Een bedrijf, de naam is door de AP niet bekend gemaakt, kreeg deze recordboete wegens het verwerken van biometrische gegevens van hun werknemers. De AP achtte deze verwerking in strijd met art. 9 van de AVG. Na het onderzoek van de AP werd de verwerking stopgezet, maar desondanks ontving het bedrijf een boete.
Wat zijn de feiten?
In de toelichting op het boetebesluit is te lezen dat de AP een onderzoek startte na een tip. Een bezoek leerde dat er inderdaad verschillende “scanapparaten” stonden waarop medewerkers met een vingerafdruk hun tijdsregistratie moesten doorgeven. Hiermee was dus sprake van het verwerken van biometrische gegevens. Nieuwe medewerkers moesten bij indiensttreding 2 vingerafdrukken afgeven en bestaande medewerkers moesten die later ook laten registreren. De scans werden lokaal opgeslagen en bij uitdiensttreding geblokkeerd in het softwareprogramma maar niet verwijderd. In totaal werden van 337 werknemers vingerafdrukken vastgelegd.
De apparatuur werd begin 2017 in gebruik genomen en de verwerking liep door tot november 2018. Na de invoering van de AVG zijn er ook vingerafdrukken vastgelegd.
Het bedrijf heeft aan gegeven dat de verwerking van biometrische gegevens optioneel was. Alleen inklokken met een druppel was ook mogelijk. De werknemers hadden dus de keuze om de vingerafdrukken wel of niet af te staan. Dit laatste lijkt een wassen neus: als ze weigerden moesten daarover op gesprek komen bij de directeur. “In de paar gevallen waarin dit voorgevallen is, heeft de werknemer na het gesprek met de directeur alsnog zijn of haar vingerafdruk afgegeven”, schrijft de AP.
Werknemers gaven aan verrast te zijn over het feit dat zij plotseling hun vingerafdruk moesten afstaan. Er waren geen goede documentaties of procedures over wat er gebeurde bij weigering. Sommigen van hen verklaren tegen de AP dat het gebruik verplicht was.
Relevante artikelen in deze case
De AVG zegt in art. 9 dat de verwerking van biometrische gegevens verboden is, tenzij aan een van de uitzonderingsgronden uit art.9 lid 2 is voldaan. In dit geval zouden 2 uitzonderingsgronden van toepassing kunnen zijn:
- De uitdrukkelijke toestemming uit art.9 lid 2a
- De noodzaak voor authenticatie of beveiligingsdoeleinden uit art.9 lid2 g en art.29 UAVG.
Let op: dat er een van de uitzonderingsgronden van toepassing is waardoor verwerking van bijzondere persoonsgegevens toegestaan is, staat los van de grondslag voor de verwerking die de AVG vereist. In sommige gevallen kan de uitzondering meteen als grondslag dienen (bijv. toestemming) bij andere uitzonderingen zal vervolgens bepaald moeten worden of er ook een grondslag is
Ad 1 De AP stelt dat er voor de verwerking van biometrische gegevens in dit geval geen sprake is van uitdrukkelijke toestemming. Het ontbreken van beleid, procedures of andere documentatie waarmee het bedrijf aan kan tonen dat er uitdrukkelijk toestemming was gevraagd, weegt daarbij zwaar mee. Bovendien stelt de AP “ook werd geen bewijs gevonden dat medewerkers hiervoor toestemming hadden gegeven of hadden geweigerd”.
In haar toelichting wijst de AP e rop dat als er aantoonbaar toestemming zou zijn gegeven, deze altijd nog moet voldoen aan het criterium “vrijelijk gegeven”. In dit concrete geval wordt daar niet aan voldaan. Feiten die tot dit oordeel hebben geleid zijn:
- Werknemers gaven aan dat de vingerafdruk verplicht was
- Werknemers die weigerden wachtte een gesprek met de directeur, waarna iedereen alsnog de vingerafdruk lieten scannen
- Verschillende werknemers hebben het als een verplichting ervaren hun vingerafdruk te laten scannen
- Het scannen van de vingerafdrukken is niet aangekondigd en medewerkers hebben hierover geen informatie ontvangen
Ad 2 Om van deze uitzondering gebruik te kunnen maken moet een afweging worden gemaakt of identificatie door vingerafdrukken noodzakelijk en proportioneel is. De AP is van mening dat daar in dit geval geen sprake van is op grond van de volgende feiten:
- De noodzaak van beveiliging is niet dermate hoog dat werknemers met biometrie toegang moeten krijgen
- Er zijn minder ingrijpende manieren voor de toegangsbeveiliging.
Wat kunnen we van deze case leren?
Allereerst, meer procedureel, het bedrijf heeft de verwerking stop gezet. Ik lees in de toelichting van de AP nergens dat het bedrijf eerst gewaarschuwd is zoals bijvoorbeeld wel gebeurd is in het geval van het Haga Ziekenhuis. Opvallend omdat de AP eerder aangaf bijsturing en waarschuwing te verkiezen boven boetes.
Uit de toelichting van de AP op het boetebesluit zijn een aantal lessen te trekken.
Het gebruik van biometrische gegevens voor toegangscontrole kan onder de uitzonderingen uit art. 9 kan vallen. Daarbij is uiterste zorgvuldigheid noodzakelijk:
- Er moet een aantoonbare noodzaak zijn om de beveiliging met vingerafdrukken te organiseren en dat andere manieren niet voldoen
- Werknemers dienen goed te worden geinformeerd over de verwerking
- Er moeten waarborgen zijn aangebracht dat in de toch al lastige werknemer-werkgever relatie de toestemming in vrijheid kan worden gegeven
Kortom, aan het gebruik van biometrische gegevens voor identificatie vraagt, omdat het bijzondere persoonsgegevens zijn veel aandacht voor de privacy. Daarom raad ik aan om ook de Ondernemingsraad hierover te raadplegen.
Het mag duidelijk zijn dat het “zo maar invoeren” zoals bij dit bedrijf is gebeurd, je duur komt te staan.