Inmiddels is het regelmatig in het nieuws dat de Autoriteit Persoonsgegevens (AP) boetes oplegt. Zo ook in april 2020. De AP legde een boete op van € 725.000,- aan een bedrijf dat ongeoorloofd vingerafdrukken verwerkte van werknemers. De werknemers moesten hun vingerafdrukken laten scannen voor aanwezigheids- en tijdsregistratie.
De AP stelde eerst een onderzoek in of deze verwerking wel mag. Als er sprake is van en uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens, dan is er niets aan de hand. De conclusie van de AP was echter niet mis. De AP oordeelde dat dit bedrijf geen rechtvaardigingsgrond had voor verwerking van deze biometrische gegevens en legde zonder meer een aanzienlijke boete op.
Wat zijn biometrische gegevens?
Een vingerafdruk is een biometrisch gegeven. Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon. Op grond van zo’n biometrisch gegeven is identificatie van die persoon mogelijk. Niet alleen een vingerafdruk, maar ook gezichtsafbeeldingen, stemherkenning en iris of netvliesscan zijn biometrische gegevens.
Biometrische gegevens geven unieke lichaamskenmerken die zijn te herleiden naar één individu. Ook geeft het vaak meer informatie dan alleen zijn identificatie. Vaak kan er uit worden afgeleid wat iemands gezondheidstoestand of ras is. We noemen dit bijzondere persoonsgegevens.
Relevante wetgeving
De Algemene Verordening Gegevensverwerking (AVG) regelt de verwerking van persoonsgegevens, waaronder de bijzondere persoonsgegevens. Elk bedrijf verwerkt persoonsgegevens. Van belang is dat verwerking plaatsvindt volgens de privacyregelgeving.
Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen extra bescherming in de AVG. Te denken valt aan genetische gegevens en biometrische gegevens als die te herleiden zijn tot één persoon. De verwerking van bijzondere persoonsgegevens is in beginsel verboden. Op dit verbod gelden uitzonderingen.
Wil je als bedrijf bijzondere persoonsgegevens verwerken dan moet er sprake zijn van één van de tien uitzonderingen. Te denken valt aan een zwaarwegend algemeen belang of dat er toestemming is verleend door de betrokkene. Het vereiste van toestemming is niet altijd voldoende. Van belang blijft dat het bedrijf aan strikte voorwaarden voldoet.
In overtreding
De AP stelde vast dat het bedrijf een beroep had mogen doen op twee van de tien uitzonderingen op het verbod. Verwerking van vingerafdrukken had gemogen als:
- de betrokkenen om uitdrukkelijke toestemming was gevraagd (waarbij die toestemming in vrijheid werd gegeven) of
- het gebruik van biometrische gegevens noodzakelijk was voor authenticatie of beveiligingsdoeleinden.
De werkgever moet eerst een afweging maken of het doel niet op minder ingrijpende wijze kan worden bereikt. In dit geval werden bijzondere persoonsgegevens, de vingerafdruk, verwerkt als prikkloksysteem. Zo kunnen we fraude bij tijdsregistratie voorkomen, aldus de werkgever. De AP ging daar niet in mee. Een prikkloksysteem kan wel degelijk op een minder ingrijpende wijze. Zelfs met de vereiste waarborgen tegen fraude door de werknemer.
Niet alleen aan deze basisvoorwaarde ging het mis. Ook aan de overige vereisten van verwerking bijzondere persoonsgegevens werd niet voldaan. Nadat de werknemer uit dienst was getreden, verwijderde de werkgever de gegevens niet. Van bewaarbeperking was dus geen sprake. Bovendien had het bedrijf geen toestemming gevraagd voor de verwerking van de vingerafdruk. De werknemer had niet de vrije keuze om deze wel of niet af te geven. Het werd gewoon verplicht gesteld. Wilde je dit niet, dan mocht je verantwoording gaan afleggen aan de directie. Tja, en dan moet je als werknemer wel heel stevig in je schoenen staan om je vingerafdruk te weigeren.
Wanneer mag het wel?
Duidelijk is dat vingerafdrukken laten scannen voor aanwezigheids- en tijdsregistratie niet is toegestaan. Een prikklok kan namelijk op een minder ingrijpende wijze. Toegang tot een bedrijf beveiligen met een vingerafdruk of gezichtsherkenning is voor bepaalde organisaties wel mogelijk. Een kerncentrale of Schiphol mag dat wel. Een supermarkt weer niet. In juni 2020 maakte de AP een supermarkt attent op het regels rond gezichtsherkenning. Gelukkig is daarbij een boete nog uitgebleven…
Misbruik ligt op de loer
Een aanzienlijk bedrag aan boete, denk je wellicht. Toch is het niet zomaar iets dat je vraagt van je werknemer. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als de beveiliging bij dit bedrijf niet op orde is en de biometrische gegevens worden daadwerkelijk gestolen, dan kan de impact voor de werknemer bijzonder groot zijn. Misbruik van de zogenaamd gestolen vingerafdruk van die betrokkene kan een leven lang negatief effect hebben. Misbruik ligt op de loer zoals chantage of zelfs identiteitsfraude. Vandaar dat er extra regels aan zijn verbonden op grond van de AVG.
Draag zorg voor verwerking conform AVG
Zo blijkt maar weer hoe belangrijk de basisprincipes van de AVG zijn. Hieronder som ik ze nog eens op. Vraag je bij elke verwerking van persoonsgegevens af of je voldoet aan deze basisbeginselen:
1. Verwerking alleen voor gerechtvaardigd doel;
2. Gegevensbeperking;
3. Rechtmatige grondslag;
4. Zorgvuldig en beveiligd;
5. Transparant, rechtmatig en behoorlijk;
6. Bewaarbeperking.
Pas deze zes basisbeginselen toe en zorg ervoor dat hieraan automatisch wordt voldaan door de bedrijfsprocessen er op aan te passen.
Kortom, bepaal of jouw bedrijf een rechtmatige grondslag heeft voor verwerking van biometrische gegevens zoals een vingerafdruk of irisscan. Is hiervan sprake dan dient ook aan de overige voorwaarden te worden voldaan. Juist met biometrische gegevens is een uitermate zorgvuldige beveiliging van die gegevens van groot belang. Ook aan de overige basisbeginselen moet zijn voldaan.
Het zonder meer inzetten van vingerafdrukken is in ieder geval strijdig met de AVG en komt een ondernemer dan duur te staan. Zonde van die investering!
Meer weten? Of heb je hulp nodig personeel te laten werken conform de AVG? Ik ben je graag van dienst.
Auteur mr. S.B. Punt
Juriste bij Vanhier Accountants & Adviseurs