Vrij verkeer in Europa tijdens de pandemie

07/06/'21 - Na lang wikken en wegen is de kogel door de kerk. Op 20 mei werd een akkoord bereikt over de voorwaarden van het Digitaal Covid-certificaat voor het faciliteren van vrij verkeer in Europa tijdens de pandemie. Sinds afgelopen week is het technische systeem operationeel, waarmee de certificaten op een veilige en privacyvriendelijke manier kunnen worden gecontroleerd. Het zogenoemde coronapaspoort moet het mensen weer makkelijker maken om tijdens de coronapandemie binnen de EU te reizen. Hiervoor moeten veel medische gegevens van EU-burgers worden verzameld, wat impact heeft op de privacy van onder anderen Nederlandse burgers. In deze blog gaan we in op de belangrijkste aspecten van het coronapaspoort vanuit het privacy perspectief.   

Het verwerken van medische gegevens

Op het digitale certificaat staan persoonlijke gegevens zoals iemands naam, geboortedatum, datum van afgifte en een unieke identificatiecode. Ook kan een buitenlandse reisbeambte aan de hand van het certificaat zien welk vaccin iemand heeft gehad, hoeveel doses en wanneer. Verder is zichtbaar of iemand ziek is geweest of negatief is getest. Deze informatie kan worden aangemerkt als gezondheidsgegevens en is daarmee gevoelig.

Wettelijke basis

Op grond van de Algemene Verordening Gegevensbescherming (AVG) moet er daarom een zeer hoog niveau van gegevensbescherming worden gewaarborgd. Ook geldt dat gezondheidsgegevens in principe niet verwerkt mogen worden, tenzij er sprake is van een zogeheten ‘uitzonderingsgrond’. De Europese Commissie heeft daarom voor een wettelijke basis gezorgd door een Verordening op te stellen die de verwerking toestaat. De Europese Verordening voor het EU digitaal Covid-certificaat zal vanaf 1 juli 2021, voor twaalf maanden gelden.

Dataminimalisatie

Een van de belangrijkste beginselen van de AVG is ‘dataminimalisatie’. Dat wil zeggen dat alleen de gegevens vastgelegd mogen worden, die echt nodig zijn om het doel te bereiken. Volgens de Europese Commissie wordt in het geval van het coronapaspoort ‘een beperkt aantal gegevens die absoluut noodzakelijk zijn’ verwerkt. Deze gegevens zijn uit te lezen via een QR-code in het coronapaspoort.

Nationaal coronapaspoort

Over de gegevens die in de QR-code voor het coronapaspoort opgeslagen worden, is het een en ander te doen geweest. Zo liet het ministerie van Volksgezondheid Welzijn en Sport (VWS) weten dat het Europese coronapaspoort bij het scannen ervan meer medische gegevens toont dan Nederland in eerste instantie verlangde. Daarom gaat het ministerie van VWS nu een nationale QR-code invoeren in het coronapaspoort. De Sociaal Economische Raad (SER) adviseert deze in te zetten op drukke plekken waar toegangscontrole normaal is. Zoals theaters, stadions en musea, maar ook beurzen en congressen. De nationale variant van de QR-code zal minder medische gegevens gaan bevatten en alleen worden gekoppeld aan de initialen, de geboortedag en de geboortemaand van een gebruiker. Bovendien zal de Nederlandse versie geen onderscheid maken tussen een testbewijs, een vaccinatiebewijs, of een bewijs dat de eigenaar recent hersteld is van het coronavirus. Volgens de Nederlandse overheid zijn deze gegevens namelijk voldoende om het doel te bereiken.

De corona paspoort-app

In Nederland wordt het coronapaspoort onderdeel van de CoronaCheck-app. Aan die app zullen zowel de Europese, als de nationale QR-code worden toegevoegd. Het is de bedoeling dat de nationale QR-code privacyvriendelijker is en slechts een groen scherm toont wanneer de eigenaar ervan beschermd is tegen corona. De organisatie die het coronapaspoort controleert, kan op die manier niet zien waarom diegene beschermd is tegen het virus. Privacygevoelige informatie over vaccins, tests of immuniteit blijft dus vertrouwelijk.

Meer weten?

Bent u benieuwd wat de Nederlandse versie van het digitaal covid-certificaat zal betekenen voor uw organisatie? Neem dan contact met ons op.