Vragen en antwoorden over aansluiten op CoronaCheck

Om aan te sluiten op CoronaCheck volgt u het stappenplan op de pagina Aansluiten op Coronacheck.

Dit is afhankelijk van hoe snel u

• als testaanbieder de bewijsstukken voor privacybescherming en informatiebeveiliging aanlevert;
• de technische koppeling voor elkaar krijgt.

 Als dit klaar is, laat u dit weten via aansluiten@coronacheck.nl. Als uw dossier compleet is, zetten we direct de beoordeling in gang. Er kunnen geen garanties gegeven worden hoe lang dit precies duurt.

Heeft u specifieke vragen over de aansluitvoorwaarden? Stuur dan een e-mail met uw vraag naar aansluiten@coronacheck.nl.

Het CoronaCheck Aansluitteam van het ministerie van VWS laat u dit weten als dit het geval is. In het VWS-bericht staat ook vanaf welk moment u ophaalcodes mag verstrekken voor de CoronaCheck-app. Heeft u dit bericht nog niet ontvangen? Dan bent u (nog) niet aangesloten op CoronaCheck.

Zodra u bent aangesloten op CoronaCheck, wordt er vanuit de CoronaCheck-app voor gezorgd dat er een link naar u als testaanbieder wordt opgenomen op CoronaCheck.nl. Controleer zelf of de link goed werkt. Daarnaast mag u in uw communicatie naar gebruikers verwijzen naar uw aansluiting op CoronaCheck.

In Bijlage B bij de Aansluitvoorwaarden wordt aangegeven aan welke eisen u moet voldoen om een aansluiting op CoronaCheck te krijgen. In het sjabloon overzicht bewijsmateriaal moet u aangeven in welke documenten wordt aangetoond dat aan die eisen is voldaan. Dit sjabloon ontvangt u na het intakegesprek. Voor sommige eisen moet een vastgesteld formulier aan het dossier worden toegevoegd. Bij elke nieuwe beoordelingsaanvraag moet het sjabloon overzicht bewijsmateriaal worden herzien. Documenten die daar niet in zijn benoemd, worden niet bekeken.

Voor iedere testaanbieder geldt, ongeacht of er eerder een aansluiting is geweest op CoronaCheck: er moet een nieuw aansluitdossier worden aangeleverd passend bij de geldende Aansluitvoorwaarden.

Testaanbieder die op dit moment nog aangesloten is op CoronaCheck

Aan de nog aangesloten testaanbieders wordt gevraagd of zij hun aansluiting willen continueren. Wil een testaanbieder dit niet of geeft een testaanbieder geen reactie, dan wordt de aansluiting op 1 juli 2022 verwijderd uit de configuratie van CoronaCheck.

Continueren aansluiting op CoronaCheck

Geeft een testaanbieder aan de aansluiting te willen continueren, dan heeft deze tot 1 juli 2022 de tijd om een nieuw en volledig aansluitdossier aan te leveren. Vanaf die datum gaat de beoordelingsperiode lopen die maximaal drie maanden zal duren. Is het aansluitdossier volledig, dan zal de bestaande aansluiting op CoronaCheck worden gecontinueerd, onder de voorwaarde dat het aansluitdossier uiterlijk op 30 september 2022 kan worden goedgekeurd. Indien een aansluitdossier niet wordt goedgekeurd dan kan binnen de periode van drie maanden na de eerste aanlevering nog twee keer gebruik worden gemaakt van de mogelijkheid het aansluitdossier te verbeteren. In die drie maanden kunnen dus maximaal drie beoordelingen van het beoordelingsteam verkregen worden. Indien het dossier uiterlijk op 30 september 2022 niet op orde is, wordt de aansluiting op CoronaCheck verwijderd uit de configuratie van CoronaCheck. Na een derde afkeuring kan na verstrijking van een periode van drie maanden na de eerste indiening, een nieuw dossier ter beoordeling worden voorgelegd. Dus als een testaanbieder op 30 juni 2022 een eerste dossier heeft ingediend, en er daarna drie beoordelingen plaats vinden die niet tot een goedkeuring hebben geleid, dan kan die testaanbieder pas vanaf 1 oktober 2022 weer een nieuw dossier ter beoordeling voorleggen.

Nieuwe aansluitingen op CoronaCheck

Voor testaanbieders die nog geen actieve aansluiting hebben op CoronaCheck gaat de beoordelingsperiode van drie maanden in op het moment waarop zij hebben aangegeven dat het door hen aangeleverde dossier compleet is. Dat signaal moet binnen dertig dagen na acceptatie van de aansluitvoorwaarden door de aanvrager zijn afgegeven. Dit betekent dat een aanvrager binnen dertig dagen na acceptatie van de aansluitvoorwaarden een volledig dossier moet hebben aangeleverd.

Als testaanbieder heeft u 2 PKI-certificaten nodig. 1 voor de TLS-verbinding en 1 voor de ondertekening van testresultaten. Bekijk aan welke eisen de certificaten moeten voldoen via GitHub. Scroll naar beneden en klik op ‘Providing Events by Token.’  Op deze pagina staat beschreven onder ‘Requirements’ aan welke eisen het PKI-certificaat moet voldoen.

Let op! Per december 2022 vervalt het publieke PKI-overheidscertificaat. De nieuwe vereisten voor het TLS-certifcaat vindt u onder ‘Certificate Guide’.

Het ministerie van VWS heeft uw certificaten nodig om uw aansluiting te beoordelen. Voorafgaand aan de beoordeling kan u al wel in uw eigen omgeving testen zonder PKI-certificaat. Dit doet u met het testportaal dat beschikbaar is (GitHub.com).

Vanuit VWS is er geen kortere route mogelijk. Het ministerie van VWS raadt u daarom aan zo snel mogelijk het PKI-certificaat aan te vragen en te informeren bij meerdere aanbieders welke doorlooptijd zij hanteren. Bekijk het overzicht van verschillende aanbieders van PKI-certificaten.

De Algemene verordening gegevensbescherming (Verordening (EU) 2016/679) stelt als eis dat wanneer er persoonsgegevens worden verwerkt, passende technische en organisatorische maatregelen genomen moeten worden om de rechten en vrijheden van natuurlijke personen in verband met die verwerking te beschermen. Welke maatregelen een testaanbieder precies moet nemen is afhankelijk van hoe het proces is ingericht. In de AVG zijn elementen waar aandacht aan moet worden besteed uitgewerkt. In het aansluitdossier moet uit de DPIA blijken welke maatregelen de testaanbieder neemt en een afweging van wat passend is, zijn terug te vinden.

Verwerking van persoonsgegevens voor een ander doeleinde dan dat waarvoor die aanvankelijk zijn verzameld, mag alleen worden toegestaan indien die verwerking verenigbaar is met het oorspronkelijke doeleinde. Bij verdere verwerkingen kan bijvoorbeeld gedacht worden aan verwerkingen in het kader van een helpdesk. CoronaCheck wil niet dat er vanuit persoonsgegevens die verkregen zijn in het proces waarvoor aansluiting wordt verzocht, verdere verwerkingen worden verricht die onverenigbaar zijn met het doel. Daarom moeten verdere verwerkingen worden opgenomen in de DPIA. Zie ook Overweging 50 AVG.

Uit de DPIA moet blijken dat een testaanbieder zijn eigen proces goed getoetst heeft conform de AVG en aanverwante regelgeving. Onderdeel van dat proces is dat de DPIA wordt voorgelegd aan de interne toezichthouder: de Functionaris voor de Gegevensbescherming (FG). De FG kan niet zelf de DPIA hebben opgesteld, omdat de FG dan niet onafhankelijk toezicht kan houden op het getoetste proces.  Uit de DPIA moet blijken: door wie de DPIA is opgesteld, door wie die is vastgesteld en wanneer. Het FG-advies moet tijdig zijn, dat wil zeggen na het opstellen van de DPIA.  Wanneer inhoudelijke aanpassingen zijn gedaan in het verwerkingsproces verwacht VWS in het aansluitdossier een aangepaste DPIA en recent FG-advies .

Alleen daartoe geautoriseerde medewerkers mogen toegang hebben tot persoonsgegevens en de bijzondere gegevens over COVID-besmettingen. In de DPIA moet de testaanbieder aangeven welke technische en organisatorische maatregelen daarvoor worden toegepast. Het toepassen van een autorisatiebeleid moet zijn beschreven, waaruit op te maken is welke autorisaties om welke reden(en) bij de verschillende rollen passen.  Denk daarbij ook aan alle soorten in- en externe medewerkers die toegang hebben tot de toegepaste systemen. De toegepaste autorisaties moeten logisch en passend zijn bij de gevoelige informatie. Uitgangspunt is dat een persoon alleen toegang heeft tot die gegevens die hij nodig heeft voor de uitvoering van zijn werkzaamheden.

U moet veilig e-mails versturen volgens NTA 7516 als er sprake is van directe communicatie van persoonlijke berichtenuitwisseling. Daaronder valt in ieder geval: 

• delen van testuitslagen
• delen van de ophaalcode
• communicatie waarin persoonsgegevens staan

Alleen als u geen (medische) persoonsgegevens uitwisselt geldt er geen verplichting om deze volgens NTA 7516 te mailen. 

Dit gaat om e-mailadressen die u gebruikt om berichten te verzenden met (medische) persoonsgegevens. Voorbeelden hiervan zijn:

• delen van testuitslagen
• delen van de ophaalcode
• communicatie waarin persoonsgegevens staan

• Een dossier waarin alleen een positieve uitslag van een coronatest zit, wordt maximaal een jaar bewaard (Artikel II, Tijdelijke wet coronatoegangsbewijzen jo. Wijzigingsregeling Tijdelijke regeling maatregelen covid-19 enz (inzet coronatoegangsbewijzen op basis van een negatieve testuitslag).
• Een dossier waarin alleen een negatieve uitslag van een coronatest zit, wordt maximaal vier weken bewaard (Artikel II, Tijdelijke wet coronatoegangsbewijzen jo. Wijzigingsregeling Tijdelijke regeling maatregelen covid-19 enz (inzet coronatoegangsbewijzen op basis van een negatieve testuitslag).
• Als een dossier meer bevat dan alleen een testuitslag, wordt dit dossier onafhankelijk van die uitslag twintig jaar bewaard (artikel 454, derde lid, Burgerlijk wetboek 7).

Bij het ontbreken van een NEN 7510-certificering levert de testaanbieder een eigen verklaring aan waarbij de testaanbieder aangeeft hoe te voldoen aan de normeisen en de beheersmaatregelen uit de NEN 7510. De testaanbieder geeft per onderdeel aan of er aan de eis of maatregel wordt voldaan, en hoe er wordt voldaan. Bij het niet voldoen aan een normeis en/of beheersmaatregel, volgt er een uitleg en een plan van aanpak met tijdsindicatie. Alle velden uit de zelfverklaring zijn ingevuld en de toelichting is navolgbaar. Het is mogelijk om te verwijzen naar bijgevoegde documenten. Aanvullend levert de testaanbieder een directiebeoordeling aan, de resultaten van het monitoren en meten, en documentatie van een ingepland certificeringstraject van de NEN 7510 door een geaccrediteerde certificerende instelling.

Uiterlijk drie maanden na het aanvaarden van de Aansluitvoorwaarden levert de testaanbieder een rapport op van een interne audit van de NEN 7510. De interne audit is uitgevoerd volgens het geaccrediteerd audit framework van de NEN, en alle onderdelen uit de norm moeten zichtbaar zijn getoetst.

Uiterlijk zes maanden na aanvaarding van de Aansluitvoorwaarden levert testaanbieder bewijs aan van NEN 7510-certificering die is uitgevoerd door een geaccrediteerde certificerende instelling, met een Verklaring van Toepasselijkheid die overeenkomt met de scoping van de NEN 7510 zelfverklaring. Met alle partijen zijn de doorlooptijden gecommuniceerd.

Elke testaanbieder is zelf verantwoordelijk voor het toepassen van een veilige mailoplossing. Voorheen werd hiervoor de NTA7516 gebruikt. Per 15 mei 2022 is het certificatieschema van deze norm geïnactiveerd. Om die reden wordt deze norm nu niet meer gebruikt voor het beoordelen van veilig mailen. Hiervoor in de plaats heeft VWS als richtlijn de eIDAS gecommuniceerd, waarnaar in de NTA7516 al werd verwezen. Omdat invulling hiervan afhankelijk is van de situatie en risicoafwegingen vanuit de testaanbieder, kan VWS vooraf geen uitspraken doen op welke wijze aan deze richtlijn moet worden voldaan. 

Indien niet (volledig) wordt voldaan aan de richtlijn moet u als testaanbieder een verklaring opstellen waarbij u verklaart niet te voldoen aan de eIDAS, ondertekend door de rechtsgeldig vertegenwoordiger. Daarnaast geeft u aan hoe u als organisatie omgaat met deze discrepantie en welke maatregelen u heeft genomen om deze discrepantie te minimaliseren.

De eisen voor veilig mailen zijn ook van toepassing op de webportalen die worden gebruikt bij de communicatie met de burgers. Voor meer informatie over de invulling van betrouwbaarheidsniveaus van de eIDAS heeft Forum voor Standaardisatie een aantal verklarende stukken gepubliceerd.

De aansluiting vraagt technische kennis. Als die moeilijk te vinden is binnen in uw organisatie, kunt u ook kijken of u met iemand gaat samenwerken of dat u iemand inhuurt die die technische kennis wel heeft.  VWS bemiddelt hier verder niet in. Ook kunt u mogelijk een samenwerking opzoeken met testaanbieders of ontwikkelaars uit de 'Code voor NL-community‘ die u kunt vinden in het kanaal #coronacheck.

Test jullie koppeling succesvol via provider.coronacheck.nl. Pas als alles op groen staat, kunnen we de technische beoordeling in gang zetten. Staat alles op groen? Mail naar aansluiten@coronacheck.nl en voeg toe:

• jullie endpoint van de productie-omgeving voor CoronaCheck
• de contactpersoon voor de technische koppeling
• of u antigeen en/of pcr-testen aanbiedt
   

We plannen dan zo snel mogelijk een technische beoordeling in.

Ja. Het veld ‘isSpecimen’ moet bij de technische beoordeling altijd op ‘true’ te staan. Dit veld is bedoeld om het technisch beoordelingsteam met eigen mobiel op uw productieomgeving een echte, finale test te laten uitvoeren. Het ‘isSpecimen’ is true zorgt er dan voor dat de CoronaCheck-app niet 'echt' de negatieve coronatest koppelt aan onze beoordelaar. Zie het als een eenvoudige manier om op productie met een echt mobielnummer en CoronaCheck-app te kunnen testen door het technisch beoordelingsteam.

DigiD is voor testaanbieders die via een BSN gegevens aan mogen leveren bij CoronaCheck. Momenteel is dat de GGD. Andere testaanbieders geven ophaalcodes uit aan hun klanten, zodat die klanten met behulp van een ophaalcode hun resultaat kunnen inladen in de CoronaCheck-app. De ophaalcode bevat een indicatie waar de app het resultaat kan ophalen en het token waarmee het resultaat wordt opgehaald. De meeste testaanbieders maken dus gebruik van het token-koppelvlak.