Privacyverklaring CoronaCheck en fysiek EU Digitaal Corona Certificaat

Deze privacyverklaring is geschreven voor de inzet van de applicatie CoronaCheck en de website coronacheck.nl vanaf februari 2023 en legt uit op welke wijze persoonsgegevens van personen die een EU Digitaal Corona Certificaat genereren en gebruiken worden verwerkt en welke maatregelen genomen zijn om deze persoonsgegevens te beschermen.

Voor reizen binnen Europa heb je een EU Digitaal Corona Certificaat nodig (dat noemen we een EU DCC, dat is ook in de vorm van een QR-code). Daarmee kun je aantonen dat je negatief getest bent, of gevaccineerd bent of al een keer COVID-19 hebt gehad. Het EU DCC kun je aanmaken via een app en bewaren op je telefoon (CoronaCheck-app) of je kunt het bewijs aanmaken via de website www.coronacheck.nl en dan printen.

Voor het aanmaken van een bewijs via de CoronaCheck-app of via de website coronacheck.nl is de minister van Volksgezondheid, Welzijn en Sport (VWS) verantwoordelijk. Om een bewijs te kunnen maken, moeten persoonsgegevens worden verwerkt.

In deze privacyverklaring wordt uitgelegd om welke persoonsgegevens het gaat, wat de rechtsgrondslag is voor de verwerking daarvan, wat je rechten zijn en wat je kunt doen als je het niet eens bent met de verwerking.

1. Welke persoonsgegevens worden er verwerkt?

Om een EU DCC aan te maken, gebruiken wij gegevens over jouw gezondheid: testuitslagen, vaccinatiegegevens en herstelverklaringen. Ook gebruiken wij gegevens die ons iets vertellen over wie jij bent, zodat we de juiste gegevens ophalen en gecontroleerd kan worden of het bewijs ook echt van jou is. Als je via de CoronaCheck-app of de website coronacheck.nl vraagt om een bewijsmiddel te maken hebben wij de volgende gegevens nodig:

• Burgerservicenummer (BSN)
• Voor- en achternaam
• Geboortedatum

Aanvullend op bovenstaande gegevens zijn onderstaande gegevens nodig die verschillen per bewijs dat je op wilt halen:

• Als je een bewijs wilt op basis van een negatieve test:
  • een recente negatieve testuitslag en het type test;
• Als je een bewijs wilt op basis van een vaccinatie:
  • een bevestiging dat je gevaccineerd bent en met welk vaccin, en mogelijk, een positieve testuitslag uit het verleden (zodat bij vaccinaties die normaal uit twee prikken bestaan al na één prik een volwaardig vaccinatiebewijs kan worden afgegeven als je voorafgaand aan je vaccinatie corona hebt gehad);
• Als je een bewijs wilt op basis van herstel:
  • een recente positieve testuitslag die laat zien dat je in het verleden COVID-19 gehad hebt.

Omdat de CoronaCheck-app en de website coronacheck.nl gebruik maken van het internet zal ook je IP-adres verwerkt worden. Dit is inherent aan het gebruik van internet en IP-technologie en is nodig om technisch gezien een verbinding op te bouwen tussen de server van de testuitvoerder of de uitvoerder van vaccinaties en je telefoon of je browser. Het IP-adres wordt verder verwerkt voor beheers- en beveiligingsdoeleinden.

In het geval je getest bent bij een andere testaanbieder dan een GGD wordt door VWS niet je BSN verwerkt, maar wordt gebruik gemaakt van de unieke ophaalcode en een verificatiecode die je van de testaanbieder krijgt.

Daarnaast worden nog andere gegevens opgehaald die niet direct naar jou te herleiden zijn. Als je graag precies wilt weten welke andere gegevens worden verwerkt, klik hier. Daar vind je overzichten met de gegevens die worden opgehaald en verwerkt om het EU DCC te maken én is beschreven welke gegevens daadwerkelijk in de QR-code staan die je moet tonen als je naar een ander land binnen Europa wilt reizen.

Bij afgifte van een EU DCC wordt een unieke certificaatcode van jouw EU DCC aangemaakt, en in het geval wij een fysiek EU DCC afgeven zit er ook nog een unieke koppelcode bij waarmee je het fysieke EU DCC weer naar een digitaal EU DCC kunt omzetten.

2. Waar komen mijn gegevens vandaan?

Je test-, vaccinatie- en herstelgegevens worden verstrekt door de hulpverlener die jou heeft getest of gevaccineerd. Gegevens voor een herstelbewijs worden verstrekt door de GGD’en. Deze gegevens worden op twee manieren opgevraagd, waarbij ook persoonsgegevens worden verwerkt:

1. In het geval je getest bent bij een andere testaanbieder dan jouw regionale GGD worden de gegevens opgehaald via de unieke ophaalcode en verificatiecode die je hebt gekregen van de testaanbieder. Je kunt je gegevens in dat geval ophalen door deze unieke ophaalcode en verificatiecode zelf in te voeren in de CoronaCheck-app of op de website coronacheck.nl.
2. Om vaccinatie- of herstelgegevens óf een negatieve test uitgevoerd door een GGD of een hulpverlener in het ziekenhuis op te halen, log je in met DigiD om je te identificeren. Door in te loggen krijgt VWS jouw BSN en verifieert op basis van jouw BSN je voor- en achternaam en geboortedatum aan de hand van de Basisregistratie Personen. Met de combinatie van deze gegevens bevraagt de minister de partijen die jouw vaccinatie-, herstel- en testgegevens kunnen hebben (zoals de GGD’en, het RIVM, het ziekenhuis waar je gevaccineerd bent en je huisarts) om jouw gegevens bij hen op te halen. Jouw herstelgegevens zijn gebaseerd op een positieve test in het verleden, die verplicht bij de GGD in jouw regio zijn gemeld door de testaanbieder die je getest heeft.

Als je met de CoronaCheck-app of via de website coronacheck.nl je gegevens ophaalt, dan krijg je te zien welke gegevens zijn opgehaald en waar deze gegevens vandaan komen.

Als je alleen maar beschikt over een fysiek bewijs op papier dat je via je hulpverlener of via de helpdesk bij het CIBG hebt verkregen, dan is er een mogelijkheid om je papieren bewijs alsnog in te scannen via de CoronaCheck-app. Je kunt de QR-code van je fysieke bewijs scannen met de camera van je telefoon. De gegevens worden dan gebruikt om een digitaal EU DCC te maken.

3. Waarom verwerken wij persoonsgegevens? (doel van de verwerking)

Het doel van de beoogde gegevensverwerking is om het vrije verkeer van personen, zoals normaal geldt binnen de Europese Economische Ruimte (EER), tijdens de COVID-19-pandemie te faciliteren en te voorkomen dat mensen met een verhoogd besmettingsgevaar inreizen in de lidstaten.

Wij verwerken persoonsgegevens om voor jou een EU DCC te kunnen maken. Hiermee kun je reizen naar landen binnen Europa die een EU DCC als voorwaarde stellen om in te reizen. Ook een aantal niet-EER-landen en -gebieden heeft zich aangesloten bij het EU DCC systeem.

4. Wat is de grondslag voor deze gegevensverwerking?

De minister van VWS is wettelijk verplicht om voor iemand die daarom vraagt een EU DCC aan te maken als diegene voldoet aan de eisen. Je moet wel gevaccineerd zijn, of over een geldige testuitslag of over een herstelbewijs beschikken.

In de algemene verordening gegevensbescherming (AVG) worden zes mogelijke grondslagen voor het verwerken van persoonsgegevens genoemd (artikel 6 lid 1 AVG). De grondslag voor de verwerking van jouw gegevens is gebaseerd op artikel 6 lid 1 onder e van de AVG: een taak van algemeen belang. Gegevens over jouw gezondheid worden verwerkt op grond van artikel 6 lid 1 sub e jo artikel 9 lid 2 sub b van de AVG. Omdat het hier gaat om een bewijs voor reizen binnen de EER moet de grondslag in het Europees recht te vinden zijn (zie Verordening 2021/953/EU, plus Tijdelijk Besluit DCC).

Grondslag Europees recht

Op 14 juni 2021 is de Verordening (EU) 2021/953 van het Europees Parlement en de Raad betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren, gepubliceerd (hierna: de verordening).

De verordening ziet toe op een Europees (technisch) kader voor de uitgifte van interoperabele certificaten inzake COVID-19-vaccinatie, -testen en –herstelbewijzen met als doel om het vrij verkeer van personen te bevorderen (artikel 21 VWEU). Het EU DCC wordt verstrekt op grond van de verordening (artikel 3 tweede lid van de verordening). De minister van VWS (of de door hem aangewezen instanties) draagt zorg voor de uitgifte van het EU DCC in digitale vorm of op papier. In artikel 10 zesde lid van de verordening wordt degene die verantwoordelijk is voor de uitgifte aangewezen als verwerkingsverantwoordelijke. De minister van VWS is daarmee verwerkingsverantwoordelijke voor de uitgifte van het EU DCC.

5. Wie is verwerkingsverantwoordelijke en wie zijn verwerkers?

De Minister van Volksgezondheid, Welzijn en Sport (hierna: ‘de minister’) is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de CoronaCheck-app en de website coronacheck.nl.

Verwerkers van de minister:

• Prolocation B.V. beheert de configuratieserver en back-endsystemen van VWS en tevens de signing servers die door VWS worden ingezet.
• Yource Operations B.V. levert de benodigde helpdeskdiensten. De helpdesk doet dienst als informatiepunt en ondersteunt burgers als ze vastlopen bij de werking van de CoronaCheck-app. Daarnaast zorgen ze voor uitleg en doorverwijzing als burgers er tegenaan lopen dat de data die wordt opgehaald niet volledig of juist is.

6. Hoelang bewaren we jouw gegevens?

Alleen de gegevens die in de CoronaCheck-app zelf staan of in het papieren bewijs, worden bewaard. Voor het papieren bewijs bepaal je uiteraard zelf hoe lang je die gegevens bewaart. Dat is ook zo bij de CoronaCheck-app, als je de app verwijdert, worden ook de gegevens verwijderd. Anders worden de gegevens bewaard volgens onderstaande termijnen:

• Negatieve testuitslagen: 96 uur na datum en tijd afname test tot maximaal 14 dagen;
• Positieve testuitslagen: één jaar (voor herstelbewijzen, maar als die ook in een vaccinatiebewijs verwerkt is, tot drie jaar na je laatste vaccinatie);
• Vaccinatiegegevens: drie jaar na vaccinatiedatum (bedenk dat in sommige gevallen een positieve testuitslag onderdeel van je vaccinatiegegevens kan zijn);
• Herstelgegevens: 180 dagen na datum en tijd afname test;
• Een uniek serienummer van je EU DCC en een code van de databron worden twee jaar bewaard;
• In het geval wij jou een fysiek EU DCC geven, wordt de bijbehorende koppelcode een jaar na afgifte bewaard.

Je BSN wordt niet bewaard door VWS. Je IP-adres wordt niet langer dan zeven dagen bewaard.

7. Met wie worden de gegevens gedeeld?

Als je je bewijs laat zien aan degene die je bewijs controleert in een andere lidstaat als je inreist, dan kan die persoon de gegevens die in de QR-code staan uitlezen. Die gegevens mag de controleur niet opslaan. Ze kunnen op dat moment enkel controleren of je een geldig EU DCC hebt.

Als jij het EU DCC toont in een ander land, dan ziet de controleur in dat andere land alle gegevens die zijn opgenomen in de QR-code van de EU DCC. Klik hier voor een overzicht van die gegevens.

Bedenk wel dat als je de QR-codes laat scannen in een ander land buiten de EER, dat daar andere regels voor het beschermen van jouw persoonsgegevens kunnen gelden. En dat je daar ook niet alle rechten kunt uitoefenen die je binnen de EER hebt omdat buiten de EER de AVG niet van toepassing is.

8. Is er sprake van geautomatiseerde besluitvorming?

Ja, als jij jouw EU DCC via de website coronacheck.nl of via de CoronaCheck-app aanvraagt wordt dit proces helemaal geautomatiseerd afgehandeld. Mocht je daardoor vastlopen en je voldoet wel aan de eisen, dan zijn er meerdere mogelijkheden om alsnog een EU DCC te krijgen. Allereerst is er een pagina met antwoorden op de meest voorkomende vragen. Als je daar geen antwoord op je vraag vindt kun je contact opnemen met de helpdesk via: helpdesk@coronacheck.nl. Zij kunnen je helpen als je bent vastgelopen omdat de techniek niet goed werkt. Het kan bijvoorbeeld ook zo zijn dat het systeem aangeeft dat je niet voldoende gegevens hebt om een bewijs aan te maken maar je weet zeker dat dit niet klopt. De helpdesk kan dan ook ondersteunen bij hoe je dit vervolgens kunt oplossen. Het kan bijvoorbeeld zo zijn dat de hulpverlener die je heeft getest of gevaccineerd de gegevens niet juist heeft opgeslagen. Dat kun je dan via de hulpverlener laten aanpassen.

Daarnaast is een route ontwikkeld via een hulpverlenersportaal. Je kunt dan contact opnemen met degene die je heeft gevaccineerd of getest en via die weg kun je alsnog een EU DCC krijgen.

9. Wat zijn jouw rechten?

Je hebt een aantal rechten om controle te houden op je persoonsgegevens. Deze kun je vinden op de website van de Autoriteit Persoonsgegevens.

Zoals eerder aangegeven laten zowel de CoronaCheck-app als de website coronacheck.nl zien welke gegevens worden opgehaald om je bewijs aan te maken zodat je die kunt bekijken. In de CoronaCheck-app kun je ook altijd terughalen welke gegevens in de QR-code van je EU DCC staan. Als je gegevens onjuist zijn, kun je contact opnemen met de hulpverlener die je heeft getest of gevaccineerd. Verwijderen van je gegevens kun je zelf. De gegevens worden alleen bewaard in je CoronaCheck-app. Dus als je de CoronaCheck-app verwijdert, worden ook je gegevens verwijderd. Voor het papieren bewijs dat je hebt geprint geldt dat je zelf kunt bepalen of je dat wilt vernietigen. Binnen de website coronacheck.nl worden na het aanmaken van je bewijs geen gegevens opgeslagen.

De mogelijkheid om een beroep te doen op een van de rechten die hebt ten aanzien van de verwerking van je persoonsgegevens in CoronaCheck en coronacheck.nl blijft van kracht. Een dergelijk verzoek kun je indienen via helpdesk@coronacheck.nl.

10. Klachten over het gebruik van je gegevens melden?

Voor vragen of klachten over het gebruik van de CoronaCheck-app of de website coronacheck.nl kun je terecht bij de helpdesk: helpdesk@coronacheck.nl.

Contactgegevens van de Functionaris voor Gegevensbescherming van het Ministerie van Volksgezondheid, Welzijn en Sport vind je op de website van het ministerie.

Mocht je klacht niet naar tevredenheid zijn behandeld, dan kun je altijd een klacht over de verwerking van je persoonsgegevens indienen bij de Autoriteit Persoonsgegevens. Meer informatie daarover vind je op de website van de Autoriteit Persoonsgegevens. Contactgegevens van de Autoriteit Persoonsgegevens vind je hier.

11. Beveiliging van je persoonsgegevens

De overheid neemt de bescherming van je persoonsgegevens serieus en heeft bij de totstandkoming van de CoronaCheck-app en de website coronacheck.nl passende technische en organisatorische maatregelen genomen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van de verwerkte gegevens tegen te gaan.

12. Wijziging privacyverklaring

Deze privacyverklaring kan worden gewijzigd. In dat geval zullen wij de gewijzigde privacyverklaring op onze website publiceren, waarna deze privacyverklaring direct van kracht is. Laatste update: februari 2023.

Overzicht van verwerkte persoonsgegevens

Persoonsgegevens die worden verwerkt bij uitgifte van een EU DCC:

• IP-adres dat de betrokkene gebruikt bij het aan laten maken van het Bewijsmiddel
• BSN van betrokkene
• Voor- en achternamen van betrokkene
• Organisatie bij wie vaccinatie-, of herstelgegevens zijn opgehaald
• Bij test- of herstelbewijs:
  • Unieke code van de test
  • Type test
  • Testnaam
  • Datum en tijd testafname
  • Datum en tijd van vaststelling testresultaat
  • Ziekteverwekker waarop getest is
  • Testproducent
  • Naam van testcentrum
  • Uitslag van de test (negatief voor testbewijs, positief voor herstelbewijs)
• Alleen bij vaccinatiebewijs:
  • Datum/datums toedieningen
  • Unieke code van vaccinatie
  • Ziekteverwekker waar het vaccin tegen werkt
  • Vaccintype
  • Vaccinnaam
  • Handelsvergunninghouder of producent van het vaccin
  • Volgnummer in reeks vaccinaties/doses

Persoonsgegevens die zijn opgeslagen in de QR-code die je toont aan controleurs:

EU DCC

Persoonsgegevens die in de EU DCC (QR-code) zijn opgenomen ongeacht het type (test-, vaccinatie- of herstelbewijs):

• Naam: familienaam of familienamen en voornaam of voornamen en eventueel tussenvoegsel
• Geboortedatum
• Doelziekte of ziekteverwekker (bijvoorbeeld: SARS-CoV-2 en/of varianten daarop)
• Uniek certificaatnummer
• Lidstaat waar test/vaccinatie is uitgevoerd of herstelbewijs is verkregen
• Afgever van het EU DCC, dat is voor Nederland VWS

De QR-code voor het EU DCC als testbewijs bevat naast de algemene gegevens:

• Geregistreerde datum en tijdstip van testafname
• Type test
• Naam van de test (facultatief voor NAAT (PCR) test)
• Naam van de testproducent (facultatief voor NAAT (PCR) test)
• Testresultaat
• Testcentrum of -faciliteit (optioneel bij snelle antigeentest)

De QR-code voor het EU DCC als vaccinatiebewijs naast de algemene gegevens:

• Vaccin/profylaxe (type vaccin, bv. mRNA-vaccin of antigeen-vaccin)
• Vaccinnaam
• Handelsvergunninghouder of producent van het vaccin
• Volgnummer in reeks vaccinaties/doses
• Vaccinatiedatum, met vermelding datum van laatst ontvangen dosis

De QR-code voor het EU DCC als herstelbewijs bevat in aanvulling op de algemene gegevens de volgende gegevens:

• Datum eerste positieve testresultaat
• Datum vanaf wanneer certificaat geldig is
• Datum tot wanneer certificaat geldig is