Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1435

van Rik Daems (Open Vld) d.d. 17 december 2021

aan de vice-eersteminister en minister van Justitie en Noordzee

Coronapandemie - Covid safe ticket - QR-code - Valse scanner-apps - Cijfers en tendensen - Privacyprobleem (Covid-19)

epidemie
vaccinatie
officieel document
fraude
toepassing van informatica
eerbiediging van het privé-leven
scanner

Chronologie

17/12/2021 Verzending vraag (Einde van de antwoordtermijn: 20/1/2022 )
26/1/2022 Antwoord

Ook gesteld aan : schriftelijke vraag 7-1433
Ook gesteld aan : schriftelijke vraag 7-1434

Vraag nr. 7-1435 d.d. 17 december 2021 : (Vraag gesteld in het Nederlands)

Naast het feit dat reeds geweten is dat malafide actoren valse corona-certificaten uitreiken is er in Nederland een nieuw fenomeen opgedoken: een frauduleuze scanner-app. De normale app scant de QR-code van het Covid safe ticket en geeft al dan niet aan of men gevaccineerd is (cf. https://nos.nl/artikel/2405316-ook-vervalste-scanner-app-coronacheck-in-omloop).

De valse scanner-app in Nederland kleurt bij alle QR-codes groen, ook al zijn ze verlopen, geblokkeerd of zijn het zelfs codes die helemaal niet afkomstig zijn van de CoronaCheck-app. Volgens de makers is hij bedoeld voor ondernemers die mensen niet willen «buitensluiten». De valse scanner-app toont zelfs de juiste initialen als mensen met een legitieme QR-code worden gescand, beloven de makers.

Het Nederlandse ministerie van Volksgezondheid wijst erop dat ordehandhavers kunnen controleren of ondernemers wel de juiste scanner-app gebruiken, maar voor het ongeoefende oog is het verschil nauwelijks zichtbaar. Ook het feit dat het icoontje van de echte app is nagemaakt maakt dit moeilijker.

In Nederland is het verspreiden van de app niet illegaal, het gebruik ervan wel. Voorts moeten de ondernemers een officiële app downloaden om de QR-codes te scannen.

Wat betreft het transversaal karakter van de vraag: deze schriftelijke vraag behandelt zowel gezondheid, als privacy, als IT, als justitie en is dus van transversale aard.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Zijn er reeds gevallen in België bekend van ondernemers die valse Covid safe ticket scanners gebruiken? Zo ja, hoeveel arrestaties in totaal hebben er plaatsgevonden? Vanuit waar opereerden ze? Over welke soort onderneming ging het? Wat waren hun beweegredenen?

2) Zijn er momenteel strategieën om naast het verbieden van vervalste certificaten op te treden tegen valse scan-apps? Zo ja, wat houdt deze in? Wie coördineert dit? Wat zijn de kosten? Zo neen, waarom is dit geen prioriteit?

3) Hoe wordt momenteel opgetreden tegen verdachten die deze valse scan-apps gebruiken? Aan welke sancties of boetes moeten zij zich verwachten? Acht u deze aanpak voldoende? Waarom wel? Waarom niet? Gelieve te verklaren waarom.

4) Wat is de legale status van deze valse apps? Worden deze verboden enkel bij gebruik zoals in Nederland of is het bezit ervan reeds illegaal? In hoeverre kunnen de makers van deze app vervolgd worden? Wat is de legale status van «concurrerende» apps die QR-codes kunnen scannen?

5) Vormen deze frauduleuze apps volgens u een privacy probleem? Zo ja, in welke mate en hoe?

6) Hoe kunnen ordehandhavers zich beter wapenen bij inspecties tegenover dit soort frauduleuze praktijken die op het eerste zicht niet altijd te bemerken zijn? Kan u meedelen of onze ordehandhavers reeds bekend zijn met deze valse scanner-apps?

7) Hoe kan voorkomen worden dat ondernemers vanuit een bepaalde ideologische ingeving dit soort frauduleuze apps gebruiken? In welke mate kunnen bepaalde organisaties als VOKA, Horeca Vlaanderen, enz., hierbij helpen?

Antwoord ontvangen op 26 januari 2022 :

1) Als antwoord op vraag 1) kan ik u meedelen dat de centrale statistische gegevensbank van het College van procureurs-generaal niet toelaat om een antwoord te verschaffen op de gestelde vraag naar cijfergegevens. Er bestaat immers geen specifieke tenlasteleggingscode omtrent het gebruik van valse «Covid Safe Ticket» (CST)-scanners.

2) Wat het antwoord op vraag 2) betreft, valt te noteren dat de politiediensten op heden reeds prioritair en actief nagaan of uitbaters of organisatoren het CST controleren. De wijze waarop deze controle dient te gebeuren – en of desgevallend het gebruik van valse scan-apps kan worden vastgesteld – is een aangelegenheid die aan de politionele hiërarchie toekomt om te definiëren. Dit zou bijvoorbeeld kunnen:

– door aan de uitbater te vragen om het CST-controlesysteem te tonen waarin hij heeft voorzien;

– door na te gaan of de uitbater wel degelijk over de controleapp voor het CST beschikt;

– door aan de uitbater te vragen hoe hij de controle uitvoert;

– door aan de werknemers te vragen of ze instructies hebben gekregen wat de controle betreft;

– door aan de uitbater te vragen om de lijst van personen te tonen die belast zijn met de controle.

3) Vraag 3) behoeft momenteel geen antwoord aangezien er geen gevallen bekend zijn. Weliswaar is het zo dat overtreders strafbaar zijn met een gevangenisstraf van zes maanden tot vijf jaar of met een geldboete van zesentwintig euro tot honderdduizend euro.

4) Wat het antwoord op vraag 4) betreft, kan het gebruik van deze valse scan-apps een inbreuk uitmaken op artikel 210bis van het Strafwetboek, i.c. valsheid in informatica, wat impliceert dat de apparatuur ook daadwerkelijk gebruikt wordt:

«Art. 210bis. § 1. Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig euro tot honderdduizend euro of met een van die straffen alleen.»

5) Als de valse scanner enkel bij alle QR-codes groen kleurt, zonder de gegevens van de eigenaars te verzamelen, wordt geen inbreuk gepleegd op de gegevensbeschermingswet.

Als blijkt dat de valse scanner, aangezien hij de initialen toont, ook persoonsgegevens verzamelt, dan kan die illegale verzameling van persoonsgegevens op grond van de AVG (algemene verordening gegevensbescherming – richtlijn 95/46/EG) worden bestraft met een geldboete die kan oplopen tot 20 miljoen euro.

Bij de beoordeling van het misdrijf moet worden nagegaan of de gegevens slechts enkele seconden worden bewaard – de tijd die nodig is om de initialen te doen verschijnen – of dat ze langer worden bewaard op het toestel.

Er dient te worden opgemerkt dat de echte scanner de gegevens niet bewaart: in de «Privacyverklaring over de gegevensverwerking en bescherming in het kader van het Digitaal EU-Covid-Certificaat – COVIDSCAN.BE APP» wordt immers onderstreept dat er geen gegevens worden bewaard op het toestel. De gegevens worden enkel gebruikt om de inhoud van de gepresenteerde QR code te visualiseren en de authenticiteit van het certificaat na te gaan.

6) Deze vraag valt onder de bevoegdheid van mijn collega de minister van Binnenlandse Zaken.

7) Deze vraag valt onder de bevoegdheid van mijn collega de minister van Economie.