AVG-boete: werkgever maakte gebruik van vingerafdrukken

0

Het gebruik van vingerafdrukken is al lang niet meer alleen een aangelegenheid in het strafrecht. Ook op HR-gebied heeft de vingerafdruk zijn intrede gedaan. Dat dit echter niet zomaar is toegestaan, blijkt wel uit een onlangs gepubliceerd besluit van de Autoriteit Persoonsgegevens. Dit besluit had betrekking op een bedrijf dat vingerafdrukken van zijn werknemers vastlegde bij het in- en uitklokken. Zo kreeg de werkgever inzicht in werktijden, ziekteverzuim en overuren van het personeel. Na onderzoek door de Autoriteit Persoonsgegevens heeft de werkgever een boete gekregen van € 725.000. Waar ging het in dit geval mis? Welke voorwaarden gelden voor het gebruik van vingerafdrukken van werknemers?

Bijzondere persoonsgegevens

Vingerafdrukken zijn biometrische gegevens. Op grond van de AVG zijn biometrische gegevens bijzondere persoonsgegevens. Het verwerken van deze gegevens is verboden, tenzij men zich kan beroepen op één van de wettelijke uitzonderingsgronden. De werkgever in kwestie stelde dat de uitzonderingsgronden “toestemming” en “noodzakelijk in verband met authenticatie of beveiligingsdoeleinden” zich voordeden. De Autoriteit Persoonsgegevens deelde deze mening echter niet.

Toestemming

Wanneer bijzondere persoonsgegevens met toestemming van werknemers worden verwerkt, is deze verwerking alleen toegestaan als de toestemming geïnformeerd, uitdrukkelijk en vrijelijk is gegeven.
Een werknemer kan pas toestemming geven als hij goed en volledig door de werkgever is geïnformeerd over het gebruik van zijn vingerafdrukken. Zo dient de werkgever de werknemer onder andere te informeren over het doel van de verwerking en het recht om toestemming in te trekken. Een bedrijfsreglement is hiervoor de aangewezen plaats, maar ook in de arbeidsovereenkomst kan de werknemer hierover worden geïnformeerd.
Van uitdrukkelijke toestemming is sprake bij schriftelijke toestemming, ondertekening (eventueel met elektronische handtekening), het door de werknemer versturen van een e-mail of toestemming met tweestapsverificatie.

Gezien de afhankelijkheidsrelatie tussen werkgever en werknemer is er niet snel sprake van vrijelijk gegeven toestemming. Zo wordt aangenomen dat het onwaarschijnlijk is dat een werknemer toestemming kan weigeren zonder angst of reële dreiging van nadelige gevolgen vanwege de weigering. Van het merendeel van gegevensverwerkingen op het werk kan en mag de rechtsgrond daarom geen toestemming van de werknemer zijn. Alleen in uitzonderlijke gevallen kunnen werknemers vrijelijk toestemming geven, namelijk wanneer het niet geven van toestemming geen negatieve gevolgen heeft voor de werknemer. Dit wordt echter niet snel aangenomen.

In de genoemde casus, heeft de werkgever niet kunnen bewijzen dat de werknemers überhaupt toestemming hadden gegeven voor het gebruik van hun vingerafdrukken. Ook waren de werknemers niet (voldoende) geïnformeerd over deze vorm van gegevensverwerking.

Noodzakelijk voor authenticatie en beveiligingsdoeleinden

Als een werkgever aangeeft dat het verwerken van biometrische gegevens noodzakelijk is voor authenticatie en beveiligingsdoeleinden, dan moet hij aantonen dat de gebouwen en informatiesystemen zodanig beveiligd moeten zijn dat dit met biometrie dient plaats te vinden. Dit is een zeer strenge toets en is alleen aan de orde als de toegang beperkt dient te zijn tot bepaalde geautoriseerde personen. Daarnaast moet het verwerken van biometrische gegevens ook nog proportioneel zijn.

De Autoriteit Persoonsgegevens was in dit concrete geval van oordeel dat het verwerken van biometrische gegevens in het kader van (het tegengaan van misbruik bij) tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur niet noodzakelijk en proportioneel was.

Overige aandachtspunten

Houd als werkgever ook rekening met het volgende:

  • Voordat een werkgever start met het gebruik van vingerafdrukken, moet er een zogenaamde Data Protection Impact Assessment (DPIA) worden uitgevoerd.
  • Passeer de ondernemingsraad niet bij het verwerken van persoonsgegevens. Dit orgaan heeft immers al snel advies- of instemmingsrecht.
  • Ruim twee jaar na inwerkingtreding van de AVG komt een werkgever niet meer weg met het argument dat hij de wetgeving (nog) niet kent. In de besproken casus zegt de Autoriteit Persoonsgegevens expliciet dat een werkgever een eigen verantwoordelijkheid heeft om zich aan de gestelde regels te houden en – indien nodig – juridisch advies in te winnen.

Tot slot

Een werkgever moet heel wat hordes nemen, wil hij gebruik kunnen maken van vingerafdrukken van werknemers. Denk hier dus niet te lichtzinnig over. Houd de vinger aan de pols en keep your fingers crossed in geval van een onderzoek van de Autoriteit Persoonsgegevens; de boetes kunnen enorm hoog uitvallen.

  • HR kennispartner XpertHR biedt arbeidsrechtelijke informatie, juridisch advies, praktische tools, praktijkcases, checklists en meer. Geïnteresseerd? Meer informatie >>>
Lees meer over:

Over Auteur

Daniëlle Boons is HRM juridisch adviseur bij Bos Adviesgroep. Vanuit die ervaring en haar kennis als afgestudeerde in ‘Rechtsgeleerdheid’ en ‘Forensica, Criminologie en Rechtspleging’ schrijft zij diverse blogs voor XpertHR.