€ 725.000,00 boete voor werkgever wegens toegangscontrole met vingerafdrukken

€ 725.000,00 boete voor werkgever wegens toegangscontrole met vingerafdrukken

€ 725.000,00 boete voor werkgever wegens toegangscontrole met vingerafdrukken 150 150 Capra Advocaten
image_pdf

De Autoriteit persoonsgegevens (AP) heeft een boete van € 725.000,00 opgelegd aan een bedrijf dat vingerafdrukken van het personeel gebruikte bij controle op de toegang tot de werkplek. De AP kreeg een melding over het gebruik van het vingerafdrukkensysteem en besloot vanwege het gevoelige karakter van vingerafdrukken tot onderzoek over te gaan.

Vingerafdrukken zijn bijzondere persoonsgegevens

De AVG wijst vingerafdrukken aan als bijzondere persoonsgegevens. Die genieten extra bescherming omdat het gebruik ervan grote gevolgen kan hebben voor de privacy. Verwerking is verboden, tenzij de wet in een uitzondering op dat verbod voorziet. De AP onderzocht de twee uitzonderingen die in dit geval van toepassing zouden kunnen zijn.

Toestemming

De eerste mogelijke uitzondering betreft toestemming van de werknemer. De AVG vereist voor toestemming een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting en de werkgever moet kunnen aantonen dat toestemming is gegeven. Al langer draagt de AP uit dat de afhankelijke positie van de werknemer ten opzichte van zijn werkgever maakt dat een werknemer niet snel geacht kan worden in vrijheid toestemming te verlenen. Zo ook in dit geval. Daarbij stelt de AP vast dat het bedrijf ook nog eens niets van de gestelde toestemming had vastgelegd en dus ook niet kon aantonen dat toestemming in vrijheid was verleend. Enkele werknemers verklaarden zelfs dat zij medewerking als verplichting hadden ervaren. De werknemers bleken ook vooraf niet geïnformeerd te zijn over de invoering van het systeem.

Dit bevestigt nog maar eens dat het erg oppassen is met toestemming als basis voor het verwerken van gegevens van werknemers. Toestemming is niet in alle gevallen uitgesloten. Maar kiest u toch voor toestemming, waak er dan voor dat u niet alleen een ondertekende akkoordverklaring kan laten zien, maar ook dat die specifiek en ondubbelzinnig is, dat u kunt aantonen dat de verklaring in vrijheid is afgelegd en dat voor ondertekening voldoende informatie is verstrekt aan de werknemer, waaronder dat toestemming te allen tijde kan worden ingetrokken.

Meestal is het verstandiger een andere basis voor de gegevensverwerking te gebruiken.

Noodzakelijk voor authenticatie- of beveiligingsdoeleinden

Een andere basis, en dat is meteen de tweede mogelijk uitzondering op het verbod die de AP onderzocht, is noodzakelijk gebruik voor authenticatie- of beveiligingsdoeleinden. De AP overweegt dat de noodzakelijkheid een strenge toets inhoudt. Het bedrijf gaf als redenen het tegengaan van misbruik van het tijdregistratiesysteem en het beperken van toegang tot personen die opgeleid zijn om met de geavanceerde apparatuur te werken en daarbij allerhande praktische voordelen. Die redenen vinden geen genade bij de AP. Praktische redenen kunnen het gebruik van vingerafdrukken niet rechtvaardigen en ook de aard van de bedrijfsactiviteiten rechtvaardigen de inzet van vingerafdrukken voor authenticatie en beveiliging niet. Daarvoor kan met minder vergaande middelen worden volstaan. Het rapport is geanonimiseerd en biedt daarom weinig zicht op de bedrijfsactiviteiten. Maar duidelijk is dat de AP voor de inzet van biometrie bijzondere bedrijfsrisico’s vereist. In de woorden van de wetgever is dat eerder het geval bij een kerncentrale dan bij een onderhoudsbedrijf.

Rol ondernemingsraad

Invoering van een systeem als hier aan de orde vereist de voorafgaande instemming van de ondernemingsraad. Hierover blijkt niets uit het rapport van de AP. Instemming van de ondernemingsraad geldt niet als toestemming van de werknemers, maar het oordeel van de ondernemingsraad kan wel helpen bij de afweging van de noodzaak, zij het dat dat geen garantie geeft tegen handhaving door de AP. Als de ondernemingsraad instemming weigert kan het oordeel van de rechter ingewonnen worden. Zo gaf de kantonrechter in Amsterdam op gezamenlijk verzoek van een werkgever en de ondernemingsraad duidelijkheid over het gebruik van vingerafdrukken voor het kassasysteem van een schoenenwinkelketen.

Boete

Alle overtredingen van de materiële bepalingen van de AVG vallen in de hoogste boetecategorie van de AVG, tot 20 miljoen euro of, als dat meer is, 4% van de jaaromzet van een onderneming. Volgens het boetebeleid van de AP leidt overtreding van het verbod op het verwerken van bijzondere persoonsgegevens als uitgangspunt tot een boete van € 725.000,00. Die boete legt de AP in dit geval ook op. Het bedrijf voerde tegen de boete onder meer aan dat de leverancier had gezegd dat het systeem was toegestaan, dat de vingerafdrukken goed beveiligd waren en dat het bedrijf tijdens het onderzoek door de AP al maatregelen had getroffen om te stoppen. De AP gaat aan al deze argumenten van het bedrijf voorbij en benadrukt de eigen verantwoordelijkheid van het bedrijf dat vooraf juridisch advies had kunnen inwinnen.

Conclusie

Toestemming is in het algemeen al een wankele basis, omdat deze kan worden ingetrokken, maar voor werkgevers temeer omdat een werknemer zich in het algemeen niet vrij zal voelen om toestemming te weigeren en toestemming dan niet rechtsgeldig is. Het is veelal beter na te gaan of een andere grond uit de AVG toegepast kan worden. Die andere gronden vergen altijd een gedegen afweging vooraf. Ten aanzien van biometrie gelden daarbij strenge normen, waarbij gebruiksgemak van ondergeschikt belang is. Overtreding van de AVG is risicovol. Boetes zijn hoog, zeker waar het om biometrische of andere bijzondere categorieën gegevens gaat.

Expertteam AVG en privacy

Capra heeft een ervaren expertteam AVG en privacy dat u bij kwesties als deze graag bijstaat en kan adviseren over beleid op dit punt, vormgeving, uitvoering en handhaving daarvan. U kunt contact opnemen met het expertteam via n.groenhart@capra.nl of f.tevette@capra.nl of 070-364 81 02.

Cursus Privacy op de werkvloer

Op 23 en 30 juni 2020 is de online cursus Privacy op de werkvloer van de Capra academie. U kunt zich hier inschrijven voor deze cursus.

Contact over dit onderwerp

Niels Groenhart

Niels Groenhart

Advocaat
Vestiging:
Den Haag
Sector:
Overheid
Telefoon:
070 - 3 64 81 02
Mobiel:
06 - 49 98 77 17

Gerelateerd

Cursus Privacy op de werkvloer (online cursus) 150 150 Capra Advocaten

Cursus Privacy op de werkvloer (online cursus)

De AVG concreet gemaakt voor de omgang met persoonsgegevens van personeel

lees meer
Privacy: enkele hoogtepunten van de afgelopen maand 150 150 Capra Advocaten

Privacy: enkele hoogtepunten van de afgelopen maand

Artikel

lees meer
Kennisbijeenkomst Integriteit en privacy in Zwolle – 11 juni 150 150 Capra Advocaten

Kennisbijeenkomst Integriteit en privacy in Zwolle – 11 juni

Kennisbijeenkomst

lees meer
Het coronavirus en privacyrechtelijke vragen 150 150 Capra Advocaten

Het coronavirus en privacyrechtelijke vragen

Artikel

lees meer
Overgang van onderneming voor overheden 150 150 Capra Advocaten

Overgang van onderneming voor overheden

Artikel

lees meer
Update Alcohol- en drugstesten: maak werk van ADM-beleid 150 150 Capra Advocaten

Update Alcohol- en drugstesten: maak werk van ADM-beleid

Artikel

lees meer

Blijf op de hoogte

Blijf op de hoogte over ontwikkelingen, interessante jurisprudentie en wetswijzigingen op het gebied van arbeidsverhoudingen binnen de sectoren overheid, onderwijs en zorg. Selecteer welke nieuwsbrieven u wilt ontvangen en wij houden u op de hoogte.

Vestiging Den Haag
Laan Copes van Cattenburch 56
2585 GC Den Haag
Telefoon 070-364 81 02
Fax 070-361 78 47
denhaag@capra.nl

Vestiging ‘s-Hertogenbosch
Bastion Vught 1
5211 CZ ‘s-Hertogenbosch
Telefoon 073-613 13 45
Fax 073-614 82 16
s-hertogenbosch@capra.nl

Vestiging Zwolle
Terborchstraat 12
8011 GG Zwolle
Telefoon 038-423 54 14
Fax 038-423 47 84
zwolle@capra.nl

Vestiging Maastricht
Spoorweglaan 7
6221 BS Maastricht
Telefoon 043-7 600 600
Fax 043-7 600 609
maastricht@capra.nl