Verplichte vingerscan als autorisatie verboden

Manfield heeft in alle filialen van haar concern een vingerscanautorisatiesysteem voor het gebruik van haar kassa’s ingevoerd. Door invoering van dit systeem konden haar medewerkers alleen op de kassa’s inloggen door hun vinger te laten scannen. Die vingerafdruk werd uitgelezen, omgezet in een code en vervolgens vergeleken met de in het kassasysteem bekende code. Alleen als de code overeenkwam, kon de medewerker toegang tot het kassasysteem van Manfield krijgen. Zonder afgifte van de vingerscan konden medewerkers hun kassawerkzaamheden feitelijk niet meer verrichten.

Eén medewerker wilde niet meewerken, omdat zij vond dat hiermee te veel inbreuk op haar privacy werd gemaakt. Partijen hebben vervolgens gezamenlijk de vraag aan de rechter voorgelegd of dat inderdaad zo was.

AVG van toepassing?
Voor de beantwoording van deze vraag is eerst van belang om vast te stellen of de AVG van toepassing is. Die is van toepassing zodra een organisatie persoonsgegevens verwerkt. De kantonrechter oordeelde dat een vingerscan een persoonsgegeven is en, doordat het vingerscansysteem ook werd gebruikt om na te gaan van hoe tot hoe lang de medewerker aanwezig was, ook dat sprake is van verwerking. Daarmee is de AVG van toepassing is, aldus de rechter.
In dit geval is verder van belang dat een vingerscan een zogenoemd ‘biometrisch gegeven’ is, net als bijvoorbeeld een irisscan of gezichtsherkenning. Deze gegevens vallen net als andere privacygevoelige gegevens, zoals die over je seksuele geaardheid of je gezondheid, onder het begrip ‘bijzondere persoonsgegevens’. Dit zijn gegevens die extra bescherming behoeven. Verwerking ervan is verboden, tenzij één van de uitzonderingen van toepassing is.

Uitzonderingen op het verbod
Een van deze uitzonderingen is de uitdrukkelijke toestemming van de betrokkene (degene van wie de persoonsgegevens worden verwerkt).

Omdat werknemers in het algemeen afhankelijk zijn van hun werkgever geldt dat de overheid heeft bepaald dat werknemers geen geldige toestemming aan hun werkgever kunnen geven. Dit omdat niet met zekerheid kan worden gesteld of zij hun toestemming echt aan hun werkgever hadden willen geven of dat zij zich daartoe genoodzaakt voelden, bijvoorbeeld omdat ze hun baan niet wilden verliezen of de kans op een promotie niet wilden verspelen. De regel geldt tenzij werkgever kan aantonen dat werknemer het geven ervan mag weigeren zonder dat dat nadelige gevolgen voor hem heeft.

De tweede uitzondering geldt alleen in Nederland en komt erop neer dat het verwerken van deze gegevens ook niet verboden is als sprake is van een situatie die een zeer vergaande en strenge beveiliging noodzaakt, zoals van een kerncentrale. Je kunt je voorstellen dat slechts een beperkt aantal medewerkers toegang hiertoe mogen kunnen krijgen en dat door middel van een vingerscan of van een ander biometrisch gegeven wordt voorkomen dat een onbevoegde toegang krijgt. De Nederlandse overheid heeft bepaald dat je in zo’n specifiek geval niet afhankelijk mag zijn van het al dan niet verlenen van uitdrukkelijke toestemming door werknemers.

Standpunt Manfield
Volgens Manfield zou invoering van de vingerscanautorisatie noodzakelijk zijn, omdat zij verplicht is gevoelige informatie van haar medewerkers en van haar klanten (onder meer financiën, persoonsgegevens van klanten en van haar medewerkers) – die via het kassasysteem te bereiken is – te beveiligen. Door invoering van het vingerscanautorisatiesysteem kan zij ongeoorloofd inloggen door derden van buitenaf en/of het ongeoorloofd “afkijken” van een inlogcode voorkomen. Het belang is bovendien nog groter doordat verschillende medewerkers geld uit de kassa zouden hebben genomen waarbij volgens Manfield de cijfercode van een collega zou zijn misbruikt. Hierdoor was het lastig te achterhalen wie de echte schuldige was. Invoering van dit systeem kan deze fraude voorkomen, aldus Manfield.

Standpunt medewerker
De medewerker wijst erop dat geen sprake is van een situatie die een zeer vergaande en strenge beveiliging noodzaakt, zoals in geval van toegang tot een kerncentrale en dat Manfield de alternatieven voor invoering van de vingerscan, zoals invoering van een toegangspas, een medewerkerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende heeft onderzocht. Dit terwijl met invoering van deze alternatieven ook extra veiligheid en zekerheid zou kunnen worden gerealiseerd, terwijl daarmee geen inbreuk op de privacy van alle medewerkers wordt gemaakt, aldus de medewerker.

Oordeel kantonrechter Amsterdam
De kantonrechter oordeelde dat de door Manfield aangevoerde fraudepreventie onvoldoende is om te kunnen spreken van de door de overheid bedoelde uitzonderingssituatie, zoals in het geval van toegang tot een kerncentrale, omdat bij Manfield geen sprake is van een situatie die een zeer vergaande strenge beveiliging nodig maakt.
De kantonrechter overwoog daartoe dat de verwerking van biometrische gegevens in verhouding dient te staan tot het belang ervan. Van belang is dat Manfield de argumenten van de medewerker dat zij ook andere maatregelen tot fraudepreventie had kunnen nemen onvoldoende heeft weerlegd. Volgens de kantonrechter had het op de weg van Manfield gelegen te onderbouwen waarom het – na afweging van alle voor- en nadelen van de verschillende systemen – toch nodig was voor de vingerscan te kiezen.

Wat te doen?
Als je als werkgever een vingerscan (of andere privacygevoelige maatregel) wil invoeren, is het raadzaam van tevoren een zogenoemde ‘gegevensbeschermingseffectbeoordeling’ (ook wel afgekort tot DPIA) uit te (laten) voeren. Dit is een instrument waarmee je vooraf de privacyrisico’s van invoering van die maatregel in kaart (kunt laten) brengen. Vervolgens kun je stappen nemen om die risico’s tegen te gaan of te verkleinen. De uitkomst van deze DPIA kun je vervolgens aan je medewerkers overleggen ter onderbouwing van je stelling dat invoering van de vingerscan wel degelijk noodzakelijk en proportioneel is.

Als je vragen hebt over de invoering van een privacygevoelige maatregel, de uitvoering van een DPIA of als je een andere privacyvraag hebt, neem dan vrijblijvend contact op met één van onze advocaten. Wij helpen je graag verder.

Dit bericht is geschreven door Hannah Brenninkmeijer, advocaat arbeidsrecht en privacyrecht