Die Weltgesundheitsorganisation (WHO) hat ihre technischen Leitlinien und Durchführungsbestimmungen für COVID-19-Impfstoffzertifikate veröffentlicht. Der Leitfaden basiert auf dem Mandat der W.H.O., die Gesundheitsversorgung und nicht die Wirtschaft zu unterstützen. Die Organisation geht unter anderem davon aus, dass die Mitgliedstaaten selbst entscheiden, wie sie die Inhaber von Zertifikaten eindeutig identifizieren wollen.
Die digitale Dokumentation von COVID-19-Bescheinigungen: Impfstatus: technische Spezifikationen und Umsetzungshinweise” der WHO ist in Abschnitte über ethische Erwägungen und Datenschutz, Kontinuität der Versorgung und Impfnachweis-Szenarien, den Kerndatensatz, die nationale Vertrauensarchitektur, Überlegungen zur nationalen Verwaltung und Umsetzungsüberlegungen unterteilt. Er ist als vorläufiger Leitfaden gedacht und gehört zu einer Reihe von Leitfäden, die auch eine separate Anleitung zur Dokumentation von Testergebnissen und zur Wiederherstellung von COVID enthalten.
Zu den wichtigsten Grundsätzen, die dem Kerndatensatz zugrunde liegen, gehören Datenminimierung, offene Standards, Papier- und digitale Implementierungen sowie der Gedanke, dass nicht alle Datenelemente auf dem Datenzertifikat zu finden sein müssen – der Kerndatensatz selbst besteht aus einer Kopfzeile, Angaben zum Impfereignis und Metadaten zum Zertifikat.
Der Vorschlag für die digitale Dokumentation von COVID-19-Zertifikaten (DDCC) zur Weitergabe des Impfstatus basiert auf einer Public-Key-Infrastruktur (PKI) und Barcodes oder QR-Codes.
In den Leitlinien wird bekräftigt, dass der Auftrag des Projekts lediglich darin besteht, die Bescheinigung über die erfolgte Impfung zu unterstützen, und nicht darin, einen Immunitätspass oder eine Genehmigung auszustellen.
Die Bescheinigungen können auf einem analogen Dokument ausgedruckt werden, wie auf einer handgeschriebenen Papierbescheinigung oder einem PDF-Ausdruck, oder auf einem Smartphone gespeichert werden.
Der Leitfaden legt fest, dass das DDCC:VS kein Identitätsdokument ist, und obwohl ein eindeutiger Identifikator empfohlen wird, reichen ein Name und ein Geburtsdatum als biografische Daten aus, um die vorgeschlagene Spezifikation zu erfüllen. Biometrische Daten werden unter den optionalen personenbezogenen Daten erwähnt.
Die W.H.O.-Leitlinien zu COVID-Zertifikaten betrafen ursprünglich nur den Anwendungsfall der Kontinuität der Versorgung, und die Ausweitung der Zertifikate auf analoge oder digitale “Gesundheitspässe” führt zu einer Reihe neuer ethischer Bedenken, die in den Leitlinien untersucht werden. Dazu gehört auch die Wahrscheinlichkeit von Betrug, und während eingebaute “Betrugsbekämpfungsmechanismen” zu den Empfehlungen in dem Dokument gehören, wird nicht erwähnt, wie diese Mechanismen aussehen sollten, außer dass sie ohne den Einsatz digitaler Technologie funktionieren sollten.
Zwar wird in dem Leitfaden darauf hingewiesen, dass die Identitätsbindung der Zertifikate erweitert werden kann, um Standards wie die der ICAO für den internationalen Reiseverkehr zu erfüllen, doch steht der Ansatz der WHO im Gegensatz zu denjenigen, die sich auf den Anwendungsfall des digitalen Gesundheitspasses konzentrieren, der eine Anleitung speziell für die Funktionsweise des digitalen Identitätsaspekts erforderlich macht.
