Meestgestelde vragen
Taal: Nederlands
Wissel van taal:

Privacyverklaring CoronaCheck en fysiek coronatoegangsbewijs

Deze privacyverklaring is geschreven voor de inzet van de applicaties CoronaCheck en CoronaCheck Scanner na inwerkingtreding van de Tijdelijke wet coronatoegangsbewijzen op 1 juni 2021 en toont aan op welke wijze persoonsgegevens van personen die een coronatoegangsbewijs genereren en gebruiken worden verwerkt en welke technische en organisatorische maatregelen genomen zijn ter bescherming van deze persoonsgegevens. Een persoon kan er naast de route via CoronaCheck ook voor kiezen om het coronatoegangsbewijs uit te printen. In deze privacyverklaring is daarom ook de route voor het genereren van een schriftelijk coronatoegangsbewijs beschreven.

Over CoronaCheck en fysiek coronatoegangsbewijs

CoronaCheck (app) is een technisch hulpmiddel dat helpt om op digitale wijze een bewijs te tonen dat u recent negatief bent getest op COVID-19. Dit kan ook door een coronatoegangsbewijs te genereren via coronacheck.nl en dit vervolgens te printen als fysiek coronatoegangsbewijs. Wanneer in deze privacyverklaring wordt verwezen naar de website coronacheck.nl ziet dit expliciet op de functie binnen coronacheck.nl om een coronatoegangsbewijs te genereren. Het coronatoegangsbewijs is een bewijs dat iemand negatief is getest op COVID-19 en dat tijdelijk geldig is. Dit bewijs is een van de vereisten om toegang te krijgen tot specifieke activiteiten en voorzieningen zoals benoemd in de Tijdelijke wet coronatoegangsbewijzen. Hieronder wordt kort uitgelegd hoe het genereren van een coronatoegangsbewijs in CoronaCheck en het genereren van een fysiek coronatoegangsbewijs werkt. De beschreven werking is breder dan de daadwerkelijke verwerking van persoonsgegevens die binnen CoronaCheck en coronacheck.nl plaatsvindt, maar is in deze privacyverklaring opgenomen om inzicht in het gehele proces te bieden.

Als bezoeker van een activiteit of voorziening doet u eerst een coronatest bij een aangesloten testuitvoerder. De testuitslag krijgt u van de testuitvoerder. Bij de testuitslag ontvangt u ook een ophaalcode. Vervolgens kunt u gebruik maken van twee verschillende routes om een coronatoegangsbewijs te genereren. Hieronder worden beide routes beschreven: (1) het generen van een coronatoegangsbewijs via CoronaCheck (digitaal coronatoegangsbewijs) en (2) het generen van een coronatoegangsbewijs dat geschikt is om te printen (fysiek coronatoegangsbewijs).

CoronaCheck (digitaal coronatoegangsbewijs)

U kunt CoronaCheck downloaden op uw smartphone in de Apple App Store of Google Play Store. Na het installeren van de app zoekt de app contact met een configuratie server om de meest recente instellingen op te halen. Vervolgens krijgt u uitleg over hoe de app werkt. De ophaalcode die u bij de testuitslag heeft ontvangen, kunt u invoeren in CoronaCheck. Indien er een testuitslag beschikbaar is krijgt u een extra controle code toegestuurd via de sms. U voert deze sms-code eveneens in. Na controle van de codes haalt CoronaCheck de negatieve testuitslag op bij de betreffende testuitvoerder. De testuitslag kunt u daarna omzetten in een coronatoegangsbewijs door op de knop ‘maak QR-code’ te klikken. De testuitslag wordt vervolgens digitaal getekend via de zogeheten signing service. CoronaCheck maakt na deze ondertekening een coronatoegangsbewijs in de vorm van een QR-code. Een set identificerende gegevens (eerste letter voornaam, eerste letter achternaam, geboortedag en geboortemaand) maakt onderdeel uit van deze QR-code en wordt als regel onder de QR-code weergegeven ter voorkoming van fraude in het tonen van QR-codes aan een controleur. Deze gegevens worden ter bestrijding van fraude door de controleur gecheckt aan de hand van het identiteitsbewijs van de persoon.

Fysiek coronatoegangsbewijs

Voor het tonen van een fysiek coronatoegangsbewijs kan een coronatoegangsbewijs worden gegenereerd via de website coronacheck.nl. De persoon voert hiertoe zijn/haar ophaalcode die bij de testuitslag is ontvangen in op de website. Vervolgens ontvangt de persoon een extra controle code per sms, welke de persoon eveneens op de website invoert. Na controle van de codes vindt hetzelfde proces plaats als bij de route van het digitale coronatoegangsbewijs, namelijk dat de testuitslag wordt opgehaald bij en getekend door de testuitvoerder. Vervolgens wordt na ondertekening door de signing service een QR-code (inclusief set identificerende gegevens in de QR-code en als regel onder de QR-code) gegenereerd, dit is het coronatoegangsbewijs. Hierna kan het coronatoegangsbewijs worden geprint als fysiek coronatoegangsbewijs.

Vervolgens laat u ofwel het digitale coronatoegangsbewijs of het fysieke coronatoegangsbewijs (in beide gevallen is dit een QR-code) scannen aan de deur van de activiteit of voorziening waar u naar binnen wilt. De controleur aan de deur gebruikt hiervoor de CoronaCheck Scanner app. Is uw QR-code geldig en heeft u een toegangsbewijs? Dan mag u naar binnen.

De QR-code is voor beide routes (zowel digitaal als fysiek) 40 uur geldig. Dat is gerekend vanaf het moment van afname van de COVID-19 test.

1. Wie is verantwoordelijk voor de verwerking van de persoonsgegevens?

De Minister van Volksgezondheid, Welzijn en Sport (hierna: ‘de minister’) is verwerkingsverantwoordelijk voor de verwerking van persoonsgegevens in CoronaCheck, de website coronacheck.nl (voor zover de website wordt gebruikt voor het genereren van een coronatoegangsbewijs). De minister is niet verantwoordelijk voor andere verwerkingen van persoonsgegevens die buiten CoronaCheck of de website coronacheck.nl (voor zover de website wordt gebruikt voor het genereren van een coronatoegangsbewijs) plaatsvinden.

2. Grondslag voor het verwerken van persoonsgegevens

Voor de verwerking van persoonsgegevens die betrekking hebben op de gezondheid van een persoon geldt op grond van artikel 9 AVG in beginsel een verwerkingsverbod. Op 1 juni 2021 is de Tijdelijke wet coronatoegangsbewijzen in werking getreden. Deze wet biedt de wettelijke grondslag voor de verwerkingsverantwoordelijkheid van de minister van VWS voor het verwerken van persoonsgegevens door de testuitvoerders bij het genereren van een coronatoegangsbewijs en vormt daarmee de uitzondering op het verwerkingsverbod. De Tijdelijke wet coronatoegangsbewijzen biedt ook de grondslag voor verwerking van niet bijzondere persoonsgegevens op grond van artikel 6, eerste lid, onderdeel e, AVG.

In de Tijdelijke wet coronatoegangsbewijzen worden de soorten activiteiten en voorzieningen waarvoor een coronatoegangsbewijs kan worden ingezet genoemd: cultuur, evenementen, georganiseerde jeugdactiviteiten, horeca of sport. In aanvullende regelgeving kan bepaald worden dat coronatoegangsbewijzen ook ingezet worden in het beroepsonderwijs of hoger onderwijs.

In de Tijdelijke wet coronatoegangsbewijzen is geregeld dat een testuitvoerder gegevens verstrekt op basis waarvan een digitaal of fysiek coronatoegangsbewijs kan worden gegenereerd.

Het coronatoegangsbewijs wordt gescand met CoronaCheck Scanner, de grondslag hiervoor is eveneens vastgelegd in de Tijdelijke wet coronatoegangsbewijzen. In CoronaCheck Scanner worden geen persoonsgegevens vastgelegd. In aanvullende regelgeving is bepaald dat controleurs die het coronatoegangsbewijs scannen op grond van de Tijdelijke wet coronatoegangsbewijzen verplicht zijn het identiteitsbewijs van de persoon die het coronatoegangsbewijs toont te controleren.

3. Met welk doel worden persoonsgegevens verwerkt?

De overheid werkt er hard aan de samenleving verantwoord te openen. Het testen van bezoekers op het COVID-19 virus voordat zij deelnemen aan of toegang krijgen tot een activiteit of voorziening is daar een onderdeel van. Met dergelijke toegangstesten kunnen sociale, culturele en sportieve locaties in tijden van COVID-19 sneller verantwoord open. Het tonen van een coronatoegangsbewijs geeft bezoekers toegang tot de betreffende locatie. Met CoronaCheck kunnen bezoekers digitaal hun coronatoegangsbewijs tonen om toegang te krijgen tot locaties. Ook hebben bezoekers de mogelijkheid om zonder gebruik van de app CoronaCheck via de website coronacheck.nl een coronatoegangsbewijs te genereren dat wordt geprint en dient als fysiek coronatoegangsbewijs.

4. Welke persoonsgegevens worden verwerkt?

CoronaCheck en coronacheck.nl verwerken de volgende persoonsgegevens:

Testuitslag – De testuitslag die CoronaCheck of coronacheck.nl ophaalt bij de testuitvoerder bevat gegevens over de test: of het wel of geen negatieve test is, datum en tijdstip van afname van de test, het type test (bijvoorbeeld PCR-test), identificatie van de testuitvoerder en een uniek willekeurig getal. Dit unieke willekeurige getal wordt door de testuitvoerder verstrekt. Dit willekeurige getal wordt opgenomen om dubbele uitgifte van coronatoegangsbewijzen te voorkomen.

Bij de testuitslag worden de volgende gegevens meegegeven vanuit de testuitvoerder: de eerste letter van uw voornaam, de eerste letter van uw achternaam, uw geboortedag en geboortemaand. Deze gegevens dienen ter verificatie bij het ophalen van de testuitslag. Hiermee ziet u dat de testuitslag die is opgehaald ook bij u hoort.

Coronatoegangsbewijs – Het coronatoegangsbewijs (in de vorm van een QR-code) bevat de gegevens die in de testuitslag zijn opgenomen (eerste letter voornaam, eerste letter achternaam, geboortedag en geboortemaand) en de startdatum en tijdstip geldigheid van het coronatoegangsbewijs (afgerond op hele uren). De eerste letter voornaam, eerste letter achternaam, geboortedag en geboortemaand worden ook als regel onder de QR-code weergegeven.

Digitale handtekening – deze wordt geplaatst om zeker te weten dat het coronatoegangsbewijs niet kan worden aangepast. De digitale handtekening is op zichzelf geen persoonsgegeven binnen het proces, maar het tekenen van een testuitslag is wel noodzakelijk voor het genereren van een geldig coronatoegangsbewijs.

Ook het IP-adres wordt gebruikt. Dit is inherent aan het gebruik van internet en IP-technologie en is nodig om technisch gezien een verbinding op te bouwen tussen de server van de verwerker van de testuitvoerder en uw telefoon. Het IP-adres wordt enkel verwerkt voor beheers- en beveiligingsdoeleinden. Het IP-adres wordt voor ontvangst op de configuratie server (bij gebruik van de app CoronaCheck) en signing service ‘gestript’ door de verwerker.

CoronaCheck Scanner kan zowel het digitale als het fysieke coronatoegangsbewijs scannen. Daarbij wordt getoond of de persoon beschikt over een geldig coronatoegangsbewijs. Ook checkt de controleur met behulp van de set identificerende gegevens (eerste letter voornaam, eerste letter achternaam, geboortedag en geboortemaand) of de informatie die op het identiteitsbewijs van de persoon staat overeenkomt met de informatie in het coronatoegangsbewijs. CoronaCheck Scanner legt geen persoonsgegevens vast.

Tenslotte wordt bij gebruik van het digitale coronatoegangsbewijs de toestelinformatie verwerkt (de geïnstalleerde versie van de CoronaCheck app en het besturingssysteem van uw mobiele telefoon). Dit wordt vastgelegd om problemen en installatiemogelijkheden te kunnen onderzoeken en personen hierover te informeren.

De website coronacheck.nl waar onder andere deze privacyverklaring op staat plaatst geen cookies op uw apparaten.

5. Statistische informatie

De met CoronaCheck en coronacheck.nl verzamelde gegevens worden uitsluitend gebruikt voor de in deze privacyverklaring genoemde doeleinden.

6. Wie heeft toegang tot de gegevens?

Het digitaal tekenen van het coronatoegangsbewijs gebeurt bij Prolocation B.V. Dit is de verwerker van de testuitvoerder. De testuitvoerder maken passende afspraken over de verwerking van persoonsgegevens met Prolocation B.V.

7. Hoe lang worden persoonsgegevens bewaard?

Binnen CoronaCheck en in coronacheck.nl worden persoonsgegevens als volgt bewaard:

8. Uw rechten ten aanzien van uw persoonsgegevens

U heeft een aantal rechten om controle te houden op uw persoonsgegevens. Deze kunt u vinden op de website van de Autoriteit Persoonsgegevens.

CoronaCheck en de website coronacheck.nl zijn ontworpen volgens de standaard van privacy by design en de bescherming van uw persoonsgegevens staat bij de inzet van CoronaCheck voorop. Er bestaat de mogelijkheid om een beroep te doen op een van uw privacy rechten ten aanzien van de inzet van CoronaCheck. Een dergelijk verzoek kunt u indienen op helpdesk@coronacheck.nl.

9. Klachten over gebruik van uw gegevens

Vragen of klachten over het gebruik van CoronaCheck kunt u stellen aan helpdesk@coronacheck.nl.

Contactgegevens van de Functionaris voor Gegevensbescherming van het Ministerie van Volksgezondheid, Welzijn en Sport vindt u op de website van het ministerie.

U hebt altijd het recht een klacht over de verwerking van uw persoonsgegevens in te dienen bij de Autoriteit Persoonsgegevens of bij de rechter. Meer informatie daarover vindt u op de website van de Autoriteit Persoonsgegevens.

10. Beveiliging van uw persoonsgegevens

De minister neemt de bescherming van uw persoonsgegevens serieus en heeft bij de totstandkoming van CoronaCheck en CoronaCheck Scanner passende technische en organisatorische maatregelen genomen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van de verwerkte gegevens tegen te gaan.

11. Wijziging privacyverklaring

Deze privacyverklaring kan worden gewijzigd. In dat geval zullen wij de gewijzigde privacyverklaring op onze website publiceren, waarna deze privacyverklaring direct van kracht is. Laatste update: 3 juni 2021.