Vingerscanner in strijd met de AVG

Casus 

Schoenenwinkel Manfield heeft onlangs een vingerscan op haar kassasysteem geïnstalleerd. Medewerkers moeten zich vanaf nu eerst identificeren met hun vingerafdruk, alvorens zij de kassa kunnen gebruiken. Eén strijdbare medewerker verzet zich daartegen en wil duidelijkheid van de rechter. Mag Manfield haar medewerkers verplichten om in te loggen met hun vingerafdruk?

Veel mensen kennen het van hun smartphone of tablet: je legt je vinger op een scanoppervlak en vervolgens ontgrendelt het apparaat. Winkelmedewerkers van Manfield moeten sinds kort hetzelfde doen om de kassa te kunnen gebruiken. Zonder vingerafdruk kunnen zij hun kassawerkzaamheden niet meer uitvoeren. Daarnaast worden ook de uren van de werknemers van Manfield via een systeem met vingerafdruk geregistreerd.

De bijzondere status van de vingerafdruk

Ondanks het feit dat de vingerscan inmiddels ingeburgerd is heeft de vingerafdruk een bijzondere wettelijke status. Volgens de Algemene Verordening Gegevensbescherming (AVG of GDPR) is de vingerafdruk namelijk een biometrisch gegeven: hiermee kan een persoon direct worden geïdentificeerd. Andere biometrische gegevens zijn bijvoorbeeld de gezichtsafbeelding of de irisscan. In principe is het verzamelen van biometrische gegevens verboden. Dit is anders indien de betreffende persoon toestemming heeft gegeven voor het gebruik. Maar zelfs als er toestemming is, dan moet het gebruik van een vingerafdruk nog altijd noodzakelijk zijn voor de beveiliging en in verhouding staan tot het doel waarvoor deze gebruikt wordt.

Speciale verhouding van werkgever en werknemer

In deze zaak speelt mee dat we te maken hebben met de relatie werkgever-werknemer. De werknemer is nooit volledig vrij om toestemming te weigeren, aangezien hij afhankelijk is van zijn werkgever. De rechter buigt zich dan ook over de vraag of Manfield haar winkelmedewerkers mag verplichten om de vingerscan te gebruiken. 

Het standpunt van Manfield

Volgens Manfield is de invoering van een vingerscan noodzakelijk voor de beveiliging. Manfield krijgt immers regelmatig te maken met diefstal en fraude van het personeel. Vroeger gebruikte men pasjes en inlogcodes om de kassa te openen, maar deze werden onderling doorgegeven en zo was bij diefstal de dader niet meer te traceren. De vingerscan lost dit probleem op, want een vingerafdruk kan niet worden doorgegeven.

Daarnaast voert Manfield aan dat zij wettelijk verplicht is om de gegevens uit haar kassasysteem zo goed mogelijk te beveiligen. Het kassasysteem bevat namelijk gevoelige informatie over klanten en over de financiën van het bedrijf. Het gebruik van de vingerscan is daarom een logische keuze: de vingerafdruk kan niet worden afgekeken en zorgt ervoor dat niet op afstand kan worden ingelogd.

De rechtbank: gebruik vingerscan in strijd met de AVG

De rechter oordeelt echter dat de invoering van de vingerscan een te ingrijpende maatregel is. De rechter vindt het gebruik van de vingerscan namelijk niet noodzakelijk voor de beveiliging. Daarbij speelt mee dat Manfield geen minder ingrijpende maatregelen heeft genomen, zoals camerabeveiliging of toegangspoortjes. Daarnaast heeft Manfield te weinig onderzoek gedaan naar minder ingrijpende alternatieven, zoals een toegangspas in combinatie met een cijfercode. Op deze manier kan het systeem ook goed beveiligd worden, zonder gebruik te hoeven maken van biometrische gegevens zoals de vingerscan.

Uiteindelijk oordeelt de rechter dat Manfield haar werknemers niet mag verplichten om de vingerscan te gebruiken, omdat dat in deze omstandigheden in strijd is met de AVG.

Advies

Een vingerscan of gezichtsherkenning lijkt een handige oplossing voor uw bedrijf, bijvoorbeeld als u uitdagingen heeft in de beveiliging of correcte urenregistratie.  Wij zien dan ook steeds vaker dat bedrijven in bijvoorbeeld de schoonmaak, horeca of detailhandel gebruik maken van een dergelijke systeem. Echter, besef dat u waarschijnlijk met zo’n systeem de privacy van uw werknemers te veel schendt.

Wilt u uw medewerkers verplichten om gebruik te maken van een vingerscan of gezichtsherkenning dan zult u moeten aantonen dat dit écht noodzakelijk is voor de beveiliging van persoonsgegevens en er geen andere opties voorhanden zijn. Dat kan lastig worden: als voorbeeldsituatie waarbij een vingerscan wél noodzakelijk is, noemt de wetgever de beveiliging van een kerncentrale.

Laat een Privacy Impact Assessment (PIA) uitvoeren

Wilt u nieuwe maatregelen invoeren die mogelijk impact hebben op de privacy van uw werknemers? Wij raden u dan aan om altijd een zogenaamd “privacy impact assessment” uit te laten voeren door een objectieve privacy expert en dit schriftelijk vast te leggen. Hierin kunt u de voor- en tegens van verschillende systemen tegen elkaar afwegen en bekijken welke vorm van beveiliging noodzakelijk is én geschikt is voor uw bedrijf. U legt ook vast dat u dit allemaal heeft gecheckt en afgewogen, hetgeen een belangrijke eis is van de AVG als u een bewuste en gewogen inbreuk maakt op de privacy. U kiest bij voorkeur voor een systeem dat zo min mogelijk inbreuk maakt op de privacy van uw werknemers, maar wel voldoende beveiligt, bijvoorbeeld een dubbele beveiliging door middel van een pasje en een code.

Voor hulp bij PIA’s en voor meer informatie over hulp bij de AVG compliance bezoek onze website. Natuurlijk kunt u ook mailen naar info@thelegalprivacycompany.com of bellen naar 020-3450152. 

Heeft u een juridische vraag op het gebied van arbeidsrecht, contractenrecht en/of ondernemingsrecht? Kijk op onze website voor meer informatie.

Bring Your Own Device en de juridische (privacy) regels

Bring Your Own Device (breng uw eigen apparatuur mee), oftewel BYOD. Een term die al langer bestaat maar tegenwoordig gebruikelijk is op de werkvloer als het gaat om het meenemen van privé-apparatuur, zoals een laptop, tablet of smartphone, die worden gebruikt om werktaken uit te voeren. Met de opkomst van de clouddiensten en webbased systemen (denk aan een online time-tracking of taken systeem, CRM-systeem, wordt BYOD steeds logischer. BYOD valt daarom niet meer weg te denken uit het bedrijfsleven en lopen werk en privé gemakkelijker in elkaar over.

Wat zijn de voor- en nadelen van BYOD?

Kostenbesparing en voorkeursvrijheid

Voor werkgevers geldt natuurlijk het voordeel dat het een kostenbesparing met zich meebrengt. Er hoeft geen apparatuur meer voor de werknemer aangeschaft te worden. Voor de werknemer geldt dat deze keuzevrijheid heeft en het apparaat kan aanschaffen waarmee zij het beste kunnen omgaan.

Plicht en onkostenvergoeding BYOD?

Als werkgever ben je niet verplicht om onkostenvergoeding te betalen voor het gebruik van eigen apparatuur. Daarentegen kan de werknemer ook niet verplicht worden om zijn eigen apparatuur te gebruiken of aan te schaffen voor de uitvoering van zijn werkzaamheden. Als de werknemer weigert dan is de werkgever verplicht om een alternatief aan te bieden of te accepteren dat werknemer niet werkt met de systemen en mobiele apparatuur. Binnen organisaties waarin veel gebruik wordt gemaakt van BYOD zie je toch wel dat de werknemer een maandelijkse onkostenvergoeding krijgt voor het gebruik van zijn eigen apparatuur. Dit dekt de gebruikskosten zoals onderhouds- en vervangingskosten, reparatie en abonnementskosten. In sommige gevallen krijgt de werknemer een budget voor de aanschaf van bijvoorbeeld een telefoon of laptop.

Botsende appratuur en systemen

Het nadeel van een BYOD beleid is dat de meeste ICT-afdelingen binnen organisaties een hekel hebben aan BYOD omdat er een versprokkeling ontstaat van verschillende apparaten en systemen. Mocht ergens iets misgaan dan is het vaak lastig om te achterhalen waar de fout zit en tevens moet de helpdesk ook beschikken over kennis van de verschillende apparaten en systemen.

Beveiligingsrisico

Een ander nadeel van BYOD is het beveiligingsrisico van het zakelijk gebruik van privé apparatuur. Onbevoegden kunnen hierdoor veel gemakkelijker bij de zakelijke gegevens komen.

Verder is er door de werkgever geen goede controle mogelijk op de software, antivirus, firewalls op de apparatuur die de werknemer gebruikt. Ook dat brengt wel beveiligingsrisico’s met zich mee dat onbevoegden bij de zakelijke en vertrouwelijke gegevens kunnen.

Aansprakelijkheid

Een ander nadeel is dat gezien de bijzondere relatie tussen werknemer-werkgever, de werkgever aansprakelijk is voor de schade die de werknemer krijgt aan zijn apparatuur bij uitvoering van zijn werkzaamheden.

Overigens moet er wel sprake zijn van schade die valt binnen de uitvoering van de arbeidsovereenkomst. Wanneer de werknemer een virus binnenhaalt op zijn mobiele telefoon bij het lezen van zijn werkmail is de werkgever voor eventuele gevolgen aansprakelijk. Aan de andere kant, wanneer de werknemer datzelfde virus binnenhaalt via het openen van een Facebook bericht (waarbij we ervan uit gaan dat Facebook alleen voor privédoeleinden wordt gebruikt) is de werkgever niet aansprakelijk voor de gevolgen. Het is echter vaak lastig om dat allemaal te achterhalen.

Scheiding werk en privé

Met name door de hoge toename van smartphones dreigt de grens tussen werk en privé te vervagen en dat levert ook nadelen op. Het is immers gemakkelijker om in je vrije tijd gestoord te worden door werkgerelateerde zaken.  Denk aan het ontvangen van emails laat in de avond en nog even in het weekend werken. Op deze manier wordt de vrije tijd van de werknemer makkelijk in beslag genomen door werk en vergoot de kans op uitval (bijvoorbeeld overspannenheid). Er is echter wetgeving in behandeling die deze risico’s gaat inperken.

Privacy en BYOD

Als bedrijf ben je onder de AVG verplicht om passende technische en organisatorische maatregelen te nemen bij de verwerking van persoonsgegevens. Zo ook ten opzichte van het gebruik van eigen apparatuur en de (zakelijke) persoonsgegevens die de werknemers verwerken op hun eigen apparatuur. Het gaat dan o.a. om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens. Hoe kunt u als werkgever hier in de praktijk het beste mee omgaan?

1. Stel een BYOD protocol op

Stel altijd een intern privacy beleid op waarin u uw werknemers instrueert en informeert over hoe u omgaat met hun gegevens en hoe zij moeten omgaan met de persoonsgegevens van anderen zoals klanten, collega’s, etc. Voeg daar ook een apart BYOD protocol bij als bijlage omdat dit specifiek ziet op het gebruik van eigen apparatuur. Hierin kunnen beveiligingsvoorwaarden gesteld worden aan het gebruik zoals dat de apparatuur voorzien moet zijn van toegangsbeveiliging, een virusscanner, firewall, gps-systeem, etc. Verder kunnen hier praktische regels in worden opgenomen, zoals het verbod tot opslaan van bedrijfsgegevens op de harde schijf van een computer, de telefoon, de tablet, over het gebruik van wachtwoorden, (onrechtmatige) toegang en gebruik door derden en eventuele sancties.

2. Train het personeel!

Naast het hebben van een intern privacy beleid met de nodige protocollen zoals het HR protocol, rechten van betrokkenen protocol en het datalek protocol is dus het BYOD-protocol van belang. In plaats van te verwachten dat uw personeel deze protocollen allemaal doorleest, is het inplannen van een trainingsmoment een veel praktischer instrument. Dit creëert bewustwording waardoor de risico’s op een inbreuk flink worden beperkt.

Heeft u een template BYOD-protocol of een pragmatische privacy awareness training nodig dan kunt u bij ons terecht voor deze producten voor een vaste prijs.

Mail dan naar info@thelegalprivacycompany.com

Wilt u als HR afdeling of als HR manager in zijn algemeenheid meer weten over privacy en werknemers? Wij organiseren 10 oktober 2019 de Masterclass Privacy en werknemers.  Wij verzorgen deze training ook op locatie. Mocht u hier interesse in hebben mail dan naar: info@thelegalprivacycompany.com.  

Privacy van de werknemers, hoe de AVG in de praktijk toe te passen?

Een organisatie met werknemers verwerkt per definitie persoonsgegevens van werknemers. Denk aan de gebruikelijke gegevens als naam, adres, telefoonnummer, BSN, etc. Naast deze gebruikelijke gegevens worden er vaak andere persoonsgegevens verwerkt zoals psychologische assessment rapporten, gps-trackingoverzichten, foto’s in het smoelenboek, tijdsregistratiesystemen, etc. Vanaf 25 mei 2018 zal men ten aanzien van al die gegevens opnieuw moeten bezien of al de verwerkingen voldoen aan de Algemene verordening gegevensbescherming (hierna AVG). Het niet voldoen aan de AVG kan immers hoge boetes opleveren, reputatieschades en claims van werknemers. Ook kan het in ziektedossiers en ontslagzaken vervelende effecten hebben. Wat zijn nu de belangrijkste verplichtingen en veranderingen voor de werkgever ingevolge de AVG?

Recht op inzage

Onder Wet bescherming persoonsgegevens (Wbp) bestonden er al privacy rechten voor de werknemer. Een aantal van die rechten zijn onder de AVG verruimd. Zo hebben werknemers recht op inzage in de persoonsgegevens die de werkgever van hen verwerkt, zelfs als deze gegevens al eerder zijn verstrekt.

Dit is gebaseerd op een van de belangrijkste privacy beginselen, het zogenaamde transparantiebeginsel. Iedereen moet in de gelegenheid zijn om de persoonsgegevens die over hem zijn verzameld te allen tijde in te zien. Daarbij moet dat recht eenvoudig uit te oefenen zijn zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dat de werknemer al bekend is met deze gegevens of wanneer deze gegevens al eens verstrekt zijn, is geen reden om de stukken niet te verstrekken. Simpel gezegd betekent dit dat de werknemer zijn volledige personeelsdossier mag opvragen en dat de werkgever deze ook aan de werknemer moet verstrekken. Dit moet dan ook zo snel mogelijk en uiterlijk binnen de AVG termijn van een maand nadat het verzoek is ingediend.

Recht op vergetelheid

Een nieuw persoonlijk recht onder de AVG is het recht op vergetelheid. Dit recht houdt in dat de werknemer aan de werkgever kan vragen om bepaalde persoonsgegevens te wissen. Dit is echter geen absoluut recht. Als er bijvoorbeeld sprake is van een wettelijk bewaartermijn voor de werkgever kan dit recht niet uitgeoefend worden zolang het wettelijke bewaartermijn nog loopt.

Informatieplicht

Wat verder volgt uit het transparantiebeginsel is de informatieplicht. Als werkgever moet je je sollicitanten en werknemers pro-actief, dus uit jezelf informeren over de verwerkingen van persoonsgegevens die plaatsvinden binnen de organisatie. De meest gebruikelijke manier om dit te doen is door het plaatsen van een privacyverklaring op de website en een intern privacy beleid dat onderdeel is van de arbeidsdocumentatie. Er moet duidelijk vermeld worden welke gegevens er worden verzameld, voor welke doeleinden dit gedaan wordt en waar de werknemer eventueel een klacht of verzoek kan indienen rondom de verwerking.

Cameratoezicht, GPS en vingerscan

Hoe zit het met cameratoezicht op het werk, het gebruik van een vingerscan om toegang te krijgen of de tijd te klokken en het GPS-systeem in de auto van de werknemer? Mag je dit allemaal wel verzamelen zolang je de werknemer er maar van op de hoogte stelt? Of moet je toestemming vragen? En mag je die gegevens dan ook gebruiken om de werknemer te controleren en onregelmatigheden op te sporen?

AVG stappen

In al deze gevallen dient men eerst vast te stellen of er wel een wettelijke grondslag is voor de verwerking. Vervolgens moet men een belangenafweging maken tussen het belang van de werkgever om de gegevens te verwerken en te verzamelen en het belang van de werknemer om die gegevens geheim te houden. De vraag die de werkgever zich daarbij altijd moet stellen is of er een alternatief is om aan de gegevens te komen dat minder ingrijpend is ten aanzien van de privacy van de werknemer.

AVG te streng toegepast

Deze vragen zijn niet altijd gemakkelijk te beantwoorden. We zien in de praktijk daarom geregeld dat werkgevers vanwege gebrek aan kennis een veel te strenge afweging maken. Er worden dan keuzes gemaakt met de gedachte, ‘dat mag niet meer onder de AVG’, terwijl dat wel nog had gekund maar dan anders. Bijvoorbeeld het versturen van loonstrookjes over de mail. Dat mag nog steeds maar streep dan het BSN-nummer weg en andere gegevens die niet relevant zijn voor de ontvanger.

Zorg voor de juiste kennis over de praktijk toepassing van de AVG

Het is een zeer divers palet aan situaties waar men als werkgever steeds mee te maken krijgt. Het is daarom belangrijk om de juiste praktijkkennis in huis te halen omtrent wat de juiste algemene stappen en afwegingen zijn in de meest voorkomende werknemerssituatie.

Om de juiste praktische toepassing binnen uw organisatie mogelijk te maken organiseren wij op 22 november 2018 de Masterclass Privacy en Werknemers. In één dagdeel maken wij u wegwijs in dit onderwerk en krijgt u daar bovendien een handig naslagwerk bij. Schrijf u snel in want de belangstelling voor dit onderwerp is groot, kijk voor meer informatie op onze website Trainingen, mail info@thelegalprivacycompany.com of bel 020-3450152.