Nieuws

Zeer forse boete voor gebruik vingerscan

Recent gepubliceerd boetebesluit Autoriteit Persoonsgegevens (30 april 2020)

De Autoriteit Persoonsgegevens (AP) heeft recent een forse boete van € 725.000,00 opgelegd aan een werkgever die gebruik maakte van een vingerafdrukregistratiesysteem. De werkgever kon in dat geval niet aantonen dat hij voldeed aan één van de twee uitzonderingsgronden voor het gebruik van de biometrische gegevens.

AVG en biometrische gegevens

De AVG trad in mei 2016 al in werking. Er zat twee jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Van organisaties werd verwacht dat zij die tijd gebruiken om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Tijdens die twee jaar gold in Nederland nog de Wet bescherming persoonsgegevens (Wbp), maar vanaf 25 mei 2018 dienen bedrijven ook echt aan de nieuwe privacyregels te voldoen en is de AP handhavend gaan optreden.

In beginsel geldt op grond van de AVG een verbod tot het verwerken van biometrische gegevens (art. 9). Daarvoor zijn slechts twee uitzonderingen:

1. Toestemming van de betrokkene(uitdrukkelijk en vrijelijk gegeven) of

2. Noodzakelijk voor authenticatie of beveiligingsdoeleinden (art. 29 UAVG).

Indien gebruik wordt gemaakt van een vingerafdrukregistratiesysteem, dan verwerft de werkgever biometrische data van een werknemer. Daarvoor dient de werkgever derhalve te voldoen aan één van de bovenstaande uitzonderingsgronden.

Ten aanzien van de twee uitzonderingsgronden oordeelde de AP in het besluit van 30 april 2020 als volgt:

• Toestemming: Gezien de afhankelijkheid die het gevolg is van de relatie tussen werkgever en werknemer, is het onwaarschijnlijk dat de werknemer zijn of haar toestemming vrijelijk kan verlenen. Mocht in dit uitzonderlijke geval wel sprake zijn van vrije toestemming, dan had de werkgever dat moeten aantonen. De werkgever heeft geen bewijs geleverd dat haar werknemers toestemming hebben gegeven voor de verwerking van de vingerafdrukken, laat staan dat de toestemming vrij en geïnformeerd is gegeven.

• Noodzakelijkheid: Weliswaar heeft de werkgever een belang om te werken met vingerscan apparatuur voor (het tegengaan van misbruik bij) tijdsregistratie, maar gelet op dit doel en de bedrijfsactiviteiten van de werkgever, rechtvaardigt dat belang geen uitzondering op het verbod van verwerking van biometrische gegevens. Net als bij (bijvoorbeeld) een garage, is ook bij de werkgever de noodzaak van de beveiliging niet zodanig dat werknemers met biometrie toegang moeten kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uitte oefenen. Daarnaast kunnen andere manieren, die minder inbreuk op de privacy van werknemers maken, dit ook bewerkstelligen.

Wat is het gevolg van het recente besluit van de AP?

Door het gebruik van een inkloksysteem middels een vingerscan wordt in strijd gehandeld met de AVG. Dat het gebruik strijdig is met de AVG is nu ook door de Autoriteit Persoonsgegevens expliciet bevestigd middels het genoemde boetebesluit van 30 april jl.

Dat betekent dat de AP een boete kan opleggen. De overtreding van artikel 9 valt in de zwaarste categorie van overtredingen (IV). De boetebandbreedte is tussen €450.000,00 en € 1.000.000,00 met een basisboete van € 725.000,00.

De redenen van de AP om over te gaan tot het opleggen van een boete in het recent gepubliceerde boetebesluit van 30 april jl. waren als volgt:

Gelet op het feit dat de overtreding ruim tien maanden heeft geduurd waarbij 337 betrokkenen zijn getroffen, is er sprake geweest van een ernstige situatie. Werkgever heeft daarbij niet alleen de biometrische gegevens van huidige werknemers maar ook van voormalig werknemers zonder noodzaak langere tijd bewaard. Bovendien waren de werknemers onvoldoende geïnformeerd over de verwerking en staat niet vast dat zij (in vrijheid) toestemming hebben gegeven, waardoor naar het oordeel van de AP sprake is van een ernstige overtreding waarin de bijzondere gegevens van betrokkenen onder onjuiste voorwaarden zijn verwerkt.

Wat te doen?

Indien gebruik wordt gemaakt van een vingerregistratiesysteem is het belangrijk om goed te bezien waar het voor wordt gebruikt en dus te checken of een beroep kan worden gedaan op 1 van de 2 uitzonderingen. Als dat niet gaat dan dient het gebruik te worden gestaakt en gegevens zo snel mogelijk te worden verwijderd.De kans dat de AP oordeelt dat een werknemer vrijelijk toestemming kan afgeven voor gebruik van zijn biometrische gegevens of dat gebruikmaking van de vingerscan noodzakelijk is in geval van werktijdenregistratie, is klein.

Voorts dienen alle biometrische gegevens van alle werknemers veilig te worden verwijderd. Het gegeven dat alles is of wordt verwijderd, laat overigens onverlet dat de AP nog steeds een boete kan opleggen, indien in het verleden is gehandeld in strijd met de wet. Directe staking van het gebruik en verwijdering van gegevens kan er wellicht toe lijden dat de AP wat milder zal zijn met de boete.

Overigens kan een besluit van de AP ter toetsing worden voorgelegd aan de rechter, nadat de bezwaarschriftprocedure is doorlopen. Het is dus nog mogelijk dat het besluit en/of de boete wordt vernietigd of aangepast. Wordt vervolgd.