“Samen met de werkgever hebben wij onderzocht of een systeem voor het verwerken van biometrische gegevens op het werk toegestaan was op grond van de privacywetgeving”
Een werkgever vroeg ons te adviseren bij het volgende. De werkgever wilde in een fabriek een systeem invoeren waarmee op basis van biometrische gegevens de aanwezigheid van het personeel kon worden geregistreerd.
Biometrische gegevens zijn bijvoorbeeld een vingerafdruk, een irisscan, of een gezichtsscan. Het systeem zou daarmee de aankomst en het vertrek van iedere werknemer gaan registreren.
De werkgever vroeg ons of hij dit systeem mocht invoeren met het oog op de geldende privacywetgeving.
Benieuwd hoe wij te werk gaan? Lees hierna dan de complete praktijkcase.
Onze aanpak
Ten eerste hebben wij de werkgever gevraagd naar de redenen om juist dit systeem te willen invoeren. Op grond van de privacywetgeving is het in beginsel verboden om biometrische gegevens te verwerken. Maar er zijn uitzonderingssituaties. Wij wilden dan ook in kaart brengen of één van deze uitzonderingen mogelijk van toepassing kon zijn.
Het bleek dat de werkgever met het systeem alleen de kloktijden (werktijden) van de werknemers wilde registreren. In de fabriek bevonden zich geen diefstalgevoelige apparatuur en producten. Het bleek dat de werkgever hiervoor ook andere alternatieven had geprobeerd voor registratie van de kloktijden (zoals een toegangspas), maar deze systemen waren niet helemaal waterdicht gebleken.
De werkgever wilde de werknemers overigens de keuze geven om hun (biometrische) gegevens al dan niet te laten verwerken. Indien medewerkers dat wilden, dan konden zij ook gebruik blijven maken van de in het verleden al gebruikte toegangspassen.
Uiteindelijk hebben wij de werkgever geadviseerd af te zien van het invoeren van het beoogde systeem. Naar onze mening kon de inzet van dit systeem niet gerechtvaardigd worden en zou het (dus) in strijd gaan zijn met de privacywetgeving (de Algemene Verordening Gegevensbescherming of AVG). Het gegeven dat de werknemer voor een ‘opt-out’ konden kiezen, zou dit niet anders maken. Uitgangspunt is namelijk dat een werknemer – vanwege de gezagsrelatie met de werkgever – in beginsel nooit ‘in vrijheid’ zijn toestemming kan geven voor het verwerken van persoonsgegevens.
Daarnaast vonden wij ook het belang van de werkgever onvoldoende opwegen tegen het privacybelang van het personeel, zeker rekening houdend met het feit dat er een aanzienlijk minder ingrijpende (maar wellicht iets minder effectieve) oplossing voorhanden was in de vorm van de toegangspas.
De oplossing die wij voor onze cliënt hebben bereikt
Uiteindelijk besloot de werkgever ons advies op te volgen en het beoogde systeem niet uit te voeren. Hij begreep ons advies en de onderbouwing daarvan. Met onze advisering hebben wij onze cliënt kunnen behoeden voor het (hoogst waarschijnlijk) begaan van een overtreding van de AVG. Kort daarvoor was gebleken dat de Autoriteit Persoonsgegevens, de toezichthouder op het gebied van de AVG, een fikse boete had opgelegd aan een andere werkgever die wél had besloten een dergelijk systeem in te voeren.
Enkele details in deze praktijkcase zijn aangepast teneinde de vertrouwelijkheid van de kwestie en de privacy van de betrokken partijen te waarborgen.