Egyelőre nincs összhangban az uniós adatvédelem és a vakcinaútlevél kérdése

2021. április 8. 14:31
Egyre több tagállam tartja reálisnak, hogy a vakcinaútlevélen keresztül vezessék vissza az embereket a normalitáshoz. Ehhez azonban a technológiát és az adatvédelmi szabályokat harmonizálni szükséges.

Az Európai Bizottság feldobta a labdát

A koronavírus-vakcinák terjesztésével és egyre szélesebb körű elérhetőségével az immunitásigazolványra, „koronavírus-útlevélre” vonatkozó elképzelésekről szóló viták eldöntése is egyre sürgetőbbé válik. Ennek kapcsán jelent meg a minap a Sidley nevű adatvédelmi és kiberbiztonsági kutatócsoport tanulmánya, amelyben a szerzők a koronavírus-útlevél létjogosultságát vizsgálják.

A koronavírus-útlevél bevezetésével a jogalkotók tulajdonképpeni célja, hogy a fertőzésen igazoltan átesett, illetőleg vakcinával beoltott

állampolgárt a koronavírus-pandémia szempontjából „alacsony kockázatúnak” minősítse.

Ennek birtokában pedig az állampolgár elviekben jogosulttá válhatna arra, hogy mihamarabb újra tömegrendezvényeken (futballmeccseken, fesztiválokon, koncerteken) vehessen részt. A koronavírus-igazolvány ily módon közvetetten a „normalitáshoz való visszatérést” és a gazdaság fellendítését is szolgálja.

Ennek lehetőségét úgy az Európai Unió, mint az egyes tagállamok is vizsgálják. Március 17-én az Európai Bizottság előállt a maga javaslatával az úgy nevezett Digital Green Certificate-re (digitális zöldigazolványra) vonatkozóan. Ez tanúsítaná egyrészt azt, hogyha valaki megkapta a vakcinát, másrészt azt, hogy negatív koronavírus-teszttel rendelkezik, harmadrészt pedig, hogy az illető átesett a fertőzésen.

A zöldigazolványhoz egyfajta digitális aláírással (hitelességet igazoló elektronikus tanúsítvánnyal) ellátott QR-kód is tartozna. A koncepciót úgy kell elképzelni, mint egy tölcsért: a tagállami egészségügyi hatóságok feltöltik az igazolványra a páciens – állampolgár – személyes adatait (bizonyos egészségügyi adatokat is),

egy informatikai szűrő optimális esetben azonban csak azt az információt engedi át, hogy az állampolgár védett-e vagy sem, illetve, hogy maga az igazolvány hiteles adatokat tartalmaz-e vagy sem. 

Ezzel kapcsolatban a tanulmány több olyan aggályra is felhívja a figyelmet, amelyet megnyugtatóan rendezni kell ahhoz, hogy a koncepció élhető és megvalósítható legyen.

Egyre több állam lép

A brit kormány például húzott néhány vörös vonalat, amelyek egyúttal a vakcinaigazolvány felhasználási korlátait is jelentik. Nem lehet például az alapvető szolgáltatások (pl. élelmiszerellátás, tömegközlekedés) igénybevételét attól tenni függővé, hogy az állampolgár rendelkezik-e védettségi igazolvánnyal, vagy sem. Arról azonban már lehet vitázni, hogy a kényelmi szolgáltatások (pubok, éttermek, stb.) igénybevétele vakcinaigazolványhoz kötődjék. 

A dán kormány szintén dolgozik a maga vakcinaútlevelén, amelyet májusban készül bevezetni. Itt a dokumentumot az olyan szolgáltatások igénybevételéhez kell majd felmutatni, mint például a fodrászat, a szórakozás vagy az éttermi szolgáltatások. 

Magyarország, Izland és Észtország a blokklánc-technológián alapuló VaccineGuard tesztelésében vesz részt,

de Szaúd-Arábia és Svájc is dolgozik a maga megoldásán. 

Információbiztonság mindenek felett

A digitális zöldigazolvány sikerét informatikai alkalmazás garantálja. A tanulmány szerzői azonban arra hívják fel a figyelmet, hogy korántsem mindegy, hogy az alkalmazás fejlesztői mennyire körültekintőek; biztonsági rések mellett az applikáció hekkertámadásoknak lehet kitéve, így nyilvánvalóan alkalmatlanná válik arra a célra, amire létrehozták.

A szerzők erre svájci és izraeli példát hoznak. Előbbi esetében (meineimpfungen.ch) le kellett állítani a projektet, az állami adatvédelmi biztos ugyanis biztonsági kockázatokat tárt fel az applikáció esetében.

A szerzők szerint az adatkezelési aggályokra informatikai megoldásként a blokklánc-technológiát ajánlják (ilyen a VaccineGuard nevű applikáció), csakhogy ez a technológia szerintük nem áll teljesen összhangban az uniós adatvédelmi rendelettel (GDPR).

A blokklánc-technológia egyfajta folyamatosan kiegészülő hálózat működését feltételezi. A hálózatot szokás szerint egyfajta virtuális naplóként szokás leírni, amelybe az illetékesek betekinthetnek (a hasonló elven működő Bitcoin esetében bárki). A nyilvánosságból következően jogosultak – a vakcinaigazolványok esetében valószínűsíthetően a határőrök – lekérdezhetik, hogy ki rendelkezik hiteles védettségi adatokkal. A blokklánc egységét és zavartalanságát az elektronikus hitelesítés biztosítja. A blokklánc-technológia ugyanakkor elviekben lehetővé teszi azt is, hogy az állampolgárt az illetéktelenek ne tudják beazonosítani, illetve, hogy a hitelesítéshez csak a legszükségesebb információk áramoljanak a rendszeren.

A célhoz kötöttség megtartásáról, adatkorlátozásról és átláthatóságról se feledkezzünk meg

A tanulmány szerzői figyelmeztetnek arra is, hogy az applikáció esetében kiemelt jelentőséggel bír a célhoz kötöttség elve is. Ennek kapcsán egy idei szingapúri esetre emlékeztetnek, amikor a digitális koronavírus-igazolvány által tárolt személyes adatokhoz más applikációk is hozzá tudtak férni.

Sok múlik azon is, hogy a vakcinaigazolvány az állampolgár mely adatait tárolja. E körben kiemelten fontos, hogy minél kevesebb adatot tároljon, és ezeket is csak a lehető legrövidebb ideig. A szerzők szerint az is

fontos, hogy a vakcinaútlevéllel meglátogatott országok ne tárolhassák öncélúan a vakcinaútlevélből kinyert adatokat.

Hasonlóképpen fontos az átláthatóság is. Ez az adatkezelés esetében azt jelenti, hogy az állampolgárt a lehető legprecízebben, mégis közérthetően tájékoztassák arról, hogy milyen technológia és milyen módszerek mellett működtetik a digitális vakcinaigazolvány rendszerét. 

Kép: Ying Tang / NurPhoto / NurPhoto via AFP

Dobozi Gergely

Összesen 16 komment

Jelenleg csak a hozzászólások egy kis részét látja.
Hozzászóláshoz és a további kommentek megtekintéséhez lépjen be, vagy regisztráljon!

A kommentek nem szerkesztett tartalmak, tartalmuk a szerzőjük álláspontját tükrözi.
Hozzászóláshoz és a további kommentek megtekintéséhez lépjen be, vagy regisztráljon!

Bejelentkezés