Vingerscanautorisatie wordt steeds vaker gebruikt door werkgevers. De vingerafdruk is echter een biometrisch gegeven en het gebruik hiervan is sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in principe niet toegestaan. Het is daarom van belang dat u de keuze hiervoor goed motiveert en toestemming van uw werknemers krijgt om deze te gebruiken.
Werkgevers voeren steeds weer nieuwe, geavanceerdere beveiligingsmaatregelen in. Zo gebruiken steeds meer werkgevers een vingerscanautorisatie-systeem. Met hun vingerafdruk kunnen werknemers toegang krijgen tot een computer, de kassa of het bedrijfspand. Maar mag dat wel?
De Rechtbank Amsterdam oordeelde dat schoenenwinkel Manfield werknemers niet mag verplichten tot het gebruiken van een vingerscan-autorisatiesysteem. Dit is in strijd met de Algemene verordening gegevensbescherming (AVG).
Werknemers van schoenenwinkel Manfield logden voorheen met een persoonlijke cijfercode in op het kassasysteem. Deze cijfercode verving Manfield door een vingerscan-autorisatiesysteem: voortaan konden werknemers enkel met hun vingerafdruk inloggen op het kassasysteem.
Eén werkneemster van Manfield weigert het nieuwe systeem te gebruiken. Volgens haar maakt het systeem inbreuk op haar privacyrechten. Manfield en de werkneemster stappen naar de rechter: weigert de werkneemster terecht om haar vingerafdruk af te staan?
Volgens Manfield is het vingerscan-autorisatiesysteem noodzakelijk ter beveiliging van gevoelige informatie die via het kassasysteem toegankelijk is, zoals financiële informatie en persoonsgegevens van werknemers en klanten. Het oude systeem met de cijfercode kan deze gegevens onvoldoende beschermen.
Ook is Manfield geconfronteerd met meerdere fraudegevallen waarbij werknemers geld uit de kassa hadden gestolen. Werknemers konden met het oude systeem gemakkelijk de cijfercode van een andere werknemer invoeren, waardoor Manfield niet meer kon herleiden wie het geld gestolen had. Het nieuwe systeem met vingerscan maakt deze praktijken onmogelijk.
De werkneemster beriep zich op de AVG. Vingerafdrukken zijn zogenaamde ‘biometrische gegevens’ en die mogen volgens de AVG niet worden verwerkt. Slechts in uitzonderlijke gevallen mag dit toch, bijvoorbeeld met toestemming van de werknemer.
Biometrische gegevens mogen ook worden verwerkt als identificatie met deze gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Hiervan is bijvoorbeeld sprake als de toegang beperkt moet blijven tot een kleine groep geautoriseerde personen, zoals bij een kerncentrale. Belangrijk hierbij is ook dat deze verwerking proportioneel moet zijn.
Let op: toestemming aan uw werknemers vragen voor het gebruiken van persoonsgegevens zoals vingerafdrukken is vaak niet voldoende! Ook dan kunt u in strijd met de AVG handelen. Deze toestemming moet namelijk in alle vrijheid worden gegeven, terwijl deze vrijheid in arbeidsrelaties vaak niet wordt aangenomen.
Manfield struikelt al over de eerste horde. Volgens de rechter kan het tegengaan van fraude door eigen werknemers niet worden aangemerkt als ‘noodzakelijk voor authenticatie of beveiligingsdoeleinden’. Daarnaast heeft de rechter zijn twijfels over hoe proportioneel het gebruik van een vingerscan is bij de bestrijding van deze fraude.
Ook bij Manfields standpunt dat vingerscanautorisatie nodig is ter beveiliging van gevoelige informatie sluit de rechter zich niet aan. De rechter meent dat Manfield alternatieven onvoldoende heeft onderzocht. Manfield had een afweging van voors en tegens van verschillende systemen moeten maken, op grond waarvan zij haar keuze voor het vingerscan-autorisatiesysteem had kunnen onderbouwen. Echter, een dergelijke onderbouwing ontbreekt.
De rechter concludeert dat het vingerscan-autorisatiesysteem van Manfield in strijd is met de AVG. Manfield mag werknemers daarom niet verplichten om gebruik te maken van dit systeem.
Op grond van de AVG is het niet per definitie verboden om vingerafdrukken, irisscans en andere biometrische gegevens te gebruiken. De uitspraak laat echter zien dat u de privacybelangen van uw werknemers en alle alternatieven zorgvuldig moet afwegen als u overweegt dergelijke beveiligingsmaatregelen in te voeren.
Vaak zult u een Data Protection Impact Assessment (DPIA) uit moeten voeren. Dit is verplicht als de gegevensverwerking waarschijnlijk een hoog pricavyrisico oplevert voor uw werknemers. Met een DPIA brengt u vooraf deze privacyrisico’s en de mogelijke maatregelen ter beperking van de risico’s in kaart. Wij voeren deze graag voor u uit.
Heeft u een ondernemingsraad (OR)? Vergeet niet dat de OR instemmingsrecht heeft bij de aanpassing van het privacybeleid.
Wilt u meer weten over de AVG? Zoekt u hulp bij het ‘AVG-proof’ verwerken van persoonsgegevens van uw werknemers of bij het uitvoeren van een DPIA? Neem dan contact met ons op:
Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?
Als uw werknemer ziek is, wilt u als werkgever weten wat er aan de hand is en hoe lang u uw werknemer moet missen. Maar hoe zit het met de privacy van de werknemer? Wat mag u vragen en wat niet?
Bij vertrek van een statutair bestuurder/aandeelhouder moet ook een eventuele participatie in de onderneming worden afgewikkeld. Dan kan discussie ontstaan over de waarde van deze participatie, afhankelijk van de vraag of de bestuurder geldt als good leaver of bad leaver. Waar moeten bedrijven en bestuurders op letten bij de uitleg van een leaverregeling?
Een werkgever kan in de arbeidsovereenkomst een ontbindende voorwaarde opnemen. Dit kan echter slechts bij uitzondering. Aan welke eisen moet een ontbindende voorwaarde voldoen? Heeft de werknemer recht op een transitievergoeding als de ontbindende voorwaarde intreedt?
De regering heeft haar plannen voor de aanscherping van het concurrentiebeding uitgewerkt in een wetsvoorstel. Wat zijn de voorgestelde voorwaarden voor een geldig beroep op een concurrentiebeding? Welke gevolgen heeft het voorstel voor bestaande bedingen?
Hoe verloopt het OR-werk dit jaar? Hebben jullie als ondernemingsraad veel advies- en instemmingsaanvragen? Vinden de wettelijk verplichte overlegvergaderingen met de ondernemer plaats? Kijk met onze korte checklist naar jullie samenwerking met de ondernemer.
