De QR-code van de coronapas kan niet ingetrokken worden. Wat is de technische reden daarachter? Jan Dolphijn, Security Expert bij NCOI, geeft zijn kijk op deze ontwikkeling.
Als je gevaccineerd bent tegen Covid-19, krijg je een QR-code. Deze coronapas kan niet ingetrokken worden, ook niet als je positief test op het virus. Dat klinkt als een vergissing, maar dat is het absoluut niet. Het heeft te maken met de Algemene Verordening Gegevensbescherming (AVG) – de Europese regelgeving voor de bescherming van persoonsgegevens. Dolphijn ligt toe: “De AVG gaat over het verwerken van persoonsgegevens, zoals in de corona-app. Omdat het in dit geval gaat om medische persoonsgegevens, is de regelgeving nog strikter dan bij andere privacygevoelige data.”
Volgens de AVG moet de gebruiker van persoonlijke medische data toestemming hebben om deze te verwerken. Dat heeft de overheid niet. Daarom slaat de coronapas geen persoonlijke gegevens op. “Zodra je de QR-code op je telefoon hebt, ontkoppelt die van internet. De persoonsgegevens staan alleen op je mobiele telefoon”, zegt Dolphijn. Dat is ter beveiliging. Daardoor kan geen enkele derde partij bij persoonlijke data, dus ook de overheid niet.
Had het uitrollen van de coronapas technisch anders gekund? Dolphijn: “Niet als je in ogenschouw neemt in welke korte tijdspanne dit geregeld moest worden en hoeveel werk het met zich meebrengt om dit uit te rollen over de gehele Nederlandse populatie. Dus met snelheid in het achterhoofd, is dit in mijn ogen de beste oplossing.”
Uit onderzoek van RTL blijkt dat er tienduizenden valse QR-codes in omloop zijn. Kan de overheid deze codes dan ook niet intrekken? Gelukkig wel. Het Ministerie van Volksgezondheid heeft een manier gevonden om deze illegale coronapassen te blokkeren. Daarvoor controleert de CoronaCheck-app bij het opstarten direct al de registratie van een QR-code. Staat deze op de zwarte lijst? Dan wordt de QR-code meteen geblokkeerd.