Een werknemer verplichten om een vingerafdruk te gebruiken om de kassa te bedienen, is volgens de kantonrechter in strijd met Algemene Verordening Gegevensbescherming (AVG). Maar dit betekent niet, dat de werkgever nóóit een vingerafdruk of irisscan mag vragen het personeel.
Een schoenmodeketen had als test in alle filialen een vingerscan-autorisatiesysteem voor haar kassasysteem ingevoerd. Dat systeem leest de vingerafdruk van een medewerker af en vergelijkt die met een code in het systeem. Als het klopt, kan de medewerker de kassa bedienen. Zonder vingerafdruk is het niet mogelijk om de kassawerkzaamheden uit te voeren.
Maar een vingerafdruk is een bijzonder persoonsgegeven, dat je niet zomaar mag verwerken volgens de AVG. En een werkgever mag medewerkers ook nooit toestemming vragen om dergelijke gegevens te gebruiken, vanwege de ongelijke machtsverhouding. Daarom stapte een medewerkster naar de rechter, die haar na behandeling van de zaak gelijk gaf.
Noodzaak niet goed onderbouwd
Volgens de werkgever waren de vingerafdrukken nodig omdat het kassasysteem niet alleen financiële gegevens bevat, maar ook persoonsgegevens van personeel. Een pasje met pincode zou het systeem daarom onvoldoende beveiligen, terwijl de AVG voorschrijft dat de beveiliging zo optimaal mogelijk moet zijn. De schoenenwinkel wil de beveiliging ook aanscherpen, omdat in het verleden medewerkers met pincodes en pasjes konden frauderen.
Grootste bezwaar van de rechter was, dat de noodzaak voor het gebruik van de vingerafdruk niet goed onderbouwd was. En dat moet wel, wanneer je bijzondere persoonsgegevens verwerkt, stelt ICT-jurist Arnoud Engelfriet op Ius mentis, zijn website die gespecialiseerd is in internetrecht en technologie.
Vingerafdrukken niet zo maar verwerken
Engelfriet wijst erop dat de regels rond biometrische gegevens streng zijn. Die mag je alleen verwerken als dat ‘noodzakelijk’ is voor beveiliging of authenticatie, zonder dat er een goed alternatief is.
Je moet dan uitwerken waarom je biometrische gegevens moet verwerken, welke problemen je daarmee oplost, wat de gevaren daarbij zijn voor de privacy van werknemers en hoe je die gaat beschermen. Als de winkelketen die alternatieven vooraf goed op papier had uitgewerkt, had het volgens de ICT-advocaat “zeer waarschijnlijk wel gemogen.”
Maar het mag wél
Het verwerken van biometrische persoonsgegevens moet dus heel zorgvuldig gebeuren, maar het mag dus wél, aldus Engelfriet. Hij geeft als voorbeeld een datacentrum waarbij toegang wordt geregeld met een irisscan. Daarbij gaat het om fysieke aanwezigheid bij hardware met kwetsbare gegevens, terwijl er veel wisselende mensen naar binnen moeten, zonder dat er overal toezicht is.
Dus als de werkgever een vingerafdruk wil gebruiken als beveiliging, moet deze eerst op papier zetten: