Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Manfield op de vingers getikt voor gebruik vingerafdruk

Juridisch Product

Van complex ICT-contract tot continuïteit in de cloud: onze ICT-juristen hebben er verstand van. Onze ICT-juristen zijn gespecialiseerd in het herkennen van juridische risico’s en geven uw organisatie concreet juridisch advies.

Op 12 augustus 2019 heeft de Rechtbank Amsterdam uitspraak gedaan in een zaak waarin een werknemer van Manfield weigerde om haar vingerafdruk af te staan. Onlangs heeft Manfield een ‘vingerscan-autorisatiesysteem’ voor toegang tot de kassa’s ingevoerd bij al haar filialen. Een werknemer vond dit te ver gaan, en schoof Manfield in de schoenen dat daarmee te veel inbreuk wordt gemaakt op de privacy. Weigert de werknemer terecht?

 Een vingerafdruk is een bijzonder persoonsgegeven

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is het begrip ‘biometrisch gegeven’ bestempeld als bijzonder persoonsgegeven. Biometrische gegevens zijn persoonsgegevens die zijn verkregen uit iemands fysieke, fysiologische of gedragsgerelateerde kenmerken die eenduidige identificatie mogelijk maken, en ook daadwerkelijk worden gebruikt voor de identificatie van een persoon. Is een vingerafdruk ook een biometrisch persoonsgegeven? De kantonrechter beantwoordde deze vraag bevestigend. Dat is niet verwonderlijk, omdat een vingerafdruk in de AVG expliciet is genoemd als voorbeeld van een biometrisch gegeven. Maar denk bijvoorbeeld ook aan gezichtsherkenning of irisscans.

Verbod op het verwerken van bijzondere persoonsgegevens

Met bijzondere persoonsgegevens, en dus ook met een vingerafdruk, dien je extra voorzichtig om te gaan. Waarom? Bijzondere persoonsgegevens zijn gevoelig. Dit zit ‘m onder andere in de mogelijke gevolgen als er iets misgaat. Zo ligt identiteitsfraude op de loer indien een vingerafdruk in verkeerde handen komt. De wetgever heeft daarom een apart wettelijk regime opgetuigd voor het verwerken van bijzondere persoonsgegevens: je mag deze niet verwerken, tenzij er sprake is van een uitzondering.

Eén van die uitzonderingen is als je daar toestemming voor hebt verkregen. Toestemming biedt in dit geval echter weinig soelaas, omdat toestemming in vrijheid dient te worden gegeven. Van vrijheid in een arbeidsrelatie is door de gezagsverhouding tussen werkgever en werknemer maar zelden sprake. Zijn er nog andere mogelijkheden?

Noodzakelijk voor authenticatie- of beveiligingsdoeleinden

De AVG biedt ruimte aan lidstaten om uitvoering te geven aan bepaalde artikelen. Deze ruimte heeft Nederland ingevuld middels de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). In artikel 29 van de UAVG staat dat het verbod op het verwerken van biometrische gegevens niet van toepassing is wanneer de verwerking noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Manfield beroept zich op deze uitzondering.

Om gebruik te kunnen maken van deze uitzondering dient er een afweging plaats te vinden waarbij het gebruik van identificatie met biometrische gegevens noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. In het geval van Manfield dient de toegang tot het kassasysteem zodanig – zwaar – beveiligd te zijn dat dit met biometrie dient plaats te vinden. In de memorie van toelichting bij de UAVG wordt als voorbeeld het beveiligen van een kerncentrale genoemd.

Bij die afweging loopt het spaak voor Manfield. Manfield stond stevig in haar schoenen en stelde dat er een noodzaak was om gebruik te maken van een ‘vingerscan-autorisatiesysteem’. Volgens Manfield bestaat deze noodzaak uit het beveiligen van gevoelige informatie in het kassasysteem zoals financiële informatie en gegevens van werknemers en klanten. Ook zegt Manfield een bedrijfsbelang te hebben, namelijk het tegengaan van fraude van werknemers en daarmee het besparen van kosten. De kantonrechter is echter van mening dat het gebruiken van een ‘vingerscan-autorisatiesysteem’ niet noodzakelijk is. Alternatieven die minder inbreuk maken op de privacy van werknemers, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, zijn onvoldoende onderzocht. Het had op de weg gelegen van Manfield om te onderbouwen, bijvoorbeeld aan de hand van een DPIA, waarom is gekozen voor het ‘vingerscan-autorisatiesysteem’.

Zorg dat je je privacy zaakjes op orde hebt

De kantonrechter geeft Manfield een tik op de vingers. Het gebruik van een ‘vingerscan-autorisatiesysteem’ is in de gegeven omstandigheden in strijd met de AVG. De uitspraak is niet heel verrassend te noemen, maar laat wel zien dat het belangrijk is om als organisatie goed na te denken over het verwerken van persoonsgegevens, temeer als het gaat om bijzondere persoonsgegevens.

Als organisatie dien je een rechtsgeldige grondslag te hebben voor het verwerken van persoonsgegevens en goed na te denken of een verwerking door de beugel kan voordat deze daadwerkelijk plaatsvindt. Het uitvoeren van een DPIA is een manier om dit te doen, en in bepaalde gevallen zelfs verplicht. Als organisatie dien je te kunnen onderbouwen waarom voor een bepaalde verwerking is gekozen. Een dergelijke onderbouwing ontbrak bij Manfield.

Indien je persoonsgegevens verwerkt in strijd met de AVG loop je niet alleen het risico op boetes van de Autoriteit Persoonsgegevens, maar is ook het moeten betalen van een schadevergoedingen aan gedupeerden niet uit te sluiten. Zorg er daarom voor dat je je privacy zaakjes op orde hebt.

Jay Remmelzwaal

Juridisch adviseur

Jay Remmelzwaal werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht houdt Jay zich voornamelijk bezig met allerlei juridische aspecten rondom privacy en arbeidsrecht. Jay ondersteunt dagelijks diverse organisaties: van eenmanszaken en mkb’ers tot grote internationale organisaties.

 


Er zijn 3 reacties

  1. Goede uiteenzetting over het onderwerp!

    Alhoewel wat subjectief/kort door de bocht, vind ik dat mevrouw ‘de medewerker’ niet zo moeilijk moet doen. Voel je vrij om een andere baan te zoeken.

    De wet belemmerd je hier als bedrijf in je keuze vrijheid. Mijns inzien moet Manfield dit soort hedendaagse technieken, mits adequaat omgesprongen met de biometrische data, gewoon in kunnen zetten op de manier waarop zij dit doen. Het gaat hier immers over best bedrijfskritische aspecten.

    Het vergelijken met ‘beveiligen van een kerncentrale’ is een typisch, beetje doorgeslagen, voorbeeld van de Nederlandse wetgever dat bijdraagt aan hoe dit land zich telkenmale wil laten zien als het beste jongetje van de klas.

    Anderzijds, binnen huidige kaders bezien, een kassa pas uitgeven aan een medewerker van wie de identiteit wordt vastgesteld op basis van een paspoort is dan toch ook voldoende om die kern centrale te beveiligen?

    De overheid houdt immers je hele leven je gegevens in een database bij, met face to face vaststelling tijdens aanvraag/uitgifte, en inleveren van oud paspoort bij uitgifte van een nieuwe, om zeker te weten dat jij bent wie er in je paspoort staat. Zou dat dan niet genoeg zijn voor die kerncentrale beveiliging? Want dat is wat met dat voorbeeld in de memorie dan gesuggereerd wordt.

    Succes! 🙂

    1. Beste Gerard,

      Is het niet mooi om te zien dat een werknemer op haar strepen gaat staan en met de AVG in de hand tegen het bedrijfsbeleid ingaat? Dat is onzes inziens precies waar de AVG voor bedoeld is: bescherming van het grondrecht privacy.

      Natuurlijk is het voorbeeld van een kerncentrale een extreme. Wij kunnen ons voorstellen dat er wel wat meer ruimte is. De wetgever heeft een kader geschept waarbij het gebruik van een vingerafdruk noodzakelijk moet zijn voor authenticatie- of beveiligingsdoeleinden. Maar wanneer is iets noodzakelijk? Dat is een interessante vraag, die een rechter uiteindelijk per geval zal moeten beantwoorden. Zoals de kantonrechter ook al aangeeft is het denken wij met name belangrijk dat je als organisaties aan de hand van documenten uitlegt waarom het gebruik van een vingerafdruk noodzakelijk is. De AVG draait immers om verantwoording afleggen, iets wat Manfield liet afweten. Het uitvoeren van een DPIA had in dit geval geen overbodige luxe geweest.

  2. De betreffende werknemer was reeds vertrokken bij Manfield vóór de (mondelinge) behandeling bij de kantonrechter.
    Naar zeggen van haar advocaat vertrok ze vanwege de verplichting om gebruik te maken van de vingerscankassa. Totdat de rechter een oordeel over de kwestie zou vellen, was ze niet verplicht de vingerscanautorisatie te gebruiken.

    Gezien de wettelijke verplichtingen van organisaties op het punt van gegevens- en systeembeveiliging (zie o.a. ‘Wanneer is een beveiligingsniveau ‘passend’ volgens de wet?’ https://ictrecht.nl/2015/10/30/wanneer-is-beveiligingsniveau-passend-volgens-wet/) is de keuze van Manfield voor fingerprint-identificatie geenszins vreemd te noemen. Recente datalekken laten zien dat inlogcodes, badges, etc. steeds vaker onvoldoende werken als autorisatie- en identificatiemiddel. De keuze voor fingerprint-identificatie is dan zeker passend en overeenkomstig de ‘State-of-the-Art’.
    Dat Manfield de fysieke winkel verder weinig beveiligd staat daar feitelijk los van. Op dat punt bestaan immers geen wettelijke verplichtingen.

    Het nogmaals onderzoeken van toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, als oplossing klinkt nogal tegenstrijdig. Dit aangezien juist het gebruik van deze middelen nu juist aanleiding was voor het zoeken naar een andere technische oplossing.
    Stemherkenning of irisscan als oplossing worden niet genoemd, overigens met goede reden.
    Mogelijk dat projectdocumenten hierover uitsluitsel geven. Maar een PIA was inderdaad zéker op zijn plaats geweest.
    De Kantonrechter komt hier wel erg makkelijk met het oordeel dat Manfield de stelling van verzoeker onvoldoende heeft bestreden.
    Daarbij vind ik het nogal ver gaan dat elke winkelmedewerker betrokken moet worden bij en instemming moet geven tot elke IT-keuze. Daarvoor is immers de ondernemingsraad.

    Dat Manfield systeemtechnisch de kassa-administratie, de klantadministratie en de personeelsadministratie in één algemeen toegankelijk systeem heeft ondergebracht is – zowel systeem- als beveiligings-technisch – wél bevreemdend. De Kantonrechter gaat hier echter niet op in.

    Dat neemt niet weg dat Manfield ook tot en met de Kantonrechter bepaaldelijk onhandig communiceert.
    Daar tegenover komt de argumentatie van de Kantonrechter óók niet sterk over. Zó lijdelijk hoeft de rechter nu ook weer niet te zijn.
    Behoudens een hoger beroep of cassatie zijn we al met al dus maar een klein beetje wijzer geworden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie