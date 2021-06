Minister Hugo de Jonge liet afgelopen donderdag de CoronaCheck-app zien. Beeld ANP

‘Gewoon even een screenshotje maken van de test’, zegt een man met een blik bier in zijn hand ’s avonds in het centrum van Amsterdam, ‘delen met al je maten en dan kun je met z’n allen naar binnen.’ Afgelopen uitgaansweekeinde gold de QR-code in de app CoronaCheck voor het eerst als toegangsbewijs voor nachtclubs. In onder meer een reportage van omroep Powned vertellen uitgelaten feestgangers dat ze naar binnen gaan met codes die ze van anderen hebben gekregen of op internet hebben gevonden, zonder dat ze zelf zijn getest. Is het systeem zo makkelijk te kraken?

CoronaCheck-app maakt sinds vorige week donderdag QR-codes aan die je door een controleur laat scannen. Wie een groen scherm krijgt op de telefoon van de controleur mag naar binnen. Om dat groene scherm te krijgen, moet een bezoeker zich hebben laten testen en het testbewijs in de app hebben geladen, of hij moet volledig gevaccineerd zijn. De controleur ziet verder summiere gegevens van wie de code toont: initialen en een deel van de geboortedatum. Samen met een identiteitsbewijs zou dat genoeg moeten zijn om misbruik te voorkomen.

Maar die controle moet er dan wel zijn. Wie niet het scherm van de scan-app van de controleur naast een identiteitsbewijs houdt, kan dus net zo goed iemand binnenlaten op basis van de testuitslag van een ander.

QR-code ververst

Mits de QR-code en het testbewijs nog geldig zijn. Een testbewijs geldt veertig uur. Daarmee zou een bezoeker in veertig uur tijd bij een nachtclub, een concert en een wedstrijd naar binnen kunnen. Maar de app ververst de QR-code elke paar minuten. De zwarte en witte blokjes in de code verschuiven van positie, terwijl de informatie van een volledige vaccinatie of negatieve testuitslag hetzelfde blijft. Dat is juist om te voorkomen dat bezoekers foto’s doorsturen van de code. En het is om de privacy te beschermen: doordat de app de QR-code steeds ververst voorkomt hij dat iemand te volgen is aan de hand van die code.

Er is dus een mogelijkheid om met het testbewijs van een vriendin binnen te komen, maar dan moet een controleur de code op de afbeelding scannen voordat de oorspronkelijke code is ververst, dus binnen een paar minuten, en er zou geen controle naast moeten zijn met een identiteitsbewijs. Wat wel zou moeten, benadrukt een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport, het departement dat over CoronaCheck gaat.

En, zegt de woordvoerder, je brengt andere clubgangers of stadionbezoekers mogelijk in gevaar, door te doen alsof je getest bent en je dus niet zeker weet of je geen covid-19 hebt. ‘Weer veilig zwetend tegen elkaar aan staan, kan echt alleen maar als iedereen getest is.’