Hoe veilig zijn jouw gegevens op de website QVAX.be? "Van de overheid verwacht je meer zorgvuldigheid"
Hoe veilig zijn jouw gegevens op de overheidswebsite QVAX.be, waar u zich kan registreren op een reservelijst voor vaccinatie? Daar is de voorbije dagen het een en ander over te doen geweest. "We hebben alle maatregelen genomen die we moeten nemen", verzekert Frank Robben, de man achter verschillende IT-toepassingen van de overheid. Privacy-experts zijn daar minder zeker van. "Van de overheid verwacht je gewoon meer zorgvuldigheid."
Sinds dinsdag kan je je op QVAX.be laten registreren op een reservelijst voor vaccinatie. Concreet houdt dat in dat als er ergens overschotten zijn, een vaccinatiecentrum jou dan kan contacteren met de vraag om die dag langs te komen. Aan die reservelijst zijn wel een aantal voorwaarden verbonden. (Lees ze hier.)
De website kreeg dinsdag meteen massaal veel bezoekers, ook al was gewaarschuwd dat het bijvoorbeeld weinig zin had om je nu al te registreren als jouw leeftijdsgroep nog niet aan de beurt is. Door die hoge opkomst ontstond al snel een urenlange wachttijd alvorens je je kon registreren. Een wachttijd die de dag daarna (gisteren dus) al was opgelost.
Maar de website kreeg ook meteen kritiek van privacy-experts. De privacy-organisatie Ministry of Privacy riep mensen zelfs op om de website voorlopig links te laten liggen tot er meer duidelijkheid is over de bescherming van de gegevens die je er achterlaat.
Frank Robben, de man achter verschillende IT-applicaties van de overheid zoals de kruispuntbank van de sociale zekerheid, de contactopsporing, de app Coronalert en nu dus ook QVAX.be, verdedigt de website. "We hebben alle maatregelen genomen die we moeten nemen", zei hij in "De ochtend" op Radio 1.Ā
"Dit systeem is volledig correct uitgewerkt en door het parlement goedgekeurd. We vragen ook alleen gegevens op die nodig zijn. En die gegevens zitten in een beveiligde cloud." Robben wijst er ook op dat absolute veiligheid niet bestaat. "We zorgen ervoor dat het transparant en veilig is, maar absolute veiligheid heeft u alleen op het kerkhof", klinkt het.
Beluister het gesprek met Frank Robben in "De ochtend" op Radio 1:
Zijn onze gegevens op systeem reservelijsten vaccinatie QVax veilig? "Absolute veiligheid heb je alleen op het kerkhof"
Privacy-expert Mathias Dobbelaere-Welvaert van Ministry of Privacy erkent dat absolute veiligheid niet bestaat, maar verwacht van een overheidswebsite toch meer zorgvuldigheid. "Dit gaat niet om een verschil tussen 99 en 100 procent veiligheid." Hij schat die bij QVAX veeleer op zowat 80 procent in. Vooral het feit dat een commercieel bedrijf bij de ontwikkeling van de website en de verwerking van de gegevens betrokken is, baart hem zorgen. "Dit is een gevoelig platform, dan moet je het ook zo benaderen."
Rond dat commerciƫle bedrijf hangt ook een waas van mysterie. Ministry of Privacy wil daar meer transparantie over en vroeg die ook al bij Robben zelf en de bevoegde overheidsdiensten, maar kreeg daar tot op vandaag geen bevredigend antwoord op.
"Wie is dat bedrijf? Waarom is dat uitgekozen? Welke garantie hebben we dat onze gegevens niet doorgegeven worden? Dat is informatie waar iedereen recht op heeft. Zeker bij overheidswebsites verwachten we toch transparantie." Zolang niet helemaal duidelijk is waar de gegevens van wie zich registreert heen gaan, blijft Ministry of Privacy dan ook bij zijn advies van eerder deze week om je voorlopig niet te registreren.
Wie is dat commerciƫle bedrijf? Waarom is dat uitgekozen? Welke garantie hebben we dat onze gegevens niet doorgegeven worden? Dat is informatie waar iedereen recht op heeft
En ook over hoelang onze gegevens bewaard worden, rijzen er vragen. "De gegevens worden bewaard zolang de vaccinatiecampagne loopt", zegt Robben. In het privacybeleid van QVAX.be zelf klinkt het zo: "Wij bewaren uw gegevens tot maximaal 5 dagen vanaf de dag na de bekendmaking van het koninklijk besluit dat het einde van de epidemie ten gevolge van het COVID-19 coronavirus aankondigt." Een vage uitleg vindt Dobbelaere-Welvaert. "Wanneer is dat? Het is zelfs niet eens zeker dat er ooit zo'n koninklijk besluit komt."Ā
Ook wat de veiligheid van QVAX.be betreft, is het laatste woord nog niet gezegd. Wie een beetje handig is met computers kon de voorbije dagen in een paar muisklikken voorsteken in de lange wachtrij op de website,Ā meldden we gisteren al. "Ze kunnen dat doen, maar dat is niet echt sociaal en veel zal het hen niet opbrengen", reageerde Robben vanochtend.
Of dat achterpoortje dan weer betekent dat die mensen ook aan de gegevens van anderen kunnen raken en er wat schort met de veiligheid van de website, wil ethisch hackerĀ Inti De Ceukelaire niet gezegd hebben. "Dat zou wat te kort door de bocht zijn."Ā De Ceukelaire weet op dit moment nog niet of de website te hacken valt en dus veilig is of niet. Hij is overigens van mening dat een commercieel bedrijf in de arm nemen, niet altijd een slecht idee is voor de overheid. "Hun ontwikkeling is soms zelfs beter." (De tekst gaat voort onder de video.)
Bekijk hier de uitleg van wetenschapsjournalist Koen Wauters over de zin van de reservelijst ("Het Journaal" 6/4/2020):
Rijksregisternummmer
En de gegevens die we achterlaten op QVAX.be, zijn die dan zo gevoelig? "De enige gegevens die we vragen, zijn uw contactgegevens", legde Robben in "De ochtend" uit, zodat wie dat wil opgebeld kan worden als er vaccinoverschotten zijn. "En ook uw rijksregisternummer. Dat is nodig om te kijken of u al niet gevaccineerd bent en u wel tot de juiste doelgroep behoort." Over een leeftijdsgroep springen, blijft namelijk uitgesloten, ook al sta je op een reservelijst, want die geldt enkel binnen jouw leeftijdsgroep.
Dat rijksregisternummer is toch een uniek stukje informatie, legt Dobbelaere-Welvaert uit, dat je niet zomaar te grabbel wilt gooien. Je rijksregisternummer staat op de achterkant van je identiteitskaart. Je kan het bijvoorbeeld gebruiken om een bankrekening te openen of om informatie op te vragen bij de overheid. "Private bedrijven mogen het niet opvragen. Als je als overheid dat nummer vraagt, moet je het heel goed beveiligen."
Slaat de slinger door?
Robben maakte zich in "De ochtend" dan weer druk over een "negatieve" houding tegenover QVAX.be en andere applicaties van de overheid waar gegevens worden verzameld of opgevraagd. Bij eerdere kritiek op zijn werk benadrukte hij al dat je het grondrecht op privacy en het grondrecht op gezondheid in evenwicht moet brengen.
Slaan we te veel door als we het over privacy hebben? Moeten we tijdens een pandemie niet wat minder veeleisend zijn, in naam van de gezondheid van onszelf en onze medeburgers? "Privacy komt inderdaad heel vaak in het nieuws", merkt Dobbelaere-Welvaert op. "Maar het is net als vrije meningsuiting een mensenrecht en het is belangrijk om dat hoog te blijven waarderen."
Het privacybeleid van de overheid loopt overigens niet helemaal mank, geeft Dobbelaere-Welvaert aan. De app Coronalert doorstaat de test bijvoorbeeld wel goed. "Die is zo goed als perfect. Elke applicatie van de overheid zou op die manier uitgerust moeten zijn", stelt hij. "QVAX.be is gewoon heel snel en onzorgvuldig gemaakt. Men had iets meer tijd moeten nemen, met iets meer geduld moeten werken. Ik blijf erbij: dit is gewoon een website uit deĀ nineties. Terwijl er nu online zoveel mogelijkheden zijn."