AP: forse boete voor verwerken vingerafdrukken werknemers
De Autoriteit Persoonsgegevens (AP) ontving een melding dat werknemers met hun vingerafdrukken moesten in- en uitklokken bij hun werkgever. Op basis van die melding verrichtte de AP onderzoek en concludeerde dat het bedrijf de AVG overtrad. Daarvoor besloot het AP een forse boete van €725.000,- op te leggen.
Een vingerafdruk is een biometrisch gegeven. En zodoende valt deze onder de categorie bijzondere persoonsgegevens in de AVG (artikel 9 AVG). Dat betekent dat een streng regime geldt voor wat betreft het verwerken van die persoonsgegevens.
Maar wat is een bijzonder persoonsgegeven? Mag een bijzonder persoonsgegeven worden verwerkt? En welke wettelijke uitzonderingen zijn er op het verwerkingsverbod van biometrische gegevens? In deze blog ga ik hier nader op in.
Vingerafdruk is een bijzonder persoonsgegeven
Bij inzet van biometrie (zoals een vingerafdruk) is het waarborgen van de privacy van een individu van groot belang. Omdat de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en fundamentele vrijheden van mensen, worden ze omschreven als bijzondere persoonsgegevens (artikel 9 AVG).
Een vingerafdruk is een uniek lichaamskenmerk dat altijd herleidbaar is tot een individu. En kan, anders dan een wachtwoord, niet gewijzigd worden. Daarom is het uitgangspunt dat een verwerkingsverbod geldt op het verwerken van bijzondere persoonsgegevens, zoals biometrische gegevens (bijvoorbeeld vingerafdrukken). Of er moet sprake zijn van een wettelijke uitzondering.
Redenen van de werkgever voor gebruik vingerscan
Werkgever gebruikte de vingerscansoftware voor aanwezigheids- en tijdregistratie, door bijvoorbeeld de salarisadministratie. Werkgever gaf aan dat de reden was voor het invoeren van de vingerscanapparatuur het terugdringen van het misbruik bij het in- en uitklokken. De vingerscan bood een sluitende aanwezigheidsregistratie.
Ook speelden andere praktische voordelen mee. Bij de vingerscan was er geen ‘druppel’ meer nodig om in- en uit te klokken. Zodoende vielen aanschafkosten weg, en kon de ‘druppel’ niet meer worden beschadigd. Daarnaast was het systeem van druppelscanners verouderd en aan vervanging toe: die investering wilde het bedrijf voorkomen.
Zijn de door werkgever genoemde redenen voldoende om het wettelijk verwerkingsverbod terzijde te schuiven?
Wettelijke uitzonderingen op verwerkingsverbod
Om het wettelijk verbod op het verwerken van biometrische gegevens ter zijde te schuiven, moet voldaan zijn aan een van de twee in de wet genoemde uitzonderingen (artikel 9 lid 2 onder g AVG en artikel 29 UAVG).
Uitdrukkelijke toestemming
De eerste uitzondering betreft de uitdrukkelijke toestemming. Dit houdt in dat sprake moet zijn van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de persoon die verwerking van zijn/haar persoonsgegeven aanvaardt. Deze ‘toestemming’ moet in dit geval ook nog ‘uitdrukkelijk’ zijn, ofwel de verklaring moet uitdrukkelijk zijn. Denk aan schriftelijke toestemming.
In dit specifieke geval (een arbeidsrelatie) kan in principe geen sprake zijn van ‘uitdrukkelijke toestemming’ van de medewerker. Dit door de hiërarchische relatie die bestaat tussen werkgever en werknemer. Deze wettelijke uitzondering bood het bedrijf dus geen soelaas.
Noodzakelijk voor authenticatie of beveiligingsdoeleinden
De tweede uitzondering betreft het noodzakelijk zijn voor authenticatie of beveiligingsdoeleinden. Daarvoor dient te worden afgewogen of identificatie door middel van biometrie noodzakelijk en proportioneel is.
De AP oordeelt dat het verwerken van vingerscans in het kader van (het tegengaan van misbruik bij) tijdsregistratie en aanwezigheidscontrole niet noodzakelijk en proportioneel is. Evenmin kan het bedrijf zich met succes beroepen op deze tweede uitzonderingsmogelijkheid.
De AP concludeert daarom dat het bedrijf artikel 9 AVG heeft overtreden en legt vervolgens een flinke boete op. Het bedrijf heeft bezwaar gemaakt tegen het besluit van de AP.
Conclusie: strenge regels voor gebruik vingerafdrukken
Het invoeren van vingerscanautorisatie voor medewerkers in jouw organisatie vergt een zeer zorgvuldige afweging vooraf en aanpak. Immers het uitgangspunt is dat het verboden is om bijzondere persoonsgegevens te verwerken, tenzij sprake is van een in de wet opgesomde uitzonderingen.
Vragen?
Heb je vragen over invoering van personeelvolgsystemen en of deze binnen jouw bedrijf voldoen aan de privacyregels?