Steeds meer werkgevers eisen dat medewerkers hun vingerafdruk gebruiken voor toegangscontrole en/of tijdregistratie. Maar werkgevers mogen zulke “biometrische gegevens” vanwege de privacy verordening AVG niet zomaar gebruiken. Hieronder leg ik uit wat de wet hierover zegt en hoe je daar als werkgever slim mee omgaat.
Volgens de AVG is een vingerafdruk een biometrisch en daardoor een zogenaamd “bijzonder” persoonsgegeven. Voor “bijzondere” persoonsgegevens geldt een extra streng regime. De verwerking van bijzondere persoonsgegevens is volgens de AVG verboden, tenzij er sprake is van een wettelijke uitzondering.
Deze wettelijke uitzondering kan worden gevonden in de Nederlandse Uitvoeringswet. Hierin is opgenomen dat het verwerken van biometrische gegevens (zoals vingerafdrukken) mag, als dit noodzakelijk is voor authenticatie of beveiliging. Deze uitzondering geldt dus ook voor werkgevers. Dat betekent dat werkgevers vingerafdrukken van werknemers mogen gebruiken als dit noodzakelijk is voor authenticatie of beveiliging. Geldt dit nu voor alle werkgevers? Dat is niet duidelijk.
Wat precies bedoeld wordt met “authenticatie” of “beveiliging” is trouwens ook onduidelijk. Dat geldt ook voor de vraag wat met “noodzakelijk” wordt bedoeld. De minister noemt de kerncentrale als voorbeeld van een instelling waarbij vingerafdrukken omwille van de beveiliging noodzakelijk kunnen zijn. De minister geeft echter blijk van een sterk verouderd beeld van de gevaren in de digitale samenleving. Dat zorgt voor verwarring.
In augustus 2019 oordeelde de rechter dat een schoenenwinkel op grond van de AVG medewerkers niet mag verplichten vingerafdrukken af te staan voor toegang tot de kassa of voor tijdsregistratie.
Velen leiden hieruit af dat de werkgever dus nooit vingerafdrukken mag gebruiken voor toegangscontrole en/of tijdregistratie, behalve als je toevallig een kerncentrale exploiteert. Het zal inderdaad niet gemakkelijk worden voor werkgevers om toegangscontrole of tijdsregistratie aan de AVG te laten voldoen.
Echter: de technische ontwikkelingen staan niet stil. Veel bedrijven zeggen mij dat ze vingerafdrukken willen invoeren, omdat werknemers bijvoorbeeld met de tijdsregistratie frauderen door stiekem diensten van elkaar over te nemen. Hieronder volgen vier tips voor werkgevers die overwegen vingerafdrukken te gebruiken voor toegangscontrole of tijdsregistratie.
TIP 1: Toon de noodzaak goed aan met een DPIA
Volgens de Uitvoeringswet mogen vingerafdrukken gebruikt worden voor “authenticatie” of “beveiliging”. Maar zoals gezegd alleen als dit echt noodzakelijk is. Daarmee wordt bedoeld dat de authenticatie of beveiliging niet op minder ingrijpende manieren kan gebeuren. Deze noodzaak moet de werkgever aantonen. Dit had de schoenenwinkel onvoldoende gedaan. De werkgever meende dat minder ingrijpende maatregelen niet mogelijk waren. Maar het onderzoek leek niet erg diepgaand.
De medewerker had gesteld dat minder ingrijpende maatregelen wel degelijk mogelijk waren, bijvoorbeeld door een combinatie van toegangspas en unieke code. Daartegen had de werkgever onvoldoende verweer.
Als de werkgever uitvoeriger onderzoek had gedaan was het resultaat van de uitspraak misschien anders geweest. Een DPIA (Data Protection Impact Assessment) is hiervoor de meest geschikte methode. Een DPIA is een zogenaamde “gegevensbeschermingseffectbeoordeling” die volgens de AVG moet worden uitgevoerd bij verwerkingen die een “hoog risico” voor de privacy opleveren.
Authenticatie, veiligheid en het standpunt van de minister
Wat betreft tijdsregistratie met vingerafdrukken heeft de minister naar aanleiding van Kamervragen in maart 2018 laten weten dat dit nooit geoorloofd is onder de AVG. Tijdsregistratie zou namelijk niet dienen ter authenticatie voor beveiliging. De minister maakt hier echter een denkfout en heeft zijn eigen wettekst blijkbaar niet goed gelezen. Het gebruik van biometrische gegevens is namelijk volgens de Uitvoeringswet toegestaan voor authenticatie en beveiliging. Niet voor authenticatie ter beveiliging. Dit is natuurlijk een belangrijk verschil.
Ik ken een bedrijf dat tijdsregistratie door middel van vingerafdrukken overweegt, omdat medewerkers vaak stiekem diensten met elkaar wisselen en dus ook toegangspassen uitwisselen. In een onderneming met 24-uurs-service is dit niet altijd door een leidinggevende te controleren. Dit leek me een mooi voorbeeld van “authenticatie”, zodat ik me wat meer in de betekenis van dit woord ben gaan verdiepen.
Ik ben in de Van Dale gaan snuffelen, bij gebrek aan uitleg van dit woord in de wet. Het woord komt in het woordenboek niet voor. Waarmee de vraag rijst of “authenticatie” wel een Nederlands woord is. Of misschien is mijn Van Dale verouderd. Zoekend op Internet vond ik de volgende beschrijving: “authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert”. Ik vind dit wel goed getypeerd. Het dekt in ieder geval de lading.
Een tijdsregistratie met vingerafdrukken voldoet aan deze beschrijving. Middels de vingerafdruk wordt immers gecontroleerd of de werknemer die inlogt of op het werk verschijnt ook echt degene is die hij beweert te zijn. De werkgever kan door middel van deze vorm van “authenticatie” nagaan of hij zijn verplichtingen in verband met maximale toegestane arbeidstijden, veiligheid, voorkoming van fraude etc. naleeft. De “authenticatie” is dus wel degelijk belangrijk voor iedere werkgever, ook als hij geen kerncentrale exploiteert. Een dergelijke authenticatie dient trouwens ook de veiligheid.
Mijn conclusie is dus dat tijdsregistratie/toegangscontrole via vingerafdrukken door werkgevers bij werkgevers wel degelijk toegestaan is onder de Uitvoeringswet. Mits de werkgever de noodzaak voldoende kan aantonen. Bijvoorbeeld door goed te onderbouwen dat beschikbare alternatieven ontoereikend zijn.
TIP 2: Betrek de medewerkers bij het proces en zorg voor goede beveiliging
In een wereld waar identificatie via vingerafdrukken steeds gewoner wordt, is het belangrijk de medewerkers van begin af aan mee te nemen in het proces. Leg uit hoe de privacy gewaarborgd wordt en zorg er voor dat adequate beveiligingsmaatregelen genomen worden tegen hacking, diefstal etc. Betrek ook de Ondernemingsraad bij het proces –deze heeft instemmingsrecht.
TIP 3: Opslag
Sla nooit de vingerafdrukken zelf op, maar sla ze op via een versleutelde code. Dan voldoe je wat dit betreft aan de eis van de Autoriteit Persoonsgegevens.
TIP 4: Geef de medewerkers een alternatief
Naar aanleiding van bovengenoemde Kamervragen lijkt de minister de werkgevers die de noodzaak niet kunnen onderbouwen een ‘way out’ te geven. Geef de werknemers een alternatief, aldus de minister. Dan mag het alsnog. Een alternatief kan bijvoorbeeld zijn een pasje met pincode.
Eigenlijk is dit een merkwaardige uitspraak. Want als een alternatief wordt geboden is de vingerafdruk dus kennelijk niet noodzakelijk, omdat er alternatieven zijn. Dat is moeilijk te rijmen met de AVG, die voor iedere verwerking de eis van “noodzaak” stelt.
Daarnaast lijkt de minister met deze interpretatie het gebruik van vingerafdrukken op te hangen aan toestemming van de werknemer. Dat is opmerkelijk. Toestemming in de werkgever-werknemer relatie is namelijk volgens de AVG zelden een rechtmatige grondslag vormt voor de verwerking van persoonsgegevens. Er is immers sprake van een gezagsverhouding. De AVG bepaalt dat in een dergelijke relatie kan toestemming niet “vrijelijk” gegeven kan worden. Maar om pragmatische redenen kan ik het standpunt van de minister wel toejuichen.
Al met al denk ik dat de AVG de opkomst van vingerafdrukken als identificatiemiddel namelijk niet kan tegenhouden – ook niet in de relatie werkgever-werknemer. Al was het maar omdat werkgevers volgens de AVG verplicht zijn wat betreft beveiliging mee te gaan met de stand van de techniek. Een toegangspasje met pincode wordt anno 2020 gezien als behoorlijk verouderd.
Heel veel bedrijven die vingerafdruk applicaties aanbieden, bieden tegelijk een alternatief aan voor de werknemer die niet mee wil werken. Ik denk dat dit een praktische oplossing is. De werkgever dient dan wel duidelijk vast te leggen dat de keuze voor het alternatief geen consequenties heeft wat betreft het beoordelen van het functioneren en het dienstverband.
De vraag is of de rechter en/of de Autoriteit Persoonsgegevens het bieden van een alternatief zal honoreren. Feit is dat technologische ontwikkelingen zich niet door de AVG laten tegenhouden. De verwachting is dat de weerstand van medewerkers voor de vingerafdruk zal afnemen, omdat deze vorm van identificatie steeds gangbaarder wordt. Steeds meer consumenten gebruiken deze applicatie al voor hun smart phone etc.
Tot slot
Ik ben benieuwd of een pragmatische benadering het wint van een strakke interpretatie van een volgens sommigen alweer verouderde AVG. Ikzelf ben van mening dat een praktische omgang met de AVG te verkiezen is boven te strak juridisch denken. Natuurlijk staat de bescherming van persoonsgegevens ook wat mij betreft voorop. Maar dan wel op een manier die meebeweegt met technologische ontwikkelingen.
Heb je vragen en/of wil je vrijblijvend sparren? Bel me dan op 085 – 303 64 29 of mail mij via francisca@LEANlawyers.nl.
