Nieuws, Blog en Publicaties

De advocaten van Russell Advocaten schrijven geregeld over actuele juridische ontwikkelingen. Hieronder vindt u een overzicht van onze blogs, nieuwsbrieven, boeken en artikelen.

Lees meer

Uw advocaat

mr. Eileen A. Pluijm
mr. Eileen A. Pluijm
advocaat

Eileen Pluijm adviseert en procedeert voor nationale en internationale ondernemers en organisaties over geschillen inzake personeel, medezeggenschap en sociale zekerheid. Zij werkt op de sectie arbeidsrecht en ontslagrecht van Russell Advocaten.

 

@: eileen.pluijm@russell.nl 
  t: 020 - 301 55 55


Vingerafdrukken van werknemers gebruiken: mag dat?

Publicatiedatum: 12 december 2019

Biometrische gegevens mogen zelden gebruikt worden voor identificatie personeel  English version

Werkgevers voeren steeds weer nieuwe, geavanceerdere beveiligingsmaatregelen in. Zo gebruiken steeds meer werkgevers een vingerscanautorisatie-systeem. Met hun vingerafdruk kunnen werknemers toegang krijgen tot een computer, de kassa of het bedrijfspand. Maar mag dat wel?

De Rechtbank Amsterdam oordeelde dat schoenenwinkel Manfield werknemers niet mag verplichten tot het gebruiken van een vingerscan-autorisatiesysteem. Dit is in strijd met de Algemene verordening gegevensbescherming (AVG).
 

Vingerscan-autorisatiesysteem

Werknemers van schoenenwinkel Manfield logden voorheen met een persoonlijke cijfercode in op het kassasysteem. Deze cijfercode verving Manfield door een vingerscan-autorisatiesysteem: voortaan konden werknemers enkel met hun vingerafdruk inloggen op het kassasysteem.

Eén werkneemster van Manfield weigert het nieuwe systeem te gebruiken. Volgens haar maakt het systeem inbreuk op haar privacyrechten. Manfield en de werkneemster stappen naar de rechter: weigert de werkneemster terecht om haar vingerafdruk af te staan?

Manfield
Volgens Manfield is het vingerscan-autorisatiesysteem noodzakelijk ter beveiliging van gevoelige informatie die via het kassasysteem toegankelijk is, zoals financiële informatie en persoonsgegevens van werknemers en klanten. Het oude systeem met de cijfercode kan deze gegevens onvoldoende beschermen.

Ook is Manfield geconfronteerd met meerdere fraudegevallen waarbij werknemers geld uit de kassa hadden gestolen. Werknemers konden met het oude systeem gemakkelijk de cijfercode van een andere werknemer invoeren, waardoor Manfield niet meer kon herleiden wie het geld gestolen had. Het nieuwe systeem met vingerscan maakt deze praktijken onmogelijk.

AVG
De werkneemster beriep zich op de AVG. Vingerafdrukken zijn zogenaamde ‘biometrische gegevens’ en die mogen volgens de AVG niet worden verwerkt. Slechts in uitzonderlijke gevallen mag dit toch, bijvoorbeeld met toestemming van de werknemer.

Biometrische gegevens mogen ook worden verwerkt als identificatie met deze gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Hiervan is bijvoorbeeld sprake als de toegang beperkt moet blijven tot een kleine groep geautoriseerde personen, zoals bij een kerncentrale. Belangrijk hierbij is ook dat deze verwerking proportioneel moet zijn.

Let op: toestemming aan uw werknemers vragen voor het gebruiken van persoonsgegevens zoals vingerafdrukken is vaak niet voldoende! Ook dan kunt u in strijd met de AVG handelen. Deze toestemming moet namelijk in alle vrijheid worden gegeven, terwijl deze vrijheid in arbeidsrelaties vaak niet wordt aangenomen.

Rechtbank
Manfield struikelt al over de eerste horde. Volgens de rechter kan het tegengaan van fraude door eigen werknemers niet worden aangemerkt als ‘noodzakelijk voor authenticatie of beveiligingsdoeleinden’. Daarnaast heeft de rechter zijn twijfels over hoe proportioneel het gebruik van een vingerscan is bij de bestrijding van deze fraude.

Ook bij Manfields standpunt dat vingerscanautorisatie nodig is ter beveiliging van gevoelige informatie sluit de rechter zich niet aan. De rechter meent dat Manfield alternatieven onvoldoende heeft onderzocht. Manfield had een afweging van voors en tegens van verschillende systemen moeten maken, op grond waarvan zij haar keuze voor het vingerscan-autorisatiesysteem had kunnen onderbouwen. Echter, een dergelijke onderbouwing ontbreekt.

De rechter concludeert dat het vingerscan-autorisatiesysteem van Manfield in strijd is met de AVG. Manfield mag werknemers daarom niet verplichten om gebruik te maken van dit systeem.
 

Ons advies

Op grond van de AVG is het niet per definitie verboden om vingerafdrukken, irisscans en andere biometrische gegevens te gebruiken. De uitspraak laat echter zien dat u de privacybelangen van uw werknemers en alle alternatieven zorgvuldig moet afwegen als u overweegt dergelijke beveiligingsmaatregelen in te voeren.

Vaak zult u een Data Protection Impact Assessment (DPIA) uit moeten voeren. Dit is verplicht als de gegevensverwerking waarschijnlijk een hoog pricavyrisico oplevert voor uw werknemers. Met een DPIA brengt u vooraf deze privacyrisico’s en de mogelijke maatregelen ter beperking van de risico’s in kaart. Wij voeren deze graag voor u uit.

Heeft u een ondernemingsraad (OR)? Vergeet niet dat de OR instemmingsrecht heeft bij de aanpassing van het privacybeleid.
 

Meer informatie

Wilt u meer weten over de AVG? Zoekt u hulp bij het ‘AVG-proof’ verwerken van persoonsgegevens van uw werknemers of bij het uitvoeren van een DPIA? Neem dan contact met ons op:
 

Onderstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.
 

Velden met een * zijn verplicht

Blijf op de hoogte

Wilt u graag op de hoogte blijven van de actuele juridische ontwikkelingen?

Meldt u aan voor de nieuwsbrief

Of volg ons op LinkedIn

Bel mij

Vul hier uw naam en telefoonnummer in en wij bellen u zo spoedig mogelijk.
Onderstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.