Waarom werkte je mee, Ron?

Dit weekend werd CoronaCheck veel meer gebruikt dan tot nu toe. We gingen er mee de grens over deze zomer, vakantiegangers toonden hun QR-code in Franse restaurants. Maar vanaf nu dus ook vaker in Nederland zelf.

De afgelopen tijd werd mij veel gevraagd waarom ik er aan meewerk. Jij, Ron, bent immers zo gespitst op privacy? Daar schreef ik eerder al over. Maar met alle vragen van de afgelopen weken geef ik in deze blog nog iets meer kleuring.

Binnenlandse code eerder ontstaan
CoronaCheck bevat twee QR-codes: één voor in Nederland en één voor in Europa. De Nederlandse code werd eerder ontwikkeld, en los van de Europese DCC. Dat gebeurde na adviezen van wetenschappers over het verder openen van de samenleving met testen voor toegang en ook advies van de Gezondheidsraad over de ethische en juridische voorwaarden daarbij.

Bij het ontwikkelen van de Nederlandse code werd heel bewust gekozen voor privacy by design, zoals eerder bijvoorbeeld ook bij CoronaMelder. De balans tussen privacy en fraudebestrijding is bewust gekozen.

Aan de Tweede Kamer werd dat in februari van dit jaar als volgt beschreven:

De belangrijkste afweging die we hebben te maken bij de ontwikkeling van de applicaties is het vinden van de juiste balans tussen de mate van bescherming van persoonsgegevens en het tegengaan van misbruik. Testbewijzen zijn bedoeld om toegangscontrole mogelijk maken voor mensen die kunnen aantonen dat ze recent negatief getest zijn. Dergelijke negatieve testuitslagen bevatten in de regel veel gevoelige persoonsgegevens, zoals Burgerservicenummers en de testuitslag zelf.

Voorkomen moet worden dat dergelijke persoonsgegevens worden overgedragen aan de controleur van het bewijs, terwijl de betrokkene geen controle heeft over waar die gegevens daarna verder voor worden gebruikt.

Tegelijkertijd is er de wens om misbruik te voorkomen om zo de risico op verspreiding van het virus zo klein mogelijk te houden. Het verkleinen van de kans op misbruik moet daarom worden afgewogen tegen de verwerking van kwetsbare persoonsgegevens. Temeer omdat met het verplicht testbewijs ook het verplicht tonen ontstaat van de gegevens in dit bewijs.

Ik hecht eraan om het belang van privacy en informatieveiligheid in dit geval zwaarder te laten wegen dan het volledig uitsluiten van alle mogelijke misbruik. Dit omdat het gaat om uiterst gevoelige gegevens die zouden worden getoond aan private controleurs bij toegang tot allerlei voorzieningen of activiteiten.

Uiteraard zullen wel technische maatregelen genomen moeten worden om de meest voor de hand liggende vormen van misbruik zo veel mogelijk te voorkomen. Ik heb gevraagd hieraan veel aandacht te besteden in de ontwikkeling van de digitale applicatie voor het testbewijs.

Bewuste keuzes
In de balans tussen fraudebestrijding en gegevensbescherming zijn als gevolg hiervan bewuste keuzes gemaakt. Denk bijvoorbeeld aan het niet prijs geven van de bron van de code en het niet kunnen volgen van mensen. Hieronder een paar van die keuzes op een rijtje.

  • Bron van het bewijs is niet zichtbaar
    De Nederlandse code laat niet zien wat de bron is van jouw bewijs. Het kan zijn dat je hersteld bent van Covid, dat je recent negatief getest bent of juist gevaccineerd. Maar die reden is niet terug te zien in de QR-code. Daar gaan we ver in. Ook aan de geldigheidsduur van de code kun je dat namelijk niet zien. Een QR-code op basis van vaccinatie is even lang geldig als een QR-code op basis van een negatieve test. Door bij vaccinatie in de app telkens een nieuwe QR-code te maken lijkt de geldigheid even lang.

  • Mensen zijn niet te volgen
    De code in de app verandert heel vaak en is zo gemaakt dat je mensen niet kunt volgen over de locaties heen die ze bezoeken. Want elke code die getoond wordt is niet te koppelen aan een eerder getoonde. En een screenshot maken heeft dus weinig zin, want die code is maar even geldig.

  • Niet voldoende gegevens om je te identificeren
    In de code staan alleen jouw initialen, geboortedag en geboortemaand. En als die weinig voorkomen kan daarvan ook nog iets worden weggelaten. Dus mocht iemand een eigen scanner maken, dan nog kun je niets met de gegevens die je scant. Je kunt geen database aanleggen van persoonsgegevens omdat de gegevens niet tot jou zijn te herleiden.

  • Geen centrale database voor de app
    Jouw gegevens staan alleen bij de bron (GGD, RIVM of testaanbieder) en in de app. Jij kiest om ze op te halen, jij kiest om een bewijs te maken. Alleen als je zelf met DigiD inlogt wordt er contact gelegd om jouw vaccinatiegegevens op te halen. En hetzelfde geldt voor testgegevens.

  • Ook zonder internetverbinding te gebruiken
    De code op je telefoon is ook te gebruiken als je even geen internet hebt. Dat geldt ook voor de scanner. Om de paar dagen is even verbinding nodig om eventuele wijzigingen in de configuratie op te halen, maar als je gaat stappen kun je zonder internetverbinding je code tonen of scannen.

  • Codes elke paar weken ververst
    De QR-codes in de app worden minimaal elke paar weken ververst. Ook dat is een manier om het veilig te houden.

Keuzes met gevolgen
Die keuzes voor maximale gegevensbescherming hebben ook gevolgen. Gisteravond werden die al even duidelijk. Op de eerste avond openden veel mensen de app voor het eerst in weken vlak voordat hun QR-code gescand werd of probeerden op dat moment voor het eerst een code te maken. Omdat de code elke paar weken ververst wordt, leverde dat even een piekbelasting op bij het genereren van codes. De belasting was op geen enkel moment zo hoog dat de servers dat niet aan zouden kunnen. Maar de combinatie met stevige DDOS-aanvallen maakte dat het soms niet lukte. Mensen kregen daardoor niet direct een QR-code. Dat is super onhandig als je net bij de deur staat. Voor je vertrekt de app even openen helpt.

Jouw code is ook niet automatisch op afstand in te trekken als je positief test. Er is immers geen stiekeme verbinding met een database, er kan ook niets naar de app “gepusht” worden. Alleen jij kunt zelf en actief nieuwe gegevens ophalen. Dat is het gevolg van de privacykeuzes. Overigens: ook een geel boekje explodeert niet als je positief test. Het is de eigen verantwoordelijkheid om niet naar buiten te gaan als je besmettelijk bent (net zoals een rijbewijs geldig blijft als je gedronken hebt, maar dronken rijden niet mag). Om dezelfde reden kan een fraudeleus verkregen QR-code niet per direct op afstand worden ingetrokken.

Aandacht voor privacy heeft dus gevolgen. Sommige dingen worden er moeilijker door. Stel je bijvoorbeeld voor dat je, zoals in Duitsland, op sommige locaties alleen met vaccinatie of herstel naar binnen zou mogen. In andere landen toon je al je gegevens in een DCC en kan dat zo worden vastgesteld. In Nederland zou een tweede QR-code moeten worden gemaakt, waarin een negatieve test geen bron van de code meer kan zijn.

Verschil met het DCC
Dat zou dus anders zijn als we in Nederland niet een eigen code hadden maar, zoals in andere Europese landen, de Europese code zouden laten zien. Die Europese code werd ontwikkeld na en naast de nationale. Daarom heb je in CoronaCheck twee verschillende codes: voor binnen Nederland en voor buiten Nederland. Waar binnen Nederland nauwelijks gegevens worden opgenomen in de QR-code (initialen, geboortedag en –maand en geldigheid), is dat in het DCC anders. Elk land kent eigen inreisregels, dus de gegevens zelf staan in het DCC. Jouw naam, en heel veel gegevens over jouw herstel, negatieve test of vaccinatie. In een QR-code die vast is en niet telkens wijzigt.

Verschil in data DCC en Nederlandse code

Tot slot
Deze blog begon met de vaak aan mij gestelde vraag waarom ik meewerk aan CoronaCheck. Gooi je daarmee niet al je principes overboord, wordt er dan vaak bij gezegd. Het antwoord is, wat mij betreft, dus nee. De Nederlandse code is bewust privacyvriendelijk. Je geeft er nauwelijks gegevens mee prijs. Dat heeft gevolgen. Maar die horen bij de balans tussen, onder meer, privacy en fraudebestrijding. Ik ben blij daaraan een bijdrage te kunnen hebben leveren.

PS
Deze blog gaat bewust wel over privacy en CoronaCheck en bewust niet over de inzet van toegangstesten, de wetenschappelijke adviezen daarover, het advies van de Gezondheidsraad en alle debatten daarover. Op reacties die daarover gaan zal ik niet ingaan.