• Nieuwsbrief
  • Finance Academy
    • Collegereeks Risk & Compliance
    • Collegereeks Turnaround Management & Restructuring
    • Collegereeks Controller als Business Partner
    • Collegereeks Accountancy & Controlling
    • Collegereeks Data Driven Finance
    • Masterclass Essenties van Finance
    • Masterclass Bestuurdersaansprakelijkheid in Finance
    • Leergang Financieel Leiderschap
    • Business for Finance
  • Permanente Educatie
  • Whitepapers
  • Abonneren
  • Magazine
  • Adverteren
  • Colofon
  • Contact

Executive Finance

Inspireert. In finance en management.


  • Home

  • Coronacrisis

  • Management

  • Finance

  • ICT

  • Controlling

  • Accounting

  • Compliance
  • Corporate
    growth

  • Risicomanagement

  • Fiscaal

  • Vacatures
Je bent hier: Home » Inspiratie » Schoenenwinkel Manfield: vingerafdruk noodzakelijk om kassafraude te voorkomen

Schoenenwinkel Manfield: vingerafdruk noodzakelijk om kassafraude te voorkomen

29 augustus 2019

Kassamedewerkers bij schoenenwinkel Manfield moesten een vingerafdruk doen om de kassa te bedienen. Noodzakelijk vond het bedrijf want er was sprake van fraude waarbij ingelogd werd met de code van iemand anders. De rechter was het niet eens met deze procedure. Er zijn wel minder rigoureuze maatregelen om een greep uit de kassa te voorkomen. Bovendien kunnen medewerkers niet weigeren om de vingerafdruk af te staan: er is immers een gezagsverhouding tussen werkgever en werknemer. Maar is de privacywetgeving echt zo strikt? Menno Weij en Tessa Janssen (BDO Legal) tasten de mogelijkheden af.   

Manfield op de vingers getikt

Je vingerafdruk afgeven om je normale werkzaamheden te kunnen doen. Hierbij denk je meteen aan een beroep waarbij je omringd wordt door geheime informatie. Maar niets is minder waar, het was namelijk schoenenwinkel Manfield die dit aan zijn werknemers oplegde. Zij voerde onlangs dit vingerscanautorisatiesysteem in, waarbij de vingerafdruk van de medewerker omgezet wordt naar een inlogcode voor de kassa. Door deze rigoureuze maatregel was het voor de werknemers niet mogelijk om hun kassa werkzaamheden uit te voeren, zonder deze zogenaamde biometrische gegevens af te geven aan hun werkgever. Rechtbank Amsterdam tikt Manfield op de vingers en oordeelde op 12 augustus dat dit systeem in het kader van de privacy van de werknemer te ver gaat.

Vingerafdruk om privacy klanten en werknemers te waarborgen

Opvallend in deze zaak is dat één van de aangedragen argumenten van Manfield het waarborgen van de privacy van zowel hun werknemers als de klanten was. De kassasystemen bevatten namelijk, naast (gevoelige) financiële gegevens, ook veel persoonsgegevens van zowel de klanten als de werknemers. De schoenenwinkel zag twee gevaren, namelijk het gevaar dat iemand op afstand mee zou kunnen kijken en de persoonsgebonden code van de werknemer kon inzien (zogenaamd “key-logging program”). En de mogelijkheid dat een derde, die in de winkel aanwezig is, de code zelf kan afkijken van de werknemer. Manfield heeft op basis van artikel 24 AVG de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen. Door middel van een vingerscan dachten ze beide gevaren op te kunnen lossen en aan hun verplichting te voldoen. Het risico van pottenkijkers via het internet en het delen van persoonsgebonden inlogcodes van andere werknemers zouden hierdoor niet meer mogelijk zijn.

Biometrische gegevens mogen niet verwerkt worden

Daarnaast heeft Manfield te maken met fraude door het eigen personeel. Zo werd er ingelogd met andermans inlogcode om op die wijze geld te ontvreemden, maar ontraceerbaar te blijven. Door het invoeren van het vingerscanautorisatiesysteem dacht Manfield ook dit probleem in één klap op te lossen. Maar een kritische werknemer gooide roet in het eten door Manfield te wijzen op het verbod van verwerken van biometrische gegevens uit artikel 9 lid 1 van de AVG.

Vingerafdrukken zijn biometrische gegevens en mogen volgens de wet niet verwerkt worden, tenzij hier vrije en uitdrukkelijke toestemming voor wordt gegeven. In de verhouding werkgever-werknemer bestaat er een gezagsverhouding waardoor toestemming, volgens de toezichthouder, per definitie niet vrij gegeven kan worden door de werknemer. Nederland heeft echter voor het gebruik van biometrische gegevens als enige land in de EU hier wél een uitzondering op gemaakt in onze Uitvoeringswet (later “UAVG”), namelijk in artikel 29. Er zou dan sprake moeten zijn van een zwaarwegend belang. Bovendien zou het noodzakelijk moeten zijn voor authenticatie en beveiligingsdoeleinden. Het beveiligen van een kerncentrale wordt in de wet als voorbeeld gegeven. Het bedrijfsbelang van Manfield is daarmee niet te vergelijken. Bovendien moet de maatregel ook nog voldoen aan de proportionaliteitseis.

Vingerscanautorisatiesysteem niet noodzakelijk of proportioneel

Om aan bovenstaande eis te voldoen is het essentieel om te onderzoeken of Manfield de beveiliging niet op een minder inbreukmakende manier had kunnen bereiken. Bij invoering van dergelijke systemen is het dan ook van groot belang om privacy gerelateerde risico’s goed in kaart te brengen en de mogelijkheden van eventuele minder vergaande alternatieven op dit systeem te onderzoeken. De voor- en nadelen kunnen in kaart worden gebracht door een Data Protection Impact Assesment (“DPIA”). In het geval van Manfield lijkt dit niet voldoende te zijn onderzocht. Het belang van het uitvoeren van een DPIA komt in deze zaak dus weer duidelijk naar voren. De rechter is dan ook van mening dat het vingerscanautorisatiesysteem niet noodzakelijk of proportioneel is en geeft de werknemer gelijk.

Vrije toestemming nog eens onder de loep

Wij hebben hier een dubbel gevoel bij. Enerzijds is het een goede zaak, omdat de rechter hier een duidelijke grens trekt met betrekking tot de uitzondering op het verwerkingsverbod van biometrische gegevens en het belang onderstreept om hier tevoren zorgvuldig naar te kijken. Anderzijds wordt weer het pijnpunt van toestemming in de verhouding werkgever-werknemer blootgelegd. Namelijk de visie van de Autoriteit Persoonsgegevens dat die toestemming niet vrijelijk gegeven kan worden. Wij snappen dat je wellicht de schijn wat tegen hebt als werkgever, maar het is in onze ogen niet onmogelijk. Als toestemming de enige realistische – of zelfs enige mogelijke, optie is – blokkeer je met dit standpunt hele initiatieven. Wij durven de stelling aan dat dit niet de bedoeling van de AVG is geweest. Wij hopen dat dat aspect van die vrije toestemming door een werknemer nog eens door een rechter onder de loep wordt genomen.

Wat mag een werkgever nu wel en niet als het gaat om het verzamelen van gegevens? Wilt u hier meer over weten? Volg dan ‘Data het nieuwe goud’, door Menno Weij op The Finance Academy

Lees ook:
1 jaar AVG: meldingen datalekken fors toegenomen
Orde van Belastingadviseurs: UBO-register schendt privacy 

Categorie: Inspiratie Tags: AVG, PrivacyDossier: Management

« Vorige
Volgende »

Geef een reactie Antwoord annuleren

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

CAPTCHA
Refresh

*

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Best gelezen

  • Partijen willen belastingontwijking keihard aanpakken
  • “Risicomanagement is meer dan een paragraaf in een jaarverslag”
  • “Digitale transformatie begint met RPA”
  • Trendonderzoek: effectiviteit business control moet verbeteren
  • Duurzaamheidsverslaggeving en de future proof financial

Alles over BDO, compliance, management

  • Eumedion wil Europese verankering van stakeholdermodel (3 mrt)
  • Pak tekort vrouwen in de top systemisch aan: Stop fixing the women, fix the system (25 feb)
  • Investeringsmaatschappijen bij helft van overnametransacties betrokken (25 feb)
  • ABN AMRO draagt Lars Kramer voor als nieuwe CFO (15 feb)
  • complianceTegengif voor burden of compliance (12 feb)

Hét e-learning platform voor financieel professionals

Volg ons op social media
  • Twitter
  • LinkedIn

Topjobs

Agenda

Collegereeks Risk & Compliance
Start 9 maart 2021 – Nyenrode, Breukelen

Collegereeks Turnaround Management & Restructuring
Start 11 maart 2021 – Nyenrode, Breukelen

Collegereeks Controller als Business Partner
Start 22 maart 2021 – Nyenrode, Breukelen

Collegereeks Accountancy & Controlling
Start 22 maart 2021 – Nyenrode, Breukelen

Collegereeks Data Driven Finance
Start 23 maart 2021 – Utrecht

Masterclass Essenties van Finance
6 & 13 april 2021 – Bilderberg Hotel, Garderen

Masterclass Bestuurdersaansprakelijkheid in Finance
25 & 26 mei 2021 – Bilderberg Hotel, Garderen

Leergang Financieel Leiderschap
Start 31 mei  2021 – Nyenrode, Breukelen

Collegereeks Business for Finance
Start 1 juni 2021 – (locatie is spoedig bekend)

Nationale Controllersdag
7 oktober 2021 – De Rijtuigenloods, Amersfoort

Vacatures

Meer partnernieuws »

Direct naar

  • Nieuws
  • Educatie
  • Nieuwsbrief
  • Magazine
  • Partner of Choice

Kennis

  • Accounting
  • Compliance/ Integriteit
  • Consolidatie
  • Controlling
  • Corporate growth
  • Finance
  • Fiscaal
  • Management
  • Risicomanagement
  • Treasury

Executive Finance

  • Abonneren
  • Shop
  • Adverteren
  • Colofon
  • Contact
  • Algemene voorwaarden
  • Publicatievoorwaarden
  • Privacy en cookies

Categorieën

  • Nieuws
  • Inspiratie
  • Educatie
  • Branded content
  • Whitepapers