Een vingerscan als prikklok is niet toegestaan. Maar wat mag de werkgever dan wel?
Het gebruik van registratiesystemen door de werkgever
De prikklok waarbij een kartonnen prikkaart door een apparaat wordt gehaald zal je nergens meer tegenkomen. Die zijn vervangen door tijdregistratiesystemen die in de jaren ’90 hun intrede hebben gedaan (Wikipedia). De systemen zijn de laatste jaren geavanceerder geworden. Steeds vaker bieden de huidige registratiesystemen de mogelijkheid om personen te identificeren aan de hand van hun uiterlijke kenmerken. Een vinger-, hand- of gezichtsscan is al geen bijzonderheid meer. Zelfs niet bij de sportschool.
Een werkgever kan het nuttig vinden om te registreren wanneer zijn personeel op de zaak aanwezig is. Uiteraard geeft dit geen inzicht in de productiviteit van het personeel, maar hij kan in ieder geval zien of en zo ja wanneer iemand heeft ‘ingecheckt’. Als in dit registratiesysteem gebruik wordt gemaakt van uiterlijke kenmerken van de werknemer (biometrische gegevens), zal de werkgever in strijd handelen met de privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG).
Maar er zijn ook systemen waarbij de uiterlijke kenmerken van een persoon gebruikt worden om die persoon toegang te kunnen geven tot bepaalde ruimtes. En dat is onder omstandigheden wel toegestaan. Hieronder leg ik uit onder welke omstandigheden een werkgever gebruik mag maken van biometrische gegevens van zijn werknemers.
Wat zijn biometrische gegevens?
Een scan van een vinger, gezicht of ander uiterlijk kenmerk, valt al snel onder definitie van 'biometrische gegevens' in de Algemene Verordening Gegevensbescherming (AVG). Deze definitie luidt:
„biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
In deze definitie worden gezichtsafbeeldingen en vingerafdrukgegevens dus specifiek genoemd. Biometrische gegevens zijn onder de AVG aangemerkt als ‘bijzondere persoonsgegevens’. En de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon, is op grond van artikel 9 lid 1 AVG verboden, tenzij aan een van de voorwaarden zoals genoemd in het tweede lid van artikel 9 is voldaan.
Zo is het verwerken van biometrische gegevens – bijvoorbeeld middels een vingerscan - toegestaan, als de persoon wiens vinger wordt gescand, daarvoor toestemming heeft gegeven. Die toestemming moet voldoen aan de eisen die de AVG stelt aan een rechtsgeldige toestemming. En die eisen zijn vrij zwaar. De toestemming moet namelijk uitdrukkelijk, specifiek en in vrijheid afgelegd zijn. En die laatste eis is problematisch als het werknemers betreft. Er wordt namelijk uitgegaan van een afhankelijkheidsrelatie tussen de werkgever en een werknemer zodat niet gesproken kan worden van het in vrijheid geven van toestemming, zeker wanneer de toegang tot bepaalde plaatsen noodzakelijk is voor de uitoefening van de werkzaamheden. De toestemmingsgrondslag kan dus niet worden gebruikt.
Daarnaast bevat de AVG nog enkele andere verwerkingsgronden, maar daar kan een werkgever, die zijn personeel toegang wenst te verlenen tot zijn gebouwen met gebruikmaking van een vingerscan of andere technologie waarbij gebruik wordt gemaakt van biometrische gegevens, zich niet op baseren. Zo ontbreekt in artikel 9 lid 2 de ‘brede’ verwerkingsgrondslag van het gerechtvaardigd belang. Er is echter een oplossing gekomen in de Uitvoeringswet AVG (UAVG), die overigens uitsluitend betrekking heeft op de Nederlandse situatie. In artikel 26 UAVG is als bijkomende verwerkingsgrond namelijk het gerechtvaardigd belang toegevoegd:
‘Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde’.
In Nederland mag er biometrische identificatie dus ingezet worden als daarvoor een gerechtvaardigd belang bestaat. Dat brengt met zich mee dat identificatie, door middel van een vingerscan om toegang tot gebouwen mogelijk te maken, in de gegeven omstandigheden dus wel noodzakelijk én proportioneel moet zijn.
Data privacy impact assessment (DPIA)
Een vingerscan of vergelijkbare technologie mag dus pas worden ingezet nadat de werkgever een afweging heeft gemaakt tussen zijn belang om de techniek te gebruiken – bijvoorbeeld voor toegangscontrole bij gebouwen - en het belang van de werknemer om gevrijwaard te blijven van inbreuken op zijn privacy. En daarvoor is de ‘data privacy impact assessment’ (DPIA) bedoeld. Het aspect van de beveiliging van de gegevens dient daar uiteraard ook bij betrokken te worden, gezien de algemene verplichting van artikel 32 om passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Daarnaast dient de werkgever zijn werknemers te informeren over de inzet van vingerscans en de rechten die de werknemers hebben. Daarvoor wordt meestal een privacyreglement gebruikt dat intern wordt verspreid en steeds voor de werknemers raadpleegbaar is. Bijvoorbeeld door het privacyreglement op te nemen in het personeelsreglement of kantoorhandboek.
Expertise van Delissen Martens
Wij voeren regelmatig DPIA’s uit voor onze cliënten, bijvoorbeeld als gebruik wordt gemaakt van technologie waar persoonsgegevens worden verwerkt, zoals vingerscans, gezichtsherkenning of cameratoezicht. Als u een DPIA moet uitvoeren, staan wij u daar graag in bij.