De onzekerheid neemt toe rond de app CoronaCheck die bewijst dat je gevaccineerd bent dan wel negatief ben getest of eerder corona hebt gehad. Op het ministerie van Volksgezondheid, Welzijn en Sport (VWS) nemen de twijfels toe. Afgelopen middag vond overleg plaats over de vraag hoe het ministerie verder moet met qr-codes.
De problemen spitsen zich toe op mensen die wel twee keer een vaccin hebben gehad maar daarna toch positief zijn getest. Na een besmetting zou hun qr-code moeten worden ingetrokken. Maar dan verdwijnt de informatie dat iemand twee keer een vaccinatie heeft gehad. En dat is dan definitief. Als iemand naderhand weer gezond is kan de oude status over de inentingen niet meer worden hersteld.
Het grote probleem met het systeem is dat vanwege de privacy het privédeel van de sleutel van het certificaat is gekoppeld aan de qr-code. Die heb je persoonlijk alleen op je eigen telefoon staan en staat nergens anders geregistreerd. De qr-scanner controleert off-line of de qr-code geldig ondertekend is met het certificaat. Zowel de telefoon van de gebruiker als van de scanner hoeven daarbij niet online te gaan.
Het ministerie buigt zich thans over twee mogelijke oplossingen. Men kan de scanner en qr-code-app laten zoals het nu is. Bij evenementen en bijeenkomsten moet dan iedereen worden getest.
Groen of rood slotje
Het alternatief is de certificaten in een database (Certificate Revocation List) op te nemen. Dan kan de scanner online checken of een qr-code (certificaat) al dan niet geldig is. Dit valt te vergelijken met het groene of rode slotje in een internetbrowser. Bij deze oplossing moet wel een stukje privacy worden ingeleverd. Maar landen om ons heen doen dit ook al.
Ad Koolen, cryptodeskundige bij Compumatica, voelt het meest voor de tweede optie: ‘Door qr-codes tegen een database met vervallen certificaten te houden kan iemands status worden ingetrokken.’ Maar VWS is daar huiverig voor. Dit in verband met mogelijke privacy-problemen. Koolen zelf ziet die moeilijkheden overigens niet. Een database met certificaten kan zodanig zijn ingericht dat deze alleen zegt of een qr-code al dan niet is ingetrokken.
Overigens is de tweede oplossing ook omslachtig. Bij een keuze voor deze optie vervalt het digitaal certificaat (de private key) dat daarbij zit. En dat is onomkeerbaar. Als iemand weer gezond is kan de oude code niet meer worden hersteld. Er moet dan een nieuw certificaat/qr-code worden gegenereerd voor die gebruiker.
De informatie over het gevaccineerd zijn moet dan handmatig worden opgehaald in de database van GGD-GHOR, wat veel tijd kost. Dit legt meteen een ander probleem bloot. Mensen die door de huisarts zijn ingeënt, staan niet in de database van GGD geregistreerd maar bij die van het RIVM. En die data zijn niet gekoppeld. Het systeem weet dus niet meer dat iemand twee keer een vaccinatie heeft gehad. Hier moet dus wel een oplossing voor komen.
Adolf Hitler
Los van dit probleem bestond eerder op de dag enige vrees dat in Nederland de geheime (privé)sleutels van qr-codes waren gestolen. Het leek erop dat in Polen en Frankrijk Europese qr-codes waren gelekt. Die codes stonden op naam van Adolf Hitler, voorzien van geldige Frans en Poolse digitale handtekeningen. Maar van een lek lijkt vooralsnog minder waarschijnlijk. De indruk bestaat dat een medewerker van de Poolse/Franse GGD die toegang had tot het systeem, een ‘grap’ heeft willen uithalen.
Las het al, besmet maar toch overal kunnen binnenkomen met die QR code. Je kan ook kunnen denken, als mensen besmet zijn dat ze zich even een aantal dagen gedeisd te houden. Als je de verantwoordelijkheid neemt je in te laten inenten zou dat logisch zijn. Heb niet veel ervaring met de QR code, maar het restaurant wat ik bezocht deed er niet aan. Houdt het helemaal op. Voor grote evenementen is het verplicht, sport, concerten. Zou zelf denken, houden zo, niets aan veranderen. Er zijn ook nog mensen die besmet zijn en niets in de gaten hebben. Alternatief zou zijn: alles op slot gooien en dat gaat niet gebeuren. Lastig! In een technische oplossing zoals hierboven beschreven (tijdelijk ongeldig maken) geloof ik niet. Te ingewikkeld.
Voordat de Dhr S. Spelling langskomt: het is ‘Houdt het helemaal op’ in plaats van houd. Oh, dat gaat door merg en been. Jammer dat je het bericht niet kan corrigeren.
@Louis Kossen. Jawel hoor. Aangepast.
De QR-code geeft slechts aan of iemand hersteld is van Corona en/of gevaccineerd is. Het is geen garantie tegen ziek worden en anderen besmetten, Deze beperkte zekerheid valt denk ik niet te compenseren met techniek.
QR code app is een middel/gereedschap. Het probleem zit duidelijk in het beleid van de overheid. Vaccinatie is geen garantie om niet ziek te zijn/worden (Covid-19). Enige wat helpt volgens de wetenschappers is testen voor toegang voor iedereen OF de kwetsbare groep identificeren en afdoende beschermen.
Aangezien bij toegang met code juist de gevaccineerden het virus verspreiden. Gewoon weer testen voor toegang. Dan weet je zeker dat niemand op dat moment het virus bij zich draagt.
Dat van die “Adolf H” codes lijkt mij bewijs van aantasting van de integriteit van de onderliggende database.
Het systeem is overigens net zo betrouwbaar als de mensen die vaccinatiebewijzen invoeren na, of niet, vaccinatie. Het registreert feitelijk “verklaringen van gevaccineerd zijn”. Ik hoop daar op burgerlijke ongehoorzaamheid en sabotage van artsen, die niet zouden moeten willen meewerken aan juridische uitsluiting. Voor een onderbouwing verwijs ik o.a. naar de Johannes Wier stichting: https://www.johannes-wier.nl/
Ook het feit dat hier een grove inbreuk wordt gemaakt op het recht op geheime medische informatie van ongevaccineerden is evident: de vaccinatiestatus ligt op straat: niet naar binnen is ongetest én ongevaccineerd dus ongevaccineerd (De Morgan’s wet). De vergelijking met een insigne is dan snel gemaakt.
Over het Adolf H record nog het volgende: aangezien bij mijn weten CoronaCheck apps allemaal gekoppeld zijn met (recent Europees uitgerolde) federated authentication-achtige oplossingen als DigiD, en deze volgens mij allemaal gekoppeld zijn aan varianten van het Nederlandse basisregistratiestelsel, is het interessant om te achterhalen in welke deeladministraties deze Adolf H nog meer opduikt en of hij belasting betaalt. En vooral, waar in de invoerketen van persoonsgegevens (bij geboorte) het kan dat iemand met een geboortedatum van 1900 kan worden ingevoerd en waar de data validatie faalt bij het niet detecteren van dit stukje desintegriteit. Het probleem lijkt mij ernstiger dan de wat jolige manier waarop er over gesproken wordt: kennelijk is er een lek?
Marius, testen voor toegang is ook onzin, in die 48 uur nadat je getest bent komt je overal en nergens. Dus je bent net zo’n grote bron als velen anderen. Misschien is de oplossing gewoon de zorg opschalen ipv controle BOA’s en techniek? Gewoon zorgen dat er bedden en verpleegkundigen komen met de juiste waardering/salaris etc. En dan ook gelijk eens een voorlichtingcampagne over wat je kan doen om het niet te krijgen. Want wat mij echt het meest verbaasd in alles is dat alle gefocust is en blijft op besmettingen overdragen en op de achterkant. Iemand al een campagne gezien over vitamines? Ipv zelftesten door de brievenbus, vitamine D bv uitdelen aan mensen? Volgens mij moet je het probleem aan de voorkant aanpakken ipv aan de achterkant. (en dan zijn de QR codes ook niet meer nodig)
@Redactie Dank voor de correctie!
Inenten lijkt me het meest verstandig om de ziekenhuizen te ontlasten en het aantal mensen met langdurige nare verschijnselen te minimaliseren. Goed voor jezelf en je omgeving. Ik moet wel toegeven, ik heb me niet geinformeerd en geen diepgravend onderzoek gedaan op internet.
Als zowel de Franse als de Poolse geheime sleutels blijken te zijn gestolen dan lijkt het me nogal naïef om te denken dat de Nederlandse sleutels veilig zijn. Zo’n ‘DigiNotarretje’ leidt ertoe dat de hele vertrouwensketen omvalt en het maatschappelijke draagvlak ervoor verkruimeld. Dan kan Hugo net als eerder Donner wel zijn vinger in de digitale dijk proberen te stoppen maar het hele beleid van toegang was toch al niet uit te leggen door onlosmakkelijke koppeling van vaccinatiestatus, het systeem geeft daardoor alleen maar schijnveiligheid.
Voor Ad, we leven nog altijd niet op een eiland dus ook al bedenk je een prachtige Nederlandse oplossing je hebt nog altijd te maken met een groot aantal Poolse arbeiders die niet alleen de tomaten plukken.