Schoenenwinkel Manfield mag haar werknemers niet verplichten om gebruik te maken van een kassasysteem dat werkt op basis van een vingerafdruk. De Rechtbank Amsterdam heeft recentelijk geoordeeld dat de wijze waarop Manfield dit heeft gedaan, in strijd is met de Algemene Verordening Gegevensbescherming (“AVG”).
De feiten
De schoenenwinkel Manfield heeft onlangs in al haar filialen een vingerscan-autorisatiesysteem voor het kassasysteem ingevoerd. Door de vingerscan dient een medewerker zich te identificeren, waardoor de werknemer toegang krijgt tot het kassasysteem. Daarnaast registreert het systeem de werktijden van de werknemers. Reden voor de invoering van dit systeem is het bedrijfsbelang (fraude) en om het kassasysteem te beschermen tegen indringers.
Een verkoopmedewerkster van Manfield heeft zich verzet tegen het gebruik van haar vingerafdruk voor het kassasysteem. De medewerkster vindt dat de vingerscan een ongerechtvaardigde inbreuk maakt op haar privacy. Ook is de invoering van het systeem niet gecommuniceerd naar de medewerkster en/of andere collega’s. Volgens de medewerkster is het systeem ook niet waterdicht. Diverse collega’s hebben na het scannen van hun vinger een andere naam te zien gekregen. Tot slot is de medewerkster van mening dat bij een schoenenwinkel geen sprake is van een situatie die een zeer vergaande strenge beveiliging noodzaakt.
AVG
In de AVG is opgenomen dat het in beginsel verboden is om een biometrisch persoonsgegeven, zoals een vingerafdruk, te verwerken. Nederland heeft in de UAVG bijkomende voorwaarden hierover vastgesteld. Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Wel moet de verwerking proportioneel zijn. Met andere woorden: kan het doel, in deze kwestie toegangscontrole, niet op een andere manier worden bereikt dan door het gebruik van de vingerafdruk van werknemers? Een manier om hier inzicht in te krijgen is het uitvoeren van een DPIA (voluit: data protection impact assessment). Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Toestemming als verwerkingsgrondslag biedt hier overigens geen uitweg. Voorwaarde voor het gebruik van toestemming van de betrokkene is dat deze in vrijheid wordt gegeven. In een arbeidsrelatie is echter zelden sprake van vrijheid vanwege de gezagsverhouding tussen werkgever en werknemer, waardoor toestemming als grondslag in de arbeidsrelatie vrijwel nooit een kans van slagen heeft.
Oordeel rechtbank
De rechter is in de gegeven omstandigheden van oordeel dat het gebruik van deze scan in strijd is met de AVG, doordat onder andere de vingerscan voor het kassasysteem niet “noodzakelijk voor authenticatie- of beveiligingsdoeleinden” is. Bovendien vindt de rechter dat Manfield onvoldoende heeft onderzocht of er andere alternatieven voor het kassasysteem zijn, zoals het gebruik van een werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar. Tot slot kan Manfield meer doen aan de beveiliging in haar filialen door het plaatsen van camera’s, alarmpoortjes bij de ingang en kluisjes voor het personeel. Door het realiseren van deze beveiligingsvormen kan inbreuk op de privacy van haar medewerkers worden voorkomen. Met andere woorden, als Manfield een DPIA had uitgevoerd en de rechter meer inzicht had kunnen geven in de afwegingen die gemaakt zijn, had de uitspraak misschien anders kunnen luiden.
Mocht u advies willen over kwesties omtrent privacy of het uitvoeren van een DPIA neem dan gerust contact op met één van onze privacy specialisten. Wij zijn u graag van dienst.