• Arbeid & Privacy: de vingerscan

Arbeid & Privacy: de vingerscan

Is een vingerscan in strijd met de Algemene Verordening Gegevensbescherming (AVG)?

Manfield Schoenen heeft in al haar filialen een vingerscanautorisatiesysteem voor haar kassasysteem ingevoerd. Door dit systeem kunnen werknemers van Manfield alleen toegang krijgen tot het kassasysteem als zij hun vingerafdruk scannen. Zonder deze toegang is het voor de werknemers niet mogelijk om hun kassawerkzaamheden uit te voeren.

Werkneemster heeft zich verzet tegen het gebruiken van haar vingerafdruk voor het vingerscan-autorisatiesysteem. Zij is namelijk van mening dat deze methode inbreuk maakt op haar privacyrechten omdat het om een biometrisch persoonsgegeven gaat en het op grond van de AVG verboden is om biometrische gegevens te verwerken.

In de AVG geldt echter een uitzondering op dit verbod als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden en wanneer de verwerking proportioneel is. Manfield doet een beroep op haar bedrijfsbelang omdat zij zich geconfronteerd ziet met fraude door het eigen personeel en daarom volgens haar het vingerscanautorisatiesysteem noodzakelijk is.

De kantonrechter is het niet met Manfield eens.

Uiteraard staat het Manfield vrij om op te treden tegen fraude, maar zij dient daarbij de AVG in acht te nemen. Naar het oordeel van de kantonrechter is het gebruik van een ‘vingerscan-autorisatiesysteem’ in de gegeven omstandigheden in strijd met de AVG, nu dit niet is aan te merken als "noodzakelijk voor authenticatie- of beveiligingsdoeleinden". Ook ten aanzien van de proportionaliteit plaatst de kantonrechter vraagtekens. Zo heeft Manfield de door de werkneemster genoemde alternatieven, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende onderzocht. De kantonrechter komt dan ook tot de slotsom dat het vingerscanautorisatiesysteem van Manfield een ongeoorloofde inbreuk maakt op de privacy van werkneemster.

Deze uitspraak laat zien dat het belangrijk is om als organisatie goed na te denken over het verwerken van persoonsgegevens, temeer als het gaat om bijzondere persoonsgegevens. Indien u persoonsgegevens verwerkt in strijd met de AVG loopt u risico op boetes van de Autoriteit Persoonsgegevens, alsmede op de verplichting tot betaling van schadevergoeding aan gedupeerden. Zorg dus voor een correcte verwerking van persoonsgegevens.