Scannen van vingerafdruk levert bedrijf boete van € 725.000,- op

05-05-2020

Floortje Eijdems

De Autoriteit Persoonsgegevens (AP) maakte gisteren bekend een boete van € 725.000,- te hebben opgelegd aan een bedrijf dat vingerafdrukken van werknemers scant voor de aanwezigheids- en tijdsregistratie. Volgens de AP is de manier waarop dit bedrijf de vingerafdruk gebruikte in strijd met de AVG. Waarom is dit volgens de AP in strijd met de AVG en waarom is de boete zo hoog? Dat leest u in deze blog.

Onrechtmatige verwerking

Het scannen van een vingerafdruk voor beveiligingsdoeleinden levert een verwerking van bijzondere persoonsgegevens op. Die gegevens worden door de AVG extra beschermd omdat de verwerking ervan hoge risico’s met zich meebrengt. De AVG stelt dan ook dat de verwerking van deze bijzondere gegevens in beginsel verboden is, tenzij sprake is van een uitzonderingsgrond. De AP noemt twee mogelijke uitzonderingsgronden in deze kwestie, namelijk (i) uitdrukkelijke toestemming van de werknemer of (ii) noodzakelijk voor authenticatie of beveiligingsdoeleinden.

Om te beginnen met de toestemming van de werknemer. Toestemming moet (onder meer) vrij en geïnformeerd worden gegeven. Bij een arbeidsverhouding is het geven van vrije toestemming in principe niet mogelijk vanwege de afhankelijkheid van de werknemer ten opzichte van de werkgever. In dit geval heeft het bedrijf niet aangetoond dat de toestemming rechtsgeldig was verkregen. Sterker nog, een werknemer verklaarde verantwoording voor de weigering af te hebben moeten leggen aan het bestuur. Tot zover de vrije toestemming. Ook waren werknemers in kwestie onvoldoende geïnformeerd over de verwerking. Het bedrijf aan wie de boete is opgelegd kon zich dus niet beroepen op toestemming als uitzonderingsgrond.

De uitzondering voor noodzakelijkheid voor authenticatie of beveiligingsdoeleinden gaat hier volgens de AP ook niet op. Het bedrijf heeft niet kunnen aantonen dat er een noodzaak was om de biometrische gegevens te verwerken en dat deze verwerking proportioneel was. Daarnaast zijn er voldoende alternatieve beveiligingsmogelijkheden. Dit maakt dat het scannen van een vingerafdruk volgens de AP niet noodzakelijk is.

Boetehoogte

Voor de boetehoogte is de aard, ernst, duur en verwijtbaarheid van de overtreding van belang. Het gaat hier om een onrechtmatige verwerking van bijzondere persoonsgegevens voor de duur van ruim 10 maanden zonder toereikende informatieverstrekking en zonder vrije toestemming van de werknemer. Dit is volgens de AP een ernstige schending van de AVG.

Dat de leverancier van de scanapparatuur voor de vingerafdrukken niet voor de AVG heeft gewaarschuwd is volgens de AP niet van belang omdat op het bedrijf zelf de verplichting rust om te onderzoeken of het systeem in overeenstemming met de AVG is, al dan niet door het inwinnen van juridisch advies.

Conclusie

De AP heeft met dit boetebesluit de hoogste boete tot nu toe opgelegd op basis van de AVG. Het belang van de bescherming van bijzondere persoonsgegevens wordt hiermee benadrukt. Ook maakt de AP met dit besluit duidelijk dat een beveiligingssysteem met behulp van biometrische gegevens slechts in uitzonderlijke gevallen toegelaten is, zoals bij een kerncentrale. Welke soort bedrijven naast de kerncentrale wél van een dergelijk systeem gebruik mogen maken, blijft onduidelijk. De AP is over één ding volstrekt duidelijk; het systeem is niet toegestaan bij een garage van een reparatiebedrijf.


Deze jurisprudentie is ook te vinden in de dossiers AVG, Privacy op de werkvloer en Verantwoordingsplicht

Van onze partners

Magazine: Privacy en de gemeente

→ Lees meer

AVG voor griffiers

→ Lees meer

Privacy op de werkvloer

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer