"Ik ben gevaccineerd, vertrouw mij!"

Vaccineren is een belangrijke stap in de strijd tegen Corona. Evenals je laten testen bij klachten. Inmiddels worden er testevenementen gehouden om te kijken wat er gebeurt als nu toch grote groepen mensen bij elkaar komen. Bijvoorbeeld in theaters of stadions. Op die manier wordt onderzocht welke mogelijkheden er zijn om maatregelen toch te versoepelen of om verantwoord evenementen te laten plaatsvinden. Het deelnemen aan een evenement mag alleen als je negatief getest bent. In vergelijkbare zin komen er straks vaccinatiebewijzen om aan te tonen dat je gevaccineerd bent. Dat zou het bijvoorbeeld toestaan om te reizen naar het buitenland of om toegang tot bepaalde evenementen te krijgen. Deze aanpak roept vragen op, zowel vanuit privacy-perspectief als vanuit ethisch oogpunt.

Een vaccinatiebewijs of een bewijs van een negatieve testuitslag is een bijzonder persoonsgegeven. Het gaat immers over iemands gezondheid of medische gesteldheid. Er is dus extra zorgvuldigheid geboden bij het verwerken van deze gegevens. Naast een normale grondslag uit artikel 6 van de AVG moet er voor en rechtmatige verwerking bovendien een uitzondering uit artikel 9 van toepassing zijn. Afhankelijk van de situatie zijn daar verschillende mogelijkheden. Maar ik wil hier vooral kijken naar die zorgvuldigheid. Bij zorgvuldigheid gaat het niet alleen om de juistheid en betrouwbaarheid van de gegevens zelf, maar ook van de identiteit van de persoon die de gegevens deelt, en dat die gegevens ook bij die persoon horen.

Het vaccinatiebewijs zal de gegevens bevatten. Maar hoe controleer je met voldoende zekerheid dat de gegevens ook bij de persoon horen die het bewijs toont? Voor een juiste en zorgvuldige verwerking van de gegevens is immers vereist dat je weet over welke betrokkene het gaat. Bescherming van de privacy en persoonsgegevens vereist hier dus ook een vorm van identificatie. De combinatie van een betrouwbaar vaccinatiebewijs met een betrouwbare identiteit van de houder levert uiteindelijk de zekerheid die wordt gezocht om iemand op een veilige manier toe te laten tot een evenement of reis.

Allereerst het vaccinatiebewijs zelf. De benodigde gegevens zijn een verklaring dat de houder gevaccineerd is en enkele identificerende gegevens van de houder. Een naam en geboortedatum liggen dan het meest voor de hand. Maar het belangrijkste is de zekerheid dat het bewijs betrouwbaar is en dus niet vervalst. De databanken met testgegevens van de GGD zijn op grote schaal leeg getrokken en de data zijn te koop aangeboden op internet, met naast naam en geboortedatum ook NAW-gegevens en BSN. Vervalsing van de gegevens lijkt dus ook niet uit te sluiten. Nog los van de vraag of er verificatie aan de oorspronkelijke databank plaats moet vinden of niet. In ieder geval wordt verwacht dat op een of andere manier organisatoren van evenementen en reisorganisaties de medische gegevens gaan controleren.

Dan nog de identiteit zelf om te controleren of het vaccinatiebewijs echt van de persoon is die het laat zien. De fysieke documenten, zoals paspoort of rijbewijs kunnen natuurlijk gebruikt worden. Maar ook daarbij is er enige vaardigheid vereist om te kunnen vaststellen of het om een origineel document gaat. En bij grootschaligere evenementen zal er ook enige snelheid vereist zijn om grote opstoppingen te voorkomen.

Een mooie oplossing lijkt een digitaal bewijs, dat gekoppeld kan worden aan een digitale identiteit. De betrokkene zou zich dan via een smartphone kunnen identificeren en aantonen dat hij gevaccineerd is (dat is dan een attribuut). Er zijn diverse oplossingen in de markt die dergelijke functionaliteit bieden. Probleem is dat er nog onvoldoende schaal is om dit op hele korte termijn in te zetten.

Het kan hier dus uiteindelijk twee kanten op gaan. Of er wordt vastgehouden aan traditionele methoden met papieren bewijzen en identificatie aan de hand van een fysiek document. Met de nodige risico’s op fraude of onrechtmatige verwerking van gegevens. Of er ontstaat een doorbraak in de elektronische identiteiten en attributen waarmee betrouwbaar en efficiënt het gewenste resultaat behaald kan worden, met meer controle over de gegevens en betere borging van dataminimalisatie. De beperkte digi-vaardigheid die we bij de GGD hebben gezien geeft weinig hoop, maar het zou toch mooi zijn als we hier weer een positief effect van de Coronacrisis zouden zien: een doorbraak in technologie en privacybescherming!

Gepubliceerd op
16/3/2021
Privacy Company; privacy; Corona; Covid-19; vaccinatiebewijs; bijzondere persoonsgegevens; fysieke documentatie; fysieke documenten; digitaal bewijs.