Op 12 augustus 2019 heeft de Rechtbank Amsterdam uitspraak gedaan in een zaak waarin een werknemer van Manfield weigerde om haar vingerafdruk af te staan. Onlangs heeft Manfield een ‘vingerscan-autorisatiesysteem’ voor toegang tot de kassa’s ingevoerd bij al haar filialen. Een werknemer vond dit te ver gaan, en schoof Manfield in de schoenen dat daarmee te veel inbreuk wordt gemaakt op de privacy. Weigert de werknemer terecht?
Een vingerafdruk is een bijzonder persoonsgegeven
Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is het begrip ‘biometrisch gegeven’ bestempeld als bijzonder persoonsgegeven. Biometrische gegevens zijn persoonsgegevens die zijn verkregen uit iemands fysieke, fysiologische of gedragsgerelateerde kenmerken die eenduidige identificatie mogelijk maken, en ook daadwerkelijk worden gebruikt voor de identificatie van een persoon. Is een vingerafdruk ook een biometrisch persoonsgegeven? De kantonrechter beantwoordde deze vraag bevestigend. Dat is niet verwonderlijk, omdat een vingerafdruk in de AVG expliciet is genoemd als voorbeeld van een biometrisch gegeven. Maar denk bijvoorbeeld ook aan gezichtsherkenning of irisscans.
Verbod op het verwerken van bijzondere persoonsgegevens
Met bijzondere persoonsgegevens, en dus ook met een vingerafdruk, dien je extra voorzichtig om te gaan. Waarom? Bijzondere persoonsgegevens zijn gevoelig. Dit zit ‘m onder andere in de mogelijke gevolgen als er iets misgaat. Zo ligt identiteitsfraude op de loer indien een vingerafdruk in verkeerde handen komt. De wetgever heeft daarom een apart wettelijk regime opgetuigd voor het verwerken van bijzondere persoonsgegevens: je mag deze niet verwerken, tenzij er sprake is van een uitzondering.
Eén van die uitzonderingen is als je daar toestemming voor hebt verkregen. Toestemming biedt in dit geval echter weinig soelaas, omdat toestemming in vrijheid dient te worden gegeven. Van vrijheid in een arbeidsrelatie is door de gezagsverhouding tussen werkgever en werknemer maar zelden sprake. Zijn er nog andere mogelijkheden?
Noodzakelijk voor authenticatie- of beveiligingsdoeleinden
De AVG biedt ruimte aan lidstaten om uitvoering te geven aan bepaalde artikelen. Deze ruimte heeft Nederland ingevuld middels de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). In artikel 29 van de UAVG staat dat het verbod op het verwerken van biometrische gegevens niet van toepassing is wanneer de verwerking noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Manfield beroept zich op deze uitzondering.
Om gebruik te kunnen maken van deze uitzondering dient er een afweging plaats te vinden waarbij het gebruik van identificatie met biometrische gegevens noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. In het geval van Manfield dient de toegang tot het kassasysteem zodanig – zwaar – beveiligd te zijn dat dit met biometrie dient plaats te vinden. In de memorie van toelichting bij de UAVG wordt als voorbeeld het beveiligen van een kerncentrale genoemd.
Bij die afweging loopt het spaak voor Manfield. Manfield stond stevig in haar schoenen en stelde dat er een noodzaak was om gebruik te maken van een ‘vingerscan-autorisatiesysteem’. Volgens Manfield bestaat deze noodzaak uit het beveiligen van gevoelige informatie in het kassasysteem zoals financiële informatie en gegevens van werknemers en klanten. Ook zegt Manfield een bedrijfsbelang te hebben, namelijk het tegengaan van fraude van werknemers en daarmee het besparen van kosten. De kantonrechter is echter van mening dat het gebruiken van een ‘vingerscan-autorisatiesysteem’ niet noodzakelijk is. Alternatieven die minder inbreuk maken op de privacy van werknemers, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, zijn onvoldoende onderzocht. Het had op de weg gelegen van Manfield om te onderbouwen, bijvoorbeeld aan de hand van een DPIA, waarom is gekozen voor het ‘vingerscan-autorisatiesysteem’.
Zorg dat je je privacy zaakjes op orde hebt
De kantonrechter geeft Manfield een tik op de vingers. Het gebruik van een ‘vingerscan-autorisatiesysteem’ is in de gegeven omstandigheden in strijd met de AVG. De uitspraak is niet heel verrassend te noemen, maar laat wel zien dat het belangrijk is om als organisatie goed na te denken over het verwerken van persoonsgegevens, temeer als het gaat om bijzondere persoonsgegevens.
Als organisatie dien je een rechtsgeldige grondslag te hebben voor het verwerken van persoonsgegevens en goed na te denken of een verwerking door de beugel kan voordat deze daadwerkelijk plaatsvindt. Het uitvoeren van een DPIA is een manier om dit te doen, en in bepaalde gevallen zelfs verplicht. Als organisatie dien je te kunnen onderbouwen waarom voor een bepaalde verwerking is gekozen. Een dergelijke onderbouwing ontbrak bij Manfield.
Indien je persoonsgegevens verwerkt in strijd met de AVG loop je niet alleen het risico op boetes van de Autoriteit Persoonsgegevens, maar is ook het moeten betalen van een schadevergoedingen aan gedupeerden niet uit te sluiten. Zorg er daarom voor dat je je privacy zaakjes op orde hebt.
