Personeelsnet

Verplichte vingerafdruk medewerker mag wel, mits goed onderbouwd

Schoenenwinkel Manfield mag een werkneemster niet verplichten haar vingerafdruk te gebruiken om de kassa te bedienen. Dat is volgens de kantonrechter in strijd met Algemene Verordening Gegevensbescherming (AVG). Maar dit betekent niet, dat de werkgever nóóit een vingerafdruk of irisscan mag vragen het personeel.

De shoenmodeketen heeft onlangs, na een testfase, in alle filialen een vingerscan-autorisatiesysteem voor haar kassasysteem ingevoerd. Dat leest de vingerafdruk van een medewerker af en vergelijkt die met een code in het systeem. Als het klopt, kan de medewerker de kassa bedienen. Zonder vingerafdruk is het niet mogelijk om de kassawerkzaamheden uit te voeren.

Maar een vingerafdruk is een bijzonder persoonsgegeven, dat je niet zomaar mag verwerken volgens de AVG. En een werkgever mag medewerkers ook nooit toestemming vragen om dergelijke gegevens te gebruiken, vanwege de ongelijke machtsverhouding. Daarom stapte een medewerkster naar de rechter, die haar na behandeling van de zaak gelijk gaf.

Noodzaak niet goed onderbouwd
Volgens Manfield waren de vingerafdrukken nodig omdat het kassasysteem niet alleen financiële gegevens bevat, maar ook persoonsgegevens van personeel. Een pasje met pincode zou het systeem daarom onvoldoende beveiligen, terwijl de AVG voorschrijft dat de beveiliging zo optimaal mogelijk moet zijn. Manfield wil de beveiliging ook aanscherpen, omdat in het verleden medewerkers met pincodes en pasjes konden frauderen.

Grootste bezwaar van de rechter was, dat de noodzaak voor het gebruik van de vingerafdruk niet goed onderbouwd was. En dat moet wel, wanneer je bijzondere persoonsgegevens verwerkt, stelt ICT-jurist Arnoud Engelfriet op Ius mentis, zijn website die gespecialiseerd is in internetrecht en technologie.

Vingerafdrukken niet zo maar verwerken
Engelfriet wijst erop dat de regels rond biometrische gegevens streng zijn. Die mag je alleen verwerken als dat ‘noodzakelijk’ is voor beveiliging of authenticatie, zonder dat er een goed alternatief is.

Je moet dan uitwerken waarom je biometrische gegevens moet verwerken, welke problemen je daarmee oplost, wat de gevaren daarbij zijn voor de privacy van werknemers en hoe je die gaat beschermen. Als Manfield die alternatieven vooraf goed op papier had uitgewerkt, had het volgens de ICT-advocaat “zeer waarschijnlijk wel gemogen.”

Maar het mag wél
Het verwerken van biometrische persoonsgegevens moet dus heel zorgvuldig gebeuren, maar het mag dus wél, aldus Engelfriet. Hij geeft als voorbeeld een datacentrum waarbij toegang wordt geregeld met een irisscan. Daarbij gaat het om fysieke aanwezigheid bij hardware met kwetsbare gegevens, terwijl er veel wisselende mensen naar binnen moeten, zonder dat er overal toezicht is.

Dus als de werkgever een vingerafdruk wil gebruiken als beveiliging, moet deze eerst op papier zetten:

  • De argumentatie waarom biometrische gegevensverwerking noodzakelijk is;
  • Hoe de privacy van de gebruikers is gewaarborgd;
  • Gedetailleerd uitleggen waarom alternatieven niet even goed zijn.

PRIVACYTOOLS VOOR HR: Zo voldoet u aan de AVG

Neem een abonnement en download meer dan 300 actuele HR-instrumenten

Wilt u als HR-professional ook niks meer missen op uw vakgebied?