Een schoenenwinkelketen mag haar personeel niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Het is de eerste keer dat een dergelijke zaak voor de rechter kwam. Wat betekent de uitspraak voor het gebruik van biometrische gegevens? Moeten Security Managers zich zorgen maken? Een Q&A met ICT-jurist Arnoud Engelfriet.
‘De zaak was aangespannen door een werknemer die het niet eens was met de verwerking van bijzondere persoonsgegevens (biometrie). Alle winkels werden voorzien van kassa’s met vingerafdruk-loginsystemen, die verplicht moesten worden gebruikt om te kunnen afrekenen. Volgens de onderneming was dit nodig vanwege de gevoelige gegevens die in de kassa zitten: financiële gegevens, maar ook persoonsgegevens van personeel.’
‘Vanuit de AVG zijn de regels rond biometrische systemen streng. Het mag niet, tenzij een land in de wet heeft staan dat het wel mag en waarom. In Nederland is bepaald (art. 29 UAVG) dat dit soort systemen zijn toegestaan als ze noodzakelijk zijn voor beveiliging of authenticatie. Het woord ‘noodzaak’ wil zeggen ‘we hebben geen reëel alternatief’. Dat vereist een goede uitwerking. Van zowel de problemen die je oplost met het biometrisch systeem (dit is waarom het moet), als van de risico’s en hun maatregelen voor de privacy van werknemers.’
‘De rechtbank oordeelde dat vingerafdruksystemen grote risico’s meebrengen, en dat de noodzaak voor deze eis onvoldoende was onderbouwd. Daarom was het afstaan van een vingerafdruk in dit geval in strijd met de AVG. En dat is precies hoe de AVG werkt: dingen mogen prima, als je er maar goed over nadenkt en onderbouwt waarom het op deze manier moet. Ontbreekt deze uitwerking, dan ben je direct af onder de AVG. Dan mag het simpelweg niet. Had de keten de alternatieven uitgewerkt dan was de kans groter geweest dat het wel mocht. Het gebruik van biometrie is namelijk zeker mogelijk als kan worden aangetoond dat er geen alternatieven zijn.’
‘Inderdaad. Wie denkt dat biometrie überhaupt niet meer mag in Nederland, heeft er weinig van begrepen. Het is prima, maar werk uit waarom het moet, waarom de privacy desondanks gewaarborgd is (en hoe dan) en waarom alternatieven niet goed genoeg zijn. Bij een datacenter dat de toegangsbeveiliging met een irisscan of vingerafdruk regelt bijvoorbeeld, is dit een zeer eenvoudige casus: het gaat om zeer waardevolle en kwetsbare systemen en gegevens (fysieke toegang tot hardware). In een datacenter komen veel wisselende mensen, er is niet altijd menselijk toezicht, en het gaat om beperkte werkzaamheden. Het gebruik van biometrie zie ik daarom niet als een probleem.’