Schoenenwinkel
Manfield mag een werkneemster niet verplichten een autorisatiesysteem te
gebruiken voor het kassasysteem dat werkt op basis van een vingerscan. De
rechtbank Amsterdam oordeelt dat een dergelijke verplichting in strijd is met
de Algemene verordening gegevensbescherming (“AVG”).
Feiten
Manfield heeft onlangs in alle
filialen een autorisatiesysteem voor haar kassasysteem ingevoerd dat werkt op
basis van een vingerscan. Door gebruik van het
vingerscanautorisatiesysteem kunnen werknemers van Manfield slechts toegang
verkrijgen tot het kassasysteem indien zij hun vingerafdruk scannen. Zonder
deze toegang is het voor de werknemers niet mogelijk om hun kassawerkzaamheden
uit te voeren. De vingerscanautorisatie is ingevoerd ter
vervanging van een autorisatiesysteem waarin de werknemers van Manfield een
persoonsgebonden cijfercode dienen in te voeren om toegang te krijgen tot het
kassasysteem.
Standpunt
werknemer
Een van de werknemers van
Manfield heeft zich verzet tegen het gebruiken van haar vingerafdruk voor het autorisatiesysteem. Zij stelt dat deze
autorisatiemethode inbreuk maakt op haar privacyrechten omdat het om een
biometrisch persoonsgegeven gaat en het op grond van artikel 9 lid 1 van de AVG
in beginsel verboden is om bijzondere persoonsgegevens, waaronder biometrische
gegevens, te verwerken. De uitzondering op dit verbod, te weten dat het
verzamelen van biometrische gegevens noodzakelijk kan zijn voor authenticatie-
of beveiligingsdoeleinden doet zich volgens haar hier niet voor.
Standpunt
Manfield
Volgens Manfield bestaat er
een noodzaak bij het gebruik van een vingerscanautorisatiesysteem, namelijk het
beveiligen van gevoelige informatie, die via haar kassasysteem toegankelijk is.
Het kassasysteem geeft niet alleen inzage in (gevoelige) financiële informatie,
maar ook in persoonsgegevens van de werknemers van Manfield. Tevens zijn de
persoonsgegevens van klanten inzichtelijk. Ook stelt Manfield dat zij een
bedrijfsbelang heeft bij invoering van het systeem. Manfield is eerder
geconfronteerd met een aantal gevallen van fraude waar werknemers bij zijn
betrokken.
Wat
zijn de regels?
Een vingerafdruk kwalificeert
als een biometrisch persoonsgegevens onder de AVG. Biometrische
persoonsgegevens zijn persoonsgegevens die het resultaat zijn van een
specifieke technische verwerking van fysieke, fysiologische of
gedragsgerelateerde kenmerken van een persoon. Op grond hiervan is eenduidige
identificatie van die persoon mogelijk. Of wordt zijn/haar identiteit
bevestigd. Ook de iris- of netvliesscan, stemherkenning en de gezichtsscan zijn
daarom biometrische gegevens.
De AVG bepaalt dat de
verwerking van biometrische persoonsgegevens een verwerking van bijzondere
persoonsgegevens is. Volgens de AVG is het verwerken van biometrische gegevens
om iemand te identificeren in beginsel verboden. Nederland heeft in de UAVG
bijkomende voorwaarden hierover vastgesteld. Het verbod op het verwerken van
biometrische gegevens is in Nederland niet van toepassing als de verwerking
noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Een werkgever mag een
werknemer alleen om een vingerafdruk vragen als dit noodzakelijk. De werkgever
moet daarom vooraf een afweging maken of identificatie met biometrische
gegevens noodzakelijk is. Dat betekent dat de werkgever moet afwegen of
gebouwen en/of informatiesystemen zó goed beveiligd moeten zijn dat dit niet
anders kan dan door biometrische gegevens te gebruiken. De werkgever moet het
doel, bijvoorbeeld toegangscontrole, niet op andere, minder ingrijpende, manier
kunnen bereiken. Een manier die die minder ingrijpend is voor de privacy van
werknemers, zoals gebruik van een toegangspas. Alleen als uw werkgever het doel
niet op een andere manier kan bereiken, is er sprake van noodzaak.
Als er voor de werkgever geen
noodzaak bestaat, dan mag hij in plaats daarvan ook geen toestemming vragen van
de werknemer om alsnog de vingerafdruk te verwerken. De Autoriteit
Persoonsgegevens is van mening dat een werknemer in die context zijn
toestemming niet in vrijheid kan geven. De werknemer is afhankelijk van zijn
werknemer, en niet in een positie om te weigeren.
Beoordeling
rechter
De rechter oordeelt dat het
bedrijfsbelang van Manfield, dat bestaat uit fraudebestrijding, niet is aan te
merken als “noodzakelijk voor authenticatie- of beveiligingsdoeleinden”. De
rechter constateert ook dat Manfield mogelijke alternatieven zoals toegangspas,
werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar,
onvoldoende heeft onderzocht. In ieder geval heeft Manfield niet, bijvoorbeeld
aan de hand van documenten, met afweging van voors en tegens van verschillende
systemen, onderbouwd waarom zij heeft gekozen voor het
vingerscanautorisatiesysteem.
Slot:
voer een DPIA uit!
Voor het verwerken van biometrische
gegevens gelden strenge(re) eisen onder de AVG. Daarbij is het uitvoeren van
een data protection impact assessment (“DPIA”, ook wel privacy impact
assessment) verplicht in geval van grootschalige verwerkingen en/of
stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk
persoon te identificeren. Een DPIA is een instrument om vooraf de
privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna
maatregelen te kunnen nemen om de risico’s te verkleinen. De analyse naar de
noodzaak van het verwerken van biometrische gegevens dient als onderdeel van de
DPIA goed en concreet te zijn uitgewerkt.