Forse boete voor scannen vingerafdrukken personeel

In een recent blog berichtten wij over de risico’s van het scannen van  vingerafdrukken van personeel. Nadat Manfield afgelopen zomer door de rechter op haar vingers was getikt voor het gebruik van vingerscans voor kassatoegang, besloot HEMA eind vorig jaar deze scans in de ban te doen. Zij was eerder van plan het gebruik van vingerafdrukken voor prikklokken en kassa’s in al haar winkels uit te rollen.

Privacywaakhond Autoriteit Persoonsgegevens (“AP”) heeft gisteren een forse boete van EUR 725.000 uitgedeeld aan een bedrijf wegens het gebruik van vingerscans, zo laat zij weten in een nieuwsbericht. Het bedrijf maakte gebruik van vingerscans van haar werknemers voor aanwezigheids- en tijdsregistratie.

Verbod verwerking bijzondere persoonsgegevens

Voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig. De AVG bevat zes – limitatieve – grondslagen. Zonder wettelijke grondslag is verwerking niet toegestaan. Indien sprake is van zogenaamde bijzondere persoonsgegevens, die vanwege hun gevoelige karakter extra bescherming genieten, dan is de AVG nog strikter: verwerking is verboden, tenzij sprake is van een wettelijke uitzonderingsgrond. Een vingerafdruk, een biometrisch gegeven, is zo’n bijzonder persoonsgegeven omdat deze herleidbaar is naar een persoon.

Volgens AP is deze bescherming noodzakelijk omdat mogelijk onherstelbare schade kan ontstaan door bijvoorbeeld chantage of identiteitsfraude, indien bijzondere persoonsgegevens in verkeerde handen komen. AP: “Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand.”

Geen wettelijke uitzondering?

Zoals gezegd is verwerking van bijzondere persoonsgegevens wel mogelijk indien sprake is van een wettelijke uitzonderingsgrond. In dit geval zou die uitzonderingsgrond kunnen bestaan (i) als het gebruik daarvan noodzakelijk zou zijn voor authenticatie of beveiligingsdoeleinden (beveiliging); of (ii) indien de werknemers uitdrukkelijke toestemming hadden gegeven voor het gebruik van hun vingerafdrukken. Voor uitdrukkelijke toestemming is nodig dat deze ondubbelzinnig, specifiek, geïnformeerd en vrij wordt gegeven.

Volgens AP gingen beide uitzonderingsgronden hier niet op.

Noodzakelijk voor beveiliging?

Indien een vingerscan noodzakelijk is voor de beveiliging van de werkgever, dan kan de werknemer verplicht worden hieraan mee te werken. Daarvan was volgens AP bij het bedrijf in kwestie echter geen sprake. Net als de rechter in bovengenoemde Manfield-zaak, overwoog zij dat voor de vraag of het verwerken van vingerafdrukken van werknemers noodzakelijk is voor de beveiliging, van belang is of er alternatieve beveiligingsmogelijkheden bestaan. Omdat er goede alternatieven zijn, zal niet vaak sprake zijn van een situatie “dat gebouwen en informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken”, aldus AP.

Uitdrukkelijke toestemming?

Ook de tweede uitzonderingsgrond mocht niet baten. Van vrijelijke toestemming is in de arbeidsrelatie vrijwel nooit sprake vanwege de afhankelijke positie van de werknemer ten opzichte van zijn werkgever. De werknemer durft zijn toestemming daarom niet te weigeren, uit angst zijn baan te verliezen of een salarisverhoging mis te lopen. Los van het feit dat het bedrijf niet had aangetoond dat haar werknemers uitdrukkelijke toestemming hadden gegeven, voelden deze zich bovendien verplicht hun vingerafdrukken te laten vastleggen, aldus AP.

AP laat weten dat het bedrijf inmiddels bezwaar heeft gemaakt tegen haar besluit. Wordt dus vervolgd.

Eric van Dam (evd@clintlegal.com / +31 20 820 0330)