Het leek de directeur van dit bedrijf nog zo’n goed idee. Door over te schakelen op een systeem van in- en uitklokken met vingerafdrukscans, zouden werknemers hun toegangspas niet meer kunnen uitlenen aan collega’s, met als gevolg dat misbruik zou afnemen. Ook zouden kosten voor aanschaf, verlies en beschadiging van toegangspasjes voortaan tot het verleden behoren en zou het nieuwe systeem een bijdrage kunnen leveren aan de veiligheid van bedrijfsruimten en computersystemen.
De nieuwe methode werkte ongeveer als volgt. Bij aanvang van een dienstverband werd bij de nieuwe werknemer een tweetal vingerafdrukken afgenomen. Op basis van die afdrukken werd vervolgens een digitaal vingerafdruktemplate gegenereerd dat werd opgeslagen als tekstbestand. Productiemedewerkers konden in- en uitklokken door hun vinger in een scanapparaat te leggen. De vingerafdruk werd dan vergeleken met het digitaal opgeslagen template om zo de identiteit van de medewerker te bevestigen.
Uit onderzoek van de AP bleek dat het bedrijf vingerafdrukken van 337 (voormalige) werknemers gedurende enkele jaren had opgeslagen en verwerkt.
De AVG kent specifieke regels voor zogeheten biometrische gegevens. De AVG omschrijft een biometrisch gegeven als volgt:
“persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens”
Een vingerafdrukgegeven is dus een biometrisch gegeven. Zo’n gegeven mag eigenlijk alleen worden verwerkt met uitdrukkelijke toestemming van de betrokkene of als dit noodzakelijk en proportioneel is voor beveiliging of authenticatiedoeleinden.
Toestemming in de hiërarchische relatie tussen werkgever en werknemer is in het algemeen lastig en is voor werkgevers daarom zelden een toereikende rechtsgrond. In dit geval kon de werkgever bovendien niet goed aantonen dat werknemers uitdrukkelijk, vrijelijk en goed geïnformeerd hadden ingestemd met het scanregime. Volgens de AP kon de verwerking dus niet op toestemming gebaseerd worden.
Ook was de verwerking volgens de toezichthouder niet noodzakelijk en proportioneel voor beveiliging of authenticatie. Uit het gepubliceerde boetebesluit wordt niet helemaal duidelijk welke werkzaamheden het bedrijf in kwestie precies deed. In ieder geval waren de werkzaamheden niet van dien aard dat het vastleggen van biometrische informatie nodig was om de toegangsbeveiliging goed te regelen. Dat had ook op andere, minder ingrijpende manieren gekund, zo oordeelt de AP. Ook deze grondslag was dus niet toereikend.
Vragen?
Voor vragen neemt u contact op met Jeroen van Helden, advocaat IT, Privacy & Cybersecurity