achtergrond
Het coronatoegangsbewijs is verre van waterdicht. Waar gaat het mis?
Vanaf zaterdag moeten ook bezoekers van buitenterrassen, musea en sportscholen een coronatoegangsbewijs laten zien. En dat terwijl de QR-code verre van waterdicht is. Een overzicht van de manco’s.
‘Mag ik uw QR even zien?’ Deze vraag is sinds eind juni niet meer weg te denken uit het uitgaansleven. Om een bioscoop, café of evenement binnen te komen, moeten twee telefoons elkaar kortstondig aankijken. Dat gaat soms vergezeld van een check met een identiteitskaart of een controlevraag.
Vanaf zaterdag geldt dat ook voor bezoekers van sportscholen, buitenterrassen en musea, maakte het kabinet dinsdag bekend. Dat terwijl het onderhand duidelijk is dat het systeem niet waterdicht is. Waar gaat het mis?
1: de sjoemelaar
De politie pakte deze week drie doktersassistenten van een Amsterdamse huisartsenpraktijk op. Ze zouden tientallen ongevaccineerde mensen aan een vaccinatiebewijs hebben geholpen. Per vervalst bewijs ontvingen de assistenten tussen de 500 en 1.000 euro.
Sinds de invoering van de pas wordt ermee gefraudeerd. In september werden GGD-medewerkers op non-actief gesteld nadat zij op aanvraag QR-codes hadden aangemaakt voor ongevaccineerden. Nadat RTL eind oktober ontdekte dat er een werkende QR-code op naam van Adolf Hitler rondging, stelde het ministerie van Volksgezondheid, Welzijn en Sport (VWS) onderzoek in naar de vervalsing.
Voor fraude is niet per se een bereidwillige doktersassistente of GGD-medewerker nodig. Als je de code van een gevaccineerde vriend krijgt, ben je er ook. Via apps als Telegram zijn bovendien QR-codes van anderen verkrijgbaar.
Daarnaast is een Android-app – vrijwel niet te onderscheiden van de officiële Coronacheck-app – in omloop die QR-codes aanbiedt, meldde NOS vrijdag. In beide gevallen gaat het vooral om QR-codes uit andere Europese landen die ook in Nederland werken. Naam en geboortedatum onthouden, je voordoen als toerist en je bent als sjoemelaar binnen.
VWS heeft tot nu toe 23 QR-codes die in omloop waren – waaronder een onder naam van Spongebob Squarepants – geblokkeerd en zegt dat binnenkort ook te zullen doen met QR-codes van buitenlanders die in Nederland veel rondgaan. Zowel de verkoop als het gebruik van vervalste QR-codes is strafbaar, benadrukt een woordvoerder. Ook moet bij binnenkomst altijd een identiteitsbewijs worden gecontroleerd.
2: de afwezige handhaver
En daar zit meteen het tweede lek: de uitvoering. Het gebruiken van andermans QR-code zou aan effectiviteit verliezen als bij de deur om legitimatie wordt gevraagd. De praktijk leert dat dat zelden gebeurt.
Daarnaast zijn er uitgaansgelegenheden die het coronatoegangsbewijs überhaupt niet controleren. Er zijn te weinig handhavers om daarop toe te zien. ‘We kunnen niet bij alle 7.000 horecagelegenheden (in Amsterdam, red.) een bromsnor neerzetten’, legde burgemeester Halsema deze week nog maar eens uit aan de Volkskrant.
3: de onbewuste verspreider
Er zijn ook gevaccineerden die het virus onbewust verspreiden. Een vaccinatie en een doorgemaakte infectie beschermen voor 70 tot 80 procent tegen herbesmetting. Zelfs op fraudevrije evenementen houdt de app dus niet alle besmettingen buiten de deur. Zo raakten, ondanks strikte handhaving, minstens 1.027 bezoekers (zo’n 0,3 procent van het aantal verkochte kaarten) van het Amsterdam Dance Event vorige maand besmet.
Dit lek wordt steeds problematischer. Gevaccineerden zijn met steeds meer, en de werkzaamheid van het vaccin neemt af naarmate de tijd vordert. De kans wordt dus steeds groter dat je op een evenement meer gevaccineerde besmette feestgangers tegenkomt dan ongevaccineerden die naar binnen zijn geglipt.
4: de privacy/de techniek
De opvallendste zwakte: besmette gevaccineerden kunnen met hun QR-code gewoon de kroeg in, want het coronatoegangsbewijs blijft geldig. Dit tot verbijstering van ongevaccineerden. Er ligt een afweging tussen privacy en fraudebestrijding aan ten grondslag, die uitvalt in het voordeel van de privacy.
Bij het ophalen van een vaccinatiebewijs in de Coronacheck-app maakt DigiD eenmalig contact met de database met de lijst gevaccineerden. Vervolgens slaat de app het coronabewijs lokaal op en maakt geen contact meer met die database. ‘Dat is volgens de principes van privacy by design en security by design’, zegt een woordvoerder van VWS.
Zo kan het ministerie, of een hacker, bijvoorbeeld niet achterhalen hoe vaak iemand de app gebruikt, en op welke locaties. Maar het betekent ook dat wanneer de app eenmaal een vaccinatie heeft ‘opgehaald’, het groene vinkje niet kan worden ingetrokken bij een besmetting.
Het ministerie zoekt naar ‘geitenpaadjes’ om dat op te lossen, waarbij tegelijkertijd niet aan privacy en veiligheid wordt ingeboet, zegt de woordvoerder. Of die er zijn, is nog maar de vraag. ‘We kijken daar al tijden naar, en we hebben er nog geen gevonden.’ Een aanpassing van het systeem wordt nu niet overwogen. ‘Wij kiezen op dit moment nog steeds voor privacy én veiligheid.’
België besloot de app wél aan te passen en coronabewijzen van besmette Belgen in te trekken, maar kreeg meteen het deksel op de neus. Een lijst van mensen wier coronabewijs was ingetrokken kon worden uitgelezen, hoewel dat niet had gemogen. Gevolg, volgens de Belgische privacywaakhond: ruim 39 duizend ‘slachtoffers’.
De coronapas is dus verre van waterdicht, maar heeft mogelijk wel een gunstig effect op het aantal vaccinaties. Daags na de persconferentie was het opvallend druk bij prikbussen en pop-uplocaties van de GGD.
