NieuwsVaccinatie
‘Privébedrijf mag je rijksregisternummer niet vragen’: privacy-expert kritisch voor vaccinatieplatform QVAX
Een dag na de start van de QVAX-website, waarmee je jezelf op de vaccin-reservelijst kan zetten, is privacy-expert Matthias Dobbelaere-Welvaert kritisch. Zolang er niet meer duidelijkheid is, raadt hij iedereen aan om zich voorlopig niet te registreren. De website is in opdracht van de overheid door een privébedrijf gebouwd. ‘Een privébedrijf mag niet je rijksregisternummer vragen’, zegt hij tegenover HLN.
“Op zich is de reservelijst een nobel initiatief,” steekt de jurist van non-profitorganisatie Ministry of Privacy van wal. Alleen laat het vrijwillig registreren serieus te wensen over. Zo is de privacyverklaring “niet gedetailleerd en niet leesbaar genoeg”, en oogt de Qvax-site niet veilig. Daar komt nog bij dat het helemaal niet duidelijk is waar de persoonsgegevens naartoe gaan.
“Het Agentschap Zorg en Gezondheid is samen met hun Frans- en Duitstalige evenknieën verantwoordelijk voor de verwerking, maar het is een commercieel bedrijf dat instaat voor de website. Een commercieel bedrijf dus dat je rijksregisternummer en andere data gaat opvragen”.
“Dit is problematisch. Het rijksregisternummer is een beschermd gevoelig gegeven in onze wetgeving. Private bedrijven mogen initieel je rijksregisternummer helemaal niet vragen. Overheidsinstanties mogen dat wel. Met het nummer in handen kan je een bankrekening openen, maar ook gevoelige informatie opvragen bij de overheid. Het is cruciaal voor verificatie.”
“Wat je zeker niet mag doen is het rijksregisternummer hanteren als een gebruikersnaam, wat hier wel het geval is. Enkel een overheidsinstantie mag zoiets vragen. Als je het toch doet, moet deze informatie heel goed geëncrypteerd worden. En daar is nog geen zekerheid over.”
Zolang de technische ontwikkelaars geen garanties bieden over de privacy-veiligheid, is volgens het Ministry Of Privacy de tijd nog niet rijp voor registratie.
Nineties
Qua uitzicht vindt Dobbelaere-Welvaert de website en het systeem een flashback “naar de nineties”. “Ik vrees dat het heel snel is gemaakt. Dit moet een overheidsproject zonder commerciële partner blijven. Het is belangrijk dat medische informatie van burgers enkel en alleen door het Agentschap Zorg en Gezondheid en niet door een privaat ticketingbedrijf kan ingekeken worden. QVAX is een privacygevoelig platform hetgeen ook zo moet benaderd worden. Dit is geen Tomorrowland coronastijl.”
Wat Dobbelaere-Welvaert ten slotte nog tegen de borst stuit, is de mededeling in de privacyverklaring waarin staat dat je gegevens pas zullen worden gewist na de publicatie van een Koninklijk Besluit (KB) “dat het einde van de pandemie afkondigt”. Of er ooit zo’n KB komt, is nog maar de vraag.
We adviseren om voorlopig niet te registreren op Qvax - het werkt voorlopig toch slechts zeer beperkt in twee centra.
— Ministry of Privacy (@ministryprivacy) 6 april 2021
De feitelijke verwerker is een commercieel bedrijf, de technische kwaliteit is laag, de bewaartermijn in de privacyverklaring bijzonder vaag (‘een KB dat het
