Nog geen 24 uur na de start van de QVAX-website, waarmee je jezelf op de vaccin-reservelijst kan zetten, klinkt er bakken kritiek bij expert Matthias Dobbelaere-Welvaert van non-profitorganisatie Ministry of Privacy. Zolang er niet meer duidelijkheid is, raadt hij iedereen aan om zich voorlopig niet te registreren. De website is in opdracht van de overheid door een privé-bedrijf gebouwd. “Een privébedrijf mag niet je rijksregisternummer vragen”, zegt hij bij HLN LIVE.

“Op zich is de reservelijst een nobel initiatief,” steekt de jurist van wal, al laat het vrijwillig registreren serieus te wensen over. Zo is de privacyverklaring “niet gedetailleerd en niet leesbaar genoeg”, en oogt de Qvax-site niet veilig. Komt nog bij dat het helemaal niet duidelijk is naar waar de persoonsgegevens gaan. “Het Agentschap Zorg en Gezondheid is samen met hun Frans- en Duitstalige evenknieën verantwoordelijk voor de verwerking, maar het is een commercieel bedrijf dat instaat voor de website. Een commercieel bedrijf dus dat je rijksregisternummer en andere data gaat opvragen”.

“Dit is problematisch. Het rijksregisternummer is een beschermd gevoelig gegeven in onze wetgeving. Private bedrijven mogen initieel je rijksregisternummer helemaal niet vragen. Overheidsinstanties mogen dat wel. Met het nummer in handen kan je een bankrekening openen, maar ook gevoelige informatie opvragen bij de overheid. Het is cruciaal voor verificatie.”

“Wat je zeker niet mag doen is het rijksregisternummer hanteren als een gebruikersnaam, wat hier wel het geval is. Enkel een overheidsinstantie mag zoiets vragen. Als je het toch doet, moet deze informatie heel goed geëncrypteerd worden. En daar is nog geen zekerheid over.”

Zolang de technische ontwikkelaars geen garanties bieden over de privacy-veiligheid, is volgens het Ministry Of Privacy de tijd nog niet rijp voor registratie.

Nineties

Qua uitzicht vindt Dobbelaere-Welvaert de website en het systeem een flashback “naar de nineties”. “Ik vrees dat het heel snel is gemaakt. Dit moet een overheidsproject zonder commerciële partner blijven. Het is belangrijk dat medische informatie van burgers enkel en alleen door het Agentschap Zorg en Gezondheid en niet door een privaat ticketingbedrijf kan ingekeken worden. QVAX is een privacygevoelig platform hetgeen ook zo moet benaderd worden. Dit is geen Tomorrowland coronastijl.”

Wat Dobbelaere-Welvaert ten slotte nog tegen de borst stuit, is de mededeling in de privacyverklaring waarin staat dat je gegevens pas zullen worden gewist na de publicatie van een Koninklijk Besluit (KB) “dat het einde van de pandemie afkondigt”. Of er ooit zo’n KB komt, is nog maar de vraag.

