Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • De status van je coronavaccinatie doorgeven aan Wijzijngevaccineerd.nl, is dat verstandig?

    De status van je coronavaccinatie doorgeven aan Wijzijngevaccineerd.nl, is dat verstandig?

    Soms kom je tijdens een rondje internet opvallende zaken tegen. Eén daarvan is de website Wijzijngevaccineerd.nl, die in ruil voor jouw vaccinatiestatus wat betreft het coronavaccin en tal van andere persoonsgegevens belooft om een dashboard met een up-to-date kaart met (on)gevaccineerde personen ter beschikking te stellen. Maar wie of wat er precies achter deze website zit, is niet duidelijk. Het is in ieder geval géén officiële overheidswebsite, en daarom is het goed om even stil te staan bij de mogelijke risico's wat betreft het delen van persoonlijke informatie.

    Het gaat hier dus om de website Wijzijngevaccineerd.nl, een website van 'De Vgroep'. Maar wat dat precies is en wie erachter zit, wordt niet duidelijk: de zoekterm 'Vgroep' levert in de registers van de Kamer van Koophandel in ieder geval geen enkel resultaat op en ook op de website staan geen adres- of contactgegevens, afgezien van een e-mailadres ('[email protected]'). Een KvK- of btw-nummer valt evenmin te vinden. 

    Vaak levert een check van de domeinnaam aanvullende informatie op, maar ook daarvan is in dit geval geen sprake: volgens de registers van SIDN is de houder van het domein 'Privacy Protected by Hostnet', en dat is een opmerkelijk teken.

    Websites van bona fide bedrijven en stichtingen hebben in verreweg de meeste gevallen namelijk geen reden om hun digitale identiteit te verbergen, en de gevallen waarin informatie over de houder van het domein wél wordt verborgen, betreffen vrijwel altijd nepwebshops en phishingsites. Websites die de identiteit van de houder bewust niet prijsgeven, krijgen in beginsel dan ook het nadeel van de twijfel.

    De website Wijzijngevaccineerd.nl bestaat sinds 29 april 2021 en een officiële overheidswebsite is het in ieder geval niet, zoveel is zeker. Ook wat de registratie van vaccinatiegegevens betreft is dat helemaal geen partij die daar wettelijk voor verantwoordelijk is.

    Welke instanties houden wél informatie over toegediende (corona)vaccinaties bij?

    In Nederland worden de coronavaccinaties door drie partijen toegediend: dit kan de huisarts, de GGD of een zorginstelling zijn. Volgens het RIVM is het 'de (wettelijke) verantwoordelijkheid van de vaccinerende partij om te zorgen dat deze gegevens juist zijn geregistreerd.'

    Daarnaast is er één instantie die de centrale registratie van de coronavaccinaties bijhoudt, en dat is het RIVM. Het RIVM 'houdt belangrijke gegevens over de COVID-19-vaccinatie bij die van belang zijn om de epidemie te bestrijden', en noemt daarvoor de volgende redenen:

    • (Bijhouden van) de vaccinatiegraad: het aantal mensen dat is gevaccineerd en hoeveel procent dat bedraagt van de bevolking in Nederland.
    • Bijhouden van de veiligheid en bijwerkingen van de vaccins.
    • Calamiteiten, in het geval er iets aan de hand blijkt te zijn moet een arts kunnen nagaan wie met welk vaccin is gevaccineerd.
    • (Meten van) de effectiviteit van de vaccinaties.

    Heb jij een (of meerdere) vaccinatie(s) tegen het coronavirus gehad én heb je ervoor gekozen om deze gegevens met het RIVM te delen? Dan kun je een overzicht daarvan opvragen via MijnRIVM. Overigens is het vaccinatieoverzicht niet hetzelfde als een vaccinatiebewijs.

    De GGD'en registreren sinds kort ook in het gele vaccinatieboekje op welke datum welk coronavaccin is toegediend, maar in het geval van het coronavaccin kent het vaccinatieboekje vooralsnog géén officiële, universeel / wereldwijd erkende status, en het verschilt per land of ze de registratie van je coronavaccinatie in het gele boekje erkennen als officieel vaccinatiebewijs.

    Lang verhaal kort: als officiële instanties zoals het RIVM, GGD'en, huisartsen en zorginstellingen jouw vaccinatiegegevens al registreren, waarom zou je deze gegevens dan óók nog eens delen met één of andere vage website waarvan niet duidelijk is wie er precies achter zit?

    Wat wil Wijzijngevaccineerd.nl van je en wat bieden ze?

    Om die vraag te beantwoorden, gaan we terug naar Wijzijngevaccineerd.nl. De landingspagina ziet er als volgt uit en doet ons al enigszins de wenkbrauwen fronsen:

    Landingspagina van Wijzijngevaccineerd.nl
    Landingspagina van Wijzijngevaccineerd.nl

    Waarom zijn we sceptisch? Zoals je ziet, willen ze nogal wat persoonsgegevens en aanvullende informatie van je, en dat terwijl er op de site dus geen signalen te bespeuren zijn die erop wijzen dat het een officiële, legitieme organisatie betreft. En in dat geval is het verstrekken van deze gegevens nogal wat:

    • Je naam
    • Je geboortedatum
    • Je vaccinatiestatus (ja/nee?)
    • De datum, het type en batchnummer van je eerste vaccinatie
    • De datum, het type en batchnummer van je tweede vaccinatie
    • Je postcode
    • Je huisnummer
    • Je telefoonnummer
    • Je e-mailadres
    • Je wachtwoord*
    • Of je een medische indicatie hebt
    • Of je klachten kreeg na vaccinatie

    *Het betreft hier je wachtwoord om toegang te krijgen tot het dashboard van Wijzijngevaccineerd.nl en niet het wachtwoord van je e-mailadres, al staat dat niet duidelijk omschreven.

    Wij nemen de proef eens op de som, maken een wegwerp-mailadres voor de bevestigingsmail en vullen het formulier in met wat verzonnen onzingegevens. We krijgen zowaar een bevestigingsmail op het wegwerp-mailadres, waarbij ons opvalt dat ons gekozen wachtwoord als platte tekst aan ons wordt gemaild: in termen van internetsecurity een absolute no-go omdat dit betekent dat het wachtwoord niet versleuteld is opgeslagen en in het geval van een datalek dus binnen de kortste keren op straat ligt.

    Bevestigingsmail van Wijzijngevaccineerd.nl
    Bevestigingsmail van Wijzijngevaccineerd.nl

    We besluiten ons account dan maar te activeren ook. We volgen de link en krijgen op ons scherm zowaar de bevestiging dat het account geactiveerd is, maar als we proberen in te loggen, gebeurt er niets: het beloofde 'dashboard' lijkt niet beschikbaar te zijn.

    En dan bekruipt ons toch een wat ongemakkelijk gevoel: we hebben net in theorie dus allemaal persoonsgegevens verstrekt aan een onduidelijke website die niet beschikt over werkende functionaliteiten die wél zijn beloofd. Wat nu?

    Wat doet Wijzijngevaccineerd.nl met je gegevens?

    De website belooft in de privacyverklaring het volgende:

    Dienstverlening van Wijzijngevaccineerd.nl

    Waarom verwerkt WijZijnGevaccineerd gegevens? 

     

    WijZijnGevaccineerd zorgt dat jouw gegevens goed worden verwerkt. Wij vertellen je graag hoe wij dat doen.

     

    WijZijnGevaccineerd verwerkt gegevens om de volgende dienst(en) te verlenen:

     

    • Aanbieden van locatie-informatie over (on)gevaccineerden
    • Eenvoudig toegang geven tot Uw vaccinatiegegevens
    • Geregistreerden informeren over WijZijnGevaccineerd activiteiten

    Ze hebben al jouw persoonsgegevens naar eigen zeggen nodig om 'de diensten van WijZijnGevaccineerd te leveren'. Maar als inloggen met onze zelfgekozen gebruikersnaam en wachtwoord al niet eens lukt, dan blijft er van de beloofde dienstverlening natuurlijk niet veel over.

    De website biedt wel een mogelijkheid om de gegevens te verwijderen, maar daar zitten nogal wat haken en ogen aan. Lees zelf maar:

    Gegevens door Wijzijngevaccineerd.nl laten verwijderen? Dat gaat zo

    Je hebt het recht om schriftelijk aan WijZijnGevaccineerd te vragen of wij persoonsgegevens van je verwerken. Als deze gegevens onjuist zijn, dan kun je WijZijnGevaccineerd verzoeken om je gegevens te wijzigen. WijZijnGevaccineerd kan ook vragen, indien het nodig is, om jouw gegevens aan te passen.(b.v. onjuiste email)

     

    Als je vindt dat WijZijnGevaccineerd deze gegevens niet mag verwerken, dan kun je ons verzoeken de gegevens te verwijderen.

     

    Stuur je verzoek samen met een kopie legitimatiebewijs naar [email protected]. Je krijgt dan binnen vier weken te horen of wij aan je verzoek kunnen voldoen. Na de bewaartermijn wordt je geinformeerd of je je gegevens wilt verwijderen.

     

    Naar dit e-mailadres kun je ook andere vragen over privacy mailen.

    Dan heb je dus tal van persoonsgegevens verstrekt aan een website waarvan de identiteit van de eigenaar verborgen is, en vervolgens moet je een kopie van je legitimatiebewijs mailen met de belofte dat er binnen vier weken eens naar gekeken wordt? Schimmig, schimmiger, schimmigst, en dan nog eens de overtreffende trap.

    Of hier sprake is van keiharde, moedwillige oplichting weten we niet: er zijn bij ons geen gedupeerden bekend en we weten ook niet of deze website op dit moment actief potentiële gebruikers probeert te werven.

    Wat we wel weten, is dat het op basis van deze signalen uitermate onverstandig is om persoonsgegevens, persoonlijke informatie en medische gegevens te verstrekken aan een dergelijke partij: je wordt er op geen enkele manier beter van, het levert je geen concrete, praktische informatie op en je kunt er geen officiële rechten aan ontlenen.

    Wel zet je de deur wagenwijd open voor identiteitsfraude en andere onwenselijke zaken: reden genoeg om er met een boog omheen te lopen.

    Updates ontvangen over dit onderwerp?

    Wil je op de hoogte blijven van dit onderwerp? Download de gratis Opgelicht-app en volg het onderwerp.

  • Ook interessant