De coronapas of het Covid Safe Ticket (CST) trad op 1 november in werking, maar het wordt nu al aangevochten voor de rechtbank. Al in oktober spande Charta21, de vereniging voor privacy en grondrechten, een kortgeding aan voor de rechtbank van eerste aanleg in Brussel. Ze vraagt de schorsing van de app CovidScan, waarmee het CST kan worden gecontroleerd. Opnieuw staat het eHealth-platform centraal in deze discussie.
...
De CovidScan-app is het resultaat van de samenwerking tussen de federale en regionale overheden, het eHealth-platform en Sciensano. Vooraleer het ticket wordt toegekend, controleert de app bij gevaccineerden ook of deze personen onlangs toch geen positieve PCR-test hebben afgelegd, door een gecodeerde lijst van schorsingen van coranacertificaten te raadplegen. In deze fase van het scanproces werd begin oktober een potentiële beveiligingsfout opgemerkt en gemeld bij de Gegevensbeschermingsautoriteit (GBA). Mogelijk zijn er 39.000 mensen getroffen door dit veiligheidslek. Maar het agentschap Digitaal Vlaanderen, dat deze toepassingen en oplossingen in de strijd tegen covid in eigen beheer bouwt, stelt dat CovidScan niet kan worden misbruikt. "CovidScan is de enige app in België die de wettelijke toestemming heeft om identificaties van mensen te scannen en de applicatie zal deze identiteitsgegevens nooit opslaan op het toestel van wie de scan uitvoert. (...) Met een identificatie op zich ben je niets, want je weet niet wie daarachter schuilgaat. Om dat te achterhalen moet je ook beschikken over het certificaat van de persoon", legt projectleider Gert De Gelder uit. "De enige applicatie die in België de toelating heeft om te scannen is CovidScan en we kunnen dus garanderen dat er tijdens dit proces geen gegevens worden opgeslagen of verzonden." Toch diende Charta21, een vereniging die ontstond tijdens de lockdown en voornamelijk uit advocaten bestaat, een klacht in om de grondrechten te verdedigen, in het bijzonder die van de privacy. De actie is erop gericht om "een einde te maken aan talrijke inbreuken op de Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels) en op die manier te voorkomen dat persoonlijke gezondheidsgegevens van gevaccineerde personen uitlekken." De rechtsvordering in kortgeding viseert eHealth, het platform voor de uitwisseling van gezondheidsgegevens waarvan Frank Robben de administrateur-generaal is. Men diende ook een klacht in bij de gegevensbeschermingsautoriteit (GBA), waarvan Frank Robben eveneens extern lid is. "Toen de inbreuk aan het licht kwam, heeft eHealth dit niet aan de GBA gemeld en evenmin aan de getroffen personen. eHealth had onmiddellijk moeten waarschuwen dat er sprake was van een datalek wat betreft gegevensbescherming en alle betrokkenen moeten waarschuwen, wat het niet heeft gedaan", benadrukt Jacques Folon, GDPR-deskundige en bestuurder van de vzw Charta21. Het eHealth-platform verstrekte daarop meer duidelijkheid over de apparatuur die wordt gebruikt om de QR-code van het Covid Safe Ticket te lezen. "De CovidScanBE-applicatie is bedoeld om burgers vrije toegang te geven tot culturele en sociale evenementen en tegelijkertijd te zorgen voor de naleving van de follow-up en de voorzorgsmaatregelen die essentieel zijn voor het verdere gezondheidsbeheer van de pandemie." eHealth legt uit dat er oorspronkelijk geen enkele maatregel was voorzien voor mensen met een geldig vaccinatiebewijs maar die toch besmet zouden raken met covid en dus de facto tijdelijk geen toegang zouden kunnen krijgen tot een evenement. "Epidemiologen als Erika Vlieghe en Steven Van Gucht stelden vast dat een dergelijke situatie een belangrijke tekortkoming in het systeem blootlegde." Daarom werd een openbare lijst opgesteld van certificaten waarmee een aantal mensen om uiteenlopende redenen tijdelijk geen toegang meer krijgen tot een evenement. "Het is belangrijk op te merken dat deze lijst alleen de nummers bevat van de certificaten die tijdelijk of permanent zijn geschorst", benadrukt eHealth. "Deze lijst bevat zowel de certificaatnummers van de personen die positief hebben getest als de certificaatnummers die als ongeldig of foutief worden beschouwd. Er kan uit deze nummers dus geen enkele informatie worden afgeleid over de reden van de schorsing van het certificaat, noch over de identiteit van de persoon die houder is van het certificaat." Volgens het platform is de invoering van dit soort lijsten een standaardmanier om de geldigheid van elektronische documenten te beheren. Op 29 oktober stelde de rechtbank een onafhankelijke gerechtsdeskundige aan om de app te analyseren. Gisteren, 1 december, had een volgende hoorzitting plaats. "Dit is een eerste stap om onze vordering verder uit te rollen", besluit Jacques Folon. Het is bij het scanproces dat men een potentiële beveiligingsfout constateerde, die begin oktober aan de Gegevensbeschermingsautoriteit (GBA) werd gemeld.