Megaboete voor registratie vingerafdrukken van werknemers
De Autoriteit Persoonsgegevens legt een bedrijf een boete van 725.000 euro op voor het laten scannen van de vingerafdrukken van werknemers voor aanwezigheids- en tijdsregistratie. Het bedrijf kan zich niet beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens en mocht daarom niet de vingerafdrukken van werknemers verwerken.
Biometrische gegevens, zoals een vingerafdruk, zijn bijzondere persoonsgegevens. Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. “Deze categorie persoonsgegevens wordt door de wet extra beschermd”, zegt Monique Verdier, vice-voorzitter van de Autoriteit Persoonsgegevens (AP). “Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand.”
Verwerken biometrische gegevens
Voor het gebruik van vingerafdrukken zijn twee uitzonderingen op het verbod mogelijk. De eerste uitzondering is het geval als de betrokkenen om uitdrukkelijke toestemming wordt gevraagd. De andere uitzondering betreft het noodzakelijk gebruik van biometrische gegevens voor authenticatie of beveiligingsdoeleinden. De AP heeft geconcludeerd dat dit bedrijf zich niet kan beroepen op één van deze uitzonderingen voor het afnemen, opslaan en gebruiken van de vingerafdrukken van medewerkers.
Een werkgever kan een medewerker vragen een vingerafdruk te geven voor bijvoorbeeld toegangscontrole. Soms is een medewerker verplicht zijn vingerafdruk af te staan, soms niet. Dat hangt ervan af of de verwerking van de vingerafdruk noodzakelijk is voor authenticatie of beveiliging. Een werkgever moet afwegen of gebouwen en informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door biometrie te gebruiken. Die noodzaak zal er vaak niet zijn, omdat er goede alternatieven zijn.
Toestemming
Vraagt een werkgever om toestemming aan medewerkers om hun vingerafdruk te verwerken? Dat mag in principe niet. Medewerkers zijn afhankelijk van hun werkgever, dus vaak niet in een positie om te kunnen weigeren. De privacywet stelt strenge eisen aan het vragen van uitdrukkelijke toestemming. De toestemming moet ondubbelzinnig, specifiek, geïnformeerd én vrij zijn.
Dit bedrijf heeft niet aangetoond dat de medewerkers uitdrukkelijke toestemming hebben verleend. Medewerkers hebben daarnaast het vastleggen van hun vingerafdruk als een verplichting ervaren. Het bedrijf heeft bezwaar gemaakt tegen het besluit van de AP. De naam van de organisatie is niet openbaar gemaakt op grond van een uitspraak van de rechter.