Winkelier mag biometrische identificatie niet verplichten

Schoenenwinkel Manfield mag een werkneemster niet verplichten een autorisatiesysteem te gebruiken voor het kassasysteem dat werkt op basis van een vingerscan. Dat is volgens de rechtbank van Amsterdam namelijk in strijd met de Algemene Verordening Gegevensbescherming (AVG).

Manfield en de werkneemster dienden een gezamenlijk verzoek in bij de rechtbank. Zo willen zij duidelijkheid krijgen over de vraag of een medewerker in het algemeen op goede gronden mag weigeren de vingerafdruk voor een nieuw ingevoerd systeem van vingerscanautorisatie af te staan. De schoenenwinkelier voerde onlangs, na een testfase, in alle filialen een vingerscan-autorisatiesysteem in voor het kassasysteem. In dit autorisatiesysteem dient een medewerker zich te identificeren en op het kassasysteem in te loggen door zijn of haar vinger op een scanoppervlak van een apparaat te leggen. Dat leest vervolgens de vingerafdruk uit en zet deze om in een code. Als deze code overeenkomst met een reeds bekende code in het kassasysteem, wordt toegang verschaft. Werknemers van Manfield kunnen alleen nog toegang verkrijgen tot het kassasysteem als zij hun vingerafdruk scannen. Daarnaast registreert het systeem de werktijden.

Inbreuk
De vingerscanautorisatie is ingevoerd ter vervanging van een autorisatiesysteem waarin de werknemers een persoonsgebonden cijfercode moesten invoeren om toegang te krijgen tot het kassasysteem. De vingerscanautorisatiesystemen zijn in de filialen van Manfield onder begeleiding van een expert geïnstalleerd. De expert verstrekte de medewerkers uitleg over de werking van het systeem en de reden waarom het is geïnstalleerd. Een van de medewerksters was het niet eens met de gang van zaken. Zij stelt dat deze autorisatiemethode inbreuk maakt op haar privacyrechten omdat het om een biometrisch persoonsgegeven gaat en het op grond van artikel 9 lid 1 van de Algemene Verordening Gegevensbescherming (AVG) in beginsel verboden is om bijzondere persoonsgegevens, waaronder biometrische gegevens, te verwerken. De uitzondering van artikel 29 van de Uitvoeringswet AVG (UAVG), te weten dat het verzamelen van biometrische gegevens noodzakelijk kan zijn voor authenticatie- of beveiligingsdoeleinden, doet zich volgens haar hier niet voor.

Fraude
Volgens Manfield is het gebruik van het vingerscanautorisatiesysteem noodzakelijk. Het kassasysteem bevat namelijk gevoelige informatie die goed beveiligd moet worden. Het gaat hier niet alleen om (gevoelige) financiële informatie, maar ook om persoonsgegevens van de werknemers en klanten. Gelet op artikel 24 van de AVG heeft Manfield, als verwerkingsverantwoordelijke, de verplichting om passende technische en organisatorische maatregelen te nemen. Omdat de techniek niet stil staat, bestaat er voor Manfield ook een verplichting om haar beveiligingstechniek steeds te vernieuwen. Het tot nu toe gebruikte systeem met codes is in het huidige tijdsbeeld niet langer als passende maatregel te beschouwen voor een kassasysteem dat met het internet verbonden is en op een openbaar toegankelijke plaats staat. Een derde zou op afstand, via internet, met een ‘key-logging program’ de persoonsgebonden code van de medewerker kunnen inzien. Ook een bezoeker van de winkel zou de code kunnen zien als de medewerker deze intoetst. Daarnaast is Manfield recent geconfronteerd met een aantal gevallen van fraude waarbij werknemers waren betrokken. Daarbij werd in meerdere filialen contant geld uit de kassa’s gestolen middels gefingeerde retourboekingen. Dat kon gebeuren omdat het onder sommige werknemers gebruikelijk was dat zij onder de inlogcode van een collega inlogden, zodat fraude niet naar henzelf te herleiden was. Niet alleen leidde dit tot financiële schade. Er ontstond ook sociale onrust doordat werknemers ten onrechte werden beschuldigd.

Alternatieven
Manfield heeft een andere autorisatiemethode overwogen die in mindere mate inbreuk maakt op de privacy van haar werknemers, zoals het inloggen via een fysieke pas. Hiermee wordt het risico van ongeautoriseerde toegang op afstand weliswaar beperkt, maar het risico van ongeautoriseerde toegang in de winkellocatie zelf en van het (ongevraagd) lenen van de pas door collega’s onderling blijft daarmee bestaan. Daarom is naar de mening van Manfield de noodzaak van invoering van een systeem met vingerscanautorisatie genoegzaam gebleken. Hetzelfde niveau van bescherming van haar belangen, de belangen van haar werknemers en van haar klanten zou niet op een andere, minder ingrijpende manier bereikt kunnen worden. Daaraan voegt Manfield toe dat het gebruik van een vingerscanautorisatie in de loop der jaren steeds gebruikelijker is geworden voor het beveiligen van gegevens. De winkelier verwees naar de huidige generatie smartphones die vrijwel altijd de mogelijkheid bieden om met een vingerscan toegang te krijgen. Vingerscans zijn volgens de winkelier onderdeel geworden van het huidige straatbeeld en worden al lang niet meer alleen gebruikt voor het beveiligen van objecten met een hoog beveiligingsrisico, zoals een kerncentrale, het voorbeeld dat in de Memorie van Toelichting bij artikel 29 UAVG wordt genoemd.

Voldongen feit
De bezwaar makende werkneemster vindt dat met een vingerscanautorisatiesysteem een ongerechtvaardigde inbreuk op haar privacy wordt gemaakt. Bovendien steekt het dat over de invoering op geen enkele wijze met haar en/of andere werknemers is gecommuniceerd, zodat zij op enig moment voor een voldongen feit is gesteld. Naar haar mening is op grond van artikel 9 AVG de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon verboden. Op het verwerkingsverbod is slechts een uitzondering mogelijk indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden of om redenen van zwaarwegend algemeen belang. Een dergelijke noodzaak is volgens de medewerkster niet aanwezig. Zij vindt dat het beoogde doel ook op een andere manier kan worden bereikt. Als voorbeelden noemt zij het gebruik van een toegangspas, werknemerskaart of (cijfer)codes, al dan niet in combinatie met elkaar, zodat desnoods een dubbele waarborg wordt ingebouwd. Het zou nergens uit blijken dat Manfield zich ter zake deugdelijk heeft laten voorlichten en onderzoek heeft gedaan naar deugdelijke alternatieven.

Disproportioneel
Ook het vingerscansysteem is volgens de werkneemster niet veilig. Diverse collega’s zouden na het scannen van hun vinger een andere naam te zien gekregen hebben. Van een waterdicht systeem kan dus niet worden gesproken. Ook vindt zij niet dat een schoenenwinkel een zeer vergaande strenge beveiliging noodzaakt. Het is geen kerncentrale. Van privacygevoelige informatie zou slechts tot op zekere hoogte sprake zijn, nu enkel en alleen sprake is van klant- en werknemersgegevens, hetgeen bij iedere winkelier het geval is. Manfield is volgens haar geen uitzonderlijk geval waar een dergelijke maatregel geboden, laat staan noodzakelijk zou zijn. Eventuele specifieke incidenten maken dat niet anders. Nu Manfield het door haar beoogde doel ook op een andere manier kan bereiken, is er geen sprake van noodzaak en weegt het belang van Manfield niet zwaarder dan dat van haar werknemers, zodat deze verwerking niet alleen niet noodzakelijk, maar ook disproportioneel is. Daarmee is deze maatregel dus niet toegestaan. Bovendien zijn er in de winkel waar zij werkt geen andere beveiligingsmaatregelen getroffen. Er zijn geen camera’s, detectiepoortjes of kluisjes voor het personeel.

Hoge drempels
De werkneemster erkent dat biometrie steeds gebruikelijker wordt in de maatschappij, maar geeft aan dat er dan vrijwel altijd alternatieven worden geboden. Zo kan een smartphone met vingerscanner ook met een pincode worden ontgrendeld. Manfield biedt geen alternatief. De Memorie van Toelichting bij artikel 29 UAVG werpt hoge drempels op voor wat betreft eventuele toelaatbare uitzonderingen. En ook dan zou er een alternatief voor de vingerafdruk voorhanden moeten zijn. Tot slot voerde de werkneemster aan dat bij invoering van een dergelijk beveiligingssysteem eerst beoordeeld en afgewogen moet worden of de verwerking van de gegevens is toegestaan of niet en of de gegevens voldoende passend zijn beveiligd. Zij kon niet verifiëren of en in hoeverre daadwerkelijk afdoende veiligheidsmaatregelen zijn genomen om de privacy van de werknemers voldoende te waarborgen.

Regelgeving
De kantonrechter beoordeelde de kwestie op basis van de Europese regelgeving op het gebied van privacy en de daaruit voortvloeiende regelgeving op nationaal niveau. Ondernemingen als Manfield zijn sinds 25 mei 2018 gehouden aan de regels van de AVG voor de verwerking en bescherming van persoonsgegevens. De vraag was allereerst of een vingerscan/vingerafdruk een persoonsgegeven is in de zin van de AVG. De kantonrechter beantwoordde deze vraag bevestigend. Biometrische gegevens kunnen worden beschouwd als informatie betreffende een natuurlijke persoon, aangezien het gaat om gegevens die door hun aard informatie verstrekken over een bepaalde persoon. Door middel van een biometrisch gegeven als een vingerafdruk is de persoon identificeerbaar en kan hij/zij van een andere persoon worden onderscheiden. In artikel 4 AVG wordt dit bij de definitiebepalingen ook met zoveel woorden bevestigd. Meer in het bijzonder is bepaald dat het verboden is om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken. In artikel 9 lid 2 AVG zijn uitzonderingen opgenomen, waaronder de zich bij Manfield niet voordoende situatie dat de betrokkene toestemming geeft tot de betreffende verwerking. Ook acht de kantonrechter de verwerking in dit geval niet noodzakelijk voor authenticatie of beveiligingsdoeleinden. Als hoofdregel geldt dat verwerking van biometrische gegevens, behoudens gegeven toestemming, is verboden, tenzij wordt voldaan aan de uitzondering van artikel 29 UAVG.

Tijdregistratie
Als het vingerscansysteem alleen zou worden gebruikt voor identificatie van werknemers, zou het mogelijk zijn toegestaan. Het autorisatiesysteem wordt echter ook gebruikt voor tijdregistratie. Dat betekent dat er een koppeling in het systeem wordt gemaakt tussen het uitvoeren van de vingerscan en de betrokken persoon. Daarom is er naar het oordeel van de kantonrechter sprake van verwerking van persoonsgegevens in de zin van de AVG en dat is in dit geval niet toegestaan. De rechter verwerpt het beroep van Manfield op het bedrijfsbelang van fraudebestrijding. Het staat de winkelier vrij op te treden tegen fraude, maar wel op een wijze die in overeenstemming is met de AVG. Naar het oordeel van de kantonrechter is dat niet het geval nu dit type bedrijfsbelang niet is aan te merken als ‘noodzakelijk voor authenticatie- of beveiligingsdoeleinden’ in de zin van in artikel 9 lid 2 AVG. Ook ten aanzien van de proportionaliteit heeft de kantonrechter vraagtekens. Dit omdat er geen andere beveiligingsmaatregelen, zoals cameratoezicht, zijn getroffen. Ten aanzien van de verplichting om persoonsgegevens in het kassasysteem te beschermen vindt de rechter dat onvoldoende onderzoek heeft plaatsgevonden naar alternatieven, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar. Er is dus te snel gekozen voor het vingerscanautorisatiesysteem. Beide partijen zien af van hoger beroep tegen de beschikking van de kantonrechter.

Gedeeld

Geef een reactie