Hoofdregel is dat verzameling van biometrische gegevens verboden is, tenzij sprake is van een uitzondering op grond van de AVG. Hiervan is bijvoorbeeld sprake als de verwerking van biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Kan je op de uitzondering als werkgever gemakkelijk een beroep doen? Nee, zo oordeelde de rechter in Amsterdam recent in de kwestie van schoenenwinkelketen Manfield. In die kwestie ging het om een medewerker die met een vingerscan de kassa moest openen. Daarnaast werden de werktijden via de vingerscan geregistreerd. Manfield had dit systeem ingevoerd onder andere vanwege eerdere fraude door het personeel. Manfield zag in de vingerscan de oplossing, want deze gegevens konden niet worden doorgegeven aan een ander personeelslid, in tegenstelling tot een code of een pasje. De rechter oordeelde dat de uitzondering voor Manfield niet op ging, omdat Manfield alternatieven had zoals:
- Een toegangspas;
- Werknemerspas en/of;
- Cijfercodes;
- Of een combinatie van beiden.
Deze waren niet onderzocht en bovendien was er in de winkel geen enkele andere vorm van beveiliging aanwezig (zoals bijvoorbeeld camera’s).
Wat nu als alle werknemers met het gebruik van de vingerscan hadden ingestemd? Zelfs als alle werknemers vrijwillig instemmen met het gebruik van de vingerscan, geldt dat ingebruikname van de scan in beginsel in strijd is met de AVG. Immers, het simpelweg toestemming vragen aan werknemers voor het gebruik van biometrische gegevens wordt niet als oplossing gezien, omdat toestemming in vrijheid moet worden gegeven. Gelet op de afhankelijkheidsrelatie met de werkgever wordt de toestemming niet geacht in vrijheid te zijn gegeven.
Gebruik jij biometrische gegevens (vingerscans, gezichts-irisscans) van werknemers? Zorg dan dat je zorgvuldig handelt en deze alleen gebruikt nadat je de risico’s hebt onderzocht via een Data Protection Impact Assesment (DPIA). Zonder zo’n DPIA mag een werkgever geen biometrische gegevens gebruiken. De Autoriteit Persoonsgegevens controleert ondernemingen en deelt boetes uit.
Wij maken regelmatig mee dat klanten zijn benaderd door verkopers van kassasystemen of urenregistratiesystemen, die aangeven dat hun systeem conform AVG is. Dat is veelal niet juist. Check daarom altijd voordat je een overeenkomst sluit of gebruik van biometrische inderdaad geoorloofd is. Voer voor het gebruik altijd een DPIA uit.
Heb je vragen over het gebruik van biometrische gegevens, neem dan contact op met een van de juristen van JAN© (juristen@jan.nl of 088 2202200).
