De Autoriteit Persoonsgegevens (AP) heeft een bedrijf, waarvan zij de naam (nog) niet bekend heeft gemaakt, een boete opgelegd van 725.000 euro voor het onrechtmatig afnemen van vingerafdrukken van haar medewerkers en het gebruik van vingerscans.
Je kent waarschijnlijk wel van dit soort bedrijven. Best groot, volop in beweging en aan het ondernemen. Voortdurend op zoek naar nieuwe mogelijkheden om processen te verbeteren, strakker te sturen en het liefst de winst optimaliseren. Bij een goed idee is tegenspraak lastig, of wordt niet gevraagd omdat het gewoonweg niet geregeld is. Dus; bij een ogenschijnlijk goed idee wordt gelijk overgegaan tot actie! Geen raadpleging van het personeel, of OR: dat is alleen maar lastig. Werknemers informeren? Nou, die zullen toch ook wel begrijpen dat invoeren van vingerscans gewoon handig is? En, als iemand het er niet mee eens is dan moet die maar even dispensatie vragen bij de directeur. Dus: gaan met die banaan.
Bovenstaande schets hoeft niet de waarheid te zijn, maar de boetebeschikking lezende kom ik wel tot dit beeld. Een leverancier, die ISO-gecertificeerd is, kon dit systeem wel even invoeren. Tevens beschikt de leverancier over de kennis van het systeem, dus dan zal het wel goed zijn. Het aardige is ook dat als verweer wordt opgevoerd dat de leverancier niet heeft gewaarschuwd dat er mogelijk privacy-issues spelen. Gewoon lekker makkelijk de schuld bij een ander leggen. Zie de passage:
"Volgens [VERTROUWELIJK] heeft deze leverancier op geen enkel moment gewezen op mogelijke strijd met (toekomstige) privacyregelgeving en vertrouwde zij erop dat deze professionele partij [VERTROUWELIJK] op de hoogte zou brengen bij veranderingen. De AP is van oordeel dat deze omstandigheid [VERTROUWELIJK] niet disculpeert."
De AP legt een boete op omdat artikel 9 lid 1 AVG, het verwerken van bijzondere persoonsgegevens, is overtreden. Dat mag namelijk niet en is verboden, tenzij de wet aangeeft dat dit wel is toegestaan. De AP geeft goed aan waarom dit niet mag. Zo is onder andere te lezen:
"De verwerking van biometrische gegevens zou verder toegestaan kunnen zijn indien dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Daarvoor moet er een afweging worden gemaakt of identificatie door middel van biometrie noodzakelijk en proportioneel is voor authenticatie of beveiligingsdoeleinden. De AP is van oordeel dat het verwerken van biometrische gegevens in het kader van (het tegengaan van misbruik bij) tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur bij [VERTROUWELIJK] niet noodzakelijk en proportioneel is. Voor de werkzaamheden bij [VERTROUWELIJK], [VERTROUWELIJK], is de noodzaak van de beveiliging niet zodanig hoog dat werknemers met biometrie toegang moeten kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Daarnaast kunnen andere minder ingrijpende manieren, dit ook bewerkstelligen. [VERTROUWELIJK] kan zich wat betreft de verwerking van vingerafdrukken daarom niet beroepen op de uitzonderingsmogelijkheid van artikel 9, lid 2, onder g, AVG in samenhang met artikel 29 UAVG."
Waarna de AP overgaat tot het opleggen van de boete.
In feite is dit een mooi voorbeeld van een bedrijf dat ‘niet compliant’ is, zich daar waarschijnlijk zelf onvoldoende van bewust is (of bewust het risico neemt….) én zich niet goed laat adviseren en bovendien niet weet wat de regels zijn (dat weet ik niet zeker, maar wat ik wel zeker weet is dat als al adviezen zijn gegeven, deze niet zijn opgevolgd).
Een interne of externe privacyadviseur had, ook in 2017, geweten dat je voorafgaand aan een nieuwe verwerking een afweging moet maken of je een PIA (Privacy Impact Assessment) moet uitvoeren. Deze is sinds 25 mei 2018 in de AVG opgenomen in artikel 35: de DPIA (Data Privacy Impact Assessment). Indien er sprake is van een ‘hoog risico’ verwerking, moet je voorafgaand aan de verwerking van persoonsgegevens een DPIA uitvoeren. Met een DPIA wordt onderzocht en vastgelegd wat de risico’s zijn van de verwerking voor de privacy van de betrokkenen en welke beheersmaatregelen passend zijn voor die risico’s. Zo kun je aantoonbaar maken dat je aan de AVG voldoet.
Dat is niet altijd even eenvoudig vast te stellen, en veronderstelt enige kennis van de AVG.
Voor het bepalen of je een DPIA moet uitvoeren toets je de voorgenomen verwerking achtereenvolgens aan:
Stap 1: De tekst van artikel 35 lid 3 AVG.
Stap 2: De lijst van de AP van soorten verwerkingen waarvoor een DPIA verplicht is.
Stap 3: De negen criteria van de WP29 in de WP29 Richtlijnen voor DPIA’s.
Tot slot moet je altijd zelfstandig beoordelen en motiveren of er (geen) sprake is van een hoog risico verwerking. Verdere verdieping van de DPIA laat ik voor nu even achterwege. Dit is de hoofdlijn.
De uitkomst kan zijn: "ja, DPIA uitvoeren", of "nee, dat is niet nodig".
Om dit te bepalen moet je voorafgaand aan elke verwerking van persoonsgegevens nagaan en vastleggen of een DPIA al dan niet nodig is. Echt waar? Ja, echt waar!
Het bedrijf dat de boete opgelegd heeft gekregen, had via deze afweging eenvoudig kunnen vaststellen dat een DPIA nodig is, en had er dan vanzelf achter gekomen dat goede argumenten nodig zijn om de noodzakelijkheid van het gebruik van biometrische (bijzondere) persoonsgegevens te onderbouwen en een goede afweging te maken op het gebied van proportionaliteit en subsidiariteit.
Meer artikelen van PrivacyTeam
Dit artikel is ook te vinden in het dossier Verantwoordingsplicht
