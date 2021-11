Demissionair De Jonge van Volksgezondheid kan voortaan gekopieerde en vervalste qr-codes waar misbruik van wordt gemaakt blokkeren. Dat is mogelijk door een aanpassing van de Tijdelijke regeling maatregelen covid-19 waarin onder andere de inzet van coronatoegangsbewijzen staat beschreven. Dat schrijft De Jonge in een brief aan de Tweede Kamer.

De aanpassing van de regeling volgt nadat op internet gekopieerde en vervalste qr-codes worden aangeboden waarmee anderen toegang tot locaties kunnen krijgen waarvoor een coronatoegangsbewijs (CTB) is vereist. Volgens De Jonge kan dit vooral worden gedaan met papieren coronabewijzen. "De qr-code van zo'n coronatoegangsbewijs is namelijk statisch, anders dan een qr-code die met de applicatie CoronaCheck wordt gegeneerd en elke minuut wordt ververst."

Door de nieuwe grondslag kan De Jonge vervalste en gekopieerde qr-codes na onderzoek laten blokkeren. Elk coronatoegangsbewijs is voorzien van een elektronische handtekening van de minister van Volksgezondheid en bevat een willekeurig getal, de zogenoemde challenge. Dit getal is niet te wijzigen omdat de elektronische handtekening dan niet meer geldig is en de CoronaCheck Scanner-app, waarmee locaties qr-codes van bezoekers kunnen controleren, dan aantoont dat het een ongeldig coronabewijs is.

De challenge wordt met een SHA-256-hash versleuteld en afgekort tot 16 bytes naar een proof identifier. De proof identifier wordt opgenomen in een denylist die periodiek door de CoronaCheck Scanner-app wordt gedownload. Op het moment dat CoronaCheck Scanner een coronatoegangsbewijs leest, wordt de proof identifier van die qr-code berekend. Daarna controleert de app of deze proof identifier op de denylist staat. Is dit het geval, dan laat de CoronaCheck Scanner-app zien dat het een ongeldig coronatoegangsbewijs is. "Het herleiden van de proof identifier tot het coronatoegangsbewijs en vervolgens tot de persoon waarop het coronatoegangsbewijs betrekking heeft, is technisch niet mogelijk", stelt De Jonge.

Mensen van wie de qr-code wordt ingetrokken kunnen weer een nieuwe qr-code genereren. Het is technisch niet mogelijk om personen van wie de qr-code op de denylist staat daarover te infomeren. "Fraude en misbruik vindt voornamelijk plaats met een CTB op papier. Omdat het CTB geen contactgegevens bevat, kunnen gedupeerden niet worden geïnformeerd over de blokkering van het CTB", merkt De Jonge op. De minister voegt dat er afhankelijk van het geval er aanvullende maatregelen getroffen kunnen worden en er aangifte kan worden gedaan.