AP deelt hoogste boete ooit uit voor het scannen van vingerafdruk medewerkers

Vanochtend heeft de AP in een statement naar buiten gebracht dat er een boete van maar liefst €725.000,- is uitgedeeld aan een bedrijf (waarvan de naam niet gedeeld wordt) waar werknemers verplicht werden om hun vingerafdruk te laten scannen. Deze scanners werden gebruikt voor aanwezigheids- en tijdsregistratie van de werknemers. De AP geeft hiermee een duidelijk signaal af dat het gebruik van biometrische gegevens op de werkvloer, waar geen noodzaak toe is, onacceptabel is.

Uitgebreid onderzoek

In 2018 startte de AP een onderzoek naar aanleiding van een melding van een medewerker over het verplichte gebruik van een vingerafdruk. De AP heeft vervolgens grondig onderzoek gedaan. Onder meer door medewerkers te interviewen, de informatievoorziening over de scanners voor de medewerkers op te vragen (welke overigens ontbrak) en het systeem waar de gegevens worden opgeslagen in te zien. De algemeen directeur, die de beslissing tot invoering van het systeem zelfstandig nam, is ook gehoord en heeft de kans gekregen de keuze te verantwoorden. Op cruciale punten is de AP het echter oneens met deze argumentatie. Met als gevolg dat op 4 december 2019 werd besloten dat het bedrijf in strijd handelde met de AVG, en hiervoor een boete krijgt.

In strijd met de AVG

Conclusie van het besluit is dat het verbod op de verwerking van bijzondere persoonsgegevens (van artikel 9 lid 1 AVG) bijna een jaar lang werd overtreden door de vingerafdrukken van haar werknemers te verwerken. Vandaag werd bekend hóé ernstig de AP het gebruik van de vingerafdrukscans op de werkvloer daadwerkelijk vindt. De boete is de hoogste die tot nu toe door de AP is uitgedeeld. In haar besluit neemt de AP enkele overwegingen mee.

Biometrische gegevens

Ten eerste valt een vingerafdruk te kwalificeren als biometrische gegevens. De vicevoorzitter van de AP, Monique Verdier, zegt hierover het volgende: “Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand.”

Noodzaak en proportionaliteit

Er moet dan ook sprake zijn van noodzakelijkheid wil het gebruik van biometrische gegevens worden toegestaan. In artikel 29 van de Nederlandse Uitvoeringswet van de AVG (de UAVG) is het verwerken van deze bijzondere categorie persoonsgegevens om een persoon uniek te identificeren slechts voor beveiligingsdoeleinden toegestaan. Het bedrijf gebruikte de vingerscanapparatuur echter voor het terugdringen van misbruik bij in- en uitklokken ten behoeve van tijdregistratie, daarnaast vonden ze dat het praktische voordelen had omdat er geen ‘toegangsdruppels’ meer gekocht hoefden te worden. De AP neemt geen genoegen met deze reden en is van oordeel dat het verwerken van biometrische gegevens voor deze doeleinden niet noodzakelijk en proportioneel is.

Vrije, geïnformeerde toestemming

Daarnaast ontbreekt een vrije toestemming van de medewerkers. Gezien de afhankelijke relatie die bestaat tussen een werkgever en werknemer, kan een werknemer volgens de AP niet zijn of haar toestemming vrijelijk verlenen. En al wàs er sprake geweest van vrije toestemming, dan had dit aangetoond moeten worden, wat niet is gebeurd.  Doordat medewerkers op geen enkele wijze zijn geïnformeerd over het gebruik van de vingerafdrukscans, kan een dergelijke keuze ook nooit een geïnformeerde keuze zijn geweest.  Daarmee is volgens de AP dus onmogelijk sprake geweest van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de werknemers.

Verwijtbaarheid

De AP benadrukt tot slot in het besluit dat als uitgangspunt geldt dat ieder bedrijf een eigen verantwoordelijkheid heeft als het aankomt op het verwerken van persoonsgegevens. Het bedrijf voerde namelijk als argument aan dat de leverancier van de vingerscanapparatuur op geen enkel moment gewezen had op een mogelijke strijd met (toekomstige) privacyregelgeving en vertrouwde het bedrijf erop dat deze partij hen op de hoogte zou brengen bij veranderingen. De AP vindt echter dat het bedrijf zelf de verwerking van de biometrische gegevens had moeten toetsen aan de AVG of daarover juridisch advies had moeten inwinnen. “Van een professionele partij […] mag, mede gelet op de bijzondere aard van de persoonsgegevens, worden verwacht dat zij zich terdege van de voor haar geldende normen vergewist en deze naleeft.”

Harde les

Het is niet het eerste bedrijf dat wordt gewezen op het feit dat het gebruik van vingerscans strijdig kan zijn met de AVG. In augustus 2019 werd Manfield ook al op de vingers getikt voor het gebruik van een dergelijk scansysteem, maar dan voor de toegang van de kassasystemen. De kantonrechter oordeelde ook hier dat het gebruik van een vingerscan-autorisatiesysteem gezien de omstandigheden in strijd bleek met de AVG. 

Al met al blijkt dat de AP de duimschroeven aardig aan het aandraaien is als het aankomt op de boetebedragen. Uiteraard met als doel dat alle bedrijven die dergelijke software gebruiken linea recta overstappen op een meer privacyvriendelijk systeem. Voor al deze bedrijven is het een les, maar voor dit specifieke bedrijf wel een hele harde…

Terug naar overzicht