–

RK, vertegenwoordigd door D. Sudolská, advokátka,

–

de Tsjechische regering, vertegenwoordigd door M. Smolek, O. Serdula en J. Vláčil als gemachtigden,

–

de Nederlandse regering, vertegenwoordigd door M. K. Bulterman en A. Hanje als gemachtigden,

–

de Europese Commissie, vertegenwoordigd door A. Bouchagiar, H. Kranenborg en P. Ondrůšek als gemachtigden,

1

Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 2, lid 1, en artikel 4, punt 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2021, L 74, blz. 35; hierna: „AVG”).

2

Dit verzoek is ingediend in het kader van een geding tussen RK en de Ministerstvo zdravotnictví (ministerie van Volksgezondheid, Tsjechië; hierna: „ministerie”) over de vaststelling door dat ministerie van een noodmaatregel tot regeling van de toegang van personen tot bepaalde plaatsen en evenementen ter bescherming van de bevolking tegen de verspreiding van de COVID-19-epidemie.

3

Overweging 1 AVG luidt als volgt: „De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie […] en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens.”

4

Artikel 2 van deze verordening, met als opschrift „Materieel toepassingsgebied”, bepaalt in lid 1:

„Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

5

Lid 2 van dit artikel somt vier gevallen op waarin de AVG „niet van toepassing [is] op de verwerking van persoonsgegevens”.

6

Artikel 4 AVG luidt:

„Voor de toepassing van deze verordening wordt verstaan onder:

[…]”

7

De artikelen 5 en 6 van deze verordening hebben respectievelijk betrekking op de „Bepalingen inzake verwerking van persoonsgegevens” en op de „Rechtmatigheid van de verwerking”.

8

Overweging 48 van verordening (EU) 2021/953 van het Europees Parlement en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren (PB 2021, L 211, blz. 1) luidt:

„[De AVG] is van toepassing op de verwerking van persoonsgegevens uit hoofde van deze verordening. Bij deze verordening wordt de rechtsgrondslag vastgesteld voor de verwerking van persoonsgegevens in de zin van artikel 6, lid 1, punt c), en artikel 9, lid 2, punt g), van [de AVG], die nodig is voor de afgifte en verificatie van de in deze verordening bedoelde interoperabele certificaten. […] De lidstaten mogen persoonsgegevens voor andere doeleinden verwerken indien de rechtsgrondslag voor verwerking van dergelijke gegevens voor andere doeleinden, met inbegrip van de daarmee samenhangende bewaartermijnen, wordt geboden door het nationale recht, dat in overeenstemming moet zijn met het Unierecht inzake gegevensbescherming en de beginselen van doeltreffendheid, noodzakelijkheid en evenredigheid, en dat specifieke bepalingen moet bevatten waarin duidelijk de reikwijdte en omvang van de verwerking, het specifieke doel dat wordt beoogd, de categorieën entiteiten die het certificaat kunnen controleren en de relevante waarborgen ter voorkoming van discriminatie en misbruik worden vastgesteld, rekening houdend met de risico’s voor de rechten en vrijheden van de betrokkenen. […]”

9

Artikel 1 van deze verordening, met als opschrift „Onderwerp”, bepaalt:

„Bij deze verordening wordt een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) vastgesteld, teneinde de uitoefening van het recht van vrij verkeer door de houders van dergelijke certificaten tijdens de COVID-19-pandemie te faciliteren. Voorts helpt deze verordening de geleidelijke en gecoördineerde opheffing door de lidstaten te faciliteren van de ingestelde beperkingen van het vrije verkeer, in overeenstemming met het Unierecht, teneinde de verspreiding van SARS-CoV-2 in te dijken.

Zij voorziet in de rechtsgrondslag voor de verwerking van persoonsgegevens die nodig is voor de afgifte van dergelijke certificaten en voor de verwerking van de informatie die nodig is om de echtheid en geldigheid van dergelijke certificaten te verifiëren en te bevestigen, met volledige inachtneming van [de AVG].”

10

Artikel 3 van deze verordening, met als opschrift „Digitaal EU-COVID-certificaat”, bepaalt in lid 1 dat het kader voor het digitale EU-COVID-certificaat de afgifte, de grensoverschrijdende verificatie en de aanvaarding van vaccinatie-, test- en herstelcertificaten mogelijk maakt. Verder bepaalt lid 2: „De lidstaten, of aangewezen instanties die namens de lidstaten optreden, geven de in lid 1 van dit artikel bedoelde certificaten af in digitale vorm of op papier, of in beide vormen. De aspirant-houders hebben het recht de certificaten te ontvangen in de vorm van hun keuze. Die certificaten zijn gebruiksvriendelijk en bevatten een interoperabele streepjescode aan de hand waarvan de echtheid, geldigheid en integriteit ervan kunnen worden geverifieerd. De streepjescode voldoet aan de op grond van artikel 9 vastgestelde technische specificaties. De informatie in de certificaten wordt ook in voor mensen leesbare vorm weergegeven en wordt ten minste in de officiële taal of talen van de lidstaat van afgifte en in het Engels verstrekt.”

11

Artikel 5, lid 2, onder a), artikel 6, lid 2, onder a), en artikel 7, lid 2, onder a), van deze verordening bepalen dat de identiteit van de houder op respectievelijk een vaccinatie-, test- en herstelcertificaat moet worden vermeld.

12

Artikel 10 van deze verordening, met als opschrift „Bescherming van persoonsgegevens”, bepaalt in de eerste vier leden:

„1.   [De AVG] is van toepassing op de verwerking van persoonsgegevens uit hoofde van deze verordening.

2.   Voor de toepassing van deze verordening worden de persoonsgegevens in de op grond van deze verordening afgegeven certificaten uitsluitend verwerkt met het oog op de toegang tot en de verificatie van de in het certificaat opgenomen informatie, teneinde de uitoefening van het recht van vrij verkeer binnen de Unie tijdens de COVID-19-pandemie te faciliteren. Na het einde van de toepassingsduur van deze verordening worden de gegevens niet langer verwerkt.

3.   De persoonsgegevens in de in artikel 3, lid 1, bedoelde certificaten worden door de bevoegde autoriteiten van de lidstaat van bestemming of doorreis, of door de exploitanten van grensoverschrijdende personenvervoersdiensten die krachtens het nationale recht verplicht zijn om tijdens de COVID-19-pandemie bepaalde volksgezondheidsmaatregelen toe te passen, alleen verwerkt om de vaccinatie, het testresultaat of het herstel van de houder te verifiëren en te bevestigen. Daartoe worden de persoonsgegevens beperkt tot hetgeen strikt noodzakelijk is. De persoonsgegevens waartoe op grond van dit lid toegang is verkregen, worden niet bewaard.

4.   De persoonsgegevens die met het oog op de afgifte van de in artikel 3, lid 1, bedoelde certificaten, met inbegrip van de afgifte van een nieuw certificaat, worden verwerkt, worden door de afgever niet langer bewaard dan strikt noodzakelijk is voor het doel ervan en in geen geval langer dan de periode waarin de certificaten mogen worden gebruikt om het recht van vrij verkeer uit te oefenen.”

13

Het ministerie heeft bij noodmaatregel van 29 december 2021 (hierna: „noodmaatregel”), vastgesteld teneinde de bevolking te beschermen tegen de verdere uitbreiding en verspreiding van de COVID-19-pandemie, met ingang van 3 januari 2022 verschillende voorwaarden gesteld voor de toegang van personen tot bepaalde binnen- en buitenruimten en hun deelname aan massa-evenementen of andere activiteiten. Zo werd met name het volgende verplicht gesteld: ten eerste, een PCR-test op SARS‑CoV‑2 met een negatief resultaat niet ouder dan 72 uur voor personen jonger dan 18 jaar, voor personen die niet tegen COVID-19 konden worden gevaccineerd wegens een contra-indicatie, en voor personen die niet over een volledig vaccinatieprogramma beschikten, of, ten tweede, het verstrijken van ten minste 14 dagen na de voltooiing van het volledige vaccinatieprogramma met een toegelaten geneesmiddel, of, ten derde, in het geval van een door een laboratorium bevestigde besmetting met COVID-19, het beëindigen van de isolatieperiode en het verstrijken van niet meer dan 180 dagen vanaf de eerste positieve test.

14

De noodmaatregel behelsde dat de klanten (toeschouwers, deelnemers) dienden aan te tonen dat aan deze voorwaarden was voldaan en verplichtte de exploitanten (organisatoren) om de naleving ervan te controleren door middel van de mobiele applicatie „čTečka” van het ministerie. Indien de klant niet kon aantonen dat hij aan die voorwaarden voldeed, was het de dienstverlener of exploitant verboden hem de dienst te verlenen en hem toegang te geven tot de ruimte of het evenement. Volgens de noodmaatregel zorgde deze applicatie voor een betrouwbare verificatie van de echtheid en de geldigheid van het bewijsstuk met een QR-code.

15

Om uitspraak te kunnen doen op het door RK op 20 januari 2022 ingestelde beroep tot nietigverklaring van de noodmaatregel acht de Nejvyšší správní soud (hoogste bestuursrechter, Tsjechië), de verwijzende rechter, het noodzakelijk om eerst te onderzoeken of de toetsing van de voorwaarden van „infectievrijheid” door middel van de applicatie „čTečka” een geautomatiseerde „verwerking” van persoonsgegevens in de zin van artikel 4, punt 2, AVG vormt. Hij is namelijk van mening dat de informatie die verkregen wordt uit de digitale certificaten van de EU persoonsgegevens in de zin van artikel 4, punt 1, AVG zijn. Indien dat het geval is, is die verordening volgens artikel 2, lid 1, ervan van toepassing.

16

De verwijzende rechter preciseert dat het via de mobiele applicatie „čTečka” mogelijk is om de geldigheid van de krachtens verordening 2021/953 afgegeven digitale EU-COVID-certificaten te controleren en te verifiëren. Deze applicatie scant de QR-code van het certificaat met behulp van de camera van de mobiele telefoon van de persoon die de controle uitvoert. Deze persoon beschikt vervolgens over een overzicht van de basisidentificatiegegevens van de houder van het certificaat (voor- en achternaam en geboortedatum) en over de status van dat certificaat (geldig/ongeldig). Door op een bepaalde knop in de applicatie te drukken kan de persoon die de controle uitvoert, toegang krijgen tot alle informatie die op het certificaat is vermeld, zoals de vaccinatie, het vaccintype, de fabrikant van het vaccin, het aantal doses, de datum van vaccinatie, de datum van het eerste positieve resultaat en de uitgever van het certificaat. De mobiele applicatie „čTečka” geeft deze gegevens slechts tijdelijk weer op het scherm van de mobiele telefoon van de persoon die het toezicht uitoefent, zonder dat die gegevens worden bewaard of doorgestuurd.

17

De verwijzende rechter wijst erop dat deze applicatie, om de geldigheid van een digitaal EU-COVID-certificaat te verifiëren, eens per 24 uur of op verzoek de openbare sleutels van de certificaten van de lidstaten en hun validatieregels downloadt vanaf de door het ministerie beheerde server. Dit procedé kan ook offline plaatsvinden. Wanneer de applicatie wordt geïnstalleerd op de mobiele telefoon van de persoon die de controle uitvoert, verschijnt volgende tekst: „De čTečka-applicatie wordt geëxploiteerd overeenkomstig het Unierecht en het Tsjechische recht en faciliteert het vrije verkeer van personen en de toegang tot diensten en evenementen tijdens de COVID-19-pandemie. De applicatie verwerkt de persoonsgegevens van de houders van digitale COVID-certificaten van de lidstaten van de Unie met het oog op controle door personen die daartoe gemachtigd zijn op grond van de verordening van de Unie, noodmaatregelen die genomen worden door het [ministerie] of op vrijwillige basis. Noch de persoonsgegevens noch de gezondheidstoestand van de gecontroleerde personen worden door de applicatie bewaard of doorgestuurd. Gedetailleerde informatie over de verwerking van persoonsgegevens kan in de gebruiksvoorwaarden worden teruggevonden.”

18

De verwijzende rechter merkt voorts op dat een door een lidstaat krachtens artikel 3, lid 2, van verordening 2021/953 afgegeven certificaat een interoperabele streepjescode moet bevatten aan de hand waarvan de authenticiteit, de geldigheid en de integriteit ervan kunnen worden gecontroleerd. Hij wijst erop dat de in punt 16 van het onderhavige arrest genoemde persoonsgegevens door middel van een geautomatiseerd procedé, met behulp van de applicatie „čTečka”, worden omgezet van een machinaal leesbare vorm in een voor de mens leesbare vorm, hetgeen een verwerking van persoonsgegevens in de zin van artikel 4, punt 2, AVG zou kunnen opleveren.

19

De verwijzende rechter betwijfelt echter of deze eenvoudige omzetting en de weergave van deze gegevens op een mobiele telefoon een „verwerking” in de zin van deze bepaling vormen, temeer daar deze twee bewerkingen niet kunnen leiden tot verkeerd gebruik of misbruik van persoonsgegevens en evenmin tot inmenging in het recht op bescherming van die gegevens, aangezien de applicatie de aldus verkregen gegevens niet doorgeeft.

20

De verwijzende rechter is voorts van oordeel dat de verificatie van de geldigheid van het certificaat door de applicatie „čTečka” ook een verwerking van persoonsgegevens zou kunnen vormen, aangezien deze bewerking ertoe leidt dat gebruik wordt gemaakt van de in dat certificaat opgenomen persoonsgegevens die betrekking hebben op de gezondheidstoestand van de gecontroleerde persoon. Om te kunnen beoordelen of het certificaat al dan niet geldig is en om te kunnen bepalen of de betrokkene voldoet aan de zogenoemde voorwaarden voor „infectievrijheid” waarin de noodmaatregel voorziet, moet de applicatie immers noodzakelijkerwijs nagaan of de informatie over de gezondheidstoestand van deze persoon, zoals de vaccinatiedatum, strookt met de op dat moment geldende validatieregels.

21

Ten slotte is deze rechter van oordeel dat de combinatie van de procedés die bij de controle van de certificaten worden uitgevoerd door de applicatie „čTečka”, namelijk de omzetting van persoonsgegevens van de QR-code in een voor de mens leesbare vorm, vervolgens de weergave ervan op een mobiele telefoon, het raadplegen ervan door de controlerende persoon en uiteindelijk de beoordeling van de geldigheid van het certificaat door deze applicatie door middel van een vergelijking van de persoonsgegevens betreffende de gezondheidstoestand met de validatieregels, een verwerking van persoonsgegevens kan opleveren. Hoewel deze handelingen mogelijkerwijs afzonderlijk beschouwd geen verwerking in de zin van artikel 4, punt 2, AVG vormen, zouden die bewerkingen samen wel tot die kwalificatie kunnen leiden.

22

In dit verband merkt de verwijzende rechter op dat artikel 10, leden 1 en 3, van verordening 2021/953 uitdrukkelijk bepaalt dat de AVG met het oog op de uitoefening van het recht van vrij verkeer binnen de Unie van toepassing is op de verwerking van persoonsgegevens die zijn opgenomen in de digitale EU-COVID-certificaten. Bovendien moet volgens overweging 48 van verordening 2021/953 voor de verwerking van de in de certificaten opgenomen persoonsgegevens een uniforme rechtsregeling gelden.

23

In die omstandigheden heeft de Nejvyšší správní soud de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld:

„Is bij de met behulp van de nationale applicatie ‚čTečka’ verrichte verificatie van de geldigheid van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten die worden afgegeven overeenkomstig verordening [2021/953] en die door Tsjechië voor nationale doeleinden worden toegepast, sprake van een geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 4, punt 2, [AVG], zodat deze handeling overeenkomstig artikel 2, lid 1, [AVG] binnen de materiële werkingssfeer van deze verordening valt?”

24

Met zijn vraag wenst de verwijzende rechter in wezen te vernemen of het begrip „verwerking” van persoonsgegevens, zoals bedoeld in artikel 4, punt 2, AVG, aldus moet worden uitgelegd dat het ook de verificatie door middel van een mobiele nationale applicatie omvat van de geldigheid van interoperabele COVID‑19-vaccinatie-, test- en herstelcertificaten die overeenkomstig verordening 2021/953 worden afgegeven en door een lidstaat voor nationale doeleinden worden gebruikt.

25

Het staat vast dat meerdere delen van de in punt 16 van het onderhavige arrest genoemde informatie waartoe de met de controle belaste persoon toegang heeft bij de toetsing van de geldigheid van een digitaal EU-COVID-certificaat, „persoonsgegevens” in de zin van artikel 4, punt 1, AVG vormen. Uit deze bepaling blijkt immers dat het begrip „persoonsgegevens” verwijst naar „alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon” en dat deze identificatie met name kan voortvloeien uit het gebruik van de naam van de betrokken persoon.

26

Wat dit laatste betreft, kan worden volstaan met de vaststelling dat artikel 5, lid 2, onder a), artikel 6, lid 2, onder a), en artikel 7, lid 2, onder a), van verordening 2021/953 bepalen dat de identiteit van de houder op respectievelijk een vaccinatie-, test- en herstelcertificaat moet worden vermeld.

27

Na deze vaststelling moet worden opgemerkt dat het begrip „verwerking” in artikel 4, punt 2, AVG wordt gedefinieerd als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés”. In een niet-limitatieve opsomming, die wordt ingeleid door het woord „zoals”, noemt deze bepaling als voorbeelden van verwerking onder meer het raadplegen en gebruiken van persoonsgegevens. Uit de bewoordingen van deze bepaling, met name uit de uitdrukking „een bewerking”, blijkt dat de Uniewetgever aan het begrip „verwerking” een ruime strekking heeft willen geven [zie in die zin arrest van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C‑175/20, EU:C:2022:124, punt 35].

28

Deze ruime uitlegging van de begrippen „persoonsgegevens” en „verwerking” is in overeenstemming met de doelstelling om de doeltreffendheid te waarborgen van het in overweging 1 AVG vermelde grondrecht op bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, dat aan de basis van de toepassing van deze verordening ligt.

29

In casu scant een nationale mobiele applicatie, zoals de applicatie „čTečka”, de QR-code op het digitale EU-COVID-certificaat om de daarin vervatte persoonsgegevens om te zetten in een vorm die leesbaar is voor de persoon die belast is met de controle van de geldigheid van dat certificaat. Aldus stelt een dergelijke applicatie de persoon die belast is met de controle in staat om na afloop van een geautomatiseerd procedé – namelijk het scannen – persoonsgegevens te raadplegen en ze te gebruiken teneinde te beoordelen of de situatie van de betrokkene in overeenstemming is met de validatieregels, met andere woorden met de toepasselijke gezondheidsvereisten. Het resultaat van deze beoordeling is ook geautomatiseerd, aangezien op de mobiele telefoon van de controlerende persoon een groen vinkje wordt weergegeven wanneer aan de gezondheidsvereisten is voldaan en een rood kruis wanneer dat niet het geval is.

30

Derhalve moet worden geoordeeld dat de verificatie door middel van de applicatie „čTečka” van de geldigheid van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten die overeenkomstig verordening 2021/953 worden afgegeven, een geval van „verwerking” in de zin van artikel 4, punt 2, AVG vormt en overeenkomstig artikel 2, lid 1, van deze verordening binnen de materiële werkingssfeer ervan valt.

31

De in punt 30 van het onderhavige arrest bedoelde uitlegging vindt steun in verordening 2021/953, die bepaalt dat de controle van het digitale EU-COVID-certificaat een geval van verwerking in de zin van artikel 4, punt 2, AVG vormt. Artikel 1, tweede alinea, van verordening 2021/953 bepaalt namelijk dat deze verordening „voorziet in de rechtsgrondslag voor de verwerking van de persoonsgegevens die nodig is voor de afgifte van dergelijke certificaten en voor de verwerking van de informatie die nodig is om de echtheid en geldigheid van dergelijke certificaten te verifiëren en te bevestigen, met volledige inachtneming van [de AVG]”. Bovendien volgt uit overweging 48 van verordening 2021/953 dat de AVG van toepassing is op de verwerking van persoonsgegevens die plaatsvindt uit hoofde van verordening 2021/953 en dat deze verordening de rechtsgrondslag vaststelt voor de verwerking van persoonsgegevens in de zin van artikel 6, lid 1, onder c), en artikel 9, lid 2, onder g), AVG, die nodig is voor de afgifte en verificatie van de in verordening 2021/953 bedoelde interoperabele certificaten. Artikel 10, lid 1, van deze verordening bevestigt ook dat de AVG van toepassing is op de verwerking van persoonsgegevens uit hoofde van verordening 2021/953.

32

Het staat bijgevolg aan de verwijzende rechter om na te gaan of de verwerking die bij de noodmaatregel is ingevoerd in overeenstemming is met de in artikel 5 AVG neergelegde beginselen inzake gegevensverwerking en daarnaast voldoet aan een van de beginselen inzake de rechtmatigheid van de verwerking die in artikel 6 van deze verordening worden genoemd [zie met name arresten van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 96, en 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C‑60/22, EU:C:2023:373, punt 57].

33

Gelet op het voorgaande moet het begrip „verwerking” van persoonsgegevens bedoeld in artikel 4, punt 2, AVG aldus worden uitgelegd dat het ook de verificatie door middel van een mobiele nationale applicatie omvat van de geldigheid van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten die worden afgegeven overeenkomstig verordening 2021/953 en door een lidstaat voor nationale doeleinden worden gebruikt.

34

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Achtste kamer) verklaart voor recht:

Het begrip „verwerking” van persoonsgegevens bedoeld in artikel 4, punt 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat

het ook de verificatie door middel van een mobiele nationale applicatie omvat van de geldigheid van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten die worden afgegeven overeenkomstig verordening (EU) 2021/953 van het Europees Parlement en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19-pandemie te faciliteren, en door een lidstaat voor nationale doeleinden worden gebruikt.