Erhard Koekoek
Erhard Koekoek
De vakantie is geboekt. Nu nog even snel uw paspoort regelen. U weet inmiddels dat het aanvragen van een paspoort gepaard gaat met het laten maken van uw vingerafdruk. De eerste keer ging het wat onwennig, maar de tweede keer legde u klakkeloos uw vinger op de elektronische vingerafdruklezer. Het is immers voor een goed beveiligd paspoort!
Vingerafdrukken worden in toenemende mate gebruikt. Ook in de relatie werkgever–werknemer. Inklokken op het werk ging voorheen met de ouderwetse prikklok. Tegenwoordig komt daar steeds vaker een vingerscan of pasje voor in de plaats. Werktijden worden daarbij automatisch geregistreerd en overuren zijn bijvoorbeeld snel inzichtelijk. Allemaal heel handig, maar mag dat ook? Recent kwam in de Tweede Kamer de vraag aan de orde of werkgevers hun werknemers mogen verplichten vingerafdrukken af te staan.
Hoe zit dat nu precies? In de nieuwe privacyverordening (AVG) is een vingerscan aangemerkt als biometrisch gegeven. Het werken met dergelijke bijzondere persoonsgegevens is in principe verboden. Een werknemer mag dus niet worden gedwongen mee te werken aan een vingerscan, gezichtsherkenning of irisscan. Maar wat nu als de werknemer netjes om toestemming is gevraagd en deze is verkregen? Dan mag het nog steeds niet. Tussen werknemer en werkgever is namelijk sprake van een gezagsverhouding. In de privacyregelgeving is daarom vastgelegd dat een werknemer – vanwege die gezagsverhouding – niet in vrijheid toestemming kan geven. Kortom, toestemming van werknemer is dus geen geldige grondslag om te werken met een vingerscan. Het heeft dus ook geen zin om werknemers hiervoor allerlei toestemmingsverklaringen te laten tekenen.
Zijn vingerscans dan helemaal passé? Het korte antwoord is: nee! Organisaties/werkgevers kunnen er namelijk een gerechtvaardigd belang bij hebben dat werknemers of klanten zich met behulp van biometrie identificeren. Een vingerscan kan noodzakelijk zijn voor authenticatie of beveiligingsdoeleinden. Denk bijvoorbeeld aan de toegang tot gebouwen of informatiesystemen. Bepaalde informatiesystemen bevatten juist veel persoonsgegevens die beschermd moeten worden. Er mag in die gevallen dus wel met een vingerscan worden gewerkt, mits de werkgever de noodzaak hiervan schriftelijk heeft vastgelegd.
Hoe zit het dan met de gevraagde vingerscan voor het inklokken? De Staatssecretaris van SZW heeft recent duidelijk gemaakt dat een vingerscan voor urenregistratie en kloksystemen niets te maken heeft met authenticatie vanwege beveiligingsdoeleinden. Gebruik van een vingerscan om een werknemer te identificeren mag volgens de Staatssecretaris dus slechts voor beveiligingsdoeleinden. Daarom zou er bij kloksystemen niet gewerkt moeten worden met een vingerscan, maar dient gekozen te worden voor een laagdrempelig alternatief: het scannen van een pas van de werknemer.
De Staatssecretaris legt hier echter een koppeling tussen authenticatie en beveiligingsdoeleinden. Het wetsartikel zoals nu opgenomen in de Uitvoeringswet van de AVG doet dat echter niet. Daarin staat dat het werken met biometrische gegevens ook kan als dit noodzakelijk is voor authenticatie alleen! Ik ben benieuwd of de Eerste Kamer er net zo over zal denken. Zo ja, dan is de vingerscan voor het inklokken passé. Zo nee, dan gaat de vingerscan voor het inklokken wat langer mee. Als het goed is zullen we het antwoord nog voor 25 mei aanstaande weten.