Bedrijf krijgt boete van 725.000 euro voor verwerken vingerafdrukken

Bedrijf krijgt boete van 725.000 euro voor verwerken vingerafdrukken

Laatst bijgewerkt: 30 april 2020
Leestijd: 2 minuten, 55 seconden

De Autoriteit Persoonsgegevens (AP) heeft een boete van 725.000 euro opgelegd. De privacywaakhond meent dat een bedrijf, wiens naam van de rechter niet in de openbaarheid mag verschijnen, de richtlijnen van de Algemene Verordening Gegevensbescherming (AVG) overtreedt door van haar medewerkers biometrische gegevens te vragen en verwerken.

Dat schrijft de AP in een persverklaring.

Vingerafdruk

De zaak loopt al sinds juli 2018. Toen kreeg de belangenorganisatie voor het eerst een melding dat een bedrijf haar werknemers verplicht om hun vingerafdruk te laten scannen. Deze werd gebruikt voor het in- en uitklokken. Met deze vorm van tijdsregistratie trachtte de werkgever te controleren of zijn medewerkers hun uren maken. Nadat de AP deze melding ontving, is ze een onderzoek gestart, wat ruim een jaar in beslag nam.

De conclusie van de belangenorganisatie was dat het bedrijf de richtlijnen van de AVG overtrad. Daarin staat onder meer dat een organisatie geen ‘bijzondere persoonsgegevens’ zoals een vingerafdruk mag gebruiken of eisen, tenzij daarvoor in de wet een uitzondering bestaat. Volgens de AP zouden in dit geval twee uitzonderingen op het verbod mogelijk kunnen zijn: als de betrokkenen om uitdrukkelijke toestemming wordt gevraagd, of als het gebruik van biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

De AP concludeert dat dit bedrijf zich op geen van beide uitzonderingen kan beroepen voor het afnemen, opslaan en gebruiken van de vingerafdrukken van medewerkers. Werkgevers moeten kunnen onderbouwen dat gebouwen en informatiesystemen alleen door biometrische gegevens goed te beveiligen zijn, wil het gebruik van deze bijzondere persoonsgegevens. In praktijk kunnen ze deze noodzaak vaak moeilijk aantonen, omdat er goede alternatieven zijn.

Bedrijfsspionage

Toch vroeg het bedrijf tussen januari 2017 en april 2019 bij 337 (voormalige) werknemers om hun vingerafdruk. De werkgever houdt vol dat het opslaan van vingerafdrukken verschillende praktische voordelen had. Zo had hij geen kosten voor de aanschaf, verlies of beschadiging van druppels. Daarnaast wilde hij het verouderde systeem met druppel-scanners vervangen om zijn computernetwerk in de toekomst beter bestand te maken tegen hackpogingen en bedrijfsspionage.

Daar is volgens de privacytoezichthouder geen sprake van in dit geval. In het boetebesluit schrijft de AP het volgende:

“De AP is van oordeel dat het verwerken van biometrische gegevens in het kader van (het tegengaan van misbruik bij) tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur bij [VERTROUWELIJK] niet noodzakelijk en proportioneel is. (…) Weliswaar heeft [VERTROUWELIJK] een belang om te werken met vingerscanapparatuur voor (het tegengaan van misbruik bij) tijdsregistratie, maar gelet op dit doel en de bedrijfsactiviteiten van [VERTROUWELIJK] rechtvaardigt dat belang geen uitzondering op het verbod van verwerking van biometrische gegevens. Net als bij een garage, is ook bij [VERTROUWELIJK] de noodzaak van de beveiliging niet zodanig dat werknemers met biometrie toegang moeten kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Daarnaast kunnen andere manieren, die minder inbreuk op de privacy van werknemers maken, dit ook bewerkstelligen.”

Daarom heeft de AP een boete opgelegd van 725.000 euro. Dat heeft met de aard, ernst en duur van de inbreuk te maken. Het bedrijf heeft aangegeven het niet eens te zijn met het besluit van de belangenorganisatie en tekent daarom bezwaar aan. Met andere woorden, wordt vervolgd.

Extra bescherming

Volgens Monique Verdier, vicevoorzitter van de AP, is het goed dat bijzondere persoonsgegevens zoals vingerafdrukken extra beschermd worden door de wet. “Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand”, aldus Verdier.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen