries (VVD)
Beantwoord door Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA)
Onderwerpen economie gezondheidsrisico's ict zorg en gezondheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2021Z18314.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20212022-934.html
1. De Telegraaf, 19 oktober 2021, «Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon» (Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon | Binnenland | Telegraaf.nl)
2. Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 363
  • Vraag 1
    Kent u het bericht «Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon»? Wat vindt u van het bericht?1

    Ja, ik heb kennisgenomen van dit bericht. Zoals ook aangegeven in de beantwoording op eerdere schriftelijke vragen die hierover gesteld zijn2, zie ik het als de eigen verantwoordelijkheid van mensen om rekening te houden met anderen en zich bij een eventuele besmetting aan de op dat moment geldende richtlijnen en basisregels te houden. Bij een positieve testuitslag (gevaccineerd of ongevaccineerd) ga je thuis in isolatie en gebruik je de QR-code niet voor toegang. Als iedereen zich aan deze afspraak houdt, zie ik geen reden om de QR-code in te trekken.
    Op dit moment is het (tijdelijk) op afstand intrekken of ongeldig maken van deze coronatoegangsbewijzen (CTB’s) technisch niet mogelijk zonder afbreuk te doen aan de hoge eisen van gegevensbescherming die ik heb gesteld aan de ontwikkeling van het Nederlandse CTB (zowel digitaal in de CoronaCheck-app als ook geprint op papier). Hierbij is een afweging gemaakt in de balans tussen de bescherming van persoonsgegevens en het tegengaan van misbruik. In die afweging heb ik uw Kamer eerder dit jaar meegenomen.3 De CoronaCheck-app is daarom ontwikkeld volgens de principes van privacy- en security by design waarbij verschillende maatregelen zijn getroffen om de privacy van burgers te borgen. Door deze ontwerpkeuzes bevat het CTB te weinig informatie om de QR-code in te trekken. Naar aanleiding van de Motie Den Haan4; «geen Groen vinkje in de CoronaCheck-app na besmetting» zal ik u binnenkort nader berichten over de keuzes die te maken zijn. Daarbij geef ik u alvast het volgende mee.
    Allereerst moet er onderscheid gemaakt worden tussen papieren bewijzen en bewijzen in de app. Het zonder meer intrekken van papieren bewijzen op afstand kan niet, ze kunnen immers niet worden weggenomen of vernietigd. Wel kan worden gedacht aan het controleren aan de deur of een eerder afgegeven papieren bewijs op dat moment geldig is. Dat vergt een publiek beschikbare zwarte lijst van positief geteste mensen die kan worden gekoppeld aan papieren bewijzen. De huidige papieren bewijzen zijn daarvoor niet geschikt. De al meer dan 600.000 per post uitgegeven papieren bewijzen en alle daarnaast door mensen zelf afgedrukte bewijzen zouden allemaal moeten worden ingetrokken (en opnieuw aangevraagd). Ze zouden daarbij zo moeten worden gemaakt dat ze direct te koppelen worden aan individuele personen, om de relatie te leggen tussen een positief getest persoon en een specifiek bewijs teneinde dit bewijs op een lijst van besmette personen te kunnen plaatsen. Het opstellen van een dergelijke lijst heeft als risico dat door iedereen met een scanner-app kan worden vastgesteld dat mensen positief getest zijn of zijn geweest. Daarbij bestaat het risico dat een dergelijke lijst wordt gelekt. De Belgische Gegevensbeschermingsautoriteit doet nu bijvoorbeeld onderzoek naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
    Bewijzen in de app zouden wellicht wel technisch kunnen worden ingetrokken. Een mogelijke werkwijze daarbij kan zijn dat mensen verplicht worden om (bijvoorbeeld elke dag) met DigiD in te loggen bij de GGD om te checken dat ze niet recent positief zijn getest en dat alleen als mensen dat doen hun QR-code geldig blijft. Ook dit brengt allerlei risico’s met zich mee. Het leidt tot hoge kosten (voor onder meer dagelijks gebruik van DigiD), overbelasting van systemen omdat dit aantal inlogpogingen niet ondersteund kan worden en sluit heel veel mensen uit (zoals de groep mensen die niet beschikt over DigiD of een Burgerservicenummer).
    Zoals gezegd zal ik uw Kamer nader informeren naar aanleiding van genoemde motie. Ter voorbereiding daarvan wordt de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 om advies gevraagd. Aan de Begeleidingscommissie is de vraag gesteld of en hoe de CoronaCheck-app kan worden aangepast zonder afbreuk te doen aan de hoge eisen van gegevensbescherming en privacy die aan de app zijn gesteld bij de ontwikkeling. Hierbij maak ik graag gebruik van alle expertise van de Begeleidingscommissie, waaronder op het gebied van ethiek, gedragswetenschappen, privacy en informatieveiligheid en morele aspecten.

  • Vraag 2
    Bent u het eens dat het volstrekt onverantwoord is om als positief geteste persoon een eerder verkregen QR-code te gebruiken om toegang te krijgen tot activiteiten met een coronatoegangsbewijs? Zo nee, waarom niet? Zo ja, waarom bent u dan niet bereid om dit probleem op te lossen?

    Zie antwoord vraag 1.

  • Vraag 3
    Herinnert u zich uw antwoorden op eerdere schriftelijke vragen van mij, over het bericht «Fraudeurs houden toch groen vinkje»?2

    Ja.

  • Vraag 4
    Waarom is het, zoals wordt vermeld in uw antwoorden, blijkbaar wel mogelijk QR-codes te blokkeren als gevolg van fraude met het online verspreiden van QR-codes van coronatoegangsbewijzen waarmee andere personen deze QR-codes kunnen gebruiken om toegang te krijgen, maar is het niet mogelijk om QR-codes te blokkeren van mensen die positief zijn getest?

    Onlangs is gebleken dat CTB’s en buitenlandse DCC’s worden gekopieerd en via het internet beschikbaar worden gesteld om door anderen te worden gebruikt voor binnenlandse toegang. Dit gebeurt vooral met bewijzen die op papier zijn uitgegeven. Deze QR-code is statisch, anders dan een QR-code die in de CoronaCheck-app wordt gemaakt en elke minuut wordt ververst. Zodra wordt geconstateerd dat een CTB of DCC met anderen wordt gedeeld, kan deze worden geblokkeerd. Gedupeerden van fraude of misbruik kunnen op de gebruikelijke wijze een nieuw CTB aanmaken en daarmee opnieuw toegang verkrijgen tot activiteiten en voorzieningen.
    Omdat voor zover het gaat om papieren QR-codes, de codes van mensen die positief getest zijn niet door hen of anderen gepubliceerd zijn, kunnen deze niet op dezelfde wijze worden geblokkeerd.

  • Vraag 5
    Wat zijn de verschillen in de apps voor coronatoegangsbewijzen in Nederland en België, aangezien het in België wel mogelijk is om de QR-code van een positief geteste persoon tijdelijk te blokkeren? Welke andere landen kunnen QR-codes van positief geteste personen tijdelijk blokkeren?

    In een Nederlands CTB zijn – zoals toegelicht in het antwoord op vraag 1 en 2 – nauwelijks gegevens opgenomen, waardoor het intrekken of ongeldig maken van de QR-code in de CoronaCheck app op dit moment onmogelijk is. Dit in tegenstelling tot de internationale QR-code die meer gegevens bevat. Het is aan een land zelf om te bepalen of en hoe invulling wordt gegeven aan coronabewijzen voor binnenlands gebruik. In sommige Europese landen zoals België wordt alleen gebruik gemaakt van het DCC, in andere landen is een eigen CTB-equivalent ontwikkeld. Hierdoor kan het zijn dat de QR-code in een ander land – zoals België – door andere ontwerpkeuzes wel herleidbaar is naar een specifiek persoon en dus kan worden ingetrokken door deze op een lijst te plaatsen. De Belgische Gegevensbeschermingsautoriteit doet nu onderzoek naar een mogelijk datalek bij een versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
    Uit navraag begin oktober is bekend dat het op dit moment in Letland, Frankrijk, België en Liechtenstein mogelijk is om vaccinatiebewijzen tijdelijk in te trekken in het geval van een positief testresultaat.

  • Vraag 6
    Wat is er nodig om QR-codes van positief geteste personen alsnog tijdelijk te kunnen blokkeren?

    Zie het antwoord op vraag 2.

  • Vraag 7
    Bent u bereid om alsnog de QR-code te blokkeren van mensen die positief getest zijn op het coronavirus? Zo nee, waarom niet?

    Zie antwoord vraag 6.

  • Vraag 8
    In hoeverre is het strafbaar om met een onterecht coronatoegangsbewijs en dus met een positieve coronatest naar activiteiten toe te gaan waar een coronatoegangsbewijs nodig is?

    Wanneer iemand, ondanks een positieve coronatest, een legaal CTB gebruikt om toegang te krijgen tot een CTB-plichtige activiteit, dan is dat in de eerste plaats zeer onverantwoordelijk handelen van deze persoon. Dergelijk onverantwoordelijk handelen kan een gevaar vormen voor anderen en kan afhankelijk van de specifieke omstandigheden in sommige gevallen mogelijk als strafbaar worden beschouwd.

  • Vraag 9
    Welk gezondheidsadvies krijgen mensen die positief getest zijn op het coronavirus, maar ook gevaccineerd zijn? Wordt bij een positief getest persoon gemeld dat het tijdelijk niet bedoeling is dat een verkregen QR-code gebruikt wordt?

    Vanaf het begin van de coronapandemie is het dringende advies om bij klachten thuis te blijven, je te laten testen en als je weet dat je corona hebt in quarantaine te gaan. Dit wordt op alle mogelijke manieren uitgedragen. Als je gevaccineerd bent en klachten hebt of positief bent getest, geldt dit ook. Wanneer iemand positief test, dan neemt de GGD contact met diegene op voor het bron- en contactonderzoek. De medewerker van de GGD zal tijdens dit gesprek de informatie verschaffen die is opgesteld door het landelijk centrum infectieziektebestrijding (LCI) van het RIVM.6


Kamervraag document nummer: kv-tk-2021Z18314
Volledige titel: Het bericht 'Besmet, maar de QR-code blijft geldig'
Kamerantwoord document nummer: ah-tk-20212022-934
Volledige titel: Antwoord op vragen van het lid Aukje de Vries over het bericht 'Besmet, maar de QR-code blijft geldig'