Vingerscanautorisatie wordt steeds vaker gebruikt door werkgevers. De vingerafdruk is echter een biometrisch gegeven en het gebruik hiervan is sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in principe niet toegestaan. Het is daarom van belang dat u de keuze hiervoor goed motiveert en toestemming van uw werknemers krijgt om deze te gebruiken.
Werkgevers voeren steeds weer nieuwe, geavanceerdere beveiligingsmaatregelen in. Zo gebruiken steeds meer werkgevers een vingerscanautorisatie-systeem. Met hun vingerafdruk kunnen werknemers toegang krijgen tot een computer, de kassa of het bedrijfspand. Maar mag dat wel?
De Rechtbank Amsterdam oordeelde dat schoenenwinkel Manfield werknemers niet mag verplichten tot het gebruiken van een vingerscan-autorisatiesysteem. Dit is in strijd met de Algemene verordening gegevensbescherming (AVG).
Werknemers van schoenenwinkel Manfield logden voorheen met een persoonlijke cijfercode in op het kassasysteem. Deze cijfercode verving Manfield door een vingerscan-autorisatiesysteem: voortaan konden werknemers enkel met hun vingerafdruk inloggen op het kassasysteem.
Eén werkneemster van Manfield weigert het nieuwe systeem te gebruiken. Volgens haar maakt het systeem inbreuk op haar privacyrechten. Manfield en de werkneemster stappen naar de rechter: weigert de werkneemster terecht om haar vingerafdruk af te staan?
Volgens Manfield is het vingerscan-autorisatiesysteem noodzakelijk ter beveiliging van gevoelige informatie die via het kassasysteem toegankelijk is, zoals financiële informatie en persoonsgegevens van werknemers en klanten. Het oude systeem met de cijfercode kan deze gegevens onvoldoende beschermen.
Ook is Manfield geconfronteerd met meerdere fraudegevallen waarbij werknemers geld uit de kassa hadden gestolen. Werknemers konden met het oude systeem gemakkelijk de cijfercode van een andere werknemer invoeren, waardoor Manfield niet meer kon herleiden wie het geld gestolen had. Het nieuwe systeem met vingerscan maakt deze praktijken onmogelijk.
De werkneemster beriep zich op de AVG. Vingerafdrukken zijn zogenaamde ‘biometrische gegevens’ en die mogen volgens de AVG niet worden verwerkt. Slechts in uitzonderlijke gevallen mag dit toch, bijvoorbeeld met toestemming van de werknemer.
Biometrische gegevens mogen ook worden verwerkt als identificatie met deze gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Hiervan is bijvoorbeeld sprake als de toegang beperkt moet blijven tot een kleine groep geautoriseerde personen, zoals bij een kerncentrale. Belangrijk hierbij is ook dat deze verwerking proportioneel moet zijn.
Let op: toestemming aan uw werknemers vragen voor het gebruiken van persoonsgegevens zoals vingerafdrukken is vaak niet voldoende! Ook dan kunt u in strijd met de AVG handelen. Deze toestemming moet namelijk in alle vrijheid worden gegeven, terwijl deze vrijheid in arbeidsrelaties vaak niet wordt aangenomen.
Manfield struikelt al over de eerste horde. Volgens de rechter kan het tegengaan van fraude door eigen werknemers niet worden aangemerkt als ‘noodzakelijk voor authenticatie of beveiligingsdoeleinden’. Daarnaast heeft de rechter zijn twijfels over hoe proportioneel het gebruik van een vingerscan is bij de bestrijding van deze fraude.
Ook bij Manfields standpunt dat vingerscanautorisatie nodig is ter beveiliging van gevoelige informatie sluit de rechter zich niet aan. De rechter meent dat Manfield alternatieven onvoldoende heeft onderzocht. Manfield had een afweging van voors en tegens van verschillende systemen moeten maken, op grond waarvan zij haar keuze voor het vingerscan-autorisatiesysteem had kunnen onderbouwen. Echter, een dergelijke onderbouwing ontbreekt.
De rechter concludeert dat het vingerscan-autorisatiesysteem van Manfield in strijd is met de AVG. Manfield mag werknemers daarom niet verplichten om gebruik te maken van dit systeem.
Op grond van de AVG is het niet per definitie verboden om vingerafdrukken, irisscans en andere biometrische gegevens te gebruiken. De uitspraak laat echter zien dat u de privacybelangen van uw werknemers en alle alternatieven zorgvuldig moet afwegen als u overweegt dergelijke beveiligingsmaatregelen in te voeren.
Vaak zult u een Data Protection Impact Assessment (DPIA) uit moeten voeren. Dit is verplicht als de gegevensverwerking waarschijnlijk een hoog pricavyrisico oplevert voor uw werknemers. Met een DPIA brengt u vooraf deze privacyrisico’s en de mogelijke maatregelen ter beperking van de risico’s in kaart. Wij voeren deze graag voor u uit.
Heeft u een ondernemingsraad (OR)? Vergeet niet dat de OR instemmingsrecht heeft bij de aanpassing van het privacybeleid.
Wilt u meer weten over de AVG? Zoekt u hulp bij het ‘AVG-proof’ verwerken van persoonsgegevens van uw werknemers of bij het uitvoeren van een DPIA? Neem dan contact met ons op:
Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?
Als uw werknemer ziek is, wilt u als werkgever weten wat er aan de hand is en hoe lang u uw werknemer moet missen. Maar hoe zit het met de privacy van de werknemer? Wat mag u vragen en wat niet?
On Monday 4 November 2024, Russell Advocaten Russell Advocaten will host a seminar on Dutch labour law for diplomats, consular agents, and administrative staff from Embassies and Consulates in collaboration with Diplomat Magazine.
On Wednesday 2 October 2024, Jan Dop will be one of the members of the panel that will present timely labor and employment law issues to Primerus clients.
Wednesday 25 September 2024, Reinier Russell will discuss cybersecurity and data protection in litigation at the European meeting of the World Litigation Forum in Barcelona.
On Tuesday 24 September 2024, Reinier Russell and Jan Dop will speak at the Technical Meeting of PAiE, the organisation of professional accountants in Europe.
