De Autoriteit persoonsgegevens (Ap) heeft op 1 mei 2020 een boetebesluit gepubliceerd waarbij zij een werkgever een boete heeft opgelegd van 725.000 euro. Volgens de Ap overtreedt de werkgever de AVG door werknemers gebruik te laten maken van een in-uitklok-systeem met behulp van hun vingerafdruk.
Een vinger afdruk is een biomedisch gegeven. Biomedische gegevens zijn bijzondere persoonsgegevens en mogen slechts onder hele strenge voorwaarden worden verwerkt. In dit geval kon de werkgever niet aantonen dat hij uitdrukkelijke toestemming had ontvangen van alle werknemers. In het bijzonder gaat de Ap ervan uit dat in een arbeidsverhouding geen of weinig ruimte is voor uitdrukkelijke toestemming omdat dit een gezagsverhouding is tussen de werkgever en de werknemer.
Als een werkgever de ruimte wil benutten om dergelijke biomedische gegevens te gebruiken, zal de werkgever zijn uiterste best moeten doen om (i) alles schriftelijk zorgvuldig vast te leggen en (ii) te bewijzen dat zijn werkgevers niet verplicht zijn om mee te doen en dus toestemming hebben gegeven.
In de onderhavige casus was feitelijk niets vastgelegd over de toestemming, er was alleen iets opgenomen in het handboek over de toekomstige mogelijkheid om te werken met vingerscannen.
Het is in beginsel mogelijk om als organisatie te werken met een vingerafdruk voor het in- en uitklokken. Randvoorwaarden zijn dan wel dat de werkgever moet kunnen aantonen dat er geen sprake is van ‘dwang’ maar ‘toestemming’.
Een veel gebruikte mogelijkheid binnen de arbeidsrelatie is om een duidelijke keuzemogelijkheid te bieden. Aan de keuze voor het een of het ander mogen geen nadelige gevolgen zitten. Met andere woorden: de werknemer kan kiezen voor een pasje of voor een vingerafdruk. Het alternatief moet ook daadwerkelijk functioneren en de werknemer niet achterstellen. Het hebben van een hypothetisch alternatief, is vaak onvoldoende.
Daarnaast moet de toestemming schriftelijk gedocumenteerd zijn. De werknemer moet immers ook alle informatie hebben ontvangen die relevant is om zijn toestemming te kunnen geven. Verder zal het bedrijf ook na moeten denken over een privacy impact analyse voor de verwerken, waarbij alle risico’s in kaart worden gebracht.
De uitspraak is relevant omdat voor het eerst de Ap op dit onderwerp handhavend optreedt en direct een zware boete oplegt. Of de boete stand zal houden, weten we nog niet.
In de tussentijd zal het boetebesluit werknemers aansporen om hun beleid verder op orde te krijgen. Niet alleen waar het gaat om in- en uitklokken, maar ook waar het gaat om gebruik van pasfoto’s en gezichtsherkenning binnen de software-systemen van de werkgever. Veelal worden de mogelijkheden niet uitgesloten door de werkgever en ‘ter vrije keuze’ door de werknemer gebruikt. Maar in de praktijk wordt daar ook feitelijk niets over vastgelegd of gecommuniceerd. Werk aan de winkel…?!
Of de boete nu proportioneel is of niet, het heeft in ieder geval het effect dat in Nederland iedereen nogmaals kritische naar zijn eigen procedures zal kijken.
Heeft u vragen over privacy? Neem contact op met La Gro Geelkerken Advocaten, mr. Benjamin Niemeijer via telefoonnummer 0172-503250 of per e-mail via [email protected].
Advocaat & Partner