Speciaal verslag
01 2023

Hulpmiddelen om reizen binnen de EU tijdens de COVID-19-pandemie te faciliteren Relevante initiatieven met een impact variërend van succes tot beperkt gebruik

Over het verslag:Het doel van onze controle was te beoordelen of de Commissie doeltreffende hulpmiddelen had ontwikkeld om reizen binnen de EU tijdens de COVID-19-pandemie te faciliteren. Over het algemeen concluderen wij dat de Commissie, ondanks haar beperkte bevoegdheid op het gebied van het volksgezondheidsbeleid, snel handelde om geschikte technologische oplossingen voor te stellen om reizen te faciliteren. De gebruikmaking van deze hulpmiddelen varieerde echter sterk per lidstaat, zodat de impact ervan op het faciliteren van reizen binnen de EU ongelijk was, variërend van succes in sommige gevallen tot beperkt gebruik in andere. Onze aanbevelingen zijn gericht op de noodzaak om de redenen voor het geringe gebruik van bepaalde hulpmiddelen te analyseren en aan te pakken, de communicatie over incidenten in verband met het digitaal EU-COVID-certificaat te stroomlijnen en relevante EU-instrumenten voor toekomstige crises voor te bereiden.

Speciaal verslag van de ERK, uitgebracht krachtens artikel 287, lid 4, tweede alinea, VWEU.

De publicatie is beschikbaar in 24 talen en in het volgende formaat:
PDF
PDF Speciaal verslag: Faciliteren van reizen tijdens de pandemie

Samenvatting

I Na de vaststelling van de eerste COVID-19-gevallen in de EU begonnen de lidstaten in maart 2020 met het opleggen van reisverboden en andere beperkingen van het vrije verkeer van burgers. Om reizen te faciliteren en COVID-19-gevallen te helpen opsporen, ontwikkelde de Commissie vier hulpmiddelen:

  • de European Federation Gateway Service — een gateway voor het waarborgen van EU-brede interoperabiliteit tussen nationale contacttraceringsapplicaties;
  • het digitale EU-traceringsformulier voor passagiers — een hulpmiddel ter vervanging van papieren formulieren die worden gebruikt om tijdens reizen informatie voor contactonderzoek te verzamelen;
  • het digitaal EU-COVID-certificaat — een certificaat ter bevestiging van vaccinatie tegen COVID-19, van herstel of van een negatieve test;
  • het platform voor de uitwisseling van traceringsformulieren voor passagiers — een oplossing voor nationale autoriteiten in verschillende lidstaten om gegevens voor contactonderzoek uit te wisselen.

II Het doel van onze controle was te beoordelen of de Commissie doeltreffende hulpmiddelen had ontwikkeld om reizen binnen de EU tijdens de COVID- 19-pandemie te faciliteren. Ons doel was derhalve voorbeelden van goede praktijken en verbeterpunten vast te stellen wat betreft de wijze waarop de Commissie IT-hulpmiddelen ontwikkelt om het vrije verkeer tijdens een gezondheidscrisis te faciliteren. Deze controle vormt een aanvulling op ons Speciaal verslag 13/2022, waarin werd beoordeeld of de Commissie doeltreffende maatregelen had genomen om het recht van vrij verkeer van personen tijdens de COVID-19-pandemie te beschermen.

III Over het algemeen concluderen wij dat de Commissie, ondanks haar beperkte bevoegdheid op het gebied van het volksgezondheidsbeleid, snel handelde om geschikte technologische oplossingen voor te stellen om het reizen binnen de EU tijdens de COVID-19-pandemie te faciliteren. Het gebruik van deze hulpmiddelen door de lidstaten liep echter sterk uiteen, waardoor het effect van de hulpmiddelen op het faciliteren van reizen ongelijk was.

IV De Commissie maakte snel 71 miljoen EUR vrij voor de ontwikkeling van de hulpmiddelen door verschillende financieringsbronnen te combineren en gebruik te maken van bestaande raamovereenkomsten in plaats van openbare aanbestedingsprocedures. De gateway voor contactonderzoek werd kort na het begin van de pandemie beschikbaar en het digitaal EU-COVID-certificaat werd ingevoerd toen de vaccinatie-inspanningen over het hele continent werden opgevoerd. De technische en wetgevende werkzaamheden met betrekking tot deze hulpmiddelen verliepen snel. Verschillende lidstaten hadden echter al hun eigen digitale traceringsformulieren voor passagiers ontwikkeld voordat de EU-oplossing ervoor beschikbaar kwam.

V De Commissie hield bij het ontwerpen van de hulpmiddelen rekening met de vereisten inzake gegevensbescherming en met goede praktijken op het gebied van IT-beveiliging. De Commissie heeft echter niet de bevoegdheid om na te gaan of de landen die gebruikmaken van het digitaal EU-COVID-certificaat aan IT-beveiligingseisen voldoen.

VI Het digitaal EU-COVID-certificaat was doeltreffend voor het faciliteren van reizen en het verbeteren van de informatie-uitwisseling en -coördinatie met betrekking tot reisbeperkingen. De lidstaten en verschillende niet-EU-landen maakten uitgebreid gebruik van het digitaal EU-COVID-certificaat, waarbij tegen maart 2022 meer dan 1,7 miljard certificaten in de EU en de Europese Economische Ruimte (EER) waren afgegeven. Bovendien hadden de lidstaten hun reisbeperkingen binnen een maand na de inwerkingtreding van de verordening betreffende het digitaal EU-COVID-certificaat aanzienlijk geharmoniseerd. Wij constateerden echter dat de regelingen voor landen om elkaar te informeren over incidenten die een dringende respons vereisen (zoals frauduleuze certificaten) tijdrovend waren vanwege problemen met het identificeren van de juiste tegenhangers in andere landen.

VII De andere door ons onderzochte hulpmiddelen hadden niet het beoogde effect omdat het gebruik ervan beperkt was. Het digitale EU-traceringsformulier voor passagiers werd door slechts vier lidstaten gebruikt, terwijl andere landen bleven vertrouwen op nationale oplossingen. Het algemene gebruik van het platform voor de uitwisseling van formulieren en de gateway voor contactonderzoek bleef beperkt.

VIII Op basis van deze conclusies bevelen wij de Commissie aan:

  • de redenen voor het geringe gebruik van digitale EU-traceringsformulieren voor passagiers te analyseren en aan te pakken;
  • communicatie over incidenten in verband met digitale EU-certificaten te stroomlijnen;
  • relevante EU-hulpmiddelen voor toekomstige crises voor te bereiden.

Inleiding

01 Vrij verkeer van personen verwijst naar het recht van EU-burgers en hun familieleden om vrij op het grondgebied van de lidstaten te reizen en te verblijven. Het is een van de vier fundamentele vrijheden van de EU (samen met het vrije verkeer van goederen, diensten en kapitaal), en heeft sinds de start centraal gestaan in het Europese project1. De richtlijn vrij verkeer2 stelt de toepasselijke voorwaarden en beperkingen vast.

02 Het beschermen van de volksgezondheid valt onder de nationale bevoegdheden3. De Europese Commissie speelt derhalve een beperkte rol in het gezondheidsbeleid, waarbij zij zich voornamelijk richt op coördinatie4. Zij kan de acties van de lidstaten, die aanzienlijke bevoegdheden hebben ter bepaling van hun eigen gezondheidsbeleid, ondersteunen en aanvullen5.

03 Na de vaststelling van de eerste COVID-19-gevallen zijn de lidstaten in maart 2020 begonnen met het opleggen van grenscontroles en beperkingen van het vrije verkeer van burgers in een poging de verspreiding van de pandemie te beperken. De Commissie was echter verantwoordelijk voor het monitoren of deze beperkingen in overeenstemming waren met de EU-wetgeving inzake vrij verkeer. Om het effect van COVID-19-gerelateerde maatregelen op het vrije verkeer te beperken, nam de Commissie verschillende initiatieven om de coördinatie tussen de lidstaten te ondersteunen.

04 De Commissie ontwikkelde ook de volgende hulpmiddelen om reizen te faciliteren en positieve COVID-19-gevallen te helpen opsporen (zie bijlage I voor een gedetailleerde beschrijving van de hulpmiddelen):

  • een gateway voor contactonderzoek: de "European Federation Gateway Service" (EFGS);
  • het digitale traceringsformulier voor passagiers;
  • het digitaal EU-COVID-certificaat;
  • een platform voor de uitwisseling van traceringsformulieren voor passagiers.

05 Contacttraceringsapplicaties, die gebruikers anoniem informeren dat ze mogelijk in contact zijn geweest met een besmette persoon, waren een van de eerste hulpmiddelen die beschikbaar werden gesteld. De Commissie ontwikkelde de koppeling tussen contacttraceringsapplicaties van verschillende lidstaten, waardoor de voordelen ervan worden uitgebreid tot het faciliteren van reizen binnen de EU.

06 Om contactonderzoek tijdens reizen te faciliteren, werd tijdens de pandemie passagiers verzocht om contact- en locatiegegevens te verstrekken via traceringsformulieren voor passagiers die aan de betrokken nationale autoriteiten werden toegezonden. In het geval van een positieve test gebruikten de autoriteiten deze formulieren om contact op te nemen met passagiers die in de buurt van die persoon hadden gezeten en hen te waarschuwen een COVID-19-test te doen en voorzorgsmaatregelen te nemen. De Commissie ontwikkelde het EU-traceringsformulier voor passagiers om het gebruik van nationale formulieren tijdens grensoverschrijdende gezondheidscrises zoals de COVID-19-pandemie te vereenvoudigen. Het derde EU-gezondheidsprogramma (2014-2020) omvatte een gezamenlijke actie, bekend als “EU Healthy Gateways” in het kader waarvan, vóór de uitbraak van de COVID-19-pandemie, reeds een aanvang was gemaakt met de ontwikkeling van papieren formulieren voor vervoer over zee en over land met behulp van internationale sjablonen. De gezamenlijke actie “EU Healthy Gateways” werd later gebruikt om de digitalisering van traceringsformulieren voor passagiers te ondersteunen.

07 De Commissie ontwikkelde ook het digitaal EU-COVID-certificaat, dat verifieerbaar bewijs leverde dat de houder was gevaccineerd tegen, onlangs negatief was getest op of hersteld was van COVID-19. De lidstaten zijn verplicht deze certificaten te accepteren wanneer zij tijdens de COVID-19-pandemie besluiten om van reizigers een bewijs van vaccinatie, een negatief testresultaat of herstel te verlangen.

08 Het laatste door de Commissie ontwikkelde hulpmiddel was een platform voor de lidstaten om traceringsformulieren voor passagiers uit te wisselen. Dankzij het platform konden contactonderzoeksteams formulieren elektronisch met elkaar uitwisselen, waardoor minder tijd nodig was om reizigers die een risico liepen, te informeren.

09 Bij de ontwikkeling van de hulpmiddelen waren verschillende diensten van de Commissie betrokken. Het directoraat-generaal Gezondheid en Voedselveiligheid, samen met het directoraat-generaal Communicatienetwerken, Inhoud en Technologie, waren de systeemeigenaren van de gateway voor contactonderzoek. Deze twee directoraten-generaal stonden ook samen met het directoraat-generaal Justitie en Consumentenzaken en het directoraat-generaal Migratie en Binnenlandse Zaken aan het hoofd van de ontwikkeling van het digitaal EU-COVID-certificaat. Daarnaast voorzag het directoraat-generaal Informatica in de nodige IT-infrastructuur.

10 De lidstaten werden vooral via het e-gezondheidsnetwerk bij de ontwikkeling van deze hulpmiddelen betrokken (zie kader 1). Ook EU-agentschappen zoals het Europees Centrum voor ziektepreventie en -bestrijding of het Europees Geneesmiddelenbureau hebben hun bijdrage geleverd. De ontwikkeling van de hulpmiddelen voor tracering van passagiers werd gecoördineerd door de lidstaten, als een gezamenlijke actie die werd gefinancierd uit hoofde van het derde EU-gezondheidsprogramma, het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart en het directoraat-generaal Mobiliteit en Vervoer.

Kader 1

Het e-gezondheidsnetwerk

De richtlijn van 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg6 introduceerde het concept van het e-gezondheidsnetwerk: “een vrijwillig netwerk waarin de door de lidstaten aangewezen nationale autoriteiten die verantwoordelijk zijn voor e-gezondheid met elkaar worden verbonden”. Het e-gezondheidsnetwerk voert zijn werkzaamheden uit via specifieke taskforces en groepen. De Commissie is medevoorzitter van de vergaderingen en verleent secretariële diensten aan het netwerk. Het heeft een cruciale rol gespeeld bij de ontwikkeling van de hulpmiddelen van de EU om reizen te faciliteren en bood een forum om rechtstreeks input te verzamelen van de lidstaten. Tegen juni 2020 had het e-gezondheidsnetwerk meer dan dertig vergaderingen in verband met de COVID-19-pandemie gehouden. Het e-gezondheidsnetwerk heeft 96 vergaderingen gehouden in 2020 en 285 in 2021.

11 Het doel van de EU-instrumenten was uniek, in de zin dat er ten tijde van hun ontwikkeling geen andere bestaande systemen waren die ermee konden worden vergeleken. Om de hierboven beschreven EU-instrumenten zo doeltreffend mogelijk te maken voor het faciliteren van reizen tijdens de COVID-19-pandemie, was het belangrijk dat alle lidstaten deze hulpmiddelen toepasten voor een consistent gebruik van gezondheidsgegevens voor het beheer van reizen in de EU en voor de coördinatie van hun reisbeperkingen.

12 Bovenop de 71 miljoen EUR ter ondersteuning van de ontwikkeling van de IT-hulpmiddelen stelde de Commissie 100 miljoen EUR aan de lidstaten ter beschikking om hen te helpen de financiële lasten van het testen op COVID-19 te dragen. Het verhoogde aantal tests en vaccinaties leidde dan weer tot een hoger aantal afgegeven digitale EU-COVID-certificaten. Grensoverschrijdend reizen binnen de EU kan sommige of al deze hulpmiddelen omvatten, zoals beschreven in figuur 1.

Figuur 1 — Gebruik van de EU-instrumenten voor reizen per vliegtuig tussen lidstaten

Bron: ERK.

Reikwijdte en aanpak van de controle

13 Deze controle vormt een aanvulling op ons eerdere speciaal verslag7, waarin werd beoordeeld of de Commissie doeltreffende maatregelen had genomen om het recht van vrij verkeer van personen tijdens de COVID-19-pandemie te beschermen. Het eerste verslag omvatte de toetsing door de Commissie van controles aan de binnengrenzen van het Schengengebied, de daarmee verband houdende reisbeperkingen en de coördinatie-inspanningen op EU-niveau.

14 Het doel van deze tweede controle was te beoordelen of de Commissie doeltreffende hulpmiddelen had ontwikkeld om reizen binnen de EU tijdens de COVID-19-crisis te faciliteren. Met deze controle beoogden wij voorbeelden van goede praktijken en verbeterpunten vast te stellen wat betreft de wijze waarop de Commissie IT-hulpmiddelen ontwikkelt om het vrije verkeer tijdens gezondheidscrises te faciliteren. Om de hoofdcontrolevraag te beantwoorden, stelden wij de volgende twee subvragen:

  • Heeft de Commissie naar behoren de EU-instrumenten ontwikkeld om reizen te faciliteren?
  • Hebben de lidstaten uitgebreid gebruikgemaakt van de EU-instrumenten en heeft dit geleid tot een betere coördinatie en uitwisseling van informatie over hun reisbeperkingen?

15 Deze controle heeft betrekking op de periode tussen oktober 2020 en juni 2022 en is gericht op de vier in paragraaf 04 genoemde EU-instrumenten, met inbegrip van de daarmee verband houdende EU-financiering. Deze heeft geen betrekking op EU-financiering voor COVID-19-vaccinatie, die wij eerder hebben beoordeeld in ons speciaal verslag over de aankoop door de EU van COVID-19-vaccins8.

16 De controle werd uitgevoerd aan de hand van controles van stukken, schriftelijke vragenlijsten en interviews met relevante belanghebbenden. Wij hebben de volgende elementen geëvalueerd en geanalyseerd:

  • relevante EU-wetgeving, om de voornaamste wettelijke eisen en de verantwoordelijkheden van de verschillende actoren vast te stellen;
  • interne documenten van de Commissie met betrekking tot de technische ontwikkeling en de wettelijke goedkeuring van het digitaal EU-COVID-certificaat, de European Federation Gateway Service, het digitale EU-traceringsformulier voor passagiers en een platform voor het uitwisselen van traceringsformulieren voor passagiers;
  • publicaties van de Commissie met betrekking tot reizen in de context van de COVID-19-pandemie, zoals richtsnoeren, mededelingen, voorstellen voor aanbevelingen of voorstellen voor wetgevingshandelingen;
  • de technische specificaties van de hulpmiddelen, beveiligings- en risicobeoordelingen, penetratietestverslagen en IT-beveiligingsplannen, zodat onze IT-deskundigen konden controleren of de hulpmiddelen aan de beveiligingseisen voldeden.

17 Om bewijsmateriaal te verkrijgen, feiten te bevestigen en gegevens uit andere bronnen te staven, hielden wij controlegesprekken met:

  • de directoraten-generaal Justitie en Consumentenzaken, Mobiliteit en Vervoer, Gezondheid en Voedselveiligheid en Communicatienetwerken, Inhoud en Technologie van de Commissie;
  • het Europees Centrum voor ziektepreventie en -bestrijding, dat onder meer verantwoordelijk is voor COVID-19-risicokaarten en -richtsnoeren;
  • gezondheidsautoriteiten in lidstaten en niet-EU-landen;
  • vertegenwoordigers van luchtvaartmaatschappijen, de reissector en consumentenverenigingen.

18 Ook hielden wij een enquête om feedback te verzamelen over het gebruik van dergelijke hulpmiddelen in elke lidstaat. Van de afgevaardigden van de 27 lidstaten die deel uitmaken van het mechanisme geïntegreerde EU-regeling politieke crisisrespons van de Raad, namen 13 lidstaten deel aan onze enquête. Dit vertegenwoordigt een responspercentage van 48 %. We gebruikten deze enquête om onze analyse te ondersteunen en onze waarnemingen te staven.

Opmerkingen

De Commissie ontwikkelde passende technologische oplossingen, maar deze werden niet altijd door de lidstaten overgenomen

19 In dit deel wordt onderzocht of de Commissie naar behoren de hulpmiddelen ontwikkelde om reizen tijdens de COVID-19-pandemie te faciliteren, en met name of zij:

  1. EU-middelen snel na het begin van de pandemie mobiliseerde;
  2. de hulpmiddelen tijdig realiseerde;
  3. rekening hield met de behoeften en bereidheid van de lidstaten om de hulpmiddelen te gebruiken, en
  4. rekening hield met kwesties inzake IT-beveiliging en privacy ten aanzien van gevoelige gezondheidsgegevens.

20 Wij onderzochten of de Commissie op grond van haar keuze van financieringsbronnen en dienstverleners onmiddellijk na het begin van de pandemie is kunnen beginnen met de ontwikkeling van de hulpmiddelen. Wij bogen ons ook over het raadplegingsproces om te beoordelen of de hulpmiddelen waren afgestemd op de prioriteiten van de lidstaten. Tot slot gingen wij na of voor de hulpmiddelen de beste praktijken werden toegepast met betrekking tot de bescherming van persoonsgegevens en IT-beveiliging.

De Commissie mobiliseerde snel EU-middelen voor de hulpmiddelen

21 De Commissie mobiliseerde EU-financiering uit verschillende bronnen, zoals het instrument voor noodhulp en het programma Digitaal Europa. De EU trok 71 miljoen EUR uit voor de ontwikkeling van de hulpmiddelen. Figuur 2 geeft een visueel overzicht van de EU-financiering voor de hulpmiddelen.

Figuur 2 — Overzicht van EU-financiering per hulpmiddel

Bron: ERK.

22 De EU-financiering voor het digitaal EU-COVID-certificaat bedroeg in totaal 50 miljoen EUR (met 43 miljoen EUR uit het instrument voor noodhulp en nog eens 7 miljoen EUR uit het programma Digitaal Europa). Vanaf maart 2022 was 77 % van deze begroting toegewezen aan de ontwikkeling en aanpassing van nationale oplossingen en het aansluiten daarvan op de gateway voor het digitaal EU-COVID-certificaat: 21,9 miljoen EUR werd vastgelegd voor een particuliere aannemer en 16,7 miljoen EUR werd in de vorm van subsidies aan de lidstaten uitgekeerd.

23 De EU-financiering voor de gateway voor contactonderzoek bedroeg in totaal ongeveer 16,8 miljoen EUR (waarvan 13 miljoen EUR uit het instrument voor noodhulp). De Commissie heeft deze financiering gerechtvaardigd op basis van de noodzaak de uitwisseling van gegevens tussen landen te vergemakkelijken, waardoor nationale applicaties gebruikers kunnen inlichten die zijn blootgesteld aan een gebruiker die een andere nationale applicatie heeft gebruikt en die positief is getest op COVID-19.

24 Voor het platform voor de uitwisseling van traceringsformulieren voor passagiers en het digitale traceringsformulier voor passagiers van de EU was veel minder EU-financiering nodig: aan het uitwisselingsplatform werd ongeveer 2,9 miljoen EUR toegewezen (voornamelijk uit het instrument voor noodhulp) en aan het digitale formulier 1,3 miljoen EUR (met financiering uit de EU-gezondheidsprogramma’s). De aan het uitwisselingsplatform toegewezen financiering werd gebruikt voor de financiering van een proefproject om de haalbaarheid van het platform te testen en op te schalen om meer lidstaten en vervoerswijzen te bestrijken. De financiering voor de digitale versie van het traceringsformulier voor passagiers werd gebruikt voor ontwikkeling, cloudhosting en overdracht van het hulpmiddel naar de IT-omgeving van de Europese Commissie.

25 Daarnaast stelde de EU na de introductie van het digitaal EU-COVID-certificaat 100 miljoen EUR ter beschikking om de aankoop van COVID-19-tests in de lidstaten te ondersteunen9. Deze financiering volgde op het politieke akkoord van 20 mei 2021 tussen het Europees Parlement en de Raad over de verordening betreffende het digitaal EU-COVID-certificaat. De lidstaten gebruikten het overgrote deel (90 %) van deze toewijzing, waardoor het mogelijk werd aanvullende certificaten op basis van tests af te geven om reizen te faciliteren.

26 Wij stelden vast dat de Commissie deze financiering snel had gemobiliseerd en een pragmatische aanpak had gevolgd om de hulpmiddelen te ontwikkelen die de noodzaak van de snelle realisatie ervan weerspiegelde. De hulpmiddelen werden ontwikkeld onder tijdsdruk, zonder offertes bij verschillende aannemers aan te vragen. In plaats van gebruik te maken van openbare aanbestedingen om licenties te verwerven en de gateway voor contactonderzoek, het digitaal EU-COVID-certificaat en het platform voor de uitwisseling van traceringsformulieren voor passagiers te ontwikkelen, maakte de Commissie gebruik van raamovereenkomsten die zij reeds op 30 oktober 2019 en 24 februari 2020 met een IT-dienstverlener had gesloten. In raamovereenkomsten worden de algemene voorwaarden van een handelsbetrekking vastgelegd en zij vormen een basis voor de ondertekening van specifieke contracten voor individuele leveringen. Voor de digitale EU-traceringsformulieren voor passagiers werden in juli 2020 de eerste middelen gemobiliseerd in het kader van de gezamenlijke actie “EU Healthy Gateways”, door middelen uit activiteiten die als gevolg van de pandemie niet mogelijk waren, te herverdelen.

27 In het geval van het digitaal EU-COVID-certificaat selecteerde de Commissie de leverancier aan de hand van een raamovereenkomst die werd gegund via een onderhandelingsprocedure die in 2019 werd gestart zonder bekendmaking van een aankondiging van een opdracht. Volgens de Commissie had de geselecteerde leverancier ervaring in het ontwikkelen van een gateway voor contactonderzoek en was deze de enige met de nodige expertise op het gebied van de software die voor het digitaal EU-COVID-certificaat moest worden gebruikt.

De Commissie ontwikkelde de gateway voor contactonderzoek en het systeem voor het digitaal EU-COVID-certificaat op tijd, maar wat betreft traceringsformulieren voor passagiers waren nationale oplossingen eerder beschikbaar dan EU-oplossingen

28 Toen de Wereldgezondheidsorganisatie COVID-19 in maart 2020 tot een pandemie uitriep, begonnen de lidstaten met het opleggen van beperkingen van het vrije verkeer10 en de Commissie begon richtsnoeren uit te vaardigen om de coördinatie tussen hen te vergemakkelijken11. Zeven maanden na de afkondiging van de pandemie werd de gateway voor contactonderzoek gelanceerd, en 15 maanden vanaf die datum werden het digitaal EU-COVID-certificaat en het traceringsformulier voor passagiers operationeel. Figuur 3 verstrekt het tijdschema voor het ontwerp en de uitvoering van de hulpmiddelen. Rekening houdend met de wettelijke en technische voorschriften van de hieronder beschreven hulpmiddelen, zijn wij van mening dat de gateway voor contactonderzoek en het digitaal EU-COVID-certificaat tijdig zijn ontwikkeld, in tegenstelling tot de hulpmiddelen met betrekking tot het traceringsformulier voor passagiers.

Figuur 3 — Tijdschema voor het ontwerp en de uitvoering van de EU-instrumenten

Bron: ERK.

29 Het eerste hulpmiddel dat werd ontwikkeld, was de gateway voor contactonderzoek, een EU-breed systeem om de interoperabiliteit tussen nationale contacttraceringsapplicaties. Op 13 mei 2020 bracht de Commissie een reeks richtsnoeren en aanbevelingen uit om de door de lidstaten opgelegde reisbeperkingen12 geleidelijk op te heffen. In de richtsnoeren werd het gebruik van technologie voor dat doel gestimuleerd. De gateway werd operationeel in oktober 2020, vijf maanden nadat de Commissie de richtsnoeren had vrijgegeven.

30 Eind april 2020, slechts een maand nadat de eerste beperkingen waren opgelegd, werd in het kader van de gezamenlijke actie “EU Healthy Gateways” een voorstel aan de Commissie gedaan om traceringsformulieren voor passagiers te digitaliseren. De besprekingen tussen de Commissie en de lidstaten namen echter enkele maanden in beslag en het voorstel werd in augustus 2020 aanvaard. De Raad beval in oktober 2020 aan een gemeenschappelijk EU-traceringsformulier voor passagiers te ontwikkelen13. Tegen die tijd waren verschillende lidstaten al in een vergevorderd stadium wat betreft de ontwikkeling van hun eigen nationale oplossingen (zie tabel 1).

31 Naar aanleiding van de aanbeveling van de Raad begon de Commissie in november 2020 met de werkzaamheden inzake het platform voor de uitwisseling van traceringsformulieren voor passagiers. Het uitvoeringsbesluit van de Commissie14 betreffende de uitwisseling van formulieren werd echter pas op 27 mei 2021 vastgesteld. De lidstaten konden pas in juli 2021 beginnen met het daadwerkelijk uitwisselen van digitale formulieren op het platform.

Tabel 1 — Voorbeelden van elektronische traceringsformulieren voor passagiers die in de lidstaten werden gebruikt

Land Datum van invoering
Nationale oplossing — Spanje juli 2020
Nationale oplossing — Griekenland juli 2020
Nationale oplossing — Ierland augustus 2020
EU-instrument — Italië mei 2021
EU-instrument — Malta juli 2021
EU-instrument — Slovenië augustus 2021
EU-instrument— Frankrijk december 2021

Opmerking: Landen die de oplossingen voor EU-traceringsformulieren voor passagiers gebruiken, zijn vetgedrukt.

Bron: ERK.

32 Het digitaal EU-COVID-certificaat was het vierde door de Commissie ontwikkelde hulpmiddel. De werkzaamheden vingen later aan dan die van de andere hulpmiddelen, omdat het nauw verband hield met het vaccinatieproces van de EU. Sinds november 2020 waren besprekingen over een COVID-19-vaccinatiecertificaat gaande tussen de Commissie en de lidstaten in het e-gezondheidsnetwerk15 (zie kader 1); Estland presenteerde de eerste proefversie van een digitaal verifieerbaar vaccinatiecertificaat.

33 Op 21 december 2020 beval het Europees Geneesmiddelenbureau het eerste vaccin voor toelating aan, en een paar dagen later werden de eerste vaccinaties in de gehele EU uitgevoerd. Een maand later, op 28 januari 2021, namen de EU-lidstaten basisrichtsnoeren aan voor een interoperabel bewijs van vaccinatie voor medische doeleinden16, een unieke certificaatidentificatiecode en de beginselen van een vertrouwenskader.

34 In het politiek akkoord van 20 mei 2021 tussen het Europees Parlement en de Raad over de verordening betreffende het digitaal EU-COVID-certificaat werd eind juni als termijn voor de uitvoering van de regeling vastgesteld. De Commissie moest derhalve gelijktijdig aan de technische ontwikkeling werken en het wetgevend werk ten aanzien van de verordening uitvoeren17. Bij het ontwerpen van de technische architectuur bouwde zij voort op eerdere ervaringen met de gateway voor contactonderzoek, waardoor zij de ontwikkeling van het hulpmiddel kon versnellen. Op 17 maart 2021 rondde de Commissie haar wetgevingsvoorstel af18. Zeven landen begonnen op 1 juni 2021 met het gebruik van het digitaal EU-COVID-certificaat, één maand vóór de inwerkingtreding van de verordening; hiermee konden de certificaten van EU-burgers en -ingezetenen in de hele EU worden afgegeven, geverifieerd en aanvaard. Op 1 juli waren alle EU-/EER-lidstaten (met uitzondering van Ierland, dat op 14 juli 2021 aansloot na een cyberaanval op zijn nationale gezondheidsdienst in mei 2021) verbonden met de gateway voor het digitaal EU-COVID-certificaat.

35 Het Europees Parlement en de Raad stelden de verordening op 14 juni 2021 vast, minder dan drie maanden na het oorspronkelijke voorstel19. Dit was zeer snel, aangezien de gemiddelde duur van de wetgevingsprocedure voor EU-wetgeving die in eerste lezing werd aangenomen, iets minder dan 18 maanden bedraagt20. Dit betekende dat het digitaal EU-COVID-certificaat kon worden geïntroduceerd op het moment dat de zomervakantie begon en de vaccinatie-inspanningen over het hele continent werden opgevoerd: op 10 juli 2021 ontving de EU voldoende vaccins om 71 % van de volwassen bevolking te vaccineren.

Wat betreft de ontwikkeling van sommige hulpmiddelen slaagde de Commissie er niet in de terughoudendheid van bepaalde lidstaten weg te nemen

36 Vanwege de noodzaak om de hulpmiddelen snel te realiseren en reizen tijdens de COVID-19-pandemie te faciliteren, werd de Commissie ertoe gebracht deze hulpmiddelen te ontwikkelen zonder vooraf effectbeoordelingen uit te voeren. Dergelijke beoordelingen worden gebruikt om de waarschijnlijke gevolgen van overheidsbeleid vast te stellen en te bepalen of er behoefte is aan EU-optreden. Volgens de richtsnoeren voor betere regelgeving van de EU21 moet de Commissie onder normale omstandigheden vóór elke nieuwe regelgeving een beleidseffectbeoordeling uitvoeren. In de richtsnoeren wordt echter ook erkend dat het in buitengewone omstandigheden, zoals een noodsituatie die een snelle respons vereist, niet mogelijk of passend is om alle stappen te volgen die de richtsnoeren voorschrijven.

37 Hoewel de Commissie geen effectbeoordeling uitvoerde, raadpleegde zij de lidstaten over de gateway voor contactonderzoek en de digitale certificering via werkgroepen. Al in december 2020 analyseerde een technische subgroep binnen het e-gezondheidsnetwerk de opties voor de ondersteuning van digitale vaccinatiecertificaten en voor het vergemakkelijken van de uitwisseling van deze informatie tussen de lidstaten. De Commissie voerde geen uitvoerig overleg alvorens de andere hulpmiddelen verder te ontwikkelen. Uit onze enquête bleek dat niet alle lidstaten geïnteresseerd waren in het gebruik van alle EU-instrumenten die wij onderzochten.

38 Volgens onze enquête was bijna de helft van de elf lidstaten die meldden geen gebruik te hebben gemaakt van de hulpmiddelen voor het traceringsformulier voor passagiers, terughoudend om dit te doen vanwege gegevensbescherming en andere juridische kwesties. Drie lidstaten wezen erop dat zij reeds hun eigen nationale traceringsformulieren voor passagiers hadden ontwikkeld, aangepast aan hun individuele behoeften, en dat zij er geen voordeel mee deden om over te stappen op de EU-oplossingen.

39 Voorts waren tijdens de raadplegingen in het kader van “EU Healthy Gateways” die in oktober 2021 en maart 2022 plaatsvonden, de standpunten van de lidstaten over het nut van de hulpmiddelen voor het traceringsformulier voor passagiers verdeeld. Vijf EU-lidstaten gebruikten ten minste één van de hulpmiddelen en tien gaven aan daar belangstelling voor te hebben; twaalf lidstaten gaven echter aan dat zij dat waarschijnlijk niet zouden doen, waaronder twee (Denemarken en Zweden) die verklaarden dat zij niet geïnteresseerd waren in het gebruik ervan.

40 Wat de gateway voor contactonderzoek betreft, sloten de lidstaten zich niet allemaal aan toen de oplossing in september 2020 beschikbaar kwam. De lidstaten sloten zich geleidelijk aan, afhankelijk van of zij dat wensten en of hun applicaties gereed waren. Medio november 2020 hadden zes lidstaten hun applicaties erop aangesloten. Andere volgden geleidelijk tot juli 2021, waarna 19 lidstaten aangesloten waren.

De Commissie pakte gegevensbeschermingskwesties aan en paste goede IT-beveiligingspraktijken toe

41 Twee belangrijke risico’s die moeten worden aangepakt bij het ontwikkelen van hulpmiddelen voor het beheer van gezondheidsgegevens22 zijn:

  1. gegevensbescherming: gezondheidsgegevens zijn zeer gevoelig en worden door de algemene verordening gegevensbescherming van de EU erkend als een bijzondere categorie van gegevens23. Derhalve moeten de voor het beheer van dergelijke gegevens gebruikte hulpmiddelen specifieke waarborgen en controles omvatten om de opgeslagen en verzonden informatie te beschermen. Wij onderzochten de gegevensbeschermingseffectbeoordelingen voor de hulpmiddelen en of de bestaande processen de behandeling van persoonsgegevens tot een minimum beperkten;
  2. IT-beveiliging: de digitalisering van gezondheidsdiensten en de toegang tot digitale patiëntendossiers vergroten het risico op cyberbeveiligingsincidenten, aangezien mogelijk nieuwe toegangspunten voor cybercriminelen ontstaan. Derhalve beoordeelden wij of de hulpmiddelen waren ontwikkeld en werden gebruikt in overeenstemming met goede beveiligingspraktijken24.

42 Vanuit het oogpunt van gegevensbescherming zijn de deelnemende lidstaten “gezamenlijke verwerkingsverantwoordelijken” (in de zin van de algemene verordening gegevensbescherming) voor EU-brede applicaties, zoals de gateway voor contactonderzoek en enkele specifieke kenmerken van het digitaal EU-COVID-certificaat. Zij delen de verantwoordelijkheid om te beslissen hoe en voor welke doeleinden persoonsgegevens worden verwerkt en voor het instellen van passende controles. Zij moeten elk gegevensbeschermingseffectbeoordelingen opstellen om de risico’s die voortvloeien uit het gebruik van dergelijke toepassingen voor de verwerking van persoonsgegevens in kaart te brengen en te beperken. De Commissie, die namens hen optreedt als “gegevensverwerker”, stond de lidstaten bij wat betreft het opstellen van hun gegevensbeschermingseffectbeoordelingen voor de EU-instrumenten waarop dit verslag betrekking heeft door ondersteunende documentatie en sjablonen te verstrekken25. Het gebruik van deze sjablonen was vrijwillig en de Commissie was niet verantwoordelijk voor het nagaan of de lidstaten deze al dan niet gebruikten.

43 Het digitaal EU-COVID-certificaat en de gateway voor contactonderzoek hadden beide een technische architectuur waarmee de verzameling van persoonsgegevens via de centrale gateways van de EU tot een minimum werd beperkt. In het geval van het digitaal EU-COVID-certificaat bleven persoonsgegevens van EU-burgers in de nationale systemen zitten, onder de verantwoordelijkheid van hun respectieve lidstaten. De centrale gateway ontving alleen de cryptografische informatie (en later de lijsten van ingetrokken certificaten) die de nationale autoriteiten nodig hadden om de geldigheid van certificaten te verifiëren. De gateway voor contactonderzoek verwerkte alleen pseudonieme persoonsgegevens, in de vorm van willekeurige identificatiecodes, bekend als “sleutels”, die door de contacttraceringsapplicaties werden gegenereerd. Dankzij deze aanpak werden de risico’s inzake gegevensbescherming aanzienlijk verkleind.

44 De EU-verordening betreffende het digitaal EU-COVID-certificaat voorzag niet in een standaardprocedure voor het intrekken van certificaten als zij bijvoorbeeld frauduleus bleken te zijn. Het stond deelnemende landen vrij om de technische oplossing van hun keuze uit te voeren. De Commissie was niet verantwoordelijk voor de beoordeling van de deugdelijkheid van deze oplossingen vanuit het oogpunt van gegevensbescherming.

45 Om ervoor te zorgen dat een ingetrokken certificaat in andere landen kon worden geïdentificeerd, hadden de lidstaten bilateraal informatie moeten uitwisselen in de vorm van lijsten van ingetrokken certificaten. Een zorg die tijdens onze controle werd geuit, was dat een dergelijke bilaterale uitwisseling, waarbij verschillende actoren en oplossingen voor intrekking waren betrokken, inefficiënt was, vooral omdat het aantal nieuwe certificaten toenam.

46 Om dit punt van zorg aan te pakken, maakte de Commissie op 30 maart 2022, acht maanden na de invoering van het digitaal EU-COVID-certificaat, technische specificaties en regels bekend om een doelmatiger mechanisme voor de uitwisseling van lijsten van ingetrokken certificaten via de centrale gateway tot stand te brengen. In de specificaties werden ook drie technologieën aanbevolen voor de verspreiding van lijsten van ingetrokken certificaten uit nationale databanken naar de applicaties die werden gebruikt om certificaten te verifiëren. Indien correct toegepast, kunnen deze voorgestelde oplossingen worden geacht de privacy te beschermen, hoewel een ervan (bloom filters) veel beter rekening hield met privacykwesties dan de andere twee26. Het gebruik van deze oplossingen was echter vrijwillig en de Commissie was niet bevoegd om te monitoren of de lidstaten deze toepasten.

47 IT-beveiligingsrisico’s kunnen worden aangepakt en beperkt aan de hand van een gestructureerd IT-beveiligingskader27. Dit omvat meestal verschillende elementen, zoals governanceregelingen en beveiligingsbeleid, -vereisten en -normen. Het omvat ook goede praktijken zoals actief zoeken naar zwakke punten (“kwetsbaarheidsscans”) en actief testen van de bescherming (“penetratietests”).

48 De Commissie beschikt over een eigen IT-beveiligingskader28 dat van toepassing is op alle informatiesystemen die in haar datacenters worden gehost, met inbegrip van de gateways voor contactonderzoek en voor het digitaal EU-COVID-certificaat. Het kader is in overeenstemming met internationale normen29. Het verplicht de Commissie om voor elk IT-systeem een risicobeoordeling uit te voeren, relevante risico’s aan te pakken met een IT-beveiligingsplan en een reeks formele beveiligingsbeleidslijnen en -normen toe te passen.

49 De Commissie ondernam redelijke stappen om de IT-beveiliging met betrekking tot de gateway voor contactonderzoek te waarborgen. Een gespecialiseerd bedrijf voerde een beveiligingsevaluatie uit van het ontwerp en de broncode van de gateway toen het systeem operationeel werd (oktober 2020) en vond geen relevante tekortkomingen. Drie ethische hackoefeningen werden uitgevoerd om verdere zekerheid te verkrijgen over de beveiliging van de gateway.

50 De Commissie stelde ook minimumbeveiligingsvereisten vast voor nationale contacttraceringsapplicaties die waren aangesloten op het uitwisselingsplatform van de gateway voor contactonderzoek. Uit onze analyse van deze beveiligingsarchitectuur en enquêteantwoorden van de lidstaten bleek dat het technische proces voor het aansluiten van nationale systemen op de EU-gateway (“on-boarding”) gestructureerd was en betrekking had op IT-beveiligingsaspecten.

51 Wat het digitaal EU-COVID-certificaat betreft, voerde het directoraat-generaal Informatica kwetsbaarheidsbeoordelingen van de gateway uit, en een onafhankelijke aannemer voerde aanvullende penetratietests uit. De tests bevestigden dat de centrale gateway zodanig is ontworpen dat een hoog beveiligingsniveau wordt gewaarborgd. De meeste problemen hadden veeleer betrekking op de infrastructuur dan op de broncode. De vastgestelde kwetsbaarheden werden opgevolgd. De consultants die de penetratietests op de gateway uitvoerden, adviseerden de uitvoering van een volledige controle van meer componenten, waaronder die welke op nationaal niveau kunnen worden gebruikt, zoals de dienst voor de afgifte van certificaten of mobiele applicaties. Deze aanvullende controle werd in april 2022 afgerond en de beveiligingsarchitectuur van het hulpmiddel werd niet ter discussie gesteld.

52 De lidstaten en niet-EU-landen die aan de regeling voor het digitaal EU-COVID-certificaat deelnamen, genereerden de certificaten in hun nationale systemen. Als de nationale systemen in gevaar zouden worden gebracht en onbevoegde partijen toegang hadden verkregen, hadden kwaadwillende gebruikers geldige maar frauduleuze certificaten kunnen afgeven. De wijdverbreide verspreiding van deze certificaten had invloed kunnen hebben op het vrije verkeer door de ondermijning van het vertrouwen in het digitaal EU-COVID-certificaat, waardoor het risico toenam dat de lidstaten opnieuw aanvullende beperkingen zouden invoeren. Derhalve was het van belang ervoor te zorgen dat de nationale systemen adequate beveiligingscontroles omvatten.

53 Voor de beveiligingscontroles in de systemen van de deelnemende lidstaten vertrouwde de Commissie ook op vragenlijsten voor zelfbeoordeling die door de landen werden ingevuld; zij had echter niet de bevoegdheid om de daadwerkelijke naleving ervan te controleren (bijv. door verslagen over kwetsbaarheidsscans, controleverslagen, actieplannen of internationale certificeringen te evalueren). Dit beperkte de zekerheid ten aanzien van de beveiligingsmaturiteit van de nationale systemen.

54 Onze interviews bevestigden dat zich één IT-beveiligingsincident in een niet-EU-land voordeed. De nationale oplossing van het land vertoonde een bepaalde kwetsbaarheid waardoor onbevoegde gebruikers toegang konden krijgen tot de applicatie en onrechtmatige certificaten op nationaal niveau konden worden gegenereerd, totdat het incident werd vastgesteld en opgelost. Volgens het incidentenverslag van het getroffen land had dit slechts gevolgen voor een handvol certificaten.

55 Er zijn geen technische oplossingen die alle risico’s kunnen beperken en zelfs geavanceerde beveiligingscontroles kunnen bijvoorbeeld niet verhinderen dat gemachtigd personeel met legitieme toegang tot nationale systemen misbruik maakt van zijn bevoegdheden om frauduleuze certificaten te genereren.

56 Het melden en aanpakken van incidenten zoals frauduleuze certificaten vraagt derhalve om een snelle uitwisseling van informatie tussen de bevoegde autoriteiten. De door ons geraadpleegde lidstaten en niet-EU-landen vertelden ons dat het melden van dergelijke kwesties tijd kostte vanwege moeilijkheden om de juiste tegenhangers in andere landen te identificeren.

57 Voor de digitale EU-traceringsformulieren voor passagiers en het uitwisselingsplatform werden de volgende aanbevolen IT-beveiligingspraktijken30 toegepast: tweefactorauthenticatie, beveiligde communicatieprotocollen, webapplicatiefirewalls en fysieke toegangsbeveiligingscontroles. De aannemer voerde ook een IT-risicobeoordeling uit en stelde een gestructureerde procedure vast voor landen die zich op het systeem aansloten.

58 De eerste penetratietest van dat systeem vond echter pas plaats in maart 2022, een jaar nadat het eerste land werd aangesloten. Na de test ontwikkelde de externe dienstverlener een uitvoeringsplan om de bevindingen aan te pakken. Dit betekent dat het systeem een jaar lang met onopgemerkte kwetsbaarheden werkte.

Het effect van de EU-instrumenten op het faciliteren van reizen tijdens de COVID-19-pandemie was ongelijk

59 In dit deel wordt onderzocht of de EU-instrumenten het reizen in de EU tijdens de eerste jaren van de COVID-19-pandemie faciliteerden. Wij onderzochten met name of de hulpmiddelen:

  1. door de lidstaten op grote schaal werden gebruikt, aangezien dit noodzakelijk is om doeltreffend te zijn, en
  2. de coördinatie en informatie-uitwisseling tussen de lidstaten verbeterden ten aanzien van het opleggen van reisbeperkingen, waardoor twee kwesties werden aangepakt die het reizen binnen de EU ondermijnden31.

60 Wij verzamelden en analyseerden de gegevens over het gebruik van de hulpmiddelen door de lidstaten. We vergeleken ook de reisbeperkingen die de lidstaten voor en na de invoering van het digitaal EU-COVID-certificaat oplegden.

De EU-hulpmiddelen voor het traceringsformulier voor passagiers en de gateway voor contactonderzoek hadden niet het beoogde effect vanwege het beperkte gebruik ervan in de lidstaten

61 De EU-instrumenten moesten op grote schaal worden gebruikt om het daarmee beoogde effect te bereiken. Tabel 2 geeft een samenvatting van het gebruik van de hulpmiddelen door elke lidstaat. Hieruit blijkt dat het digitaal EU-COVID-certificaat het enige hulpmiddel was dat in alle lidstaten werd gebruikt.

Tabel 2 — Gebruik in de lidstaten van de EU-instrumenten die zijn ontwikkeld om het vrije verkeer te ondersteunen

  Gateway voor contact-onderzoek Digitaal tracerings-formulier voor passagiers van de EU Digitaal EU-COVID-certificaat Uitwisseling van tracerings-formulieren voor passagiers
België        
Bulgarije        
Tsjechië        
Denemarken        
Duitsland        
Estland        
Ierland        
Griekenland        
Spanje        
Frankrijk        
Kroatië        
Italië        
Cyprus        
Letland        
Litouwen        
Luxemburg        
Hongarije        
Malta        
Nederland        
Oostenrijk        
Polen        
Portugal        
Roemenië        
Slovenië        
Slowakije        
Finland        
Zweden        

Bron: ERK.

62 Het digitale EU-traceringsformulier voor passagiers en het uitwisselingsplatform werden door de lidstaten niet voldoende gebruikt om een zinvol effect te hebben op het inperken van de verspreiding van COVID-19 en het faciliteren van veilig reizen.

63 Het EU-traceringsformulier voor passagiers32 werd door slechts 4 lidstaten gebruikt, terwijl 17 andere lidstaten op nationale oplossingen bleven vertrouwen. Van de bijna 27 miljoen formulieren die tegen februari 2022 waren uitgegeven, was 91,6 % (24,7 miljoen) Italiaans.

64 Ook het gebruik van het uitwisselingsplatform was zeer beperkt. Hoewel het hulpmiddel in theorie kon worden gebruikt om informatie uit te wisselen vanaf elk nationaal platform, werd het meestal toegepast door de landen die ook gebruikmaakten van de EU-formulieren. Het algehele gebruik van het platform bleef onbeduidend, waarbij slechts 3 formulieren in 2021 en 253 in de eerste twee maanden van 2022 werden uitgewisseld. Deze 256 formulieren waren op één na afkomstig uit Spanje.

65 Het gebruik van toepassingen voor het traceren van contacten verschilde aanzienlijk van lidstaat tot lidstaat. Sommige lidstaten maakten helemaal geen gebruik van contacttraceringsapplicaties. In de lidstaten die dat wel deden, was het daadwerkelijke gebruik onder de bevolking beperkt. In totaal bedroeg het aantal downloads van alle contacttraceringsapplicaties door EU-burgers 74 miljoen (vanaf oktober 2021). Er zijn echter geen statistieken op EU-niveau over de aantallen mensen die ze daadwerkelijk gebruikten.

66 Het totale aantal bevestigde COVID-19-gevallen bedroeg op 22 mei 2022 meer dan 522 miljoen33; tegen die datum waren 55 miljoen sleutels geüpload. Uit de gegevens van de gateway voor contactonderzoek blijkt dat er in de lidstaten ongelijk gebruik wordt gemaakt van hulpmiddelen voor contactonderzoek, waarbij 83 % van de sleutels alleen door gebruikers uit Duitsland werd geüpload (zie bijlage II).

67 Al met al werden de onderzochte hulpmiddelen ontwikkeld om tegemoet te komen aan de opkomende behoeften, waardoor het moeilijker werd om consequent synergieën tussen die behoeften tot stand te brengen. Het EU-traceringsformulier voor passagiers en het platform voor de uitwisseling van dergelijke formulieren werden bijvoorbeeld afzonderlijk ontwikkeld (respectievelijk door de gezamenlijke actie “EU Healthy Gateways” en het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart). Evenzo zijn de richtsnoeren voor het combineren van het digitaal EU-COVID-certificaat en de traceringsformulieren voor passagiers op EU-niveau beschikbaar gesteld na de invoering ervan, maar tot dusver niet uitgevoerd.

68 Aangezien de hulpmiddelen werden ontworpen om op korte termijn te werken, zijn er geen flexibele procedures om ze op de langere termijn te gebruiken of ze snel te reactiveren voor het geval ze in de toekomst nodig zijn. Zo verstrijkt de huidige rechtsgrondslag voor het digitaal EU-COVID-certificaat in juni 2023 en zou deze door het Europees Parlement en de Raad moeten worden verlengd op basis van een voorstel van de Commissie. Tijdens onze controle wees de Commissie erop dat het uiterst moeilijk zou zijn, zowel juridisch als technisch, om de certificering op korte termijn opnieuw tot stand te brengen.

De lidstaten maakten uitgebreid gebruik van het digitaal EU-COVID-certificaat, waardoor reizen werd gefaciliteerd

69 De EU-gateway voor het digitaal EU-COVID-certificaat werd operationeel op 1 juni 2021, met zeven aangesloten lidstaten. Binnen anderhalve maand waren alle 27 EU-lidstaten aangesloten. De door de Commissie voorgestelde oplossing trok ook veel belangstelling buiten de EU. In juli 2022 hadden 45 niet-EU-landen en -gebieden het EU-kader voor het digitaal EU-COVID-certificaat aangenomen.

70 Tegen 13 oktober 2021 hadden de lidstaten 585 miljoen certificaten afgegeven. Vijf maanden later waren er 1,7 miljard certificaten uitgegeven, waarvan de meeste (1,1 miljard) op basis van vaccinatie. Dit aantal is hoger dan de EU-bevolking omdat één persoon meerdere certificaten kan hebben (iemand kan bijvoorbeeld twee testcertificaten verkrijgen voordat hij wordt gevaccineerd). Na elke vaccindosis, elk herstel of elke test werd één digitaal EU-COVID-certificaat opgesteld. Het digitaal EU-COVID-certificaat werd in de lidstaten gebruikt voor het faciliteren van reizen en tevens om de toegang tot openbare ruimten zoals restaurants of theaters te controleren. Een uitsplitsing per lidstaat van deze 1,7 miljard digitale EU-COVID-certificaten wordt weergegeven in figuur 4.

Figuur 4 — Totaalaantal door de lidstaten gegenereerde digitale EU-COVID-certificaten (per maart 2022)

Bron: ERK, op basis van gegevens van de Commissie.

71 De in dit verslag besproken hulpmiddelen waren bedoeld om veilig reizen te faciliteren. Veel lidstaten hadden vanwege de pandemie besloten een verscheidenheid aan reisbeperkingen in te voeren. In ons speciaal verslag over vrij verkeer in de EU tijdens de COVID-19-pandemie34 concludeerden wij dat de lidstaten tegen juni 2021 nog steeds veel ongecoördineerde reisbeperkingen hadden, waaronder PCR-tests, quarantainevoorschriften en inreisverboden.

72 Totdat het digitaal EU-COVID-certificaat werd ingevoerd, waren de inreisbeperkingen voor reizigers immers gebaseerd op het gezondheidsrisico in het geografische gebied vanwaaruit zij reisden. Dit veranderde in juli 2021 met de invoering van de verordening betreffende het digitaal EU-COVID-certificaat, waarna beperkingen al snel geleidelijk van toepassing waren op personen in plaats van op geografische gebieden en voornamelijk waren gebaseerd op het bezit van een geldig certificaat.

73 Naast deze verschuiving in de aard van de reisbeperkingen werd op grond van de verordening betreffende het digitaal EU-COVID-certificaat ook een nieuw formeel mechanisme ingevoerd om de uitwisseling van informatie over dergelijke beperkingen te verbeteren. Sinds de inwerkingtreding van de verordening moesten de lidstaten de Commissie en de andere lidstaten in kennis stellen van hun voornemen nieuwe beperkingen in te voeren. Deze kennisgevingen moeten de redenen, de omvang en de duur van de aanvullende beperkingen omvatten. Tegen maart 2022 hadden 13 lidstaten informatie op grond van deze bepaling ingediend.

74 In juli 2021 bleek uit de raadpleging door de Commissie over reisbeperkingen dat alle lidstaten (behalve Griekenland, Hongarije en Italië, die pas later antwoordden) hun beperkingen voor houders van het digitaal EU-COVID-certificaat hadden opgeheven. Figuur 5 toont de verschillen in reisbeperkingen voor en direct na de invoering van het certificeringssysteem (juni en juli 2021). Twaalf van de dertien respondenten van onze enquête waren het erover eens dat het digitaal EU-COVID-certificaat hebben bijgedragen aan de coördinatie van reisbeperkingen tussen de lidstaten.

Figuur 5 — Vereenvoudigd overzicht van de inreisbeperkingen die door de 27 EU-lidstaten werden toegepast

Bron: ERK, op basis van informatie van de Commissie.

Conclusies en aanbevelingen

75 Wij concluderen dat de Commissie, ondanks haar beperkte bevoegdheid op het gebied van het volksgezondheidsbeleid, snel handelde om geschikte technologische oplossingen voor te stellen om het reizen binnen de EU tijdens de COVID-19-pandemie te faciliteren. Het effect van sommige van deze hulpmiddelen hangt echter af van de bereidheid van de lidstaten om ze te gebruiken. Hoewel het digitaal EU-COVID-certificaat krachtig werd ondersteund en doeltreffend was om reizen te faciliteren, was het effect van de andere hulpmiddelen bescheiden vanwege het beperkte gebruik ervan.

76 De Commissie maakte snel 71 miljoen EUR vrij voor de ontwikkeling van de hulpmiddelen door verschillende financieringsbronnen te combineren en gebruik te maken van bestaande raamovereenkomsten in plaats van openbare aanbestedingsprocedures. Het doel van de hulpmiddelen was uniek, in de zin dat er geen andere bestaande systemen zijn die ermee kunnen worden vergeleken (paragrafen 21-27).

77 De Commissie leverde de gateway voor contactonderzoek en het digitaal EU-COVID-certificaat tijdig op. De gateway voor contactonderzoek — die werd ontworpen om de interoperabiliteit tussen contacttraceringsapplicaties te waarborgen — werd operationeel in oktober 2020, zeven maanden nadat de Wereldgezondheidsorganisatie COVID-19 tot een pandemie had uitgeroepen. Bij de technische ontwikkeling van het digitaal EU-COVID-certificaat kon worden geprofiteerd van eerdere ervaring met de gateway voor contactonderzoek. De ontwikkeling van het certificaat werd voltooid voordat de lidstaten klaar waren met de uitvoering van hun vaccinatieplannen. Het wetgevingsproces voor de goedkeuring van het digitaal EU-COVID-certificaat verliep ook veel sneller dan gebruikelijk (paragrafen 28-35).

78 De Commissie slaagde er niet in de terughoudendheid van sommige lidstaten wat betreft het gebruik van de EU-oplossingen voor traceringsformulieren voor passagiers weg te nemen, die werden gerealiseerd nadat verscheidene lidstaten hun eigen hulpmiddelen al hadden ontwikkeld. Dit leidde ertoe dat de EU-oplossingen slechts door vijf lidstaten werden gebruikt (paragrafen 36-40).

Aanbeveling 1 — Pak de oorzaken van het geringe gebruik van digitale EU-traceringsformulieren voor passagiers aan

De Commissie moet de oorzaken van het geringe gebruik van het EU-traceringsformulier voor passagiers en het uitwisselingsplatform aanpakken en bevorderen dat de lidstaten intensiever gebruik maken van deze hulpmiddelen in de toekomstige fasen van de COVID-19-pandemie.

Streefdatum voor de uitvoering: december 2023

79 Over het algemeen hield de Commissie bij het ontwerpen van de hulpmiddelen rekening met de vereisten inzake gegevensbescherming en met goede praktijken op het gebied van IT-beveiliging. De EU-instrumenten beperken het gebruik van persoonsgegevens (paragrafen 42 en 43). Veiligheidsrisicobeoordelingen en penetratietests werden over het algemeen systematisch uitgevoerd — de enige uitzondering vormden enkele vertraagde beveiligingstests voor het EU-traceringsformulier voor passagiers, die inhielden dat het hulpmiddel een jaar lang met onopgemerkte kwetsbaarheden werkte (paragrafen 47-51, 57 en 58).

80 Wat het digitaal EU-COVID-certificaat betreft, moesten de deelnemende landen op bilaterale wijze lijsten van frauduleuze certificaten via verschillende communicatiekanalen uitwisselen. Deze aanpak maakt het blokkeren van frauduleuze certificaten minder efficiënt. Tegen maart 2022 had de Commissie haalbare oplossingen voorgesteld om dit probleem aan te pakken, zij het op vrijwillige basis (paragrafen 44-46). Bovendien zijn de regelingen voor landen om elkaar te informeren over incidenten die een dringende respons vereisen (zoals frauduleuze certificaten) tijdrovend (paragrafen 55 en 56).

Aanbeveling 2 — Stroomlijn de communicatie over incidenten in verband met het digitaal EU-COVID-certificaat

De Commissie moet de rechtstreekse communicatie vergemakkelijken tussen officiële contactpersonen voor elk land dat deelneemt aan de regeling voor het digitaal EU-COVID-certificaat om in geval van noodsituaties in verband met de certificaten de communicatie te stroomlijnen.

Streefdatum voor de uitvoering: juni 2023

81 Aangezien de in het digitaal EU-COVID-certificaat gebruikte codes door de nationale systemen van de deelnemende landen werden gegenereerd, was het belangrijk dat deze systemen adequate beveiligingscontroles omvatten. De Commissie vertrouwde op zelfbeoordelingen inzake IT-beveiliging door de deelnemende landen, aangezien zij niet de bevoegdheid heeft om na te gaan of zij daadwerkelijk aan de beveiligingseisen voldoen. Dit beperkte de zekerheid ten aanzien van de beveiligingsmaturiteit van de nationale systemen (paragrafen 52-54).

82 De EU-traceringsformulieren voor passagiers en de gateway voor contactonderzoek hadden niet het beoogde effect vanwege het zeer beperkte gebruik ervan. Het digitale EU-traceringsformulier voor passagiers werd door slechts vier lidstaten gebruikt, terwijl andere landen bleven vertrouwen op nationale oplossingen. Het algehele gebruik van het platform voor de uitwisseling van traceringsformulieren voor passagiers bleef onbeduidend: in 2021 werden slechts drie formulieren uitgewisseld, en in de eerste twee maanden van 2022 253. Het gebruik van de gateway voor contactonderzoek was beperkt vanwege het beperkte gebruik van contacttraceringsapplicaties door de lidstaten, en het overgrote deel van het verkeer werd door slechts één land gegenereerd (paragrafen 61-67).

83 De door ons onderzochte hulpmiddelen werden ontwikkeld om tegemoet te komen aan opkomende behoeften en werken onafhankelijk van elkaar. Dit, in combinatie met de verscheidenheid aan nationale oplossingen voor traceringsformulieren voor passagiers, bemoeilijkte de waarborging van een gelijkmatige toepassing van de EU-instrumenten. De hulpmiddelen werden ook ontworpen om op korte termijn te werken als respons op de gezondheidscrisis. Er zijn geen specifieke flexibele procedures om ze op de langere termijn te gebruiken, of om ze snel te reactiveren voor het geval ze in de toekomst nodig zijn. De huidige rechtsgrondslag voor het digitaal EU-COVID-certificaat verstrijkt in juni 2023 en zou moeten worden verlengd via de standaardwetgevingsprocedure van de EU (paragraaf 68).

84 Wij constateerden dat het digitaal EU-COVID-certificaat doeltreffend was voor het faciliteren van reizen tijdens de COVID-19-pandemie. De lidstaten en verschillende niet-EU-landen maakten uitgebreid gebruik van de certificaten, waarbij tegen maart 2022 in de EU/EER-landen meer dan 1,7 miljard digitale EU-COVID-certificaten waren afgegeven. Bovendien constateerden wij dat de lidstaten hun reisbeperkingen binnen een maand na de inwerkingtreding van de verordening betreffende het digitaal EU-COVID-certificaat aanzienlijk hadden geharmoniseerd. Meer concreet hadden alle lidstaten reisbeperkingen voor EU-burgers die houder waren van het digitaal EU-COVID-certificaat opgeheven, omdat zij volledig gevaccineerd waren of onlangs negatief waren getest op of hersteld waren van COVID-19.

85 Bovendien zorgde het digitaal EU-COVID-certificaat voor een verbeterde informatie-uitwisseling en -coördinatie met betrekking tot reisbeperkingen, aangezien de toepasselijke verordening de lidstaten verplicht de invoering van reisbeperkingen te melden en te rechtvaardigen (paragrafen 69-74).

Aanbeveling 3 — Werk aan relevante EU-instrumenten voor toekomstige crises

De Commissie moet:

  1. de tijdens de COVID-19-pandemie ingestelde EU-instrumenten identificeren die zeer nuttig zijn geweest voor de burgers en de lidstaten en procedures voorbereiden om deze snel te reactiveren in geval van toekomstige noodsituaties;
  2. de EU-instrumenten die worden gebruikt om grensoverschrijdende tracering van contacten tijdens crises mogelijk te maken, door synergieën of vereenvoudigingen gemakkelijker toegankelijk maken voor EU-burgers;
  3. samen met de lidstaten analyseren of aanvullende hulpmiddelen nodig zijn om potentiële toekomstige crises aan te pakken.

Streefdatum voor de uitvoering: september 2023 voor de aanbevelingen a) en c) en september 2024 voor aanbeveling b)

Dit verslag werd door kamer III onder leiding van mevrouw Bettina Jakobsen, lid van de Rekenkamer, te Luxemburg vastgesteld op 22 november 2022.

 

Voor de Rekenkamer

Tony Murphy
President

Bijlagen

Bijlage I — Beschrijving van de EU-instrumenten die reizen tijdens de COVID-19-pandemie faciliteren

European Federation Gateway Service

European Federation Gateway Service is een systeem dat interoperabiliteit tussen de nationale contacttraceringsapplicaties mogelijk maakt. De nationale toepassingen voor contactonderzoek werden ontwikkeld om burgers te informeren over mogelijke risicocontacten en om te helpen bij het doorbreken van COVID-19-infectieketens.

Een contacttraceringsapplicatie registreert continu contacten met gebruikers van de applicatie in de buurt. Ze genereert elke 15 minuten een sleutel (een identificatiecode) voor haar gebruiker teneinde de privacy te beschermen. De toepassing maakt gebruik van bluetooth om andere smartphones in de buurt te detecteren en sleutels uit te wisselen. Elke ontmoeting met een andere gebruiker resulteert in de uitwisseling van sleutels tussen gebruikers. Deze sleutels worden opgeslagen op de telefoons van beide gebruikers.

Wanneer een gebruiker positief test op COVID-19, meldt hij/zij dit in de applicatie, die alle sleutels van de gebruiker van de afgelopen 14 dagen naar de nationale backendserver van zijn/haar land stuurt. De server stuurt de sleutels van de besmette gebruiker naar de applicatie van alle andere gebruikers, waar zij worden vergeleken met de sleutels die in de telefoon zijn opgeslagen. Als er een match is, is de gebruiker in de buurt van de besmette persoon geweest en wordt derhalve gewaarschuwd.

De meeste lidstaten volgden deze gedecentraliseerde aanpak, waarbij de combinatie van de sleutels van besmette personen naar de applicatie van de gebruikers wordt gestuurd en de vergelijking in de telefoon van de gebruikers plaatsvindt. Enkele lidstaten kozen voor een meer gecentraliseerde aanpak, waarbij de vergelijking van sleutels en de matching met de apparaten van de gebruikers op de centrale nationale servers plaatsvindt.

Nationale platforms voor contactonderzoek die de gedecentraliseerde aanpak volgen en compatibele technologische bouwstenen kunnen geanonimiseerde sleutels van besmette personen via de EU-gateway voor contactonderzoek uitwisselen. Dankzij de gateway voor contactonderzoek kan een reiziger derhalve gebruikmaken van zijn/haar nationale contacttraceringsapplicatie tijdens reizen in andere landen die aangesloten zijn op de EU-gateway.

Digitaal traceringsformulier voor passagiers

Voor de volksgezondheid bevoegde autoriteiten gebruiken traceringsformulieren voor passagiers om contactonderzoek te faciliteren wanneer reizigers tijdens hun reis per vliegtuig, trein, schip of bus aan een infectieziekte worden blootgesteld. De Wereldgezondheidsorganisatie en de Internationale Burgerluchtvaartorganisatie waren al begonnen met het ontwikkelen van deze formulieren tijdens eerdere ziekte-uitbraken (met name ebola).

Van oudsher gebruikten landen die het invullen van traceringsformulieren voor passagiers verlangen, vaak papieren formulieren. Papieren formulieren hebben echter aanzienlijke beperkingen — ze kunnen moeilijk te lezen zijn en de gegevens die ze bevatten moeten handmatig worden ingevoerd in computersystemen voor geautomatiseerde verwerking. Deze beperkingen brachten veel landen ertoe om elektronische versies te ontwikkelen. Het EU-traceringsformulier voor passagiers is een webapplicatie die is ontwikkeld om het gebruik van traceringsformulieren voor passagiers bij grensoverschrijdende gezondheidsbedreigingen, zoals COVID-19, te vereenvoudigen.

De reiziger vult het formulier online in met de details van zijn reis en ontvangt een unieke QR-code. Deze code kan door de bevoegde autoriteiten van de landen van bestemming worden gescand om na te gaan of passagiers de vereiste informatie hebben verstrekt. Het digitale formaat heeft tot doel gegevensverzameling en gegevensuitwisseling tussen belanghebbenden te vergemakkelijken en te versnellen, met als doel contactonderzoek efficiënter en doeltreffender te maken.

Uitwisseling van traceringsformulieren voor passagiers

Wanneer een reiziger positief wordt getest op COVID-19, kan het zijn dat de gegevens van traceringsformulieren voor passagiers die door een land worden verzameld, veilig aan andere betrokken landen moeten worden verstrekt met als enig doel COVID-19-contactonderzoek. Vanwege de beperking van het bestaande Europese systeem voor de uitwisseling van gezondheidsinformatie (systeem voor vroegtijdige waarschuwing en maatregelen) besloot de Commissie een speciaal platform te ontwikkelen voor de uitwisseling van gegevens van traceringsformulieren voor passagiers tussen verschillende nationale systemen.

Het platform voor uitwisseling van traceringsformulieren voor passagiers zorgt voor veilig versleutelde gegevensoverdracht tussen bevoegde nationale autoriteiten en slaat geen gegevens op. De autoriteiten van de lidstaten kunnen via de EU- of nationale systemen voor digitale traceringsformulieren voor passagiers verbinding maken.

Digitaal EU-COVID-certificaat

Het digitaal EU-COVID-certificaat levert het bewijs dat de houder is gevaccineerd tegen, negatief is getest op of hersteld is van COVID-19. Deze certificaten worden afgegeven door de bevoegde nationale autoriteiten.

De certificaten kunnen zowel in papieren als in elektronische vorm worden geleverd. In beide gevallen bevatten ze een QR-code, die ze beschermt tegen vervalsing. De beveiliging van de oplossing is gebaseerd op het gebruik van openbare en private cryptografische sleutels. Er zijn twee sleutels: private, waarmee een QR-code digitaal kan worden ondertekend, en openbare, waarmee de digitale handtekening kan worden geverifieerd.

Elke instantie van afgifte heeft zijn eigen private sleutel en bijbehorende openbare sleutel. De private sleutels worden veilig opgeslagen en de openbare sleutels worden in de centrale nationale databank gedeeld. De instantie stelt haar afgiftesysteem na autorisatie ter beschikking van relevante actoren in de gezondheidszorg (bijv. ziekenhuizen en testcentra), zodat zij de certificaten digitaal kunnen ondertekenen.

De applicaties die worden gebruikt om de echtheid van het digitaal EU-COVID-certificaat te verifiëren, halen de openbare sleutels uit de nationale databanken. De nationale databanken wisselen openbare sleutels uit met andere landen via de EU-gateway voor het digitaal EU-COVID-19-certificaat. Derhalve maakt de gateway wederzijdse verificatie van de certificaten in verschillende landen mogelijk.

Bijlage II — Gebruikmaking van de contacttraceringsapplicaties in de EU

Van contacttraceringsapplicaties werd binnen de EU in wisselende mate gebruikgemaakt. Slechts in twee lidstaten bedroeg het aantal downloads van de contacttraceringsapplicaties meer dan 50 % van de bevolking. De onderstaande figuur toont de verschillende cijfers in de lidstaten die gebruikmaakten van gedecentraliseerde contacttraceringsapplicaties.

Aantal downloads van contacttraceringsapplicaties als percentage van de bevolking

Bron: ERK, op basis van openbaar beschikbare gegevens van de Commissie en geselecteerde lidstaten.

Het downloaden van de applicatie betekent niet noodzakelijkerwijs dat daadwerkelijk gebruikt wordt gemaakt van contactonderzoek, aangezien het vereist dat de applicaties actief zijn en burgers hun positieve COVID-19-test vrijwillig aangeven. Wanneer de gebruikers aangeven positief te zijn getest, worden de relevante sleutels in de gateway voor contactonderzoek geüpload. Uit de gegevens van de gateway blijkt dat het gebruik van contactonderzoek in de lidstaten uiteenliep. Het aantal in de gateway geüploade sleutels laat zien dat het overgrote deel ervan uit één land afkomstig was.

Aandeel van het totale aantal in de gateway voor contactonderzoek geüploade sleutels

Bron: ERK, op basis van openbaar beschikbare gegevens van de European Federation Gateway Service (oktober 2020 – mei 2022).

Verklarende woordenlijst

Grenscontrole: controles en bewaking die aan een grens worden uitgevoerd ten aanzien van diegenen die deze grens (willen) oversteken.

Kwetsbaarheidsscan: proces van het inspecteren van netwerkapparaten, computersystemen en -toepassingen om problemen en zwakke punten vast te stellen.

Penetratietest: methode om de mate van beveiliging van een IT-systeem te beoordelen door te proberen de beveiligingswaarborgen te omzeilen met instrumenten en technieken die doorgaans door tegenstanders worden ingezet.

Schengengebied: een groep van 26 Europese landen die paspoort- en immigratiecontroles aan hun gemeenschappelijke grenzen hebben afgeschaft.

Verwerkingsverantwoordelijke: in de zin van de algemene verordening gegevensbescherming van de EU, een persoon of organisatie die bepaalt hoe en voor welke doeleinden persoonsgegevens moeten worden verwerkt.

Antwoorden van de Europese Commissie

https://www.eca.europa.eu/nl/Pages/DocItem.aspx?did=62947.

Controleteam

In de speciale verslagen van de ERK worden de resultaten van haar controles van EU-beleid en -programma’s of beheersthema’s met betrekking tot specifieke begrotingsterreinen uiteengezet. Bij haar selectie en opzet van deze controletaken zorgt de ERK ervoor dat deze een maximale impact hebben door rekening te houden met de risico’s voor de prestaties of de naleving, de omvang van de betrokken inkomsten of uitgaven, de verwachte ontwikkelingen en de politieke en publieke belangstelling.

Deze doelmatigheidscontrole werd verricht door controlekamer III “Externe maatregelen, veiligheid en justitie”, die onder leiding staat van ERK-lid Bettina Jakobsen. De controle werd geleid door ERK-lid Baudilio Tomé Muguruza, ondersteund door Daniel Costa De Magalhães, kabinetschef, en Ignacio García de Parada Miranda, kabinetsattaché; Alejandro Ballester Gallardo, hoofdmanager; Piotr Senator, taakleider en João Coelho, Mirko Iaconisi, Ioanna Topa en Andrej Minarovic, auditors. Michael Pyper verleende taalkundige ondersteuning.

Van links naar rechts: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi en Michael Pyper.

Voetnoten

1 Artikel 20, lid 2, en artikel 21, lid 1, van het Verdrag betreffende de werking van de Europese Unie.

2 Richtlijn 2004/38/EG.

3 Artikel 168, lid 7, van het Verdrag betreffende de werking van de Europese Unie.

4 Artikel 17 van het Verdrag betreffende de Europese Unie (VEU).

5 Artikel 4, lid 2, punt k), artikel 6, punt a), en artikel 168, VWEU.

6 Richtlijn 2011/24/EU betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg.

7 Speciaal verslag 13/2022.

8 Speciaal verslag 19/2022.

9 Verklaring van de Commissie van 15 juni 2021.

10 Figuur 4 van Speciaal verslag 13/2022.

11 Richtsnoeren voor grensbeheermaatregelen tot bescherming van de gezondheid en tot waarborging van de beschikbaarheid van goederen en essentiële diensten, C(2020)1753 final, PB C 86I van 16.3.2020.

12 Mededelingen van de Commissie C(2020) 3250, C(2020) 3251 en C(2020) 3139.

13 Aanbeveling (EU) 2020/1475 van de Raad.

14 Uitvoeringsbesluit (EU) 2021/858 van de Commissie.

15 E-gezondheid en COVID-19, website van de Europese Commissie.

16 E-gezondheidsnetwerk, “Guidelines on verifiable vaccination certificates - basic interoperability elements”, 12.3.2021.

17 Verordening (EU) 2021/953.

18 Voorstel voor een verordening, COM(2021) 130.

19 Procedure 2021/0068/COD.

20 Activiteitenverslag “Development and Trends of the Ordinary legislative Procedure”, Europees Parlement.

21 Better regulation Guidelines, SWD(2017) 350, 7 juli 2017.

22 Enisa, Taking Care of Health Data.

23 Verordening (EU) 2016/679 van het Europees Parlement en de Raad.

24 ISACA, Certified Information System Auditor review manual, 2019; ISO/IEC-norm 27001 (Internationale Organisatie voor normalisatie / Internationale Elektrotechnische Commissie).

25 Draft Data Protection Risk Assessment (DPRA-DRAFT).

26 E-gezondheidsnetwerk, “EU DCC Revocation — B2A Communication between the Backend and the Applications”, punt 4.6.3.

27 ISACA, Certified Information System Auditor review manual, 2019.

28 Besluit 2017/46 van de Commissie over de beveiliging van communicatie- en informatiesystemen binnen de Europese Commissie en uitvoeringsvoorschriften C(2017)8841 final.

29 ISO/IEC-normen 27001, 27002, 27005 en 27035 (Internationale Organisatie voor normalisatie / Internationale Elektrotechnische Commissie).

30 ISO/IEC-norm27001 (Internationale Organisatie voor normalisatie / Internationale Elektrotechnische Commissie).

31 Speciaal verslag 13/2022, paragrafen 69 en 75.

32 Digitaal traceringsformulier voor passagiers van de EU.

33 Wekelijkse epidemiologische update over COVID-19 — 25 mei 2022, Wereldgezondheidsorganisatie.

34 Speciaal verslag 13/2022.

Contact

EUROPESE REKENKAMER
12, rue Alcide De Gasperi
L-1615 Luxemburg
LUXEMBURG

Tel. +352 4398-1
Inlichtingen: eca.europa.eu/nl/Pages/ContactForm.aspx
Website: eca.europa.eu
Twitter: @EUAuditors

Meer gegevens over de Europese Unie vindt u op internet via de Europaserver (https://europa.eu).

Luxemburg: Bureau voor publicaties van de Europese Unie, 2023

PDF ISBN 978-92-847-9230-6 ISSN 1977-575X doi:10.2865/556337 QJ-AB-22-027-NL-N
HTML ISBN 978-92-847-9238-2 ISSN 1977-575X doi:10.2865/607152 QJ-AB-22-027-NL-Q

AUTEURSRECHT

© Europese Unie, 2023

Het beleid van de Europese Rekenkamer (ERK) inzake hergebruik is uiteengezet in Besluit nr. 6-2019 van de ERK over het opendatabeleid en het hergebruik van documenten.

Tenzij anders aangegeven (bijv. in afzonderlijke auteursrechtelijke mededelingen), wordt voor inhoud van de ERK die eigendom is van de EU een licentie verleend in het kader van de Creative Commons Attribution 4.0 International (CC BY 4.0)-licentie. Als algemene regel geldt derhalve dat hergebruik is toegestaan mits de bron correct wordt vermeld en eventuele wijzigingen worden aangegeven. De hergebruiker van ERK-inhoud mag de oorspronkelijke betekenis of boodschap niet wijzigen. De ERK is niet aansprakelijk voor mogelijke gevolgen van hergebruik.

Aanvullende toestemming moet worden verkregen indien specifieke inhoud personen herkenbaar in beeld brengt, bijvoorbeeld op foto’s van personeelsleden van de ERK, of werken van derden bevat.

Indien dergelijke toestemming wordt verkregen, wordt de bovengenoemde algemene toestemming opgeheven en zullen beperkingen van het gebruik daarin duidelijk worden aangegeven.

Wilt u inhoud gebruiken of reproduceren die geen eigendom van de EU is, dan dient u de auteursrechthebbende mogelijk rechtstreeks om toestemming te vragen.

Software of documenten waarop industriële-eigendomsrechten rusten, zoals octrooien, handelsmerken, geregistreerde ontwerpen, logo’s en namen, zijn uitgesloten van het beleid van de ERK inzake hergebruik.

De groep institutionele websites van de Europese Unie met de domeinnaam “europa.eu” bevat links naar sites van derden. Aangezien de ERK geen controle heeft over deze sites, wordt u aangeraden kennis te nemen van hun privacy- en auteursrechtbeleid.

Gebruik van het ERK-logo

Het logo van de ERK mag niet worden gebruikt zonder voorafgaande toestemming van de ERK.

HOE NEEMT U CONTACT OP MET DE EU?

Kom langs
Er zijn honderden Europe Direct-centra overal in de Europese Unie. U vindt het adres van het dichtstbijzijnde centrum online (european-union.europa.eu/contact-eu/meet-us_nl).

Bel of schrijf
Europe Direct is een dienst die uw vragen over de Europese Unie beantwoordt. U kunt met deze dienst contact opnemen door:

  • te bellen naar het gratis nummer: 00 800 6 7 8 9 10 11 (bepaalde telecomaanbieders kunnen wel kosten in rekening brengen);
  • te bellen naar het gewone nummer: +32 22999696, of
  • het onlineformulier in te vullen: european-union.europa.eu/contact-eu/write-us_nl

WAAR VINDT U INFORMATIE OVER DE EU?

Online
Informatie over de Europese Unie in alle officiële talen van de EU is beschikbaar op de Europa-website (european-union.europa.eu).

EU-publicaties
U kunt publicaties van de EU bekijken of bestellen op op.europa.eu/nl/publications. Als u meerdere exemplaren van gratis publicaties wenst, neem dan contact op met Europe Direct of uw plaatselijke documentatiecentrum (european-union.europa.eu/contact-eu/meet-us_nl).

EU-wetgeving en aanverwante documenten
Toegang tot juridische informatie van de EU, waaronder alle EU-wetgeving sinds 1951 in alle officiële talen, krijgt u op EUR‑Lex (eur-lex.europa.eu).

Open data van de EU
Het portaal data.europa.eu biedt toegang tot opendatabestanden van de instellingen, organen en agentschappen van de EU. Deze kunnen gratis worden gedownload en hergebruikt, zowel voor commerciële als voor niet-commerciële doeleinden. Het portaal biedt ook toegang tot een grote hoeveelheid databestanden van de Europese landen.