Een schoenenzaak gebruikte vingerafdrukken om personeel en goederen te beschemen, maar de rechter zei 'nee'.
Je vingerafdruk afgeven om je normale werkzaamheden te kunnen doen. Hierbij denk je meteen aan een beroep waarbij je omringd wordt door geheime informatie.
Niets is minder waar. Het was schoenenwinkel Manfield die dit aan zijn werknemers oplegde. Zij voerde onlangs dit vingerscanautorisatiesysteem in, waarbij de vingerafdruk van de medewerker omgezet wordt naar een inlogcode voor de kassa. Door deze rigoureuze maatregel was het voor de werknemers niet mogelijk om hun kassa werkzaamheden uit te voeren, zonder deze zogenaamde biometrische gegevens af te geven aan hun werkgever. Rechtbank Amsterdam tikte Manfield op de vingers en oordeelde op 12 augustus dat dit systeem in het kader van de privacy van de werknemer te ver gaat.
Opvallend in deze zaak is dat één van de aangedragen argumenten van Manfield het waarborgen van de privacy van zowel hun werknemers als de klanten was. De kassasystemen bevatten namelijk, naast (gevoelige) financiële gegevens, ook veel persoonsgegevens van zowel de klanten als de werknemers. De schoenenwinkel zag twee gevaren, namelijk het gevaar dat iemand op afstand mee zou kunnen kijken en de persoonsgebonden code van de werknemer kon inzien (zogenaamd ‘key-logging program’) en een derde, die in de winkel aanwezig is, kan zelf de code afkijken van de werknemer. Manfield heeft op basis van artikel 24 AVG de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen. Door middel van een vingerscan dachten ze beide gevaren op te kunnen lossen en aan hun verplichting te voldoen. Het risico van pottenkijkers via het internet en het delen van persoonsgebonden inlogcodes van andere werknemers zouden hierdoor niet meer mogelijk zijn.
Daarnaast heeft Manfield te maken met fraude door het eigen personeel. Zo werd er ingelogd met andermans inlogcode om op die wijze geld te ontvreemden, maar niet traceerbaar te blijven. Door het invoeren van het vingerscanautorisatiesysteem dacht Manfield ook dit probleem in één klap op te lossen. Maar een kritische werknemer gooide roet in het eten door Manfield te wijzen op het verbod van verwerken van biometrische gegevens uit artikel 9 lid 1 van de AVG.
Vingerafdrukken zijn biometrische gegevens en mogen volgens de wet niet verwerkt worden, tenzij hier vrije en uitdrukkelijke toestemming voor wordt gegeven. In de verhouding werkgever-werknemer bestaat er een gezagsverhouding waardoor toestemming, volgens de toezichthouder, per definitie niet vrijgegeven kan worden door de werknemer. Nederland heeft echter voor het gebruik van biometrische gegevens als enige land in de Europese Unie hier wél een uitzondering op gemaakt in onze Uitvoeringswet (‘UAVG’), namelijk in artikel 29. Er zou dan sprake moeten zijn van een zwaarwegend belang. Bovendien zou het noodzakelijk moeten zijn voor authenticatie en beveiligingsdoeleinden. Het beveiligen van een kerncentrale wordt in de wet als voorbeeld gegeven. Het bedrijfsbelang van Manfield is daarmee niet te vergelijken. Bovendien moet de maatregel ook nog voldoen aan de proportionaliteitseis.
Om aan bovenstaande eis te voldoen is het essentieel om te onderzoeken of Manfield de beveiliging niet op een minder inbreukmakende manier had kunnen bereiken. Bij invoering van dergelijke systemen is het dan ook van groot belang om privacygerelateerde risico’s goed in kaart te brengen en de mogelijkheden van eventuele minder vergaande alternatieven op dit systeem te onderzoeken. De voor- en nadelen kunnen in kaart worden gebracht door een Data Protection Impact Assesment (‘DPIA’). In het geval van Manfield lijkt dit niet voldoende te zijn onderzocht. Het belang van het uitvoeren van een DPIA komt in deze zaak dus weer duidelijk naar voren. De rechter is dan ook van mening dat het vingerscanautorisatiesysteem niet noodzakelijk noch proportioneel is en geeft de werknemer gelijk.
Ik heb hier een dubbel gevoel bij. Enerzijds is het een goede zaak, omdat de rechter hier een duidelijke grens trekt met betrekking tot de uitzondering op het verwerkingsverbod van biometrische gegevens en het belang onderstreept om hier tevoren zorgvuldig naar te kijken. Anderzijds wordt weer het pijnpunt van toestemming in de verhouding werkgever-werknemer blootgelegd. Namelijk de visie van de Autoriteit Persoonsgegevens dat die toestemming niet vrijelijk gegeven kan worden. Ik snap dat je wellicht de schijn wat tegen hebt als werkgever, maar het is in mijn ogen niet onmogelijk. Als toestemming de enige realistische – of zelfs enige mogelijke, optie is – blokkeer je met dit standpunt hele initiatieven. Ik durf de stelling aan dat dit niet de bedoeling van de AVG is geweest. Ik hoop dat dat aspect van die vrije toestemming door een werknemer nog eens door een rechter onder de loep wordt genomen.
Menno Weij is Legal Counsel bij BDO
