Meestgestelde vragen
Taal: Nederlands
Wissel van taal:

Privacyverklaring CoronaCheck en fysiek coronabewijs

Deze privacyverklaring is geschreven voor de inzet van de applicaties CoronaCheck en CoronaCheck.nl vanaf 24 juni 2021 en legt uit op welke wijze persoonsgegevens van personen die een coronabewijs of een EU Digitaal Corona Certificaat genereren en gebruiken worden verwerkt en welke maatregelen genomen zijn om deze persoonsgegevens te beschermen.

Als je toegang wil tot bijvoorbeeld een evenement of activiteiten in Nederland of je wil reizen naar een ander land binnen Europa kan het zo zijn dat je moet bewijzen dat je negatief getest bent, of gevaccineerd bent of al een keer COVID-19 hebt gehad. Het bewijsmiddel in de vorm van een QR-code voor gebruik binnen Nederland heet het coronabewijs. Voor reizen binnen Europa heb je een EU Digitaal Corona Certificaat nodig (dat noemen we een EU DCC, dat is ook in de vorm van een QR-code). Beide bewijzen kun je laten maken via een app op je telefoon en bewaren op je telefoon (CoronaCheck app) of je kunt de bewijzen laten maken en dan printen via de website www.coronacheck.nl. Voor het maken van de bewijzen via de app of via de website is de minister van Volksgezondheid, Welzijn en Sport (VWS) verantwoordelijk. Om de bewijzen te kunnen maken, moeten persoonsgegevens worden verwerkt. In deze privacyverklaring wordt uitgelegd om welke persoonsgegevens het gaat en op basis van welke grondslag deze worden verwerkt, wat je rechten zijn en wat je kunt doen als je het niet eens bent met de verwerking.

1. Welke persoonsgegevens worden er verwerkt?

Om een nationaal coronabewijs en een EU DCC te maken, gebruiken wij gegevens over jouw gezondheid: testuitslagen, vaccinatiegegevens en herstelverklaringen. Ook gebruiken wij gegevens die ons iets vertellen over wie jij bent, zodat we de juiste gegevens ophalen en gecontroleerd kan worden of het bewijs ook echt van jou is. Als je via de app of de website vraagt om een bewijsmiddel te maken hebben wij de volgende gegevens nodig:

Aanvullend op bovenstaande gegevens zijn onderstaande gegevens nodig die verschillen per bewijs dat je op wilt halen:

Omdat met de app en de website gebruik wordt gemaakt van het internet zal ook je IP-adres verwerkt worden. Dit is inherent aan het gebruik van internet en IP-technologie en is nodig om technisch gezien een verbinding op te bouwen tussen de server van de testuitvoerder of de vaccineerder en je telefoon of je browser. Het IP-adres wordt enkel verwerkt voor beheers- en beveiligingsdoeleinden.

In het geval je getest bent bij een andere testaanbieder dan een GGD wordt niet je BSN verwerkt, maar wordt gebruikt gemaakt van de unieke ophaalcode en een verificatiecode die je van de testaanbieder krijgt.

Daarnaast worden nog andere gegevens opgehaald die niet direct naar jou te herleiden zijn. Als je graag precies wilt weten welke andere gegevens worden verwerkt, klik hier. Daar vind je overzichten met de gegevens die worden opgehaald en verwerkt om het coronabewijs en het EU DCC te maken én is beschreven welke gegevens daadwerkelijk in de QR-code staan die je moet tonen bij een evenement of als je naar een ander land binnen Europa wilt reizen.

Bij afgifte van een EU DCC wordt een unieke certificaatcode van jouw EU DCC aangemaakt, en in het geval wij een fysiek EU DCC afgeven zit er ook nog een unieke koppelcode bij waarmee je het fysieke EU DCC weer naar een digitaal EU DCC én een digitaal Coronatoegangsbewijs kunt omzetten.

2. Waar komen mijn gegevens vandaan?

Je test-, vaccinatie- en herstelgegevens worden verstrekt door de hulpverlener die jou heeft getest of gevaccineerd. Gegevens voor een herstelbewijs worden verstrekt door de GGD’en. Deze gegevens worden opgevraagd via twee manieren waarbij ook gegevens worden ontvangen:

  1. In het geval je getest bent bij een andere testaanbieder dan jouw regionale GGD via de unieke ophaalcode en verificatiecode die je hebt gekregen van de testaanbieder. Je kan je gegevens in dat geval ophalen door deze unieke ophaalcode en verificatiecode zelf in te voeren in de app of de website.
  2. Om vaccinatie- of herstelgegevens óf een negatieve test uitgevoerd door een GGD op te halen, log je in met DigiD om je te identificeren. Door in te loggen krijgt de minister van VWS jouw BSN en haalt op basis van jouw BSN je voor- en achternaam en geboortedatum op uit de Basisregistratie Personen. Met de combinatie van deze gegevens bevraagt de minister de partijen die jouw vaccinatie-, herstel- en testgegevens kunnen hebben (zoals de GGD’en, het RIVM en je huisarts) om jouw gegevens bij hen op te halen. Jouw herstelgegevens zijn gebaseerd op een positieve test in het verleden, die zijn verplicht bij de GGD in jouw regio gemeld door de testaanbieder die je getest heeft.

Als je in CoronaCheck of via coronacheck.nl verzoekt om je gegevens op te halen dan krijg je vervolgens te zien welke gegevens zijn opgehaald en waar deze gegevens vandaan komen.

Als je alleen maar beschikt over een fysiek bewijs op papier dat je via je hulpverlener of via de helpdesk bij het CIBG hebt verkregen dan is er een mogelijkheid om je papieren bewijs alsnog in te scannen via CoronaCheck. Je kunt de QR-code van je fysieke bewijs (van je EU DCC) scannen met de camera van je telefoon. De gegevens worden dan gebruikt om een digitaal EU DCC en een digitaal Coronatoegangsbewijs te maken. Voor het gebruik van de camera op je telefoon hebben we jouw toestemming nodig. Dit wordt in CoronaCheck aan je gevraagd.

3. Waarom verwerken we deze gegevens? (doel van de verwerking)

Wij verzamelen deze gegevens om voor jou een EU DCC en een nationaal coronabewijs te kunnen maken. Hiermee kun je weer toegang krijgen tot bepaalde evenementen of activiteiten in Nederland én kun je reizen naar landen binnen Europa die een EU DCC als voorwaarde stellen om in te reizen.

Het doel van de beoogde gegevensverwerking is om het vrij verkeer van personen, zoals normaal geldt binnen de EU (en EER), tijdens de COVID-19-pandemie te faciliteren en te voorkomen dat mensen met een verhoogd besmettingsgevaar inreizen in de lidstaten. Dit gebeurt door de afgifte, verificatie en aanvaarding van interoperabele vaccinatie-, test- en herstelcertificaten (EU DCC).

Nederland heeft er belang bij dat niet-essentiële sectoren die tot nog toe aan de meeste COVID-19-pandemie gerelateerde restricties onderworpen zijn geweest (sport, cultuur, horeca) op gecontroleerde wijze weer, of meer, open kunnen. Daarvoor kan het coronabewijs worden gebruikt.

4. Wat is de grondslag voor deze gegevensverwerking?

De minister van VWS is wettelijk verplicht om voor iemand die daarom vraagt een EU DCC en een nationaal coronabewijs aan te maken als diegene voldoet aan de eisen. Je moet uiteraard wel gevaccineerd zijn of over een geldige testuitslag beschikken.

In de Algemene Verordening Gegevensbescherming (AVG) worden zes mogelijke grondslagen voor het verwerken van persoonsgegevens genoemd (artikel 6 lid 1 AVG). Een daarvan is een wettelijke plicht die op de verwerkingsverantwoordelijke (in dit geval de minister van VWS) rust. De grondslag voor de verwerking van jouw gegevens is gebaseerd op artikel 6 lid 1 onder c van de AVG: wettelijke plicht. Omdat het hier gaat om zowel een bewijs voor Nederland als voor reizen binnen de EU (EER) moet de grondslag zowel in het nationale recht als in het Europees recht te vinden zijn.

Grondslag Europees recht

Op 14 juni 2021 is de Verordening (EU) 2021/953 van het Europees Parlement en de Raad betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren, gepubliceerd (hierna: de verordening).

De verordening ziet op een Europees (technisch) kader voor de uitgifte van interoperabele certificaten inzake COVID-19-vaccinatie, -testen en –herstelbewijzen met als doel om het vrij verkeer van personen te bevorderen (artikel 21 VWEU). De EU DCC wordt verstrekt op grond van de verordening (artikel 3 tweede lid van de verordening) en geeft als taak aan de minister van VWS (of de door hem aangewezen instanties) de uitgifte van het EU DCC in digitale vorm of op papier. Omdat de verordening rechtstreeks werkt en de noodzaak tot verwerking van gegevens in het kader van de opgelegde taak evident is, is het niet nodig om hiervoor een aparte verwerkingsgrondslag in de wet op te nemen. In artikel 10 zesde lid van de verordening wordt degene die verantwoordelijk is voor de uitgifte aangewezen als verwerkingsverantwoordelijke. De minister van VWS is daarmee verwerkingsverantwoordelijke voor de uitgifte van het EU DCC.

Grondslag nationaal recht

De Tijdelijke wet coronatoegangsbewijzen regelt de inzet van toegangsbewijzen met als doel het heropenen van de Nederlandse samenleving. In artikel 58re lid 4 staat dat de minister van VWS zorg draagt voor de inrichting en het beheer van de applicaties en waarborgen treft om ervoor te zorgen dat met de applicaties uitsluitend betrouwbare resultaten getoond worden. In art. 58re lid 5 is de minister van VWS aangewezen als verwerkingsverantwoordelijke. De grondslag voor het verwerken van de daarvoor benodigde gegevens is geregeld in de wet Wijziging van de Wet publieke gezondheid in verband met enkele verbeteringen en preciseringen van de tijdelijke regels over de inzet van coronatoegangsbewijzen bij de bestrijding van COVID-19. In artikel 58re lid 6 is de grondslag voor de minister opgenomen om persoonsgegevens, waaronder persoonsgegevens over de gezondheid te verwerken. In de ministeriële regeling tot wijziging van de Tijdelijke regeling maatregelen COVID-19 in verband met de inzet van coronatoegangsbewijzen op basis van een negatieve testuitslag (artikel 6.31) en in de ministeriële regeling tot wijziging van de Tijdelijke regeling maatregelen COVID-19 in verband met de inzet van coronatoegangsbewijzen op basis van vaccinatie- of herstelbewijzen (artikel 6.31a) wordt geregeld welke persoonsgegevens mogen worden verwerkt.

Voor het verstrekken van vaccinatiegegevens door het RIVM ten behoeve van een nationaal coronabewijs is de grondslag geregeld in de wet Wijziging van de Wet publieke gezondheid in verband met enkele verbeteringen en preciseringen van de tijdelijke regels over de inzet van coronatoegangsbewijzen bij de bestrijding van COVID-19. In de ministeriële regeling tot wijziging van de Tijdelijke regeling maatregelen COVID-19 in verband met de inzet van coronatoegangsbewijzen op basis van vaccinatie of herstel (artikel 6.31a) wordt geregeld welke persoonsgegevens door het RIVM mogen worden verwerkt.

5. Wie is verwerkingsverantwoordelijke?

De Minister van Volksgezondheid, Welzijn en Sport (hierna: ‘de minister’) is verwerkingsverantwoordelijk voor de verwerking van persoonsgegevens in CoronaCheck en de website coronacheck.nl.

Verwerkers van de minister:

6. Hoelang bewaren we jouw gegevens?

Alleen de gegevens die in de CoronaCheck-app zelf staan of in het papieren bewijs, worden bewaard. Voor het papieren bewijs bepaal je uiteraard zelf hoe lang je die gegevens bewaart. Dat is ook zo bij de CoronaCheck-app, als je de app verwijdert, worden ook de gegevens verwijderd. Anders worden de gegevens bewaard volgens onderstaande termijnen:

Je BSN wordt niet bewaard. Je IP-adres wordt niet langer dan zeven dagen bewaard.

7. Met wie worden de gegevens gedeeld?

Als je je bewijs laat zien aan een controleur van een evenement of aan degene die je bewijs controleert in een andere lidstaat als je inreist dan kunnen die de gegevens die in de QR-code staan uitlezen. Die gegevens mag de controleur niet opslaan. Ze kunnen alleen op dat moment controleren of je een geldig nationaal coronabewijs hebt of een geldig EU DCC en ze bekijken of dit bewijs ook echt van jou is door de gegevens die zij zien op het scherm van CoronaCheck Scanner te vergelijken met de gegevens op je identiteitsbewijs.

Voor het controleren van een coronabewijs voor gebruik in Nederland heeft de minister van VWS de CoronaCheck Scanner app ontwikkeld die door de controleurs moet worden gebruikt. Deze laat zo min mogelijk gegevens zien, namelijk een groen scherm (geldig coronabewijs) of een rood scherm (niet geldig). De controleur kan dus ook niet zien of je coronabewijs is gebaseerd op een negatieve test, een vaccinatie of een positieve test (herstel). Als er een groen scherm wordt getoond, ziet de controleur vervolgens de eerste letter van je voornaam en eerste letter achternaam, geboortedag en geboortemaand zodat gecontroleerd kan worden of het echt jouw bewijs is.

Je kunt je EU DCC niet gebruiken in Nederland. Als je toch je EU DCC laat zien aan de controleur in Nederland, dan krijgt de controleur een rood scherm te zien en de melding dat je je nationale coronabewijs moet laten zien. Dit omdat de QR-code van de EU DCC meer gegevens bevat dan we in Nederland nodig vinden voor toegang. Als jij het EU DCC toont in een ander land dan ziet de controleur in dat andere land alle gegevens die zijn opgenomen in de QR-code van de EU DCC. Klik hier voor een overzicht van die gegevens.

Bedenk wel dat als je de QR-codes laat scannen in een ander land buiten de Europese Unie, dat daar andere regels voor het beschermen van jouw persoonsgegevens kunnen gelden. En dat je daar ook niet alle rechten kunt uitoefenen die je binnen de EU hebt omdat binnen de EU de AVG van toepassing is.

8. Is er sprake van geautomatiseerde besluitvorming?

Ja, als jij jouw coronabewijs of EU DCC via de website of via de app aanvraagt wordt dit proces helemaal geautomatiseerd afgehandeld. Mocht je daardoor vastlopen en je voldoet wel aan de eisen dan zijn er meerdere mogelijkheden om alsnog een nationaal coronabewijs en een EU DCC te krijgen. Allereerst is er een pagina met antwoorden op de meest voorkomende vragen. Als je daar geen antwoord op je vraag vindt kun je contact opnemen met de helpdesk via: helpdesk@coronacheck.nl. Zij kunnen je helpen als je bent vastgelopen omdat de techniek niet goed werkt. Het kan bijvoorbeeld ook zo zijn dat het systeem aangeeft dat je niet voldoende gegevens hebt om een bewijs aan te maken maar je weet zeker dat dit niet klopt. De helpdesk kan dan ook ondersteunen bij hoe je dit vervolgens kunt oplossen. Het kan bijvoorbeeld zo zijn dat de hulpverlener die je heeft getest of gevaccineerd de gegevens niet juist heeft opgeslagen. Dat kun je dan via de hulpverlener laten aanpassen.

Daarnaast is een route ontwikkeld via een hulpverlenersportaal. Je kunt dan contact opnemen met degene die je heeft gevaccineerd of getest en via die weg kun je alsnog een nationaal coronabewijs en een EU DCC krijgen.

9. Wat zijn jouw rechten?

Je hebt een aantal rechten om controle te houden op je persoonsgegevens. Deze kun je vinden op de website van de Autoriteit Persoonsgegevens.

Zoals eerder aangegeven laten zowel de CoronaCheck-app als de website zien welke gegevens worden opgehaald om je bewijs aan te maken zodat je die kunt bekijken. In de app kun je ook altijd terughalen welke gegevens in de QR-code staan. Als je gegevens onjuist zijn, kun je contact opnemen met je hulpverlener die je heeft getest of gevaccineerd. Verwijderen van je gegevens kun je zelf, de gegevens worden alleen bewaard in je app, dus als je die verwijdert, worden ook je gegevens verwijderd. Voor het papieren bewijs dat je hebt geprint geldt dat je zelf kunt bepalen of je die wilt vernietigen. Binnen de website CoronaCheck.nl worden na het aanmaken van je bewijs geen gegevens opgeslagen dus die kunnen niet worden verwijderd.

De mogelijkheid om een beroep te doen op een van je privacy rechten ten aanzien van de inzet van CoronaCheck en CoronaCheck.nl blijft van kracht. Een dergelijk verzoek kun je indienen via helpdesk@coronacheck.nl.

10. Klachten over het gebruik van uw gegevens melden?

Voor vragen of klachten over het gebruik van de CoronaCheck-app, coronacheck.nl of de CoronaCheck Scanner App kun je terecht bij de helpdesk: helpdesk@coronacheck.nl.

Contactgegevens van de Functionaris voor Gegevensbescherming van het Ministerie van Volksgezondheid, Welzijn en Sport vind je op de website van het ministerie.

Je kunt altijd een klacht over de verwerking van je persoonsgegevens indienen bij de Autoriteit Persoonsgegevens of bij de rechter. Meer informatie daarover vind je op de website van de Autoriteit Persoonsgegevens. Contactgegevens van de Autoriteit Persoonsgegevens vind je hier.

11. Beveiliging van uw persoonsgegevens

De minister neemt de bescherming van uw persoonsgegevens serieus en heeft bij de totstandkoming van CoronaCheck, coronacheck.nl en CoronaCheck Scanner passende technische en organisatorische maatregelen genomen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van de verwerkte gegevens tegen te gaan.

12. Wijziging privacyverklaring

Deze privacyverklaring kan worden gewijzigd. In dat geval zullen wij de gewijzigde privacyverklaring op onze website publiceren, waarna deze privacyverklaring direct van kracht is. Laatste update: 12 oktober 2021.

Overzicht van verwerkte persoonsgegevens

Persoonsgegevens die worden verwerkt bij uitgifte van zowel een EU DCC als een coronabewijs:

Persoonsgegevens die zijn opgeslagen in de QR-code die je toont aan controleurs:

coronabewijs

De QR-code voor het coronabewijs wordt elke 90 seconden opnieuw gegenereerd en bevat:

EU DCC

Persoonsgegevens die in de EU DCC (QR-code) zijn opgenomen ongeacht het type (test-, vaccinatie- of herstelbewijs):

De QR-code voor het EU DCC als testbewijs bevat naast de algemene gegevens:

De QR-code voor het EU DCC als vaccinatiebewijs naast de algemene gegevens:

De QR-code voor het EU DCC als herstelbewijs bevat in aanvulling op de algemene gegevens de volgende gegevens:

Persoonsgegevens die worden verwerkt bij het uitlezen door de CoronaCheck Scanner

Afhankelijk van het type bewijs (EU DCC of coronabewijs) worden er verschillende persoonsgegevens verwerkt in de CoronaCheck Scanner. In het geval van het EU DCC zullen dat alle gegevens zijn die in de QR-code van het EU DCC staan (hiervoor). In het geval van het coronabewijs is er voor gekozen minder gegevens in de QR-code op te nemen, dit zijn:

Voor alle typen bewijs geldt dat de CoronaCheck Scanner de volgende gegevens toont aan de controleur van een binnenlandse activiteit of evenement:

  1. Indicatie: ‘Persoon beschikt over geldig bewijs’ (groen scherm) of ‘Persoon beschikt niet over geldig bewijs’ (rood scherm).
  2. Een set identificerende gegevens: de eerste letter voornaam, eerste letter achternaam, geboortedag en -maand van betrokkene. Op basis van deze informatie in combinatie met het tonen van het identiteitsbewijs van betrokkene kan de controleur nagaan of het EU DCC of coronabewijs ook daadwerkelijk van betrokkene is. Deze set kan kleiner zijn als de verifieerbaarheid bereikt kan worden met minder gegevens, zoals eerder aangegeven.

De genoemde gegevens verdwijnen van het scherm bij de eerstvolgende scan of anders uiterlijk na 240 seconden.