De Autoriteit Persoonsgegevens (AP) deelt een boete van EUR 725.000 uit aan een bedrijf waarvan werknemers hun vingerafdrukken moesten laten scannen voor aanwezigheids- en tijdsregistratie. De AP heeft na onderzoek geconcludeerd dat dit niet rechtmatig was omdat het bedrijf zich niet kan beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens.
Biometrische gegevens, zoals een vingerafdruk, zijn bijzondere persoonsgegevens. Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. Deze categorie wordt door de wet extra beschermd omdat er onherstelbare (privacy-)schade kan ontstaan als deze gegevens in verkeerde handen vallen. Voorbeelden zijn chantage of identiteitsfraude.
Monique Verdier, vicevoorzitter van de AP: "Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand."
Twee uitzonderingen
Het niet bij naam genoemde bedrijf kon zich niet beroepen op één van beide uitzonderingen:
- Als de betrokkenen om uitdrukkelijke toestemming wordt gevraagd. De privacywet stelt strenge eisen aan het vragen van uitdrukkelijke toestemming. De toestemming moet ondubbelzinnig, specifiek, geïnformeerd én vrij zijn. Werknemers moeten zich niet verplicht voelen uit een van de werkgever afhankelijke positie.
- Als het gebruik van biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Die noodzaak zal er vaak niet zijn, omdat er goede alternatieven zijn.
Het bedrijf heeft niet aangetoond dat de medewerkers uitdrukkelijke toestemming hebben verleend. Medewerkers hebben daarnaast het vastleggen van hun vingerafdruk als een verplichting ervaren.
