In de moderne tijd waarin we nu leven is het steeds gebruikelijker om vingerafdrukken te gebruiken als een identificatiemiddel; denk hierbij bijvoorbeeld aan ontgrendeling van een smartphone door middel van een vingerafdrukidentificatie. Maar hoe zit het met privacy als het niet meer in een privésfeer gebeurt waarbij sprake is van bewuste vrijwilligheid. Kan werk-gerelateerde vingeridentificatie verplicht gesteld worden in het kader van beveiliging? Mag een organisatie zijn werknemers verplichten om vingerafdrukken af te staan voor bijvoorbeeld toegang tot een beveiligingssysteem? En hoe verhoudt deze handeling zich tot de privacyregels?
Vingerafdruk als een bijzonder persoonsgegeven
De vraag is of een vingerscan een persoonsgegeven is in de zin van de Algemene Verordening Gegevensbescherming (AVG). Een vingerafdruk is een biometrisch persoonsgegeven dat het resultaat is van een specifieke technische verwerking van fysieke, fysiologische of gedrag gerelateerde kenmerken van een persoon.[1] Biometrische gegevens kunnen worden beschouwd als informatie betreffende een natuurlijk persoon, aangezien het gaat om gegevens die door hun aard informatie verstrekken over een bepaald persoon. Door middel van een biometrisch gegeven zoals een vingerafdruk is de persoon identificeerbaar en kan hij/zij van een andere persoon worden onderscheiden. In artikel 4 AVG wordt dit bij de definitiebepalingen ook met zoveel woorden bevestigd.[2]
Vingerscan in strijd met privacy?
De kantonrechter Amsterdam heeft onlangs een uitspraak gedaan over de toelaatbaarheid van een vingerscan als een identificatiesysteem op de werkvloer.
De schoenketen Manfield heeft een vingerscan-autorisatiesysteem gebruikt waarmee werknemers toegang kregen tot een kassasysteem. Volgens Manfield was het gebruik van de vingerscan de enige mogelijkheid om toegang tot het kassasysteem te krijgen. Het was noodzakelijk, onder andere om financiële informatie en persoonsgegevens van werknemers te beveiligen. Andere methodes waren niet meer geschikt en fraudegevoelig. Eén van de medewerkers van de schoenenketen maakte bezwaar tegen het gebruik van haar vingerafdruk. Zij stelde zich op het standpunt dat deze autorisatiemethode inbreuk maakte op haar privacy, refererend naar artikel 9 AVG. Volgens dit artikel is de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon verboden.
Noodzakelijkheid
Dit verbod is niet van toepassing wanneer de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Het bedrijfsbelang van Manfield was het tegen gaan van omzetderving door toedoen van frauduleus personeel. De kantonrechter verwierp het beroep van de werkgever. Het aangedragen bedrijfsbelang van Manfield maakte het systeem niet ‘noodzakelijk voor authenticatie- of beveiligingsdoeleinden’, zoals in het artikel 29 Uitvoeringswet AVG is bepaald. Uiteraard is Manfield vrij om op te treden tegen fraude, maar dit mag niet geschieden in strijd met de bepalingen van de AVG. Bovendien had de werkgever het filiaal van de werkneemster op geen enkele andere wijze van beveiliging voorzien. Er was onvoldoende onderzoek gedaan naar alternatieve autorisatiemethodes; denk hierbij aan het gebruik van een toegangspas of cijfercode, al dan niet een combinatie van beiden. De werkgever had geen zorgvuldige afweging gemaakt van de voor- en nadelen van verschillende soorten beveiligingssystemen en kon niet voldoende motiveren waarom hij voor specifiek de vingerscan had gekozen. Mede hierdoor had de werkgever op basis van de Uitvoeringswet AVG het gebruik van het vingerscan-autorisatiesysteem niet mogen verplichten.
Wilt u een nieuw beveiligingssysteem invoeren, dan zal beoordeeld moeten worden of dergelijke systemen in het kader van de AVG en de Uitvoeringswet AVG zijn toegestaan. Heeft u vragen hierover neem dan contact op met de advocaten van Law & More. Wij zullen u vragen beantwoorden en u waar nodig juridisch bijstaan.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI:NL:RBAMS:2019:6005