Begin december 2019 heeft de Autoriteit Persoonsgegevens (AP) een boete opgelegd aan een organisatie voor het verwerken van vingerafdrukken/vingerafdrukgegevens van haar medewerkers. De organisatie vroeg de medewerkers de vingerafdrukken af te staan in het kader van de toegangscontrole en de tijdregistratie. Het boetebesluit is op 30 april 2020 gepubliceerd.
Organisatie die boete heeft gekregen voorlopig anoniem
De betrokken organisatie is al eerder in beroep gegaan tegen het besluit en heeft de rechter in kort geding gevraagd om de AP te verbieden de naam van de betrokken organisatie openbaar te maken zolang het boetebesluit niet definitief is. Dit verzoek is toegewezen. De betreffende organisatie blijft vooralsnog dus nog even anoniem.
Vingerafdrukken zijn biometrische gegevens
Biometrische gegevens en de AVG
Vingerafdrukken (of scans daarvan) zijn biometrische gegevens. Biometrische gegevens vallen onder de categorie ‘bijzondere persoonsgegevens’ en hiervoor geldt dat het verboden is deze te verwerken tenzij een van de uitzondering van toepassing is. Deze uitzonderingen zijn (voor zover voor deze kwestie van belang): er is een uitdrukkelijke toestemming betrokkene verkregen (art. 9 AVG) en/of de verwerking is noodzakelijk in het kader van authenticatie- of beveiligingsdoeleinden (art. 9 AVG jo. art. 29 UAVG).
Uit het boetebesluit blijkt dat op de gescande vingerafdrukken punten worden geïdentificeerd en dat deze (voor iedere vingerafdruk unieke punten) worden gebruikt om een waarde te berekenen. Deze waarden worden opgeslagen in een tekstbestand en de waarden worden gebruikt bij de identificatie van de werknemers zodra zij hun vinger scannen. De betrokken organisatie voert aan dat er geen sprake is van persoonsgegevens omdat de waarden niet te herleiden zijn naar individuele werknemers. De AP kan zich niet in deze stelling vinden.
Organisatie X kon zich niet op uitzonderingsgronden beroepen
De AP stelt eerst vast dat met de opslag en het gebruik van vingerafdrukgegevens sprake is van de verwerking van biometrische gegevens. Daarbij had de betrokken organisatie overigens niet alleen vingerafdrukgegevens opgeslagen van de huidige werknemers, maar ook van een aantal medewerkers die reeds uit dienst waren.
Vervolgens komt de AP tot de conclusie dat geen sprake is van één van de hierboven genoemde uitzonderingsgevallen voor het gebruik van bijzondere persoonsgegevens (toestemming / noodzakelijk in het kader van authenticatie- of beveiligingsdoeleinden).
Ten aanzien van de toestemming geldt dat werknemers over het algemeen (vanwege de hiërarchische verhouding tussen werkgever en werknemer) zeer moeilijk een geldige toestemming kunnen geven aan hun werkgever. Zelfs als de werkgever zelf het idee heeft dat werknemers kunnen weigeren, dan nog kan de werknemer druk ervaren om in te stemmen. Ook in deze kwestie schuurt de beleving van de werkgever met die van de werknemer. Weliswaar konden medewerkers weigeren hun vingerafdruk af te staan, maar (bijna) alle medewerkers die aanvankelijk weigerden, stonden toch hun vingerafdrukken af na een gesprek met de directeur. Ook hebben de medewerkers het afstaan van vingerafdrukken als een plicht ervaren. Daarnaast heeft de betrokken organisatie de werknemers niet geïnformeerd over de wijze waarop de organisatie de vingerafdrukgegevens zou gebruiken.
Vervolgens bekijkt de AP of de verwerking noodzakelijk is in het kader van authenticatie- of beveiligingsdoeleinden. De afweging moet worden gemaakt of identificatie door middel van biometrie noodzakelijk en proportioneel is voor authenticatie en/of beveiligingsdoeleinden. Daarbij geldt een strenge toets. Als het belang van beveiliging heel groot is en slechts een beperkt aantal mensen toegang mag hebben (denk aan een kerncentrale of de goudvoorraad van DNB) dan kan het gebruik van biometrische gegevens noodzakelijk en proportioneel zijn. Is het belang minder groot dan kan de beveiliging ook gewaarborgd worden op manieren die minder ingrijpen in de persoonlijke levenssfeer. Zo ook bij de door de AP beboete organisatie. De AP oordeelt dat het gebruik van biometrische gegevens in dit geval niet noodzakelijk is voor beveiliging of authenticatie. De organisatie had moeten kiezen voor een manier van toegangscontrole of beveiliging die minder ingrijpt op de privacy van de werknemers.
“De leverancier zei dat het in orde was”
In de uitspraak valt te lezen dat de betrokken organisatie zich erop beroept dat de leverancier van de scanapparatuur de betrokken organisatie nooit gewezen heeft op een mogelijke strijd met de AVG. Of deze stelling nu een kwestie van oprechte naïviteit is of van het proberen snel de schuld bij een ander te leggen blijft de vraag. De AP maakt er in ieder geval korte metten mee. Van een professionele partij – aldus de AP – mag (mede gezien de bijzondere aard van de verwerkte gegevens) worden verwacht dat zij zich ervan vergewist dat de AVG wordt nageleefd.
Boete vanwege schending AVG
Vervolgens legt de AP een boete op van €725.000,-. De hoogste boete in Nederland onder de AVG, tot dusver. Het besluit vindt u hier
De betrokken organisatie is in beroep gegaan tegen het besluit, word vervolgd dus….
Neem contact op