Boete van € 725.000 wegens gebruik van vingerafdrukken werknemers

07 jul 2020 Arbeidsrecht Jeroen van Kollenburg

N.b. Dit artikel is meer dan een jaar geleden voor het laatst gewijzigd. De informatie kan verouderd zijn.

De Autoriteit Persoonsgegevens heeft een besluit gepubliceerd over een bedrijf dat vingerafdrukken van zijn werknemers vastlegde bij het in- en uitklokken. De werkgever kon deze gegevens gebruiken om inzicht te krijgen in werktijden, ziekteverzuim en overuren van het personeel. Na onderzoek door de Autoriteit Persoonsgegevens heeft de werkgever een boete gekregen van € 725.000. Jeroen van Kollenburg zet uiteen wat deze werkgever verkeerd deed.

Bijzondere persoonsgegevens

Op grond van de AVG zijn vingerafdrukken bijzondere persoonsgegevens. Het verwerken van deze gegevens is verboden, tenzij de werkgever zich kan beroepen op een van de wettelijke uitzonderingsgronden. In de onderhavige zaak stelde de werkgever dat er sprake was van de uitzonderingsgronden ‘toestemming’ en ‘noodzakelijk in verband met authenticatie of beveiligingsdoeleinden’.

Toestemming van werknemers

Verwerkt een werkgever bijzondere persoonsgegevens met toestemming van de werknemers? Dan is dit alleen toegestaan als de toestemming is gegeven nadat de werknemers:

  • Goed en volledig door de werkgever zijn geïnformeerd over het gebruik van hun vingerafdrukken.
  • De toestemming uitdrukkelijk en op schrift met ondertekening is gegeven (eventueel met elektronische handtekening), de werknemer de toestemming per e-mail heeft gegeven of er sprake was van toestemming met tweestapsverificatie.
  • De toestemming vrijelijk is gegeven. In situaties als de onderhavige is dat lastig, gelet op de afhankelijkheidsrelatie tussen de werknemers en de werkgever.

Noodzakelijk voor authenticatie en beveiligingsdoeleinden

Als een werkgever aangeeft dat het verwerken van vingerafdrukken (of andere biometrische gegevens) noodzakelijk is voor authenticatie en beveiligingsdoeleinden, dan moet hij aantonen dat de gebouwen en informatiesystemen zodanig beveiligd moeten zijn dat dit alleen met vingerafdrukken kan. Er mogen dus geen goede alternatieven mogelijk zijn. Dit is een zeer strenge eis. Dat is ook niet zo gek: als vingerafdrukken in de verkeerde handen komen kan dit tot onherstelbare schade voor de betrokken werknemers leiden. Denk daarbij aan chantage en identiteitsfraude. Een vingerafdruk is immers niet vervangbaar.

De Autoriteit Persoonsgegevens vond in deze zaak dat het gebruik van vingerafdrukken in het kader van (het tegengaan van misbruik bij) tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur niet noodzakelijk en niet proportioneel was.

Overige punten

Voordat een werkgever start met het gebruik van vingerafdrukken, moet er los van voornoemde eisen ook een zogenaamde Data Protection Impact Assessment (DPIA) worden uitgevoerd.

Let erop dat de ondernemingsraad dan al snel een advies- of instemmingsrecht heeft.

Conclusie

Denk goed na en win gespecialiseerd advies in voordat u de stap zet om bijzondere persoonsgegevens zoals vingerafdrukken te verwerken. Als werkgever heeft u een eigen verantwoordelijkheid om u aan de regels te houden. De gevolgen van niet-naleving zijn fors, zoals blijkt uit de hoogte van de opgelegde boete in de hierboven besproken zaak.

Over de blogger
Jeroen van Kollenburg

Jeroen geeft als salary-partner leiding aan de sectie arbeidsrecht. Hij adviseert onder meer over complexe ontslagkwesties, (internationale) reorganisaties, medezeggenschap en overtreding van arbeidsomstandighedenwetgeving.

Meer artikelen van Jeroen van Kollenburg

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.