Kassamedewerkers bij schoenenwinkel Manfield moesten een vingerafdruk doen om de kassa te bedienen. Noodzakelijk vond het bedrijf want er was sprake van fraude waarbij ingelogd werd met de code van iemand anders. De rechter was het niet eens met deze procedure. Er zijn wel minder rigoureuze maatregelen om een greep uit de kassa te voorkomen. Bovendien kunnen medewerkers niet weigeren om de vingerafdruk af te staan: er is immers een gezagsverhouding tussen werkgever en werknemer. Maar is de privacywetgeving echt zo strikt? Menno Weij en Tessa Janssen (BDO Legal) tasten de mogelijkheden af.
Manfield op de vingers getikt
Je vingerafdruk afgeven om je normale werkzaamheden te kunnen doen. Hierbij denk je meteen aan een beroep waarbij je omringd wordt door geheime informatie. Maar niets is minder waar, het was namelijk schoenenwinkel Manfield die dit aan zijn werknemers oplegde. Zij voerde onlangs dit vingerscanautorisatiesysteem in, waarbij de vingerafdruk van de medewerker omgezet wordt naar een inlogcode voor de kassa. Door deze rigoureuze maatregel was het voor de werknemers niet mogelijk om hun kassa werkzaamheden uit te voeren, zonder deze zogenaamde biometrische gegevens af te geven aan hun werkgever. Rechtbank Amsterdam tikt Manfield op de vingers en oordeelde op 12 augustus dat dit systeem in het kader van de privacy van de werknemer te ver gaat.
Vingerafdruk om privacy klanten en werknemers te waarborgen
Opvallend in deze zaak is dat één van de aangedragen argumenten van Manfield het waarborgen van de privacy van zowel hun werknemers als de klanten was. De kassasystemen bevatten namelijk, naast (gevoelige) financiële gegevens, ook veel persoonsgegevens van zowel de klanten als de werknemers. De schoenenwinkel zag twee gevaren, namelijk het gevaar dat iemand op afstand mee zou kunnen kijken en de persoonsgebonden code van de werknemer kon inzien (zogenaamd “key-logging program”). En de mogelijkheid dat een derde, die in de winkel aanwezig is, de code zelf kan afkijken van de werknemer. Manfield heeft op basis van artikel 24 AVG de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen. Door middel van een vingerscan dachten ze beide gevaren op te kunnen lossen en aan hun verplichting te voldoen. Het risico van pottenkijkers via het internet en het delen van persoonsgebonden inlogcodes van andere werknemers zouden hierdoor niet meer mogelijk zijn.
Biometrische gegevens mogen niet verwerkt worden
Daarnaast heeft Manfield te maken met fraude door het eigen personeel. Zo werd er ingelogd met andermans inlogcode om op die wijze geld te ontvreemden, maar ontraceerbaar te blijven. Door het invoeren van het vingerscanautorisatiesysteem dacht Manfield ook dit probleem in één klap op te lossen. Maar een kritische werknemer gooide roet in het eten door Manfield te wijzen op het verbod van verwerken van biometrische gegevens uit artikel 9 lid 1 van de AVG.
Vingerafdrukken zijn biometrische gegevens en mogen volgens de wet niet verwerkt worden, tenzij hier vrije en uitdrukkelijke toestemming voor wordt gegeven. In de verhouding werkgever-werknemer bestaat er een gezagsverhouding waardoor toestemming, volgens de toezichthouder, per definitie niet vrij gegeven kan worden door de werknemer. Nederland heeft echter voor het gebruik van biometrische gegevens als enige land in de EU hier wél een uitzondering op gemaakt in onze Uitvoeringswet (later “UAVG”), namelijk in artikel 29. Er zou dan sprake moeten zijn van een zwaarwegend belang. Bovendien zou het noodzakelijk moeten zijn voor authenticatie en beveiligingsdoeleinden. Het beveiligen van een kerncentrale wordt in de wet als voorbeeld gegeven. Het bedrijfsbelang van Manfield is daarmee niet te vergelijken. Bovendien moet de maatregel ook nog voldoen aan de proportionaliteitseis.
Vingerscanautorisatiesysteem niet noodzakelijk of proportioneel
Om aan bovenstaande eis te voldoen is het essentieel om te onderzoeken of Manfield de beveiliging niet op een minder inbreukmakende manier had kunnen bereiken. Bij invoering van dergelijke systemen is het dan ook van groot belang om privacy gerelateerde risico’s goed in kaart te brengen en de mogelijkheden van eventuele minder vergaande alternatieven op dit systeem te onderzoeken. De voor- en nadelen kunnen in kaart worden gebracht door een Data Protection Impact Assesment (“DPIA”). In het geval van Manfield lijkt dit niet voldoende te zijn onderzocht. Het belang van het uitvoeren van een DPIA komt in deze zaak dus weer duidelijk naar voren. De rechter is dan ook van mening dat het vingerscanautorisatiesysteem niet noodzakelijk of proportioneel is en geeft de werknemer gelijk.
Vrije toestemming nog eens onder de loep
Wij hebben hier een dubbel gevoel bij. Enerzijds is het een goede zaak, omdat de rechter hier een duidelijke grens trekt met betrekking tot de uitzondering op het verwerkingsverbod van biometrische gegevens en het belang onderstreept om hier tevoren zorgvuldig naar te kijken. Anderzijds wordt weer het pijnpunt van toestemming in de verhouding werkgever-werknemer blootgelegd. Namelijk de visie van de Autoriteit Persoonsgegevens dat die toestemming niet vrijelijk gegeven kan worden. Wij snappen dat je wellicht de schijn wat tegen hebt als werkgever, maar het is in onze ogen niet onmogelijk. Als toestemming de enige realistische – of zelfs enige mogelijke, optie is – blokkeer je met dit standpunt hele initiatieven. Wij durven de stelling aan dat dit niet de bedoeling van de AVG is geweest. Wij hopen dat dat aspect van die vrije toestemming door een werknemer nog eens door een rechter onder de loep wordt genomen.
Wat mag een werkgever nu wel en niet als het gaat om het verzamelen van gegevens? Wilt u hier meer over weten? Volg dan ‘Data het nieuwe goud’, door Menno Weij op The Finance Academy
Lees ook:
1 jaar AVG: meldingen datalekken fors toegenomen
Orde van Belastingadviseurs: UBO-register schendt privacy
