Gepubliceerd op: 6 september 2019

Privacy op de werkvloer: geen vingers in de kassa!

Door de kantonrechter in Amsterdam is op 12 augustus 2019 een uitspraak gedaan over de (on)toelaatbaarheid van het gebruik van vingerafdrukscans voor werknemers in winkels van Manfield.

Vingerscansysteem

Manfield heeft onlangs, na een testfase, in alle filialen een vingerscan-autorisatiesysteem voor haar kassasysteem ingevoerd. In dit autorisatiesysteem dient een medewerker zich te identificeren en op het kassasysteem in te loggen door zijn vinger op een scanoppervlak van een apparaat te leggen. De scanner leest vervolgens de vingerafdruk uit, zet deze om in een code, deze code wordt vergeleken met een reeds bekende code in het kassasysteem en — indien de code gelijk is — wordt toegang tot het kassasysteem verschaft. Door gebruik van het vingerscanautorisatiesysteem kunnen werknemers van Manfield slechts toegang verkrijgen tot het kassasysteem indien zij hun vingerafdruk scannen. Zonder deze toegang is het voor de werknemers niet mogelijk om hun kassawerkzaamheden uit te voeren. Verder werd dit systeem gebruikt voor tijdsregistratie.

Verwerkingsverbod vingerafdrukken

De kantonrechter heeft allereerst de vingerafdrukken gekwalificeerd als een biometrisch persoonsgegeven. Deze gegevens vallen onder het verwerkingsverbod van artikel 9 lid 1 Algemene Verordening Gegevensbescherming, (AVG). Er zijn hierop twee uitzonderingsbepalingen; te weten expliciete toestemming van de werknemer en de uitzondering van artikel 29 van de Uitvoeringswet AVG (UAVG).

Uitzondering: Expliciete toestemming werknemer

Een werknemer zou expliciete toestemming kunnen verlenen voor het verwerken van zijn vingerafdruk. Maar de kantonrechter oordeelt in dit geval dat er geen toestemming door de werknemers was gegeven. In het geval van een verhouding tussen werkgever-werknemer kan een werknemer die toestemming ook niet vrij geven (zonder de druk van de werkgever te voelen) aldus de kantonrechter. Gezien een werknemer dit liever niet wil weigeren ten opzichte van zijn leidinggevende / werkgever. Dit was ook al overwogen in de parlementaire geschiedenis en in antwoorden op vragen uit de Tweede Kamer over dit punt: “In de verhouding tussen werkgever en werknemer is namelijk door de gezagsverhouding tussen werkgever en werknemer geen sprake van een in vrijheid gegeven toestemming van de werknemer.

In dit geval is er dus geen sprake van expliciete toestemming van de werknemer.

Uitzondering: noodzakelijk voor authenticatie of beveiliging

Kan artikel 29 van de (UAVG) dan uitkomst bieden? In artikel 29 UAVG is geregeld, dat dit verbod van artikel 9 lid 1 AVG niet van toepassing is indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

In de Memorie van Toelichting (Tweede Kamer, 2017-2018, 34851 nr. 3, blz 108 onderaan) wordt blijk gegeven van het inzicht dat in een werknemer-werkgeververhouding er niet snel sprake zal kunnen zijn van toestemming die geheel in vrijheid is gegeven. Daarom wordt de uitzondering mogelijk gemaakt voor het geval registratie noodzakelijk is voor authenticatie of beveiligingsdoeleinden, ook al is de betreffende toestemming niet verkregen. Volgens de toelichting gelden er wel een aantal randvoorwaarden, welke ook in de Manfield zaak aan de orde zijn gekomen:

  • er dient een afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor de authenticatie of beveiligingsdoeleinden, waarbij dan het voorbeeld wordt genoemd van toegang die (zeer) beperkt dient te zijn voor personen die daartoe geautoriseerd zijn, bijvoorbeeld bij een kerncentrale.
  • de verwerking dient proportioneel te zijn, waarbij het voorbeeld wordt genoemd van de toegang tot een garage van een reparatiebedrijf. In dat geval zal de noodzaak van beveiliging niet zodanig zijn dat werknemers allen met biometrie toegang krijgen. Maar aan de andere kant wordt het voorbeeld genoemd van beveiliging van informatiesystemen die zelf veel persoonsgegevens bevatten en waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.

Uit deze overwegingen blijkt al, dat het gebruiken van biometrische gegevens voor toegang tot kassa- en klantgegevens niet gezien kunnen worden als proportionele verwerkingen, zeker als er, zoals in dit geval, ook met pasjes kan worden gewerkt en er andere minder ingrijpende middelen kunnen worden ingezet.

In dit geval betekent het dus dat Manfield het gebruik van de vingerscansystemen niet aan zijn werknemers mag verplichten.

Hoe zal dit zich gaan ontwikkelen?

Ongetwijfeld zullen zich andere zaken gaan aandienen waarbij enerzijds de authenticatie en beveiligingsdoeleinden meer lijken op de gevallen genoemd in de parlementaire geschiedenis, maar ook zal maatschappelijke en technologische ontwikkeling een factor van overweging kunnen zijn. Zo kan een datacentrum met gevoelige informatie wellicht worden gelijkgesteld met een kerncentrale.

Als laatste kan nog worden opgemerkt dat het mogelijk is een Gegevensbeschermingseffectbeoordeling (Data Processing Impact Assessment of DPIA) te laten uitvoeren en een Voorafgaande raadpleging bij de Autoriteit Persoonsgegevens aan te vragen.

Meer weten over dit onderwerp?  Neem contact op met één van onze specialisten.

Jop Fellinger
Jop Fellinger

Artikelen door Jop Fellinger

Stuur ons een bericht

Voor verdere vragen kunt u het formulier hieronder gebruiken. Wij nemen dan zo spoedig mogelijk contact met u op.