Privacyverklaring CoronaCheck en fysiek testbewijs

Deze privacyverklaring is geschreven voor de inzet van de applicatie CoronaCheck en de website coronacheck.nl vanaf 25 april 2022 en legt uit op welke wijze persoonsgegevens van personen die een EU Digitaal Corona Certificaat genereren en gebruiken worden verwerkt en welke maatregelen genomen zijn om deze persoonsgegevens te beschermen.

Als je wilt reizen naar een ander land binnen Europa kan het zo zijn dat je moet bewijzen dat je negatief getest bent, of gevaccineerd bent of al een keer COVID-19 hebt gehad. Het bewijsmiddel in de vorm van een QR-code dat gebruikt werd binnen Nederland heet het coronatoegangsbewijs. Voor reizen binnen Europa heb je een EU Digitaal Corona Certificaat nodig (dat noemen we een EU DCC, dat is ook in de vorm van een QR-code). Het EU DCC kun je laten maken via een app op je telefoon en bewaren op je telefoon (CoronaCheck-app) of je kunt het bewijs laten maken en dan printen via de website www.coronacheck.nl. Het coronatoegangsbewijs wordt niet meer gebruikt of aangemaakt. De aangemaakte coronatoegangsbewijzen in de CoronaCheck-app en de bijbehorende gegevens zijn per 25 april 2022 automatisch verwijderd uit de CoronaCheck-app. Het fysieke (papieren) coronatoegangsbewijs is niet meer geldig en kan je zelf vernietigen.

Voor het maken van een bewijs via de CoronaCheck-app of via de website coronacheck.nl is de minister van Volksgezondheid, Welzijn en Sport (VWS) verantwoordelijk. Om een bewijs te kunnen maken, moeten persoonsgegevens worden verwerkt. In deze privacyverklaring wordt uitgelegd om welke persoonsgegevens het gaat en op basis van welke grondslag deze worden verwerkt, wat je rechten zijn en wat je kunt doen als je het niet eens bent met de verwerking.

1. Welke persoonsgegevens worden er verwerkt?

Om een EU DCC te maken, gebruiken wij gegevens over jouw gezondheid: testuitslagen, vaccinatiegegevens en herstelverklaringen. Ook gebruiken wij gegevens die ons iets vertellen over wie jij bent, zodat we de juiste gegevens ophalen en gecontroleerd kan worden of het bewijs ook echt van jou is. Als je via de CoronaCheck-app of de website coronacheck.nl vraagt om een bewijsmiddel te maken hebben wij de volgende gegevens nodig:

Aanvullend op bovenstaande gegevens zijn onderstaande gegevens nodig die verschillen per bewijs dat je op wilt halen:

Omdat met de CoronaCheck-app en de website coronacheck.nl gebruik wordt gemaakt van het internet zal ook je IP-adres verwerkt worden. Dit is inherent aan het gebruik van internet en IP-technologie en is nodig om technisch gezien een verbinding op te bouwen tussen de server van de testuitvoerder of de vaccineerder en je telefoon of je browser. Het IP-adres wordt enkel verwerkt voor beheers- en beveiligingsdoeleinden.

In het geval je getest bent bij een andere testaanbieder dan een GGD wordt niet je BSN verwerkt, maar wordt gebruik gemaakt van de unieke ophaalcode en een verificatiecode die je van de testaanbieder krijgt.

Daarnaast worden nog andere gegevens opgehaald die niet direct naar jou te herleiden zijn. Als je graag precies wilt weten welke andere gegevens worden verwerkt, klik hier. Daar vind je overzichten met de gegevens die worden opgehaald en verwerkt om het EU DCC te maken én is beschreven welke gegevens daadwerkelijk in de QR-code staan die je moet tonen als je naar een ander land binnen Europa wilt reizen.

Bij afgifte van een EU DCC wordt een unieke certificaatcode van jouw EU DCC aangemaakt, en in het geval wij een fysiek EU DCC afgeven zit er ook nog een unieke koppelcode bij waarmee je het fysieke EU DCC weer naar een digitaal EU DCC kunt omzetten.

2. Waar komen mijn gegevens vandaan?

Je test-, vaccinatie- en herstelgegevens worden verstrekt door de hulpverlener die jou heeft getest of gevaccineerd. Gegevens voor een herstelbewijs worden verstrekt door de GGD’en. Deze gegevens worden opgevraagd via twee manieren waarbij ook gegevens worden ontvangen:

  1. In het geval je getest bent bij een andere testaanbieder dan jouw regionale GGD via de unieke ophaalcode en verificatiecode die je hebt gekregen van de testaanbieder. Je kan je gegevens in dat geval ophalen door deze unieke ophaalcode en verificatiecode zelf in te voeren in de CoronaCheck-app of de website coronacheck.nl.
  2. Om vaccinatie- of herstelgegevens óf een negatieve test uitgevoerd door een GGD of een hulpverlener in het ziekenhuis op te halen, log je in met DigiD om je te identificeren. Door in te loggen krijgt de minister van VWS jouw BSN en haalt op basis van jouw BSN je voor- en achternaam en geboortedatum op uit de Basisregistratie Personen. Met de combinatie van deze gegevens bevraagt de minister de partijen die jouw vaccinatie-, herstel- en testgegevens kunnen hebben (zoals de GGD’en, het RIVM, het ziekenhuis waar je gevaccineerd bent en je huisarts) om jouw gegevens bij hen op te halen. Jouw herstelgegevens zijn gebaseerd op een positieve test in het verleden, die zijn verplicht bij de GGD in jouw regio gemeld door de testaanbieder die je getest heeft.

Als je in de CoronaCheck-app of via de website coronacheck.nl verzoekt om je gegevens op te halen dan krijg je vervolgens te zien welke gegevens zijn opgehaald en waar deze gegevens vandaan komen.

Als je alleen maar beschikt over een fysiek bewijs op papier dat je via je hulpverlener of via de helpdesk bij het CIBG hebt verkregen dan is er een mogelijkheid om je papieren bewijs alsnog in te scannen via de CoronaCheck-app. Je kunt de QR-code van je fysieke bewijs scannen met de camera van je telefoon. De gegevens worden dan gebruikt om een digitaal EU DCC te maken. Voor het gebruik van de camera op je telefoon hebben we jouw toestemming nodig. Dit wordt in de CoronaCheck-app aan je gevraagd.

3. Waarom verwerken we deze gegevens? (doel van de verwerking)

Wij verzamelen deze gegevens om voor jou een EU DCC te kunnen maken. Hiermee kun je reizen naar landen binnen Europa die een EU DCC als voorwaarde stellen om in te reizen.

Het doel van de beoogde gegevensverwerking is om het vrij verkeer van personen, zoals normaal geldt binnen de EU (en EER), tijdens de COVID-19-pandemie te faciliteren en te voorkomen dat mensen met een verhoogd besmettingsgevaar inreizen in de lidstaten. Dit gebeurt door de afgifte, verificatie en aanvaarding van interoperabele vaccinatie-, test- en herstelcertificaten (EU DCC).

4. Wat is de grondslag voor deze gegevensverwerking?

De minister van VWS is wettelijk verplicht om voor iemand die daarom vraagt een EU DCC aan te maken als diegene voldoet aan de eisen. Je moet uiteraard wel gevaccineerd zijn of over een geldige testuitslag beschikken.

In de Algemene Verordening Gegevensbescherming (AVG) worden zes mogelijke grondslagen voor het verwerken van persoonsgegevens genoemd (artikel 6 lid 1 AVG). Een daarvan is een wettelijke plicht die op de verwerkingsverantwoordelijke (in dit geval de minister van VWS) rust. De grondslag voor de verwerking van jouw gegevens is gebaseerd op artikel 6 lid 1 onder e van de AVG: een taak van algemeen belang. Ook mogen gegevens over jouw gezondheid verwerkt worden op grond van artikel 9 lid 2 onder g AVG. Omdat het hier gaat om een bewijs voor reizen binnen de EU (EER) moet de grondslag in het Europees recht te vinden zijn.

Grondslag Europees recht

Op 14 juni 2021 is de Verordening (EU) 2021/953 van het Europees Parlement en de Raad betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren, gepubliceerd (hierna: de verordening).

De verordening ziet op een Europees (technisch) kader voor de uitgifte van interoperabele certificaten inzake COVID-19-vaccinatie, -testen en –herstelbewijzen met als doel om het vrij verkeer van personen te bevorderen (artikel 21 VWEU). De EU DCC wordt verstrekt op grond van de verordening (artikel 3 tweede lid van de verordening) en geeft als taak aan de minister van VWS (of de door hem aangewezen instanties) de uitgifte van het EU DCC in digitale vorm of op papier. Omdat de verordening rechtstreeks werkt en de noodzaak tot verwerking van gegevens in het kader van de opgelegde taak evident is, is het niet nodig om hiervoor een aparte verwerkingsgrondslag in de wet op te nemen. In artikel 10 zesde lid van de verordening wordt degene die verantwoordelijk is voor de uitgifte aangewezen als verwerkingsverantwoordelijke. De minister van VWS is daarmee verwerkingsverantwoordelijke voor de uitgifte van het EU DCC.

5. Wie is verwerkingsverantwoordelijke?

De Minister van Volksgezondheid, Welzijn en Sport (hierna: ‘de minister’) is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de CoronaCheck-app en de website coronacheck.nl.

Verwerkers van de minister:

6. Hoelang bewaren we jouw gegevens?

Alleen de gegevens die in de CoronaCheck-app zelf staan of in het papieren bewijs, worden bewaard. Voor het papieren bewijs bepaal je uiteraard zelf hoe lang je die gegevens bewaart. Dat is ook zo bij de CoronaCheck-app, als je de app verwijdert, worden ook de gegevens verwijderd. Anders worden de gegevens bewaard volgens onderstaande termijnen:

Je BSN wordt niet bewaard. Je IP-adres wordt niet langer dan zeven dagen bewaard.

7. Met wie worden de gegevens gedeeld?

Als je je bewijs laat zien aan degene die je bewijs controleert in een andere lidstaat als je inreist dan kan die persoon de gegevens die in de QR-code staan uitlezen. Die gegevens mag de controleur niet opslaan. Ze kunnen op dat moment enkel controleren of je een geldig EU DCC hebt.

Als jij het EU DCC toont in een ander land dan ziet de controleur in dat andere land alle gegevens die zijn opgenomen in de QR-code van de EU DCC. Klik hier voor een overzicht van die gegevens.

Bedenk wel dat als je de QR-codes laat scannen in een ander land buiten de Europese Unie, dat daar andere regels voor het beschermen van jouw persoonsgegevens kunnen gelden. En dat je daar ook niet alle rechten kunt uitoefenen die je binnen de EU hebt omdat binnen de EU de AVG van toepassing is.

8. Is er sprake van geautomatiseerde besluitvorming?

Ja, als jij jouw EU DCC via de website coronacheck.nl of via de CoronaCheck-app aanvraagt wordt dit proces helemaal geautomatiseerd afgehandeld. Mocht je daardoor vastlopen en je voldoet wel aan de eisen dan zijn er meerdere mogelijkheden om alsnog een EU DCC te krijgen. Allereerst is er een pagina met antwoorden op de meest voorkomende vragen. Als je daar geen antwoord op je vraag vindt kun je contact opnemen met de helpdesk via: helpdesk@coronacheck.nl. Zij kunnen je helpen als je bent vastgelopen omdat de techniek niet goed werkt. Het kan bijvoorbeeld ook zo zijn dat het systeem aangeeft dat je niet voldoende gegevens hebt om een bewijs aan te maken maar je weet zeker dat dit niet klopt. De helpdesk kan dan ook ondersteunen bij hoe je dit vervolgens kunt oplossen. Het kan bijvoorbeeld zo zijn dat de hulpverlener die je heeft getest of gevaccineerd de gegevens niet juist heeft opgeslagen. Dat kun je dan via de hulpverlener laten aanpassen.

Daarnaast is een route ontwikkeld via een hulpverlenersportaal. Je kunt dan contact opnemen met degene die je heeft gevaccineerd of getest en via die weg kun je alsnog een EU DCC krijgen.

9. Wat zijn jouw rechten?

Je hebt een aantal rechten om controle te houden op je persoonsgegevens. Deze kun je vinden op de website van de Autoriteit Persoonsgegevens.

Zoals eerder aangegeven laten zowel de CoronaCheck-app als de website coronacheck.nl zien welke gegevens worden opgehaald om je bewijs aan te maken zodat je die kunt bekijken. In de CoronaCheck-app kun je ook altijd terughalen welke gegevens in de QR-code van je EU DCC staan. Als je gegevens onjuist zijn, kun je contact opnemen met je hulpverlener die je heeft getest of gevaccineerd. Verwijderen van je gegevens kun je zelf, de gegevens worden alleen bewaard in je CoronaCheck-app, dus als je die verwijdert, worden ook je gegevens verwijderd. Voor het papieren bewijs dat je hebt geprint geldt dat je zelf kunt bepalen of je die wilt vernietigen. Binnen de website coronacheck.nl worden na het aanmaken van je bewijs geen gegevens opgeslagen dus die kunnen niet worden verwijderd.

De mogelijkheid om een beroep te doen op een van je privacy rechten ten aanzien van de inzet van CoronaCheck en coronacheck.nl blijft van kracht. Een dergelijk verzoek kun je indienen via helpdesk@coronacheck.nl.

10. Klachten over het gebruik van uw gegevens melden?

Voor vragen of klachten over het gebruik van de CoronaCheck-app of de website coronacheck.nl kun je terecht bij de helpdesk: helpdesk@coronacheck.nl.

Contactgegevens van de Functionaris voor Gegevensbescherming van het Ministerie van Volksgezondheid, Welzijn en Sport vind je op de website van het ministerie.

Je kunt altijd een klacht over de verwerking van je persoonsgegevens indienen bij de Autoriteit Persoonsgegevens of bij de rechter. Meer informatie daarover vind je op de website van de Autoriteit Persoonsgegevens. Contactgegevens van de Autoriteit Persoonsgegevens vind je hier.

11. Beveiliging van uw persoonsgegevens

De minister neemt de bescherming van uw persoonsgegevens serieus en heeft bij de totstandkoming van de CoronaCheck-app en de website coronacheck.nl passende technische en organisatorische maatregelen genomen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van de verwerkte gegevens tegen te gaan.

12. Wijziging privacyverklaring

Deze privacyverklaring kan worden gewijzigd. In dat geval zullen wij de gewijzigde privacyverklaring op onze website publiceren, waarna deze privacyverklaring direct van kracht is. Laatste update: 25 april 2022.

Overzicht van verwerkte persoonsgegevens

Persoonsgegevens die worden verwerkt bij uitgifte van een EU DCC:

Persoonsgegevens die zijn opgeslagen in de QR-code die je toont aan controleurs:

EU DCC

Persoonsgegevens die in de EU DCC (QR-code) zijn opgenomen ongeacht het type (test-, vaccinatie- of herstelbewijs):

De QR-code voor het EU DCC als testbewijs bevat naast de algemene gegevens:

De QR-code voor het EU DCC als vaccinatiebewijs naast de algemene gegevens:

De QR-code voor het EU DCC als herstelbewijs bevat in aanvulling op de algemene gegevens de volgende gegevens: