Heeft u het Webinar “Do’s en don’ts bij de zieke werknemer” gemist? Bekijk hier de opname!

Vingerafdrukken van werknemers gebruiken: mag dat?

Publicatiedatum 12 december 2019
Vingerscanautorisatie wordt steeds vaker gebruikt door werkgevers. De vingerafdruk is echter een biometrisch gegeven en het gebruik hiervan is sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in principe niet toegestaan. Het is daarom van belang dat u de keuze hiervoor goed motiveert en toestemming van uw werknemers krijgt om deze te gebruiken.

vingerscan

Werkgevers voeren steeds weer nieuwe, geavanceerdere beveiligingsmaatregelen in. Zo gebruiken steeds meer werkgevers een vingerscanautorisatie-systeem. Met hun vingerafdruk kunnen werknemers toegang krijgen tot een computer, de kassa of het bedrijfspand. Maar mag dat wel?

De Rechtbank Amsterdam oordeelde dat schoenenwinkel Manfield werknemers niet mag verplichten tot het gebruiken van een vingerscan-autorisatiesysteem. Dit is in strijd met de Algemene verordening gegevensbescherming (AVG).

Vingerscan-autorisatiesysteem

Werknemers van schoenenwinkel Manfield logden voorheen met een persoonlijke cijfercode in op het kassasysteem. Deze cijfercode verving Manfield door een vingerscan-autorisatiesysteem: voortaan konden werknemers enkel met hun vingerafdruk inloggen op het kassasysteem.

Eén werkneemster van Manfield weigert het nieuwe systeem te gebruiken. Volgens haar maakt het systeem inbreuk op haar privacyrechten. Manfield en de werkneemster stappen naar de rechter: weigert de werkneemster terecht om haar vingerafdruk af te staan?

Manfield

Volgens Manfield is het vingerscan-autorisatiesysteem noodzakelijk ter beveiliging van gevoelige informatie die via het kassasysteem toegankelijk is, zoals financiële informatie en persoonsgegevens van werknemers en klanten. Het oude systeem met de cijfercode kan deze gegevens onvoldoende beschermen.

Ook is Manfield geconfronteerd met meerdere fraudegevallen waarbij werknemers geld uit de kassa hadden gestolen. Werknemers konden met het oude systeem gemakkelijk de cijfercode van een andere werknemer invoeren, waardoor Manfield niet meer kon herleiden wie het geld gestolen had. Het nieuwe systeem met vingerscan maakt deze praktijken onmogelijk.

AVG

De werkneemster beriep zich op de AVG. Vingerafdrukken zijn zogenaamde ‘biometrische gegevens’ en die mogen volgens de AVG niet worden verwerkt. Slechts in uitzonderlijke gevallen mag dit toch, bijvoorbeeld met toestemming van de werknemer.

Biometrische gegevens mogen ook worden verwerkt als identificatie met deze gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Hiervan is bijvoorbeeld sprake als de toegang beperkt moet blijven tot een kleine groep geautoriseerde personen, zoals bij een kerncentrale. Belangrijk hierbij is ook dat deze verwerking proportioneel moet zijn.

Let op: toestemming aan uw werknemers vragen voor het gebruiken van persoonsgegevens zoals vingerafdrukken is vaak niet voldoende! Ook dan kunt u in strijd met de AVG handelen. Deze toestemming moet namelijk in alle vrijheid worden gegeven, terwijl deze vrijheid in arbeidsrelaties vaak niet wordt aangenomen.

Rechtbank

Manfield struikelt al over de eerste horde. Volgens de rechter kan het tegengaan van fraude door eigen werknemers niet worden aangemerkt als ‘noodzakelijk voor authenticatie of beveiligingsdoeleinden’. Daarnaast heeft de rechter zijn twijfels over hoe proportioneel het gebruik van een vingerscan is bij de bestrijding van deze fraude.

Ook bij Manfields standpunt dat vingerscanautorisatie nodig is ter beveiliging van gevoelige informatie sluit de rechter zich niet aan. De rechter meent dat Manfield alternatieven onvoldoende heeft onderzocht. Manfield had een afweging van voors en tegens van verschillende systemen moeten maken, op grond waarvan zij haar keuze voor het vingerscan-autorisatiesysteem had kunnen onderbouwen. Echter, een dergelijke onderbouwing ontbreekt.

De rechter concludeert dat het vingerscan-autorisatiesysteem van Manfield in strijd is met de AVG. Manfield mag werknemers daarom niet verplichten om gebruik te maken van dit systeem.

Ons advies

Op grond van de AVG is het niet per definitie verboden om vingerafdrukken, irisscans en andere biometrische gegevens te gebruiken. De uitspraak laat echter zien dat u de privacybelangen van uw werknemers en alle alternatieven zorgvuldig moet afwegen als u overweegt dergelijke beveiligingsmaatregelen in te voeren.

Vaak zult u een Data Protection Impact Assessment (DPIA) uit moeten voeren. Dit is verplicht als de gegevensverwerking waarschijnlijk een hoog pricavyrisico oplevert voor uw werknemers. Met een DPIA brengt u vooraf deze privacyrisico’s en de mogelijke maatregelen ter beperking van de risico’s in kaart. Wij voeren deze graag voor u uit.

Heeft u een ondernemingsraad (OR)? Vergeet niet dat de OR instemmingsrecht heeft bij de aanpassing van het privacybeleid.

Meer informatie

Wilt u meer weten over de AVG? Zoekt u hulp bij het ‘AVG-proof’ verwerken van persoonsgegevens van uw werknemers of bij het uitvoeren van een DPIA? Neem dan contact met ons op:

    Deel op social media

    • ICT, privacy en intellectuele eigendom
    • Arbeidsrecht en ontslag

    Is uw personeelsadministratie klaar voor de AVG?

    23 mei 2018

    Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?

    lees verder
    • ICT, privacy en intellectuele eigendom
    • Arbeidsrecht en ontslag

    De zieke werknemer en zijn privacy

    16 oktober 2017

    Als uw werknemer ziek is, wilt u als werkgever weten wat er aan de hand is en hoe lang u uw werknemer moet missen. Maar hoe zit het met de privacy van de werknemer? Wat mag u vragen en wat niet?

    lees verder
    • Retail
    • Arbeidsrecht en ontslag

    17 juni 2021: Webinar “Do’s en don’ts bij de zieke werknemer”

    17 juni 2021

    Heeft u het webinar gemist? Bekijk dan de opname hiervan! Als uw werknemer zich ziek meldt, roept dit tal van lastige vragen op. Wat zijn uw re-integratieverplichtingen tijdens de ziekteperiode? Wat mag u – met het oog op privacywetgeving – wel en niet noteren over uw zieke werknemer? Tijdens het webinar op 17 juni 2021 gaven wij een praktische toelichting op deze en andere vragen.

    lees verder
    • Arbeidsrecht en ontslag

    Ontslag zieke statutair bestuurder

    17 juni 2021

    Een zieke werknemer mag niet worden ontslagen. Een werknemer die weet dat ontslag dreigt, kan echter niet daaraan ontkomen door zich ziek te melden. Maar wanneer weet de werknemer dat dit het geval is? Die vraag stond centraal bij de rechtszaak over het ontslag van de CFO van de Volksbank.

    lees verder
    • Arbeidsrecht en ontslag

    Let op met de werkgeversverklaring!

    14 juni 2021

    Voor het sluiten van een hypotheek of een huurcontract vragen de bank of de verhuurder vaak om een werkgeversverklaring. Zo’n verklaring kan onbedoelde gevolgen hebben voor de werkgever. Waarop moet u letten?

    lees verder
    • Arbeidsrecht en ontslag

    Wettelijk minimumloon per 1 juli 2021

    2 juni 2021

    De hoogte van het wettelijk minimumloon verandert per 1 juli 2021. Wat zijn de nieuwe bedragen?

    lees verder
    • Mode en luxury
    • Procederen, arbitrage en mediation

    De voordelen van arbitrage

    19 mei 2021

    Procederen hoeft niet altijd bij een rechter. Er zijn ook andere manieren om een juridisch conflict op te lossen. Een belangrijk en vaak aantrekkelijk alternatief is arbitrage. Zeker als u internationaal zaken doet. Wat zijn de voordelen van arbitrage?

    lees verder
    • Expats
    • Arbeidsrecht en ontslag

    The Netherlands: Gateway to Europe

    3 mei 2021

    The Netherlands likes to present itself as “the gateway to Europe.” And not without reason: excellent travel connections (Schiphol Amsterdam Airport and Rotterdam Seaport) and a highly educated population speaking several languages.

    lees verder