Een toegangssysteem met gebruikmaking van een vingerafdrukscan. Dat lijkt veilig en makkelijk. Maar het mag niet altijd. Zo heeft de Autoriteit Persoonsgegevens (AP) een bedrijf onlangs een boete van € 725.000 euro gegeven voor het gebruik maken van een vingerafdrukscan voor de toegang tot de werkvloer. De AP ontving een melding van werknemers van een bedrijf dat zij verplicht zijn om met behulp van een vingerafdrukscan in en uit te klokken. Naar aanleiding van deze melding is de AP een onderzoek gestart.
Onderzoek
Het bedrijf is in januari 2017 gestart met het vastleggen en opslaan van vingerafdrukken. Uit het onderzoek bleek dat de vingerscanapparatuur was ingevoerd om het misbruik bij het in- en uitklokken terug te dringen. Het systeem had de volgende voordelen:
- Geen kosten voor aanschaf, verlies of beschadiging ‘druppels’;
- Sluitende aanwezigheidsregistratie;
- Mogelijk zou het systeem in de toekomst veiligheidsrisico’s kunnen ondervangen.
Het bedrijf gebruikt de vingerscansoftware voor aanwezigheids- en tijdsregistratie en voor de salarisadministratie. Daarnaast gebruikt het bedrijf ook nog steeds druppels. Formeel is het dus niet verplicht om in en uit te klokken met vingerafdruk.
Sinds de invoering van het systeem zijn van 337 medewerkers vingerafdrukken genomen en opgeslagen. Bij uitdiensttreding van een medewerker wordt de vingerafdruk wel geblokkeerd in het softwareprogramma, maar niet verwijderd.
De medewerkers zijn niet actief geïnformeerd over het inklokken met een vingerafdrukscan. Wie meer wilde weten, moest hiervoor het personeelshandboek maar raadplegen. Het bedrijf kon ook niet aantonen dat zij uitdrukkelijk toestemming vroegen voor het afnemen van vingerscans. Het bewijs dat medewerkers toestemming hebben gegeven of geweigerd ontbrak. Als een medewerker weigerde zijn vingerafdruk te geven, volgde een gesprek met de directeur. Na zo’n gesprek liet (bijna) iedereen alsnog zijn/haar vingerafdruk scannen.
AVG
Een vingerafdruk is een biometrisch gegeven. Biometrische gegevens zijn bijzondere persoonsgegevens, net zoals bijvoorbeeld ras, politieke opvattingen of religieuze overtuigingen. Deze persoonsgegevens zijn bijzonder omdat de verwerking ervan risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden van mensen. Voor het gebruik van bijzondere persoonsgegevens gelden daarom bijzondere regels.
Op grond van de AVG is de verwerking van biometrische gegevens verboden, tenzij zich de volgende uitzonderingen (voor zover hier relevant) voordoen:
- uitdrukkelijke toestemming van betrokkene;
- zwaarwegend algemeen belang;
Uitdrukkelijke toestemming is een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Een voorbeeld hiervan is schriftelijke toestemming, ondertekening, het versturen van een e-mail om toestemming te geven of toestemming met tweetrapsverificatie. Werknemers moeten de toestemming ook vrijelijk gegeven. Dat betekent dat er geen dwang achter mag zitten. De toestemming mag ook geen voorwaarde zijn voor iets anders.
Oordeel Autoriteit Persoonsgegevens
Het bedrijf kan niet bewijzen dat zij beschikt over procedures of andere documentatie waarmee zij kan aantonen dat zij uitdrukkelijk toestemming vraagt voor het afnemen van vingerafdrukken en het gebruik van vingerscans. Het bedrijf kan ook niet aantonen dat zij haar werknemers voldoende heeft geïnformeerd over de verwerking van biometrische gegevens. Gezien de afhankelijkheid die het gevolg is van de relatie tussen werkgever en werknemer, is het niet waarschijnlijk dat werknemers vrijelijk toestemming konden verlenen. Het gebruik van biometrische gegevens kan dus niet zijn gebaseerd op de uitdrukkelijke toestemming van een werknemer.
De verwerking van biometrische gegevens kan ook zijn toegestaan, als dat noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Het gebruik van biometrische gegevens moet noodzakelijk en proportioneel zijn. De AP is van oordeel dat het verwerken van biometrische gegevens in het kader van (het tegengaan van) misbruik bij tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur bij het bedrijf niet noodzakelijk en proportioneel is. De noodzaak van beveiliging is niet zodanig hoog is dat werknemers met biometrie toegang moeten krijgen. Het bedrijf kan zich niet beroepen op deze uitzonderingsgrond. (Een vingerafdrukscan voor authenticatie of beveiligingsdoeleinden is bijvoorbeeld wel gerechtvaardigd voor kerncentrales.)
Omdat het bedrijf het verbod om bijzondere persoonsgegevens te verwerken heeft geschonden, legt de AP hem een boete van € 725.000 op.
Rechtbank
Ook de rechter heeft inmiddels in een andere zaak, een oordeel gegeven over het gebruik van een vingerafdrukscan voor authenticatie en beveiligingsdoeleinden.
Manfield had een vingerscan-autorisatiesysteem voor haar kassasysteem ingevoerd. Zij vindt dat er een noodzaak is voor het gebruik van een vingerscanautorisatiesysteem. Het systeem verwerkt financiële informatie en persoonsgegevens van medewerkers en klanten. Manfield is verplicht om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen. Het bestaande systeem waarbij een code moest worden ingevoerd werd niet langer passend geacht. Daarnaast helpt het systeem bij het tegengaan van fraude door eigen medewerkers.
Een van de medewerkers van Manfield heeft zich verzet tegen het gebruik van haar vingerafdruk. Zij is van mening dat de methode inbreuk maakt op haar privacyrechten. Daarnaast steekt het de medewerker dat over de invoering van het systeem op geen enkele wijze met haar is gecommuniceerd.
Volgens de medewerker is er geen noodzaak tot het gebruik van de vingerscan, omdat er andere mogelijkheden zijn die minder ingrijpend zijn voor werknemer. Hier kun je denken aan een toegangspas of cijfercodes, al dan niet in combinatie met elkaar.
De rechter overweegt dat hier geen sprake is van het type bedrijfsbelang waarvoor een vingerafdrukscan noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Er zijn voldoende alternatieven beschikbaar in de vorm van toegangscodes, al dan niet in combinatie met pasjes die een voldoende mate van beveiliging waarborgen. De rechter stelt de medewerker dus in het gelijk. Manfield mag aan medewerker niet de verplichting tot het gebruik van een vingerscanautorisatiesysteem opleggen, omdat dit in strijd met de AVG wordt geacht.
Conclusie
In beide gevallen hebben deze bedrijven dus veel geld uitgegeven aan een toegangssysteem om vervolgens tot de conclusie te komen dat het gebruik van een dergelijk toegangssysteem niet zonder meer is toegestaan. In het eerste geval leverde dit naast de kosten van het systeem zelf, ook nog eens een boete van € 725.000 op.
Als ik deze uitspraken lees is het gebruik van een dergelijk systeem in principe alleen mogelijk op basis van toestemming van een medewerker. Er zal immers zelden een echte noodzaak voor het gebruik van een dergelijk systeem zijn. Dat betekent dat er naast het gebruik van een vingerafdruk voor toegang ook een ander systeem nodig is.
Ook goed om je te realiseren dat vóór het gebruikmaken van biometrische gegevens altijd een DPIA (Data Protection Impact Assessment) moet worden uitgevoerd. Bij dit onderzoek wordt gekeken naar de privacyrisico’s van de gegevensverwerking en naar maatregelen om die risico’s te verkleinen.
Een toegangsmethode met een vingerafdrukscan lijkt dus mooi, maar er zitten een hoop haken en ogen aan. Overweeg je een dergelijk systeem? Ga dan niet over één nacht ijs en laat je goed informeren. Bij voorkeur door iemand anders dan de leverancier van het systeem. Die heeft tenslotte maar één doel.
Heb je vragen over de privacyregelgeving of de AVG, neem dan vooral even contact met mij op.