Mag schoenenketen Manfield van haar werknemers verlangen dat zij alleen met hun vingerafdruk toegang kunnen krijgen tot het kassasysteem? Op 12 augustus 2019 deed de Rechtbank Amsterdam uitspraak over deze zaak die op gezamenlijk verzoek van Manfield en een verkoopmedewerker plaatsvond.
Volgens de rechter is een vingerafdruk een biometrisch gegeven, en is het gebruik door Manfield hiervan in strijd met Algemene Verordening Gegevensbescherming (AVG). Kassasystemen kunnen in het geval van Manfield ook goed worden beveiligd met bijvoorbeeld een wachtwoord of een pasje. Deze uitspraak onderstreept dat werkgevers vooraf de noodzaak van beveiligingsmaatregelen, zoals de toepassing van een vingerafdruk, voldoende moeten aantonen en een privacy toets moeten uitvoeren.
Toegang tot de kassa met vingerafdruk
Manfield en verkoopmedewerkster dienden elk een verzoekschrift in bij de rechter omdat zij duidelijkheid wilden verkrijgen over het gebruik van de vingerafdruk. De werkneemster meende dat het gebruik van haar vingerafdruk een ongerechtvaardigde inbreuk op haar privacy is. Volgens de werkneemster zijn er diverse andere manieren te bedenken om het kassasysteem te beveiligen, die minder ingrijpend zijn voor de privacy voor werknemers. Daarnaast zijn de werknemers niet geïnformeerd over het gebruik van hun vingerafdrukken. Manfield stelde zich daarentegen op het standpunt dat het nodig was om haar kassasysteem tegen frauduleuze handelingen te beschermen door gebruik te maken van de vingerafdrukken van haar werknemers. Volgens de rechter had Manfield zich echter onvoldoende rekenschap gegeven van de privacybelangen van haar werknemers. Met name heeft Manfield niet kunnen aantonen of zij niet een meer privacy-vriendelijk middel had kunnen inzetten, waarmee zij hetzelfde doel ook had kunnen bereiken.
Biometrische gegevens
Net zoals gezichtsherkenning of een irisscan, zijn vingerafdrukken biometrische gegevens, die niet zomaar mogen worden verwerkt. Om gedefinieerd te worden als biometrisch gegeven hoeft er geen sprake hoeft te zijn van het één-op-één verwerken van de gehele vingerafdruk. Bij het uitlezen van de vingerafdrukken van de medewerkers zorgde Manfield ervoor dat deze werden omgezet naar een code (wiskundige afgeleide) daarvan, en vervolgens dat ze vergeleken werden met de in het kassasysteem bewaarde code van de vingerafdrukken. Ondanks het verweer van Manfield dat hierdoor geen persoonsgegevens zouden worden verwerkt, stelt de rechter dat er toch sprake is van het verwerken van biometrische persoonsgegevens. Deze gegevens mogen alleen worden verwerkt als hiervoor een wettelijke uitzondering bestaat. Een van deze wettelijke uitzonderingen is dat je toestemming vraagt van de betrokkene om diens vingerscan te maken. In de werkgever-werknemersrelatie is het vragen van toestemming evenwel over het algemeen lastig, omdat een werknemer, vanwege de gezagsverhouding, nu eenmaal moeilijk vrijelijk zijn toestemming kan verlenen of onthouden. Manfield kon zich daarom niet daarop beroepen. De schoenenketen beriep zich in deze zaak op een veiligheidsbelang van de werknemers en klanten, alsook haar gerechtvaardigde belang van het bestrijden van fraude binnen de organisatie. Dat leverde volgens de rechter geen goede grond op. Het toepassen van de vingerscan moet ook daadwerkelijk noodzakelijk en proportioneel zijn voor het te bereiken doel.
Alternatieve methoden: wachtwoord of pasje
Om de juiste afweging te kunnen maken of de vingerafdruk ook noodzakelijk en proportioneel is, had Manfield moeten aantonen dat zij ook andere – privacy vriendelijkere – methoden onderzocht had, waarmee eveneens veilig ingelogd kon worden op het kassasysteem, zoals een gepersonaliseerde personeelspas of het invoeren van een wachtwoord, of een combinatie daarvan. De rechter oordeelde dat het gebruik van de vingerafdruk niet noodzakelijk is en dat er voor Manfield minder ingrijpende middelen voorhanden zijn om de kassa te beveiligen.
Privacytoets
De uitspraak wijst hiermee niet per definitie het gebruik van vingerafdrukken af, maar onderstreept dat het gebrek aan motivering van de noodzaak voor het verwerken van vingerafdrukken door Manfield erin resulteert dat het gebruik van vingerafdrukken onrechtmatig is. Indien u als werkgever overweegt om extra beveiliging in uw organisatie in te voeren, bijvoorbeeld door toepassing van de vingerscan of door cameratoezicht, dan zult u ook steeds de privacy belangen van uw werknemers in acht moeten nemen en alle alternatieven moeten onderzoeken. Als deze privacytoets uitwijst dat er minder ingrijpende middelen beschikbaar zijn voor uw beveiligingsdoeleinde, dient u deze minder ingrijpende middelen te hanteren. Daarbij dient u ook nog steeds te voldoen aan alle andere verplichtingen uit de AVG, zoals het infomeren van uw werknemers. In meeste gevallen zult u ook eerst een Data Protection Impact Assessment (DPIA) moeten uitvoeren. De DPIA is een overzichtelijke manier om de gevolgen voor uw werknemers in kaart te brengen, en aansluitend zult u de uit de DPIA voortkomende acties moeten uitvoeren. Alleen op die manier voorkomt u dat u in strijd met de AVG handelt.
Heeft u vragen over het verwerken van persoonsgegevens van uw werknemers, of over het uitvoeren van een DPIA, dan kunt u bij ons Privacy Team terecht. Contactpersonen: Elisabeth Thole en Özer Zivali.