Verplichte vingerafdruk strijdig met AVG
Volgens de kantonrechter in Amsterdam (ECLI:NL:RBAMS:2019:6005) mag een werkgever de werknemer niet verplichten een autorisatiesysteem voor de kassa te gebruiken dat werkt op basis van een vingerafdrukscan.
De casus
De werkgever heeft een nieuw systeem geïntroduceerd waarbij de werknemers zich alleen konden identificeren via hun vingerafdruk. Voorheen was er een systeem waarbij werd ingelogd via een persoonlijke cijfercode. De werknemer heeft geweigerd de vingerafdruk af te staan om in te kunnen loggen waarbij de werknemer zich beroept op de privacy rechten uit de AVG.
Werkgever en werknemer hebben zich vervolgens gezamenlijk tot de kantonrechter in Amsterdam gewend. Zij wensen duidelijkheid over de vraag of de werknemer op goede gronden weigert haar vingerafdruk voor het nieuwe systeem bij de werkgever af te staan.
Volgens de werkgever is het nieuwe kassasysteem met vingerafdruk noodzakelijk om gevoelige informatie zoals financiële informatie maar ook persoonsgegevens van personeel en klanten te beschermen. Verder heeft de werkgever naar voren gebracht dat er ook een bedrijfsbelang is bij dit nieuwe systeem om fraude te voorkomen.
De werknemer heeft er vervolgens op gewezen dat er tal van andere manieren zijn om de betreffende informatie te beschermen die minder ingrijpend zijn dan het afstaan van een vingerafdruk. Te denken valt aan een toegangspas, een werknemerskaart, cijfercodes etc. De werkgever heeft deze alternatieven niet onderzocht. Ook zijn er geen andere beveiligingsmaatregelen getroffen door de werkgever, zoals camerabeveiliging, beveiligingspoortjes of kluisjes voor personeel.
De kantonrechter licht in de uitspraak toe dat een vingerafdruk een biometrisch persoonsgegeven is. Met een vingerafdruk is een persoon identificeerbaar en te onderscheiden van andere personen. Een vingerafdruk is bovendien een bijzonder persoonsgegeven. Volgens de kantonrechter geldt als hoofdregel dat verwerking van biometrische gegevens, behoudens toestemming, is verboden tenzij er is voldaan aan de uitzonderingsregels van de Uitvoeringswet AVG (UAVG). In artikel 29 UAVG is opgenomen dat het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, wanneer de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Volgens de kantonrechter kan het beroep van de werkgever op het bedrijfsbelang ter voorkoming van fraude niet slagen. Een werkgever mag uiteraard optreden tegen fraude maar daarbij moet wel worden gehandeld binnen de grenzen van de AVG. De kantonrechter oordeelt dat dit type bedrijfsbelang niet is aan te merken als “noodzakelijk voor authenticatie- of beveiligingsdoeleinden” in de zin van de AVG. De werkgever is er volgens de kantonrechter ook niet in geslaagd om aan te tonen dat zij de alternatieven voor het nieuwe systeem voldoende heeft onderzocht. Ook is niet gebleken waarom de werkgever na zorgvuldige afweging van de voors en de tegens van het nieuwe systeem, juist voor een ingrijpend systeem met vingerafdrukscan heeft gekozen.
In dit specifieke geval oordeelt de kantonrechter dat de werkgever de werknemer niet kan verplichten tot het gebruik van het vingerafdruksysteem omdat het in deze zaak in strijd is met de AVG/UAVG. Wilt u een dergelijk systeem wel kunnen gebruiken of heeft u andere vragen over de AVG, neem dan contact met ons op.
