Werknemers hebben hun vingerafdrukken moeten laten scannen voor aanwezigheids- en tijdsregistratie. De werkgever had geen vingerafdrukken van deze werknemers mogen verwerken. Dat concludeert de Autoriteit Persoonsgegevens (AP) na onderzoek. De werkgever kan zich namelijk niet beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens. Het bedrijf krijgt hiervoor een boete van 725.000 euro.
Bijzondere persoonsgegevens
Biometrische gegevens, zoals een vingerafdruk, zijn bijzondere persoonsgegevens. Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.
Monique Verdier, vicevoorzitter van de AP:
“Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand.”
Twee uitzonderingen
Voor het gebruik van vingerafdrukken zouden in dit geval twee uitzonderingen op het verbod kunnen gelden:
- als de betrokkenen om uitdrukkelijke toestemming wordt gevraagd; of
- als het gebruik van biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Volgens de AP kan deze werkgever zich niet beroepen op een van deze twee uitzonderingen voor het afnemen, opslaan en gebruiken van de vingerafdrukken van medewerkers.
Noodzakelijk
Een werkgever kan een werknemer vragen een vingerafdruk te geven voor bijvoorbeeld toegangscontrole. Soms is een medewerker verplicht zijn vingerafdruk af te staan, soms niet. Dat hangt ervan af of de verwerking van de vingerafdruk noodzakelijk is voor authenticatie of beveiliging.
Een werkgever moet afwegen of gebouwen en informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken. Die noodzaak is er vaak niet, omdat er goede alternatieven zijn.
Uitdrukkelijke toestemming
Een werkgever mag in principe geen toestemming aan werknemers vragen om hun vingerafdruk te verwerken. Werknemers zijn afhankelijk van hun werkgever en zijn dus vaak niet in een positie om te kunnen weigeren.
De privacywet stelt strenge eisen aan het vragen van uitdrukkelijke toestemming. De toestemming moet ondubbelzinnig, specifiek, geïnformeerd én vrij zijn.
Deze werkgever heeft niet aangetoond dat de werknemers uitdrukkelijke toestemming hebben verleend. Daarnaast hebben de werknemers het vastleggen van hun vingerafdruk als een verplichting ervaren.
De organisatie heeft bezwaar gemaakt tegen het besluit van de AP. De naam van de organisatie maakt de AP niet openbaar door een uitspraak van de rechter.