Een lezer vroeg me:
Mijn werkgever wil inloggen op haar computersystemen mogelijk maken via gezichtsherkenning (Microsoft Hello). Wij als OR zijn niet om instemming gevraagd, met als argument dat de feature zuiver lokaal werkt en er niets wordt opgeslagen, zodat er geen sprake is van ‘verwerking’ onder de AVG. Klopt dat?
Nee, dat klopt niet. Dat er niets wordt verzonden via een netwerk of opgeslagen, is niet genoeg om te zeggen dat er niet wordt verwerkt. ‘Verwerken’ is namelijk de koepelterm. Er worden gezichtsfeatures herkend en gematcht met een opgeslagen set features waaruit een ja/nee volgt. Dat is elektronisch verwerken.
Microsoft heeft voor deze verwerking middelen geleverd en de werkgever beslist dat deze ingezet moeten worden en wanneer/waarom. Een simpele toepassing van de AVG geeft dan dat de werkgever verwerkingsverantwoordelijke is.
Ik geloof meteen dat de werkgever geen idee heeft hoe dit werkt, en dat is prima. Maar dat maakt voor de AVG vraag niet uit. Zelfs als het in een dichtgelaste stalen kist zou gebeuren, blijft men verwerkingsverantwoordelijke, enkel en alleen omdat men beslist dat het moet worden gebruikt.
Er is jurisprudentie dat bij een fanpagina op Facebook (of zelfs een Like-knop) de beheerder (mede) verwerkingsverantwoordelijke is voor wat Facebook/Meta doet, ook al weet niemand wat dat bedrijf uitspookt. Die lijn doortrekkend is het voor mij evident dat je ook de verwerkingsverantwoordelijke bent als je een standaardfeature zoals Hello gebruikt.
Standaard werkt deze vorm van herkenning vrijwillig, je moet het aanzetten. Door die vrijwilligheid is hier denk ik wel ruimte voor de grondslag toestemming, dit zal geen consequenties hebben in de arbeidsrelatie.
De grondslag arbeidsovereenkomst vind ik lastiger, juist omdat het niet verplicht is. Je kunt dan moeilijk zeggen dat deze feature voor het werk nodig is. Als je dus als werkgever zou willen verplichten dat iedereen met Hello inlogt, dan moet daar nog een extra verhaal bij komen.
Arnoud
