Privacyverklaring: CovidSafe App - Covid-certificaten - DPIA
v.3.0 – 4/10/2021
In deze privacyverklaring vindt u alle informatie met betrekking tot de verwerking van uw persoonsgegevens in het kader van de Covid-certificaten (enerzijds het digitaal-EU-COVID-Certificaat en anderzijds het COVID Safe Ticket). Meer bepaald zal worden verduidelijkt hoe uw gegevens worden verzameld, verwerkt en gebruikt. Dit document is opgedeeld in vier delen:
“Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene")( dus geen vennootschap bv.); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
"Verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
"Verwerker": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
U kunt de gegevens die over u verwerkt worden, altijd inkijken en, indien nodig, laten verbeteren. Daarnaast heeft u in bepaalde omstandigheden ook het recht om een beperking van verwerking te vragen aan de verwerkingsverantwoordelijke.
Indien u vragen heeft met betrekking tot de verwerking van uw persoonsgegevens of indien u één van bovenstaande rechten wenst uit te oefenen, kunt u zich wenden tot de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke, wiens contactgegevens hieronder steeds bij de verwerkingsverantwoordelijke worden vermeld. Gelieve bij uw verzoek steeds een recto-verso kopie van uw identiteitskaart te voegen, zodat u kan worden geïdentificeerd.
Ook indien u het niet eens bent met de wijze waarop uw gegevens verwerkt worden, kunt u zich wenden tot deze functionaris voor gegevensbescherming. Daarnaast kunt u ook steeds klacht indienen bij de Gegevensbeschermingsautoriteit.
Het Digitaal-EU-COVID-vaccinatiecertificaat wordt door de onderstaande verwerkingsverantwoordelijken onder elk van haar bevoegdheid uitgegeven:
De verwerking gebeurt op basis van artikel 6, lid 1, c) van de AVG, met name:
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
De wettelijke verplichting waarnaar verwezen wordt, bevindt zich in het samenwerkingsakkoord van 14 juli 2021 tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waalse Gewest en de Franse Gemeenschapscommissie betreffende de verwerking van gegevens met betrekking tot het digitaal EU-COVID-certificaat, het COVID Safe Ticket, het PLF en de verwerking van persoonsgegevens van in het buitenland wonende of verblijvende werknemers en zelfstandigen die activiteiten uitvoeren in België.
De verwerking van persoonsgegevens beoogt, overeenkomstig artikel 3, § 1 van de Verordening digitaal EU-COVID-certificaat, de opmaak, de afgifte en verificatie van het digitaal EU-COVID-certificaat met het oog op de toegang tot en de verificatie van de in het certificaat opgenomen informatie, teneinde de uitoefening van het recht van vrij verkeer binnen de Unie tijdens de COVID-19-pandemie te faciliteren.
De volgende categorieën van persoonsgegevens worden verwerkt
De hoofdverblijfplaats wordt verkregen uit het Rijksregister. Het Rijksregisternummer, de identiteit van de houder en de informatie over het aan de houder toegediende COVID-19-vaccin en over het aantal toegediende doses worden bekomen uit Vaccinnet, een gegevensbank waarin onder meer de uitgereikte vaccinaties tegen COVID-19 worden bijgehouden en die gezamenlijk beheerd wordt door de verschillende verwerkingsverantwoordelijken. Meer informatie met betrekking tot Vaccinnet vindt u op de website van Vaccinnet. Conform de privacyverklaring van Vaccinnet is het niet mogelijk om uw gegevens uit deze gegevensbank te laten wissen.
De digitaal EU-COVID-vaccinatiecertificaten zijn in beginsel alleen bedoeld om aan de burger uit te reiken en worden dan ook niet automatisch doorgegeven aan derden door de verwerkingsverantwoordelijke. Wel zal via verschillende digitale loketten of digitale patiëntenportalen uw certificaten ter beschikking worden gesteld. Daarnaast zullen de certificaten op uw verzoek ook worden doorgestuurd via de eBox of naar de CovidSafeBe applicatie.
De gegevens zullen ten behoeve van de verschillende verwerkingsverantwoordelijken verwerkt worden door het intern verzelfstandigd agentschap zonder rechtspersoonlijkheid agentschap Digitaal Vlaanderen, ingeschreven in het KBO met nummer 0316.380.841, waarvan de administratieve zetel zich bevindt te Havenlaan 88, 1000 Brussel (privacy.digitaal@vlaanderen.be).
De persoonsgegevens gelinkt aan het digitaal EU-COVID-vaccinatiecertificaat worden bijgehouden zolang u het certificaat kan gebruiken om uw recht op vrij verkeer uit te oefenen of om een Covid Safe Ticket aan te maken. Uw INSZ-nummer en metadata met betrekking tot het certificaat worden gedurende drie jaar bewaard in een logdatabank, dit ter beveiliging van het systeem, om fouten op te sporen en in het kader van betwistingen.
Bovengenoemde bewaartermijn staat los van de bewaartermijn van uw gegevens in Vaccinnet (cfr. Waar komen deze persoonsgegevens vandaan?).
Het Digitaal-EU-COVID-test- en herstelcertificaat wordt uitgegeven door Sciensano, ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0693.876.830, met maatschappelijke zetel in de Juliette Wytsmanstraat 14 te 1050 Elsene.
Contactgegevens functionaris voor gegevensbescherming: dpo@sciensano.be of per brief naar bovenstaand adres.
De verwerking gebeurt op basis van artikel 6, lid 1, c) van de AVG, met name:
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
De wettelijke verplichting waarnaar verwezen wordt, bevindt zich in het samenwerkingsakkoord van 14 juli 2021 tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waalse Gewest en de Franse Gemeenschapscommissie betreffende de verwerking van gegevens met betrekking tot het digitaal EU-COVID-certificaat, het COVID Safe Ticket, het PLF en de verwerking van persoonsgegevens van in het buitenland wonende of verblijvende werknemers en zelfstandigen die activiteiten uitvoeren in België:
De verwerking van persoonsgegevens beoogt, overeenkomstig artikel 3, § 1 van de Verordening digitaal EU-COVID-certificaat, de opmaak, de afgifte en verificatie van het digitaal EU-COVID-certificaat met het oog op de toegang tot en de verificatie van de in het certificaat opgenomen informatie, teneinde de uitoefening van het recht van vrij verkeer binnen de Unie tijdens de COVID-19-pandemie te faciliteren.
Digitaal EU-COVID-Testcertificaat:
De volgende categorieën van persoonsgegevens worden verwerkt:
Digitaal EU-COVID-herstelcertificaat
De volgende categorieën van persoonsgegevens worden verwerkt:
De gegevens zijn afkomstig uit een gegevensbank met testresultaten inzake COVID-19 die reeds beheerd wordt door Sciensano ingevolge het Samenwerkingsakkoord van 25 augustus 2020 tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde gefedereerde entiteiten of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano. Meer informatie over deze databank.
De gegevensbank ontvangt de medisch gevalideerde testresultaten via labo’s, artsen of ziekenhuizen. Indien u een fout vermoedt met betrekking tot deze testresultaten dan dient u zich te wenden tot de zorgactor die het testresultaat aan Sciensano bezorgd heeft. Deze medische actor kan indien nodig een correctie aan Sciensano meedelen.
Ook het Rijksregister kan worden geconsulteerd.
De test- en herstelcertificaten zijn in beginsel alleen bedoeld om aan de burger uit te reiken en worden dan ook niet automatisch doorgegeven aan derden door de verwerkingsverantwoordelijke. Wel zal via verschillende digitale loketten of digitale patiëntenportalen uw certificaten ter beschikking worden gesteld. Daarnaast zullen de certificaten op uw verzoek ook worden doorgestuurd via de eBox of naar de CovidSafeBe applicatie.
De gegevens zullen ten behoeve van de verwerkingsverantwoordelijke verwerkt worden door het intern verzelfstandigd agentschap zonder rechtspersoonlijkheid agentschap Digitaal Vlaanderen, ingeschreven in het KBO met nummer 0316.380.841, waarvan de administratieve zetel zich bevindt te Havenlaan 88, 1000 Brussel.
Bewaartermijn
De persoonsgegevens gelinkt aan het digitaal EU-COVID-test- of herstelcertificaat worden bijgehouden zolang u het certificaat kan gebruiken om uw recht op vrij verkeer uit te oefenen of om een Covid Safe Ticket aan te maken. Uw INSZ-nummer en metadata met betrekking tot het certificaat worden gedurende drie jaar bewaard in een logdatabank, dit ter beveiliging van het systeem, om fouten op te sporen en in het kader van betwistingen.
De geldigheidstermijn van een herstelcertificaat zal de termijn van 180 dagen niet overschrijden.
Bovengenoemde bewaartermijn staat los van de bewaartermijn van uw gegevens in de Sciensanodatabank (cfr. Waar komen deze persoonsgegevens vandaan?).
Het COVID Safe Ticket is het resultaat van de lezing van het digitaal EU-COVID-certificaat middels de COVIDScan-applicatie teneinde de toegang een evenement, aangelegenheid of voorziening in de context van de COVID-19-pandemie te regelen.
Met de COVIDScan-applicatie wordt de applicatie bedoeld die toelaat om via het scannen van de streepjescode van het digitaal EU-COVID-certificaat de echtheid en de geldigheid van een vaccinatie-, test- en/of herstelcertificaat te valideren en het COVID Safe Ticket te lezen en, desgevallend, te generen.
Het COVID Safe Ticket wordt door de onderstaande verwerkingsverantwoordelijken onder elk van haar bevoegdheid uitgegeven:
Doeleinde en rechtsgrond van de verwerking
De verwerking gebeurt op basis van artikel 6, lid 1, c) van de AVG, met name:
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
De wettelijke verplichting waarnaar verwezen wordt, bevindt zich in het samenwerkingsakkoord van 14 juli 2021 tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waalse Gewest en de Franse Gemeenschapscommissie betreffende de verwerking van gegevens met betrekking tot het digitaal EU-COVID-certificaat, het COVID Safe Ticket, het PLF en de verwerking van persoonsgegevens van in het buitenland wonende of verblijvende werknemers en zelfstandigen die activiteiten uitvoeren in België. Dit samenwerkingsakkoord werd aangepast door het Samenwerkingsakkoord van 27 september 2021 strekkende tot wijziging van het samenwerkingsakkoord van 14 juli 2021 tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waalse Gewest en de Franse Gemeenschapscommissie betreffende de verwerking van gegevens met betrekking tot het digitaal EU-COVID-certificaat, het COVID Safe Ticket, het PLF en de verwerking van persoonsgegevens van in het buitenland wonende of verblijvende werknemers en zelfstandigen die activiteiten uitvoeren in België.
Voor wat betreft de bezoekers van
beoogt de verwerking van persoonsgegevens van het digitaal EU-COVID-certificaat het lezen en, desgevallend, het genereren van het COVID Safe Ticket middels de CST-module (= de uitvoeringsmodaliteit van de COVIDScan-applicatie om het COVID Safe Ticket te genereren) van de COVIDScan-applicatie, teneinde het volgende te controleren en verifiëren:
Overzicht gegevens
Voor het genereren van COVID Safe Ticket worden de categorieën persoonsgegevens van het digitaal EU-COVID-certificaat verwerkt.
Het COVID Safe Ticket bevat en geeft slechts volgende gegevens weer:
Doorgifte
Teneinde te verifiëren dat de houder van een vaccinatiecertificaat voldoet aan de voorwaarden om toegang te krijgen tot een evenement, aangelegenheid of voorziening, wordt vanuit het centraal platform waarin de vaccinatiecertificaten en de test- en herstelcertificaten beheerd worden een lijst opgesteld met vaccinatiecertificaten die tijdelijk niet kunnen gebruikt worden om een COVID Safe ticket te genereren, omdat de houder van een vaccinatiecertificaat recent positief testte op COVID-19. De lijst bevat enkel de unieke certificaatidentificatiecodes van de geschorste vaccinatiecertificaten en wordwordt elk uur bijgewerkt.
De hierboven genoemde lijst met unieke certificaatidentificatiecodes van vaccinatiecertificaten die tijdelijk niet kunnen worden gebruikt om een COVID Safe Ticket te genereren, wordt opgehaald via de COVIDScan-applicatie en lokaal opgeslagen.
Voor de hierboven beschreven doeleinden mag het digitaal EU-COVID-certificaat of het door de houder gegenereerde COVID Safe Ticket uitsluitend worden gelezen door middel van de CST-module van het COVIDScan-applicatie en dit door de volgende personen:
Het is deze personen uitdrukkelijk verboden het digitaal EU-COVID-certificaat of het door de houder gegeneerde COVID Safe Ticket te lezen en desgevallend te genereren met een andere applicatie of module dan de CST module van de COVIDScan-applicatie.
De uitlezing van de gegevens wat betreft het COVID Safe Ticket mag maar uitgevoerd worden tot en met 31 oktober 2022.