Werkgever mag geen vingerafdruk van werknemer gebruiken om toegang tot kassasysteem te verlenen

Werkgever mag geen vingerafdruk van werknemer gebruiken om toegang tot kassasysteem te verlenen
Datum: 29-09-2019
Uitgavejaar en uitgavenummer: 2019 / 351
Vindplaats: Kantonrechter Amsterdam 12 augustus 2019, ECLI:NL:RBAMS:2019:6005
Uitspraak

Een werkgever handelde in strijd met de wettelijke regels omtrent de privacybescherming van zijn werknemers door gebruik te maken van de vingerafdruk van zijn werknemers, omdat de noodzaak voor het gebruik van die gegevens niet was aangetoond en het belang van het gebruik van die vingerafdruk niet de inbreuk op de privacy van de werknemer rechtvaardigde.

Een winkelketen die zich bezig houdt met de verkoop van schoenen had een nieuw kassasysteem ingevoerd, waarbij de werknemers zich dienden te identificeren door het invoeren van een vingerafdruk op een scanapparaat. Eén werkneemster beklaagde zich vervolgens over de inbreuk op haar privacy die daarmee wordt gemaakt. Omdat de winkelketen en de werkneemster het niet eens kunnen worden over de vraag of die inbreuk op de privacy in overeenstemming is met de wet, besluiten zij die vraag samen op basis van vrijwilligheid voor te leggen aan de kantonrechter te Amsterdam. Zij zien daarbij op voorhand af van het instellen van hoger beroep.
De kantonrechter overweegt allereerst dat de toepasselijke wet in dit geval de Algemene verordening gegevensbescherming van de Europese Unie is (AVG). Die verordening heeft rechtstreekse werking in alle lidstaten van de Europese Unie. Alleen voor zover dat door de AVG is toegestaan, kunnen lidstaten in nationale wetgeving daarvan afwijken, zoals in Nederland is gebeurd in de Uitvoeringswet AVG.
De scan van een vingerafdruk is volgens de kantonrechter een persoonsgegeven in de zin van de AVG omdat daarmee een persoon kan worden geïdentificeerd. De AVG bevat een verbod voor het verwerken van zogenaamde “biometrische gegevens”, zoals gezichtsafbeeldingen en vingerafdrukgegevens. Maar de AVG kent vervolgens een aantal uitzonderingen op dit verbod, waaronder het geval waarin toestemming is verleend voor het verwerken van biometrische gegevens. Die toestemming had de werkneemster in dit geval echter nu juist niet verleend. De werkgever had er ook niet om gevraagd en had eenvoudigweg besloten het nieuwe kassasysteem met de vingerscan in te voeren.
De AVG laat ook toe dat de lidstaten van de Europese Unie in nationale wetgeving een uitzondering op het verbod tot het verwerken van biometrische gegevens toestaan in het geval van de uitoefening van specifieke rechten van de werkgever, maar dan moet wel zijn voorzien in passende waarborgen voor de belangen van de werknemer. De Nederlandse Uitvoeringswet AVG voorziet vervolgens in een dergelijke uitzondering voor de unieke identificatie van een persoon, als dat noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. De vraag is nu of die uitzondering in dit geval van toepassing is.
Uit de wetsgeschiedenis blijkt dat de wetgever heeft gedacht aan een uitzondering voor de toegang tot bijvoorbeeld een kerncentrale, maar niet tot bijvoorbeeld de garage van een reparatiebedrijf. Maar de wetgever had ook erkend dat beveiliging van informatiesystemen die veel persoonsgegevens bevatten tegen onrechtmatige toegang door werknemers, een voorbeeld was waarin het gebruik van biometrische gegevens zou zijn toegestaan. De uitzondering op het verbod van het gebruik van biometrische gegevens moet volgens de wetgever noodzakelijk zijn voor de authenticatie en het feit dat biometrische gegevens worden gebruikt moet proportioneel zijn in verhouding tot het doel van het gebruik van die gegevens.
De winkelketen had aangevoerd dat de scan van de vingerafdruk noodzakelijk was ter voorkoming van fraude door werknemers en dat het gebruik van een persoonlijke code om toegang tot de kassa te krijgen in de praktijk onvoldoende was gebleken omdat de codes ook door collega’s bleken te worden gebruikt. Ook kon de code worden afgekeken bij het intoetsen daarvan. Een pas zou ook niet voldoende zekerheid bieden, omdat ook de pas door een collega kan worden gebruikt. Maar de kantonrechter is niet overtuigd door het aldus door de werkgever gestelde belang bij het gebruik van de biometrische gegevens. De winkelketen had volgens de kantonrechter niet aangegeven waarom niet een combinatie van de pas en een code zou kunnen worden gebruikt. En het belang van het voorkomen van fraude wordt door de kantonrechter onvoldoende geacht voor een uitzondering op het verbod tot gebruik van biometrische gegevens, omdat de winkelketen verder nauwelijks maatregelen heeft getroffen ter voorkoming van derving van de omzet, zoals cameratoezicht of alarmpoortjes bij de uitgang. De kantonrechter oordeelt daarom dat het gebruik van de scan van de vingerafdruk in dit geval in strijd is met de AVG en de Uitvoeringswet AVG.


Commentaar

De beschikking van de kantonrechter sluit niet uit dat werkgevers biometrische gegevens van werknemers verwerken, maar de werkgever zal de noodzaak daartoe en de proportionaliteit van het gebruik daarvan dan wel beter moeten onderbouwen dan de werkgever in het onderhavige geval had gedaan.
De werkgever kan dat probleem overigens (waarschijnlijk) ook niet oplossen door van alle werknemers toestemming te vragen voor het gebruik van de scan van de vingerafdruk. Voor toestemming is vereist dat deze volledig vrij moet worden gegeven en de Autoriteit Persoonsgegevens stelt zich op het standpunt dat een werknemer, die zich in een gezagsverhouding bevindt tot zijn werkgever, niet in staat is om een dergelijke “vrije” toestemming te geven. Bovendien kan een verleende toestemming altijd weer worden ingetrokken, zodat toestemming ook een wankele basis voor het gebruik van de biometrische gegevens zou bieden.