PlusAchtergrond

Overheid beschikt straks over al onze vaccinatiegegevens: is dat nodig?

De overheid beschikt met de centrale registratie van coronavaccinaties over de vaccinatiegegevens van miljoenen Nederlanders. Straks wordt ook het nieuwe coronapaspoort daaraan gekoppeld. Zijn die gegevens veilig? En wat als iemand niet geregistreerd wil worden?

vaccinatie Beeld Getty
vaccinatieBeeld Getty

1. Er is opeens een omgeving die MijnRIVM heet. Wat is dat precies?

In dit nieuwe internetportaal dat te vinden is via mijn.rivm.nl, kunnen mensen onder meer zien op welke datum ze een coronavaccin hebben gehad, welk vaccin dat was en tot welke partij (batch) dat vaccin behoorde. Ook persoonsgegevens zoals naam en geboortedatum zijn in het dossier opgenomen. Om de gegevens in te zien moet worden ingelogd via DigiD. De gegevens worden in principe twintig jaar bewaard, schrijft het Rijksinstituut voor Volksgezondheid en Milieu (RIVM).

MijnRIVM is gekoppeld aan het het zogenoemde Covidvaccinatie Informatie- en Monitoringsysteem (Cims), de centrale database waarin het RIVM de in Nederland toegediende coronavaccinaties registreert van mensen die voor die registratie toestemming hebben gegeven. Wie geen toestemming geeft of n(nog) geen coronavaccin heeft geahd, vindt in MijnRIVM geen vaccinatiegegevens van zichzelf terug en krijgt de melding dat er geen vaccinatiegegevens zijn gevonden.

Vooralsnog is alleen de vaccinatie tegen corona opgenomen in MijnRIVM. Het RIVM zegt dat het portaal ‘in de toekomst mogelijk voor meer doelen gebruikt gaat worden, zoals het rijksvaccinatieprogramma’.

2. Is het niet gek dat een overheidsinstelling over dit soort medische gegevens beschikt?

Het ministerie van Volksgezondheid (VWS) vindt van niet. Corona is een ernstige pandemie en volgens de wet heeft het RIVM in dit soort gevallen vaccinatiegegevens nodig om te kunnen onderzoeken of vaccins goed werken en of ze veilig zijn. Bovendien kunnen mensen weigeren hun gegevens op te laten nemen in Cims, benadrukt het ministerie.

Ook het optreden van mogelijke bijwerkingen wordt genoemd als argument om een centraal bestand met gegevens van gevaccineerden aan te leggen. Mocht er iets ernstigs aan de hand zijn, dan kunnen patronen sneller worden herkend en mensen die gevaar lopen eerder worden gewaarschuwd, is de gedachte.

Het centraal registreren van vaccinatiegegevens door de overheid trekt nu de aandacht, maar is niet nieuw. De vaccinaties die kinderen krijgen vanuit het rijksvaccinatieprogramma, bijvoorbeeld tegen mazelen of polio, worden al sinds jaar en dag vastgelegd in een ander centraal systeem, Praeventis. Bij andere vaccinaties, zoals voor reizigers of vanwege iemands werk, is dat niet het geval. Zij worden alleen ‘geregistreerd aan de bron’, bijvoorbeeld bij de GGD of bij de huisarts.

3. Einde discussie, dus?

Niet helemaal. Bart Jacobs, hoogleraar privacy aan de Radboud Universiteit in Nijmegen, stelt dat overheidsinstellingen heel precies moeten kunnen uitleggen waarom zij persoonlijke medische gegevens van een burger nodig hebben. “Om de effectiviteit van vaccinaties te onderzoeken, heb je natuurlijk geen persoonlijke gegevens nodig. Dat kan ook prima met anonieme data.”

Ook stichting Privacy First heeft moeite met de vanzelfsprekendheid waarmee mensen gevraagd wordt hun medische gegevens te delen. “Voor een deel lijkt de noodzaak te ontbreken. Daarom stoort het ons. Hoe meer databases je als overheid bezit met daarin privacygevoelige gegevens van burgers, hoe meer mogelijkheden je hebt om dingen aan elkaar te knopen. Daar zouden we veel meer oog voor moeten hebben.”

Het 'rode scherm' van de CoronaCheckapp die het ministerie van Volksgezondheid wil gaan gebruiken. Beeld Ministerie VWS
Het 'rode scherm' van de CoronaCheckapp die het ministerie van Volksgezondheid wil gaan gebruiken.Beeld Ministerie VWS

4. Hoe weet ik of mijn gegevens niet in verkeerde handen vallen?

Bij de GGD ging het in het heetst van de coronacrisis gigantisch mis. Zo’n beetje elke uitzendkracht kon toegang krijgen tot persoonlijke gegevens van mensen die in de teststraat waren geweest, waardoor zeker duizend mensen slachtoffer werden van een groot datalek.

Bij het in gebruik nemen van Cims is er alles aan gedaan om dat te voorkomen, stelt het RIVM. Alleen een zorgvuldig geselecteerde groep medewerkers van het instituut heeft met een persoonlijke inlogcode toegang tot de dossiers, meldt een woordvoerder. “Bijvoorbeeld om selecties te maken voor uitnodigingen, om de uitnodigingen te sturen en om correcties op data in te voeren, bijvoorbeeld wanneer teruggekoppeld wordt dat een vaccinatie op een andere datum is gezet, door een andere zorgmedewerker of met een ander vaccin.”

Medewerkers kunnen geen persoonsgegevens exporteren of afdrukken. Alle activiteiten worden geregistreerd en gecontroleerd, stelt het RIVM. Als een medewerker toegang heeft gehad tot een dossier, kan een burger dat bovendien zien in MijnRIVM.

Mensen van buiten het RIVM hebben geen toegang tot de gegevens, zegt de woordvoerder. Alleen bijwerkingencentrum Lareb mag specifieke dataverzoeken doen.

5. Klopt het dat demissionair minister Hugo de Jonge (Zorg) nu ook de gegevens voor het coronapaspoort in de nieuwe CoronaCheck­app uit Cims wil halen?

Inderdaad. Het is een groot verschil met het gele vaccinatieboekje dat je soms nodig hebt als je op een verre reis gaat. Bij een prik tegen bijvoorbeeld gele koorts of rabiës bij de GGD krijg je een stempel in je boekje – niemand van de overheid die er iets van weet.Bij corona wordt er een soort U-bocht gemaakt. De GGD vaccineert, die gegevens belanden (met toestemming) in Cims, en worden vervolgens weer gebruikt voor de CoronaCheckapp, die je straks nodig kunt hebben om een evenement te bezoeken of om met vakantie te gaan.

Critici vinden dat dat naar iets te veel overheidstoezicht riekt. Sowieso moet de overheid haar burgers uitdrukkelijk om toestemming vragen voor de nieuwe koppeling, stelt privacyhoogleraar Bart Jacobs. “Niemand heeft bij zijn of haar vaccinatie toestemming gegeven om die vaccinatiegegevens te gebruiken voor een coronapaspoort. Dus die vraag zal alsnog gesteld moeten worden.”

Deze gang van zaken verdient volgens de hoogleraar niet de schoonheidsprijs. “Het is verwarrend en niet zoals het zou moeten. Je had dit beter op orde moeten hebben.”

Het ministerie van Volksgezondheid meldt dat mensen die de CoronaCheckapp straks installeren, inderdaad ‘expliciet’ de vraag zullen krijgen of zij er toestemming voor geven dat hun gegevens uit Cims worden gebruikt.

6. Dat kan zijn. Maar wat als ik wél gevaccineerd ben en de CoronaCheckapp wil, maar niet wil dat mijn gegevens in een overheidsdatabase staan?

Dat is alles behalve duidelijk. Sowieso heeft Cims te maken met problemen: veel huisartsen en zorginstellingen lopen achter met het doorgeven van de vaccinaties. En dan zijn er dus ook nog de ‘weigeraars’, naar schatting 5 tot 10 procent van de gevaccineerden. Het ministerie van Volksgezondheid meldt dat er voor hen nog gewerkt wordt aan het inrichten van een ‘uitzonderingspositie’.

Minister De Jonge temperde de hoop op een snelle oplossing. “Daar moeten we nog iets op verzinnen maar dat kan wel lang gaan duren,” zei hij onlangs in tv-programma Nieuws­uur.

Of dat betekent dat die oplossing er nog niet is op 1 juli, als de CoronaCheckapp en het daarin opgenomen coronapaspoort worden ingevoerd, is nog niet bekend. Maar het kan er dus voor zorgen dat mensen die hun vaccinatiegegevens niet willen delen met de overheid, op achterstand komen te staan. Alternatieven zijn er wel: het coronapaspoort biedt straks ook de mogelijkheid de uitslag van van een negatieve coronatest te melden of als bewijs te dienen dat iemand al Covid-19 heeft doorgemaakt.

Het 'groene scherm' van de CoronaCheckapp die het ministerie van Volksgezondheid wil gaan gebruiken. Beeld Ministerie VWS
Het 'groene scherm' van de CoronaCheckapp die het ministerie van Volksgezondheid wil gaan gebruiken.Beeld Ministerie VWS

7. Had dit allemaal niet op een andere manier kunnen worden ingericht?

Volgens experts en critici wel. Privacyhoogleraar Jacobs pleit voor een digitaal vaccinatieboekje, naar het voorbeeld van het papieren gele boekje. Burgers kunnen dan dus wel digitaal beschikken over hun vaccinatiegegevens, maar de informatiestroom loopt daarvoor niet per se via de overheid.

Ook stichting Privacy First denkt dat er ‘veel betere alternatieven’ en ‘prachtige technieken’ beschikbaar zijn. “Maar dan moet je er wel in investeren.”

In het geval van het coronapaspoort lijkt dat niet te zijn gebeurd, zegt Jacobs. “Hier had natuurlijk veel eerder over nagedacht kunnen worden, je bent in januari begonnen met vaccineren. Maar het lijkt allemaal pas op het laatste moment in gang te zijn gezet. Cims was daarom voor het kabinet makkelijk, want daar staan veel gegevens al in.”

8. Wat als ik iets wil wijzigen?

Dat kan. Mensen die eerder weigerden hun gegevens te delen met het RIVM, kunnen alsnog beslissen hun vaccinatie wél op te laten nemen in Cims. Andersom kunnen mensen ook een verzoek indienen om niet meer mee te doen aan Cims (het recht van bezwaar) of om bepaalde gegevens uit het systeem te laten verwijderen (het recht op vergetelheid).

Het RIVM is druk met het verwerken van alle verzoeken. Alleen al tussen 23 april en 4 mei kwamen er 56.500 ‘min of meer gestructureerde verzoeken’ binnen, die deels nog moeten worden uitgezocht. Daarbij werd in zeker 12.000 gevallen beroep gedaan op het recht van vergetelheid en 9000 keer op het recht van bezwaar. Er stonden op dat moment ruim 4,6 miljoen covidvaccinaties geregistreerd in Cims. Recentere cijfers wil het RIVM niet geven, omdat ze nog niet genoeg inzicht zouden bieden.

Meer over