Home / Blogs en vlogs / arbeidsrecht / Biometrische gegevens en werk, gaat dat goed samen?
donderdag 22 augustus 2019

Biometrische gegevens en werk, gaat dat goed samen?

Aan het einde van de zomervakantie schrijf ik voor u dit blog over biometrische gegevens, werk en een datalek.

Ik landde deze week op Rotterdam The Hague Airport. Bij de paspoortcontrole moest een toerist die Nederland in wilde reizen zijn vingerafdruk digitaal laten scannen. Zonder protesteren stemde hij in. Hij kon ook niet veel anders, aangezien hij anders ons land niet in was gekomen. In die zin was hij afhankelijk van de douanier die hem streng aankeek en zou gaan beslissen: je mag door of niet. Ik ga ervan uit dat de scan werd vergeleken met het paspoort dat hij bij zich had en de database van de Marechaussee. Nederland geeft sinds 2009 biometrische paspoorten aan burgers uit.

Biometrische gegevens kunnen ook in de werksituatie een rol spelen. De vraag is echter hoever dit mag gaan en hoe het zit met de afhankelijkheidsrelatie tussen de werknemer en zijn werkgever. De rechtbank Amsterdam heeft zich over dit vraagstuk gebogen – op gezamenlijk verzoek van een retailonderneming en een van haar werknemers.

In dit weblog informeren de advocaten en juristen van AWVN u geregeld over actuele arbeidsrechtelijke ontwikkelingen.

Dat het onderwerp actueel is, blijkt wel uit een groot datalek waarover de media deze week bericht hebben en waarbij de vingerafdrukken van een groot aantal medewerkers van een (Belgisch) uitzendbureau in onbevoegde handen zijn gekomen.

Wat zegt de Autoriteit Persoonsgegevens over biometrische gegevens?
Op de website van de Autoriteit Persoonsgegevens (AP) wordt uitgelegd wat biometrische gegevens zijn:
Biometrische persoonsgegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon. Op grond hiervan is eenduidige identificatie van die persoon mogelijk. Of wordt zijn/haar identiteit bevestigd. Voorbeelden van biometrische persoonsgegevens zijn vingerafdrukken of gezichtsafbeeldingen. Deze lichaamskenmerken zijn uniek. Daarom kunnen organisaties ze gebruiken om mensen te identificeren. En ook om te controleren of iemand is wie hij/zij zegt te zijn (authenticatie).
De meest gangbare en toegepaste vormen van biometrie zijn de vingerafdruk, de iris- of netvliesscan, stemherkenning en de gezichtsscan. Organisaties zetten deze vormen van biometrie vaak in voor identificatie bij toegangscontrole. Ook kunnen organisaties bepaalde gedragskenmerken gebruiken voor identificatie. Bijvoorbeeld de manier waarop iemand een handtekening zet.

Wanneer mag je volgens de (Uitvoeringswet) Algemene Verordening Gegevensbescherming biometrische persoonsgegevens verwerken?

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat de verwerking van biometrische persoonsgegevens een verwerking van bijzondere persoonsgegevens is. Bij dit soort gegevens is, vanwege het gevoelige karakter ervan, terughoudendheid en zorgvuldigheid geboden. Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren zelfs verboden.

Nederland heeft in de UAVG, de Uitvoeringswet Algemene Verordening Gegevensbescherming bepaald dat het verwerken van biometrische gegevens in Nederland alleen is toegestaan als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

De rechter zegt: vingerafdrukken gebruiken voor autorisatie op het werk is niet toegestaan

Normaal gesproken komt een zaak voor de rechter, omdat de ene partij de ander voor de rechter daagt. In de zaak over biometrie waarover de rechtbank in Amsterdam zich deze zomer heeft gebogen, ging dat anders. De werkgever (een retailonderneming) en een werknemer hebben een gezamenlijk verzoek bij de rechter ingediend op grond van artikel 96 van het Wetboek van Burgerlijke Rechtsvordering. Zij wilden antwoord krijgen op de vraag of deze werkgever de werknemer mocht verplichten een vingerscan te gebruiken voor het autorisatiesysteem van de kassa.  De rechter oordeelde dat dit niet mocht, omdat dit in strijd is met de AVG.

Aanvankelijk logden de medewerkers via een persoonsgebonden code in het kassasysteem in. De werkgever vond dit fraudegevoelig en misbruik was al voorgekomen. Het bleek mogelijk de code af te kijken en zo deze over te nemen. Bovendien is de kassa met internet verbonden, zodat een code wellicht op afstand in te zien is. Na een testfase is daarom een systeem van vingerscanautorisatie ingevoerd. Hierbij zet het systeem de vingerscan om in een code die vergeleken wordt met een reeds bekende code in het systeem. Zonder de vingerscan kunnen de kassamedewerkers hun werkzaamheden niet uitvoeren.

De werkgever voerde aan dat hij er belang bij heeft gevoelige informatie, die via het kassasysteem toegankelijk is, goed te beveiligen. Volgens hem waarborgt het nieuwe systeem met de vingerscan ook de privacy beter door betere beveiligingsopties. Volgens de werkgever is het niet mogelijk een minder ingrijpende werkwijze in te voeren die de werkgever adequate bescherming biedt.

De werknemer in kwestie stelde daartegenover dat het systeem inbreuk maakt op haar privacyrechten, doordat hierdoor bijzondere persoonsgegevens verwerkt worden zonder dat er sprake is van een van de in de UAVG genoemde uitzonderingen, namelijk authenticatie- of beveiligingsdoelen.

De rechter begrijpt dat de werkgever een bedrijfsbelang heeft bij fraudebestrijding. Dit maakt echter niet dat hij gebruik kan maken van de uitzondering op het verbod van het verwerken van biometrische gegevens. De vingerscan is hier immers niet noodzakelijk voor authenticatie- of beveiligingsdoeleinden.

De rechter constateert dat de werkgever mogelijke alternatieven zoals toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende heeft onderzocht. In ieder geval heeft de werkgever niet voldoende onderbouwd, waarom hij gekozen heeft voor het nieuwe systeem. Hij heeft bijvoorbeeld geen documenten getoond waarin de voors en tegens van de verschillende in de markt te verkrijgen systemen op een rij zijn gezet en heeft geen inzicht gegeven in zijn afwegingen. De werknemer mocht dus weigeren de vingerscan te gebruiken of, andersom geredeneerd: de werkgever mocht de werknemer niet verplichten om de scan te gebruiken.

Vindplaats van de uitspraak: Rechtbank A’dam 12-8-2019

Voer een DPIA uit
Zonder goede reden mag een werkgever geen biometrische gegevens van werknemers verwerken. Doet de werkgever dit wel omdat hij zich kan beroepen op de uitzonderingsgrond, dan moet hij zich realiseren dat er voor het verwerken van biometrische gegevens strenge eisen gelden onder de AVG. Daarbij is het uitvoeren van een Data Protection Impact Assessment (DPIA, ook wel privacy impact assessment genoemd) verplicht in geval van grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. De analyse naar de noodzaak van het verwerken van biometrische gegevens moet als onderdeel van de DPIA goed en concreet zijn uitgewerkt.

2.000 vingerafdrukken gelekt
Dat het verwerken van vingerafdrukken niet zonder risico’s is, blijkt wel uit een recent datalek bij een Aziatisch softwarebedrijf. Allerlei gegevens zijn in onbevoegde handen gekomen, waaronder circa 2.000 vingerafdrukken van een uitzendbureau in België. Het lek zou 5 augustus 2019 ontdekt en intussen gedicht zijn. Dit is echter een belangrijk lek. Een gelekte vingerafdruk is niet aan te passen, zodat onbevoegden geen kwaad meer kunnen doen, zoals bij een wachtwoord. De vraag is dus welke schade dit lek uiteindelijk zal opleveren. De tijd zal het leren.