‘Lek’ in CovidScanBE-app blijkt storm in glas water

Pieterjan Van Leemputten

Het beveiligingslek in de app om coronacertificaten te scannen is volgens Digitaal Vlaanderen helemaal geen beveiligingsfout. Het gaat om een publieke lijst die geen identificeerbare gegevens bevat.

Een burger had bij de Gegevensbeschermingsautoriteit (GBA) melding gemaakt van een mogelijk veiligheidslek in de CovidScanBE-app. Dat is de toepassing waarmee je onder meer op events en restaurants kan bewijzen dat je gevaccineerd bent, of recent van corona herstelde. Dat kon gevolgen hebben voor 39.000 mensen.

Misverstand

De GBA was voorzichtig in haar communicatie en sprak van een ‘mogelijk beveiligingslek’, maar zonder veel technische details. Digitaal Vlaanderen, dat binnen ons land de CovidScanBE-app ontwikkelde, nuanceert dat er helemaal geen probleem is en dat het om een misverstand gaat.

Het ‘probleem’ stelt zich bij de lijst met unieke certificaatnummers die vervallen zijn. Die lijst zou publiek toegankelijk zijn. Maar volgens Digitaal Vlaanderen bevatten de codes geen enkele identificatie of reden waarom het certificaat vervallen is. ‘Het is een misverstand dat uit die lijst namen of de reden van de ongeldigheid kan worden afgeleid’, zegt Gert De Gelder, projectleider CovidSafe, aan Data News.

Lijst moet publiek zijn ter controle

‘Wij zien dat niet als een veiligheidsprobleem. Unieke certificaatnummers moeten rood scannen als ze niet meer geldig zijn, dus die worden in een publieke lijst bijgehouden zodat de app dagelijks kan nagaan welke codes vandaag ongeldig zijn. Maar dat gaat enkel om certificaatnummers, geen ID’s, geen reden waarom ze ongeldig zijn.’

Het is volgens De Gelder niet mogelijk om op basis van de (momenteel 39.000) vervallen codes/certificaten af te leiden wie op die lijst staat of waarom. Ook is het technisch onmogelijk om op basis van de vervallen codes nieuwe certificaten (geldige QR-codes) aan te maken. Ook worden codes, of de identiteit van de houder ervan, bij een scan niet bewaard op het toestel of door de overheid. Het is dus niet mogelijk om bijvoorbeeld mensen hun CovidSafe ticket te scannen en die gegevens te bewaren.

De GBA heeft volgens De Gelder nog geen contact opgenomen met Digitaal Vlaanderen om de zaak te verduidelijken. Maar de organisatie zegt dat het volledig transparant wil zijn over haar werking en hoe de app omgaat met persoonsgegevens.

Update 15 uur:

In de voorlaatste paragraaf hebben we verduidelijkt dat bij een scan van je certificaat de code of de identiteit niet wordt bewaard op het toestel of door de overheid.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content