De Autoriteit Persoonsgegevens legt een boete op van € 725.000 vanwege het gebruik van vingerafdrukken van werknemers

De Autoriteit Persoonsgegevens (‘AP’) heeft aan een (momenteel nog onbekend) bedrijf een boete van € 725.000 opgelegd, omdat het bedrijf haar medewerkers liet in- en uitklokken door een scan van hun vingerafdruk te maken.

Een vingerafdruk is een 'biometrisch persoonsgegeven'. Dit zijn gegevens die voor iedereen uniek zijn en niet vervangbaar. Daardoor zijn biometrische gegevens zeer gevoelige gegevens die in de Algemene Verordening Gegevensbescherming (‘AVG’) worden aangemerkt als bijzondere persoonsgegevens. Voor bijzondere persoonsgegevens geldt een verbod op het verwerken ervan, tenzij een bedrijf of organisatie een beroep kan doen op een uitzondering. In het geval van het gebruik van vingerafdrukken bij het in- of uitklokken van medewerkers zijn twee uitzonderingen mogelijk: i) toestemming van de medewerker of ii) wanneer het gebruiken van de gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Aan het verkrijgen van rechtsgeldige toestemming zijn veel eisen verbonden. Werkgevers die denken simpelweg toestemming aan hun medewerkers te vragen, zullen daar voorzichtig mee moeten zijn. Van rechtsgeldige toestemming is namelijk niet vaak sprake vanwege de gezagsverhouding tussen werkgever en werknemer. Daarnaast moet de werkgever kunnen aantonen dat de werknemer toestemming heeft gegeven. In combinatie met andere vereisten betekent dit dat toestemming schriftelijk moet worden gegeven. Van de andere uitzondering, noodzakelijk voor authenticatie of beveiliging, is ook niet snel sprake. Een organisatie zal ik dat geval moeten onderbouwen dat haar activiteiten de strenge toegangscontrole of beveiliging met gebruik van biometrische gegevens vereisen. Dat is niet snel het geval. De AP geeft de beveiliging van een kerncentrale als voorbeeld, waarin het wel is toegestaan.

Daarnaast mogen de biometrische gegevens alleen worden verwerkt als hetzelfde doel niet op een andere manier met minder impact voor de privacy kan worden bereikt. De AP wijst ook op het feit dat de werknemers van het bedrijf onvoldoende geïnformeerd zijn over het afnemen van de vingerafdrukken. Hoewel in een oude versie van het personeelshandboek wel werd gesproken over de intentie tot het invoeren van in- en uitklokken door middel van een scan van de vingerafdruk, was hierover niets opgenomen in de laatste versie van het personeelshandboek.

Het is uiteraard van belang dat uw bedrijf of organisatie het verwerken van persoonsgegevens goed geregeld heeft. Ook waar het uw medewerkers betreft. Zeker wanneer het om bijzondere persoonsgegevens van medewerkers gaat, is zorgvuldigheid belangrijk en moet u altijd eerst bepalen of u een beroep kunt doen op een uitzondering op het verbond op het verwerken van die gegevens.

Daarnaast is er een belangrijke en relatief gemakkelijke “quick win” te behalen door medewerkers op de juiste manier te (blijven) informeren. Om te voorkomen dat u voor onverwachte verrassingen komt te staan, raden we aan uw processen en gegevensverwerking van medewerkers te controleren op rechtmatigheid en uw personeelshandboek te herzien of uw werknemers op een andere manier te informeren over het verwerken van hun persoonsgegevens.

Voor meer informatie over het besluit van de AP, kunt u kijken op de website van de AP: https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers.

Mocht u nog vragen hebben over bijzondere persoonsgegevens, de privacy van werknemers of andere aspecten van de privacy wetgeving, dan kunt u contact opnemen met Caro Mennen (caro.mennen@pellicaan.nl) of een van haar collega’s.