Vingerafdrukscanner in de ban

Vingerafdrukscanner in de ban

Onlangs schreef ik een artikel met het bericht dat wie gebruik maakt van een vingerafdrukscanner zijn huiswerk moet doen. Door het huiswerk te doen kan een hoge boete worden voorkomen. Een onderneming die dat niet had gedaan kreeg, zoals gemeld, een boete opgelegd van € 725.000. Dat is niet onopgemerkt gebleven. Een blog van Arnold Vedder.

Op verschillende nieuwssites is de zaak langs gekomen en we krijgen vanuit verschillende kanten signalen dat een vingerafdrukscanner voor toegang en tijdsregistratie nu spannend wordt gevonden en wordt heroverwogen. Of je als supermarktondernemer gebruik wilt maken van dit soort technologie is iets dat in de eerste plaats bij u als ondernemer ligt, maar wel kan ik laten zien wat er aan de hand was in de zaken die tot nu toe hebben gespeeld en dat u het eenvoudig beter kunt doen.

Boete

Laat ik allereerst melden dat het de Autoriteit Persoonsgegevens (AP) is die in deze zaak de boete heeft opgelegd, maar dat deze nog in rechte zal worden aangevochten. De boete staat nog niet onomstotelijk vast. Wie echter het besluit van de AP leest kan wel zien dat er hier veel is misgegaan bij de onderneming. Fouten die niet nodig zijn.

Toen de AP het bedrijf aansprak op het gebruik van de vingerafdrukscanner werd een beroep gedaan op toestemming als grondslag voor het gebruik van de afdruk. Zo’n grondslag is nodig. Grofweg kun je als ondernemer kiezen tussen toestemming of noodzaak, waarbij hier dus was gekozen voor toestemming. Dan moet je die toestemming natuurlijk wel kunnen aantonen; dat kon deze ondernemer echter niet.

Grofweg kun je als ondernemer kiezen tussen toestemming of noodzaak”

Daar bleef het niet bij, want voor toestemming is het noodzakelijk dat die vrijelijk is gegeven. In een werkgever-werknemer verhouding betekent dat concreet dat het weigeren van toestemming geen nadelige gevolgen mag hebben voor de werknemer. ‘Even goede vrienden’ noemde ik dat eerder. Dat was hier problematisch. Werknemers waren allereerst verrast door het bericht dat er vingerafdrukken van hen moest worden afgenomen en waren op geen enkele wijze geïnformeerd over hun rechten. Sommigen gaven zelfs aan dat het verplicht was.

Bovendien waren alle medewerkers die bezwaar hadden gemaakt bijgedraaid na een ‘gesprekje’ met de directeur. Ik ken natuurlijk de inhoud van die gesprekken niet, maar het ligt op zijn zachtst gezegd voor de hand dat deze medewerkers weinig vrijheid hebben ervaren.

Kortom: het is niet moeilijk om het beter te doen dan deze werkgever. Zowel in voorlichting aan personeel in bijvoorbeeld het personeelshandboek en de arbeidsovereenkomst, het vastleggen van toestemmingsverklaringen en het aantoonbaar aanbieden van een alternatief zijn gemakkelijk stappen te maken.

Manfield

Een andere zaak die gespeeld heeft had betrekking op Manfield die gebruik maakte van een vingerafdrukscanner ter beveiliging van de kassa. Manfield was van mening dat deze wijze van beveiliging noodzakelijk was. Oftewel Manfield koos niet voor toestemming als grondslag, maar voor noodzaak. Via het kassasysteem konden veel persoonsgegevens worden ontsloten en bovendien had Manfield te maken gehad met enkele frauderende medewerkers. Pasjes en toegangscodes kunnen worden uitgeleend, maar bij een vinger is dat een stuk lastiger.

Omdat een werknemer zich hier niet in kon vinden stapten werknemer en de Manfield-vestiging naar de rechter. Die zag evenwel de noodzaak niet. Dat is op grond van de parlementaire stukken die achter de wetgeving liggen niet verrassend. De wetgever heeft aangegeven dat zij bij een noodzaak denkt aan bijvoorbeeld een kerncentrale. Een schoenenzaak of een supermarkt is daarmee onvergelijkbaar.

DPIA

In mijn vorige artikel wees ik u op de noodzaak van het maken van een DPIA (Data Protection Impact Assessment, in het Nederlands ook wel gegevensbeschermingseffectbeoordelingsrapportage genoemd). Via zo’n rapportage laat je zien wat er precies gebeurt, welke risico’s het gebruik van de desbetreffende persoonsgegevens heeft en hoe je die probeert te verkleinen of weg te nemen.

Bovenstaande partijen hadden geen DPIA. Dat is niet zo vreemd, want het besluit waaruit blijkt dat de DPIA in zo’n geval verplicht is, is op 27 november 2019 bekend gemaakt. Dat neemt niet weg dat een DPIA waarschijnlijk veel ellende had voorkomen omdat beide partijen dan inzichtelijk hadden gekregen dat zij niet zouden voldoen aan de norm.

Arnold Vedder

Conclusie

De boetes onder de AVG kunnen hoog zijn en de normen worden vaak als streng, omslachtig en ineffectief ervaren. Wie zijn huiswerk echter doet kan mijns inziens prima gebruik maken van bepaalde moderne technologie en een aanvaring met de AP voorkomen.

Een blog van Arnold Vedder, advocaat bij BVD Advocaten.