Woensdag 14/04/2021

NieuwsVaccinatie

‘Privébedrijf mag je rijksregisternummer niet vragen’: privacy-expert kritisch voor vaccinatieplatform QVAX

null Beeld BELGA
Beeld BELGA

Een dag na de start van de QVAX-website, waarmee je jezelf op de vaccin-reservelijst kan zetten, is privacy-expert Matthias Dobbelaere-Welvaert kritisch. Zolang er niet meer duidelijkheid is, raadt hij iedereen aan om zich voorlopig niet te registreren. De website is in opdracht van de overheid door een privébedrijf gebouwd. ‘Een privébedrijf mag niet je rijksregisternummer vragen’, zegt hij tegenover HLN.

“Op zich is de reservelijst een nobel initiatief,” steekt de jurist van non-profitorganisatie Ministry of Privacy van wal. Alleen laat het vrijwillig registreren serieus te wensen over. Zo is de privacyverklaring “niet gedetailleerd en niet leesbaar genoeg”, en oogt de Qvax-site niet veilig. Daar komt nog bij dat het helemaal niet duidelijk is waar de persoonsgegevens naartoe gaan.

“Het Agentschap Zorg en Gezondheid is samen met hun Frans- en Duitstalige evenknieën verantwoordelijk voor de verwerking, maar het is een commercieel bedrijf dat instaat voor de website. Een commercieel bedrijf dus dat je rijksregisternummer en andere data gaat opvragen”.

“Dit is problematisch. Het rijksregisternummer is een beschermd gevoelig gegeven in onze wetgeving. Private bedrijven mogen initieel je rijksregisternummer helemaal niet vragen. Overheidsinstanties mogen dat wel. Met het nummer in handen kan je een bankrekening openen, maar ook gevoelige informatie opvragen bij de overheid. Het is cruciaal voor verificatie.”

“Wat je zeker niet mag doen is het rijksregisternummer hanteren als een gebruikersnaam, wat hier wel het geval is. Enkel een overheidsinstantie mag zoiets vragen. Als je het toch doet, moet deze informatie heel goed geëncrypteerd worden. En daar is nog geen zekerheid over.”

Zolang de technische ontwikkelaars geen garanties bieden over de privacy-veiligheid, is volgens het Ministry Of Privacy de tijd nog niet rijp voor registratie.

Nineties

Qua uitzicht vindt Dobbelaere-Welvaert de website en het systeem een flashback “naar de nineties”. “Ik vrees dat het heel snel is gemaakt. Dit moet een overheidsproject zonder commerciële partner blijven. Het is belangrijk dat medische informatie van burgers enkel en alleen door het Agentschap Zorg en Gezondheid en niet door een privaat ticketingbedrijf kan ingekeken worden. QVAX is een privacygevoelig platform hetgeen ook zo moet benaderd worden. Dit is geen Tomorrowland coronastijl.”

Wat Dobbelaere-Welvaert ten slotte nog tegen de borst stuit, is de mededeling in de privacyverklaring waarin staat dat je gegevens pas zullen worden gewist na de publicatie van een Koninklijk Besluit (KB) “dat het einde van de pandemie afkondigt”. Of er ooit zo’n KB komt, is nog maar de vraag.

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234