Voor het verwerken van biometrische gegevens, zoals vingerafdrukken of irisscans, gelden strenge wettelijke eisen. Dergelijke persoonsgegevens worden in de Europese Algemene Verordening Gegevensbescherming (AVG) namelijk aangeduid als ´bijzondere persoonsgegevens´, en daarvoor gelden specifieke regels.

In hoeverre mogen biometrische gegevens worden verwerkt in de arbeidsrelatie? Denk bijvoorbeeld aan de situatie waarin een werkgever gebruik wil maken van een kloksysteem waarbij werknemers in- en uitklokken met behulp van hun vingerafdruk.[1]

Ook voor beveiligingsdoeleinden, bijvoorbeeld om de toegang tot bepaalde ruimtes te regelen, kan hiervan gebruik gemaakt worden. Is dat toegestaan? En zo ja, welke voorwaarden gelden hiervoor en welke waarborgen moeten worden getroffen?

Volgens de Europese wetgever brengt het verwerken van vingerafdrukken, irisscans, etc., met het oog op unieke identificatie een groot risico voor de fundamentele rechten en vrijheden van de betrokken personen met zich. Biometrische persoonsgegevens worden in de AVG dan ook aangeduid als bijzondere persoonsgegevens voor zover deze gegevens worden gebruikt voor de identificatie van een persoon.[2]

Voor bijzondere persoonsgegevens gelden strenge regels. Zo is de hoofdregel ten aanzien van bijzondere persoonsgegevens dat het verwerken hiervan verboden is, tenzij aan ten minste één van de uitdrukkelijk in AVG genoemde uitzonderingen is voldaan. Een voorbeeld van zo´n uitzondering is de situatie waarin de betrokkene uitdrukkelijk toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens. Ook wanneer het verwerken noodzakelijk is voor de uitvoering van bepaalde rechten of plichten op het gebied van het arbeidsrecht of socialezekerheidsrecht, of in het kader van een zwaarwegend algemeen belang, is het verwerken van bijzondere persoonsgegevens niet verboden.[3] Er zijn in totaal 10 uitzonderingen. Daarnaast moet uiteraard voldaan zijn aan de andere voorwaarden die uit de AVG voortvloeien, bijvoorbeeld dat gegevens niet langer bewaard mogen worden dan noodzakelijk, etc.

Enkele van de hiervoor genoemde (10) uitzonderingen zijn nader uitgewerkt in nationale of Europese wetgeving. Zo is in de Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) ten aanzien van biometrische persoonsgegevens bepaald dat deze mogen worden verwerkt ´indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden´.[4]

Volgens de wetgever moet daarbij worden gedacht aan situaties waarin gebouwen of informatiesystemen zodanig beveiligd moeten zijn dat dit met biometrie moet plaatsvinden (in plaats van bijvoorbeeld met een code of een toegangspas).[5] De wetgever noemt daarbij het voorbeeld van een kerncentrale. Daarbij is het van belang dat de toegang beperkt is tot mensen die daartoe geautoriseerd zijn.

Het verwerken van biometrische gegevens dient uiteraard wel proportioneel te zijn. Zo kan een reparatiebedrijf er weliswaar belang bij hebben om de toegang tot zijn garage te beperken, maar dat belang zal doorgaans niet zodanig zijn dat de toegang moet worden geregeld met behulp van biometrie.[6]

Verder geeft de wetgever aan dat biometrie kan worden toegepast bij het beveiligen van informatiesystemen die zelf veel persoonsgegevens bevatten, en waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen. Daarbij wordt uitdrukkelijk gewezen op de verplichting van organisaties om technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen.[7] Zo´n maatregel kan dus – onder omstandigheden – zijn het invoeren van toegangscontrole aan de hand van vingerafdrukken of irisscans. Mogelijk dat dit voor datacentra een oplossing kan bieden, die doorgaans veel (bijzondere) persoonsgegevens verwerken.

Biometrische gegevens mogen dus worden verwerkt voor beveiligingsdoeleinden (mits in proportie). Maar mag een werkgever dat ook doen voor andere doeleinden? Bijvoorbeeld voor het bijhouden van een urenregistratie? Dat zal niet snel het geval zijn. Dit volgt uit een brief van 29 maart 2018 van staatssecretaris Tamara van Ark (Sociale Zaken en Werkgelegenheid) naar aanleiding van kamervragen over kloksystemen op basis van vingerafdrukken. De staatssecretaris schrijft hierin: ´In ieder geval verzet de regeling in de AVG en UAVG zich tegen het gebruiken van vingerafdrukken van een werknemer voor andere doelen dan authenticatie en beveiligingsdoeleinden.´ en ´Op grond van de UAVG is het verwerken van deze bijzondere categorie persoonsgegevens om een persoon uniek te identificeren slechts voor beveiligingsdoeleinden toegestaan.´

Strikt genomen is het verwerken van bijzondere persoonsgegevens, zoals vingerafdrukken, toegestaan als de betrokkene hiervoor uitdrukkelijk toestemming heeft gegeven (dit is 1 van de 10 reeds genoemde uitzonderingsgronden).[8] Maar die toestemming moet volgens de wetgever wel ´in vrijheid´ zijn gegeven en dat zal in een werkgever/werknemer-relatie vrijwel nooit het geval zijn. In de memorie van toelichting op de UAVG wordt hierover geschreven: ´Juist in de relatie tussen werknemer en werkgever zal de werknemer in de praktijk in redelijkheid echter nauwelijks toestemming kunnen weigeren, zeker wanneer de toegang tot bepaalde plaatsen noodzakelijk is voor de uitoefening van de werkzaamheden, in het bijzonder de toegang tot specifieke plaatsen, gebouwen, apparatuur en informatiesystemen.´.[9]

Een recente uitspraak van de rechtbank Amsterdam laat goed zien hoe het verwerken van biometrische gegevens in de arbeidsrelatie wordt beoordeeld.[10] De werkgever in deze zaak (een landelijke schoenenwinkel) had in al haar filialen een vingerscan-autorisatiesysteem ingevoerd voor haar kassasysteem. Winkelmedewerkers konden alleen nog maar met behulp van hun vingerafdruk toegang krijgen tot de kassa.

Volgens de werkgever was dit systeem noodzakelijk om verschillende redenen. Ten eerste om de informatie in het kassasysteem te beveiligen (financiële informatie en persoonsgegevens van medewerkers en klanten). De tot dat moment gebruikte persoonlijke inlogcodes zouden niet toereikend daar deze op afstand zouden kunnen worden ingezien, onder andere met behulp van key-logging programs. Ten tweede was het systeem noodzakelijk om fraudegevallen te voorkomen waarbij door middel van gefingeerde retourboekingen geld uit de kassa wordt genomen. Daarbij zou volgens de werkgever regelmatig gebruik worden gemaakt van inlogcodes van andere werknemers.

Nadat een werknemer bezwaar had gemaakt tegen dit systeem werd de zaak aan de rechter voorgelegd. De rechter oordeelde uiteindelijk dat de door de werkgever ingevoerde verwerking van vingerafdrukken niet was toegestaan. Volgens de rechter zou het vingerscan-autorisatiesysteem ten eerste geen beveiligingsdoeleinden dienen. Waarom dat (niet) zo zou zijn, volgt verder niet duidelijk uit de uitspraak. Maar los daarvan was het systeem volgens de rechter niet proportioneel. Gebleken was namelijk dat de werkgever geen andere vormen van beveiliging had toegepast, zoals camerabeveiliging, alarmpoortjes bij de ingang en kluisjes voor het personeel. Verder had de werkgever andere, minder ingrijpende oplossingen kunnen toepassen in plaats van de vingerscan, zoals een toegangspas, werknemerspas en/of cijfercodes, of een combinatie daarvan zodat een ´dubbele waarborg´ kon worden gerealiseerd.

Het bovenstaande laat zien dat werkgevers biometrische gegevens, zoals vingerafdrukken, mogen verwerken voor beveiligingsdoeleinden. Verwerking van biometrische gegevens voor andere doeleinden, bijvoorbeeld urenregistratie, lijkt niet te zijn toegestaan binnen de arbeidsrelatie.

Als werkgever zal u bovendien goed moeten kunnen toelichten waarom het gebruik maken van biometrie noodzakelijk is (welk belang wordt precies gediend?) en of dit wel proportioneel is in de gegeven omstandigheden. Wat dat laatste betreft, is het belangrijk goed in kaart te brengen welke andere en minder ingrijpende maatregelen voorhanden zijn om het beoogde (beveiligings)doel te bereiken.