Toestemming als uitzondering voor verwerking van biometrische gegevens

Recentelijk heeft de Autoriteit Persoonsgegevens (AP) een hoge boete, namelijk 725.000, – euro opgelegd aan bedrijf dat vingerafdrukken van werknemers scande voor aanwezigheids- en tijdsregistratie.[1] Biometrische gegevens, zoals een vingerafdruk, zijn namelijk bijzondere persoonsgegevens in de zin van artikel 9 AVG. Dit zijn unieke kenmerken die te herleiden zijn naar één specifiek persoon. Echter, deze gegevens bevatten vaak meer informatie dan noodzakelijk is voor bijvoorbeeld identificatie.

Verwerking daarvan vormt derhalve grote risico’s op het gebied van grondrechten en fundamentele vrijheden van mensen. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Biometrische gegevens worden daarom goed beschermd en is verwerking daarvan op grond van artikel 9 AVG verboden, tenzij daarvoor een wettelijke uitzondering bestaat. In deze zaak kwam de AP tot conclusie dat het betreffende bedrijf geen beroep toekwam op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens.

Over de vingerafdruk in het kader van de AVG en een van de uitzonderingsgronden, namelijk noodzakelijkheid, hebben wij eerder in een van onze blogs geschreven: ‘Vingerafdruk in strijd met AVG’. In deze blog staat de andere alternatieve uitzonderingsgrond centraal: toestemming. Wanneer een werkgever in zijn bedrijf gebruik maakt van biometrische gegevens zoals vingerafdrukken, kan hij dan in het kader van privacy volstaan met een toestemming van zijn werknemer?

Onder toestemming wordt verstaan een specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee iemand met een verklaring of een ondubbelzinnige actieve handeling een verwerking van zijn persoonsgegevens aanvaard, aldus artikel 4 onderdeel 11 AVG. De werkgever dient in het kader van deze uitzondering derhalve niet alleen aan te tonen dat zijn werknemers de toestemming hebben verleend, maar ook dat dit ondubbelzinnig, specifiek en geïnformeerd is geschied.

Ondertekening van de arbeidsovereenkomst of ontvangst van het personeelshandboek waarin de werkgever slechts de intentie heeft vastgelegd om, zoals ook in de betreffende zaak het geval was, volledig met de vingerafdruk te gaan inklokken, is in dit kader onvoldoende, zo oordeelde de AP. Als bewijs dient de werkgever bijvoorbeeld beleid, procedures of andere documentatie te overleggen, waaruit blijkt dat zijn werknemers voldoende geïnformeerd zijn over de verwerking van de biometrische gegevens en zij ook (uitdrukkelijke) toestemming hebben gegeven voor verwerking daarvan.

Wordt de toestemming door de werknemer gegeven, dan dient deze voorts niet alleen ‘uitdrukkelijk’ maar ook ‘vrijelijk gegeven’ te zijn, aldus de AP. ‘Uitdrukkelijk’ is bijvoorbeeld schriftelijke toestemming, ondertekening, het versturen van een e-mail om toestemming te geven of toestemming met tweetrapsverificatie.

‘Vrijelijk gegeven’ betekent dat er geen dwang dan achter mag zitten (zoals in de betreffende zaak aan de orde was: bij weigering om de vingerafdruk te laten inscannen volgde een gesprek met de directeur/bestuur) of dat toestemming een voorwaarde mag zijn voor iets anders. Aan de voorwaarde ‘vrijelijk gegeven’ wordt door de werkgever in ieder geval niet voldaan wanneer werknemers verplicht zijn of het, zoals ook in de betreffende zaak, als een verplichting ervaren om hun vingerafdruk te laten vastleggen.

In het algemeen oordeelde de AP in het kader van dit vereiste dat gezien de afhankelijkheid die het gevolg is van de relatie tussen de werkgever en werknemer, het onwaarschijnlijk is dat de werknemer zijn of haar toestemming vrijelijk kan verlenen. Het tegendeel zal door de werkgever moeten worden bewezen.

Vraagt een werkgever om toestemming aan zijn medewerkers om hun vingerafdruk te verwerken? Dan leert de AP in het kader van deze zaak dat dit in principe niet mag. Immers, medewerkers zijn afhankelijk van hun werkgever en dus vaak niet in een positie om te kunnen weigeren. Dat wil niet zeggen dat de werkgever zich nooit met succes op de toestemming-grond kan beroepen.

Echter, de werkgever moet echt van goeden huize en met voldoende bewijs komen om zijn beroep op de toestemming-grond te laten slagen, teneinde biometrische gegevens van zijn werknemers, zoals vingerafdrukken, te kunnen verwerken.

Bent u voornemens om binnen uw bedrijf gebruik te maken van biometrische gegevens of vraagt uw werkgever u om toestemming om bijvoorbeeld uw vingerafdruk te gebruiken? Dan is het van belang om niet direct te handelen en de toestemming te verlenen, maar u eerst goed te laten informeren. De advocaten van Law & More zijn deskundig op het gebied van privacy en kunnen u voorzien van informatie. Heeft u nog andere vragen aan de hand van deze blog? Neem dan contact op met Law & More.

__________________________

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers#subtopic-1880

In de moderne tijd waarin we nu leven is het steeds gebruikelijker om vingerafdrukken te gebruiken als een identificatiemiddel; denk hierbij bijvoorbeeld aan ontgrendeling van een smartphone door middel van een vingerafdrukidentificatie. Maar hoe zit het met privacy als het niet meer in een privésfeer gebeurt waarbij sprake is van bewuste vrijwilligheid. Kan werk-gerelateerde vingeridentificatie verplicht gesteld worden in het kader van beveiliging? Mag een organisatie zijn werknemers verplichten om vingerafdrukken af te staan voor bijvoorbeeld toegang tot een beveiligingssysteem? En hoe verhoudt deze handeling zich tot de privacyregels?

Vingerafdruk als een bijzonder persoonsgegeven

De vraag is of een vingerscan een persoonsgegeven is in de zin van de Algemene Verordening Gegevensbescherming (AVG). Een vingerafdruk is een biometrisch persoonsgegeven dat het resultaat is van een specifieke technische verwerking van fysieke, fysiologische of gedrag gerelateerde kenmerken van een persoon.[1] Biometrische gegevens kunnen worden beschouwd als informatie betreffende een natuurlijk persoon, aangezien het gaat om gegevens die door hun aard informatie verstrekken over een bepaald persoon. Door middel van een biometrisch gegeven zoals een vingerafdruk is de persoon identificeerbaar en kan hij/zij van een andere persoon worden onderscheiden. In artikel 4 AVG wordt dit bij de definitiebepalingen ook met zoveel woorden bevestigd.[2]

Vingerscan in strijd met privacy?

De kantonrechter Amsterdam heeft onlangs een uitspraak gedaan over de toelaatbaarheid van een vingerscan als een identificatiesysteem op de werkvloer.

De schoenketen Manfield heeft een vingerscan-autorisatiesysteem gebruikt waarmee werknemers toegang kregen tot een kassasysteem. Volgens Manfield was het gebruik van de vingerscan de enige mogelijkheid om toegang tot het kassasysteem te krijgen. Het was noodzakelijk, onder andere om financiële informatie en persoonsgegevens van werknemers te beveiligen. Andere methodes waren niet meer geschikt en fraudegevoelig. Eén van de medewerkers van de schoenenketen maakte bezwaar tegen het gebruik van haar vingerafdruk. Zij stelde zich op het standpunt dat deze autorisatiemethode inbreuk maakte op haar privacy, refererend naar artikel 9 AVG. Volgens dit artikel is de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon verboden.

Noodzakelijkheid

Dit verbod is niet van toepassing wanneer de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Het bedrijfsbelang van Manfield was het tegen gaan van omzetderving door toedoen van frauduleus personeel. De kantonrechter verwierp het beroep van de werkgever. Het aangedragen bedrijfsbelang van Manfield maakte het systeem niet ‘noodzakelijk voor authenticatie- of beveiligingsdoeleinden’, zoals in het artikel 29 Uitvoeringswet AVG is bepaald. Uiteraard is Manfield vrij om op te treden tegen fraude, maar dit mag niet geschieden in strijd met de bepalingen van de AVG. Bovendien had de werkgever het filiaal van de werkneemster op geen enkele andere wijze van beveiliging voorzien.

Er was onvoldoende onderzoek gedaan naar alternatieve autorisatiemethodes; denk hierbij aan het gebruik van een toegangspas of cijfercode, al dan niet een combinatie van beiden.  De werkgever had geen zorgvuldige afweging gemaakt van de voor- en nadelen van verschillende soorten beveiligingssystemen en kon niet voldoende motiveren waarom hij voor specifiek de vingerscan had gekozen. Mede hierdoor had de werkgever op basis van de Uitvoeringswet AVG het gebruik van het vingerscan-autorisatiesysteem niet mogen verplichten.

Wilt u een nieuw beveiligingssysteem invoeren, dan zal beoordeeld moeten worden of dergelijke systemen in het kader van de AVG en de Uitvoeringswet AVG zijn toegestaan. Heeft u vragen hierover neem dan contact op met de advocaten van Law & More. Wij zullen u vragen beantwoorden en u waar nodig juridisch bijstaan.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI:NL:RBAMS:2019:6005

Met ingang van 25 mei is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Met de inwerkingtreding van de AVG wordt de bescherming van persoonsgegevens steeds belangrijker. Ondernemingen krijgen te maken met meer en strengere regels met betrekking tot data protectie. De inwerkingtreding van de AVG heeft echter ook tot gevolg dat er verschillende vragen naar boven komen. Voor ondernemingen kan het onduidelijk zijn welke gegevens precies als persoonsgegevens beschouwd worden en dus onder de reikwijdte van de AVG vallen.

Dit is het geval bij e-mailadressen: wordt een e-mailadres beschouwd als een persoonsgegeven? Zijn de bepalingen van de AVG van toepassing op ondernemingen die e-mailadressen gebruiken? Deze vragen worden in dit artikel beantwoord.

Persoonsgegevens

Om een antwoord te kunnen geven op de vraag of een e-mailadres een persoonsgegeven is, moet de term persoonsgegeven nader gedefinieerd worden. Deze term wordt uitgelegd in de AVG. Op grond van artikel 4 sub a AVG is een persoonsgegeven alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare persoon is een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens of een online identificator.

Persoonsgegevens hebben betrekking op natuurlijke personen. Dit betekent dat gegevens met betrekking tot overleden personen of rechtspersonen niet als persoonsgegevens aangemerkt worden.

E-mailadressen 

Nu de definitie van persoonsgegevens duidelijk is, moet beoordeeld worden of een e-mailadres beschouwd wordt als een persoonsgegeven. Nederlandse jurisprudentie toont aan dat een e-mailadres mogelijk een persoonsgegeven kan zijn, maar dat dit niet altijd het geval is. Dit is afhankelijk van de vraag of een natuurlijke persoon geïdentificeerd of identificeerbaar is op basis van het e-mailadres.

[1] Er moet rekening gehouden worden met de wijze waarop personen hun e-mailadres vorm gegeven hebben om te kunnen bepalen of een e-mailadres beschouwd kan worden als een persoonsgegeven of niet. Veel natuurlijke personen geven hun e-mailadres vorm op een manier dat het e-mailadres beschouwd moet worden als een persoonsgegeven. Dat is bijvoorbeeld het geval wanneer een e-mailadres op de volgende manier ingericht is: [email protected]. Dit e-mailadres openbaart de voor- en achternaam van de natuurlijke persoon die het adres gebruikt. Deze persoon kan dus geïdentificeerd worden aan de hand van dit e-mailadres.

E-mailadressen die voor zakelijke doeleinden gebruikt worden, kunnen ook persoonsgegevens bevatten. Dit is het geval wanneer een e-mailadres op de volgende manier is vormgegeven: [email protected]. Op basis van dit e-mailadres kan achterhaald worden wat de initialen van de gebruiker zijn, wat zijn achternaam is en waar deze persoon werkt. De persoon die dit e-mailadres gebruikt is dus identificeerbaar op grond van dit e-mailadres.

Een e-mailadres wordt niet beschouwd als een persoonsgegeven wanneer aan de hand van het e-mailadres geen natuurlijke personen geïdentificeerd kunnen worden. Dit is bijvoorbeeld het geval wanneer het volgende e-mailadres gebruikt wordt: [email protected]. Dit e-mailadres bevat geen gegevens aan de hand waarvan een natuurlijke persoon geïdentificeerd kan worden.

Algemene e-mailadressen die door bedrijven gebruikt worden, zoals [email protected], worden ook niet beschouwd als persoonsgegevens. Dit e-mailadres bevat geen persoonlijke informatie op grond waarvan een natuurlijke persoon geïdentificeerd kan worden. Bovendien wordt dit e-mailadres niet gebruikt door een natuurlijke persoon, maar door een rechtspersoon. Daarom wordt dit adres niet beschouwd als een persoonsgegeven.

Uit Nederlandse jurisprudentie kan dus geconcludeerd worden dat e-mailadressen persoonsgegevens kunnen zijn, maar dat dit niet altijd het geval is; dit is afhankelijk van de manier waarop een e-mailadres vormgegeven is.

Er is een grote kans dat natuurlijke personen geïdentificeerd kunnen worden op basis van het e-mailadres dat zij gebruiken, waardoor dit e-mailadres beschouwd wordt als een persoonsgegeven. Bij het classificeren van e-mailadressen als persoonsgegevens maakt het niet uit of de onderneming de e-mailadressen daadwerkelijk gebruikt om natuurlijke personen te identificeren.

Zelfs wanneer een onderneming de e-mailadressen niet gebruikt met het doel om natuurlijke personen te identificeren, dan nog worden e-mailadressen aan de hand waarvan natuurlijke personen geïdentificeerd kunnen worden beschouwd als persoonsgegevens. Niet elk technisch of toevallig verband tussen een gegeven en een persoon is voldoende om dat gegeven als persoonsgegeven aan te merken.

Wanneer echter de mogelijkheid bestaat dat een e-mailadres gebruikt kan worden om een persoon te identificeren, bijvoorbeeld om fraude op te sporen, dan wordt het e-mailadres beschouwd als een persoonsgegeven. Het maakt hierbij niet uit of de onderneming de bedoeling heeft om het e-mailadres voor dit doel te gebruiken. Er is sprake van een persoonsgegeven wanneer de mogelijkheid bestaat dat het gegeven gebruikt kan worden voor een dergelijk op de persoon gericht doel.[2]

Het privacyrecht van Law & More

AVG Met de invoering van de AVG zijn de wetten aangescherpt. Is uw onderneming daarop voorbereid?	Functionaris voor Gegevensbescherming Wij helpen u met het aanstellen van een Functionaris voor Gegevensbescherming	Data Protection Impact Assessment Wij kunnen een analyse doen om de risico ‘s van uw gegevensverwerking in kaart te brengen	Verwerking van data Welke data verwerkt uw bedrijf? Voldoet deze verwerking aan de AVG? Wij staan u bij

Bijzondere persoonsgegevens

Hoewel e-mailadressen in de meeste gevallen als persoonsgegevens beschouwd worden, is er geen sprake van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens omtrent ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond en genetische en biometrische gegevens. Dit vloeit voort uit artikel 9 AVG. Ook bevat een e-mailadres minder publieke informatie dan bijvoorbeeld een woonadres.

Een e-mailadres is minder makkelijk te achterhalen dan een woonadres en het is voor een groot deel afhankelijk van de gebruiker van het e-mailadres of het adres openbaar gemaakt wordt. Verder heeft ontdekking van een e-mailadres dat verborgen had moeten blijven minder grote gevolgen dan ontdekking van een woonadres dat verborgen had moeten blijven. Het is namelijk gemakkelijker om een e-mailadres te veranderen dan een woonadres en bekendmaking van een e-mailadres kan leiden tot digitaal contact, terwijl bekendmaking van een woonadres kan leiden tot persoonlijk contact.[3]

Verwerking van persoonsgegevens

We hebben vastgesteld dat e-mailadressen in de meeste gevallen beschouwd worden als persoonsgegevens. De AVG is echter alleen van toepassing op ondernemingen die persoonsgegevens verwerken. Onder het verwerken van persoonsgegevens wordt elke handeling met betrekking tot persoonsgegevens bedoeld. Dit wordt nader uitgelegd in de AVG.

Op grond van artikel 4 lid 2 AVG is verwerking van persoonsgegevens elke bewerking met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures. Voorbeelden zijn het verzamelen, vastleggen, ordenen, structureren, opslaan of gebruiken van persoonsgegevens. Wanneer ondernemingen voornoemde handelingen uitvoeren met betrekking tot e-mailadressen, dan is er sprake van verwerking van persoonsgegevens. In dat geval valt de onderneming onder de reikwijdte van de AVG.

Conclusie

Niet elk e-mailadres wordt beschouwd als een persoonsgegeven. E-mailadressen worden echter wel beschouwd als persoonsgegevens wanneer deze identificeerbare informatie omtrent natuurlijke personen bevatten. Veel e-mailadressen zijn op zo’n manier vormgegeven, dat de persoon die het e-mailadres gebruikt geïdentificeerd kan worden. Dit is het geval wanneer een e-mailadres de naam of werkplaats van een natuurlijke persoon bevat. Om deze reden zal een groot deel van de e-mailadressen als persoonsgegevens beschouwd worden.

Het is moeilijk voor ondernemingen om een onderscheid te maken tussen e-mailadressen die beschouwd worden als persoonsgegevens en e-mailadressen die niet zo beschouwd worden, aangezien dit helemaal afhankelijk is van de manier waarop het e-mailadres vormgegeven is. Het is dan ook aannemelijk dat ondernemingen die e-mailadressen verwerken, e-mailadressen tegenkomen die als persoonsgegevens beschouwd moeten worden. Dit betekent dat deze ondernemingen onder de reikwijdte van de AVG vallen en dat zij een privacybeleid op moeten stellen dat in overeenstemming met de AVG is.

[1] ECLI:NL:GHAMS:2002:AE5514.

[2] Kamerstukken II 1979/80, 25 892 3 (MvT).

[3] ECLI:NL:GHAMS:2002:AE5514.