Schoenenwinkel Manfield mag een werkneemster niet verplichten een autorisatiesysteem te gebruiken voor het kassasysteem dat werkt op basis van een vingerscan. De rechtbank Amsterdam oordeelt dat een dergelijke verplichting in strijd is met de Algemene verordening gegevensbescherming (“AVG”).
Manfield heeft onlangs in alle filialen een autorisatiesysteem voor haar kassasysteem ingevoerd dat werkt op basis van een vingerscan. Door gebruik van het vingerscanautorisatiesysteem kunnen werknemers van Manfield slechts toegang verkrijgen tot het kassasysteem indien zij hun vingerafdruk scannen. Zonder deze toegang is het voor de werknemers niet mogelijk om hun kassawerkzaamheden uit te voeren. De vingerscanautorisatie is ingevoerd ter vervanging van een autorisatiesysteem waarin de werknemers van Manfield een persoonsgebonden cijfercode dienen in te voeren om toegang te krijgen tot het kassasysteem.
Een van de werknemers van Manfield heeft zich verzet tegen het gebruiken van haar vingerafdruk voor het autorisatiesysteem. Zij stelt dat deze autorisatiemethode inbreuk maakt op haar privacyrechten omdat het om een biometrisch persoonsgegeven gaat en het op grond van artikel 9 lid 1 van de AVG in beginsel verboden is om bijzondere persoonsgegevens, waaronder biometrische gegevens, te verwerken. De uitzondering op dit verbod, te weten dat het verzamelen van biometrische gegevens noodzakelijk kan zijn voor authenticatie- of beveiligingsdoeleinden doet zich volgens haar hier niet voor.
Volgens Manfield bestaat er een noodzaak bij het gebruik van een vingerscanautorisatiesysteem, namelijk het beveiligen van gevoelige informatie, die via haar kassasysteem toegankelijk is. Het kassasysteem geeft niet alleen inzage in (gevoelige) financiële informatie, maar ook in persoonsgegevens van de werknemers van Manfield. Tevens zijn de persoonsgegevens van klanten inzichtelijk. Ook stelt Manfield dat zij een bedrijfsbelang heeft bij invoering van het systeem. Manfield is eerder geconfronteerd met een aantal gevallen van fraude waar werknemers bij zijn betrokken.
Een vingerafdruk kwalificeert als een biometrisch persoonsgegevens onder de AVG. Biometrische persoonsgegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon. Op grond hiervan is eenduidige identificatie van die persoon mogelijk. Of wordt zijn/haar identiteit bevestigd. Ook de iris- of netvliesscan, stemherkenning en de gezichtsscan zijn daarom biometrische gegevens.
De AVG bepaalt dat de verwerking van biometrische persoonsgegevens een verwerking van bijzondere persoonsgegevens is. Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden. Nederland heeft in de UAVG bijkomende voorwaarden hierover vastgesteld. Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Een werkgever mag een werknemer alleen om een vingerafdruk vragen als dit noodzakelijk is. De werkgever moet daarom vooraf een afweging maken of identificatie met biometrische gegevens noodzakelijk is. Dat betekent dat de werkgever moet afwegen of gebouwen en/of informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door biometrische gegevens te gebruiken. De werkgever moet het doel, bijvoorbeeld toegangscontrole, niet op andere, minder ingrijpende, manier kunnen bereiken. Een manier die die minder ingrijpend is voor de privacy van werknemers, zoals gebruik van een toegangspas. Alleen als uw werkgever het doel niet op een andere manier kan bereiken, is er sprake van noodzaak.
Als er voor de werkgever geen noodzaak bestaat, dan mag hij in plaats daarvan ook geen toestemming vragen van de werknemer om alsnog de vingerafdruk te verwerken. De Autoriteit Persoonsgegevens is van mening dat een werknemer in die context zijn toestemming niet in vrijheid kan geven. De werknemer is afhankelijk van zijn werknemer, en niet in een positie om te weigeren.
De rechter oordeelt dat het bedrijfsbelang van Manfield, dat bestaat uit fraudebestrijding, niet is aan te merken als “noodzakelijk voor authenticatie- of beveiligingsdoeleinden”. De rechter constateert ook dat Manfield mogelijke alternatieven zoals toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende heeft onderzocht. In ieder geval heeft Manfield niet, bijvoorbeeld aan de hand van documenten, met afweging van voors en tegens van verschillende systemen, onderbouwd waarom zij heeft gekozen voor het vingerscanautorisatiesysteem.
Voor het verwerken van biometrische gegevens gelden strenge(re) eisen onder de AVG. Daarbij is het uitvoeren van een data protection impact assessment (“DPIA”, ook wel privacy impact assessment) verplicht in geval van grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. De analyse naar de noodzaak van het verwerken van biometrische gegevens dient als onderdeel van de DPIA goed en concreet te zijn uitgewerkt.
Dit artikel is ook te vinden in het dossier AVG