De UAVG en het gebruik van biometrische gegevens

8 januari 2020 | Blog

Het gebruik van biometrische gegevens is de laatste tijd diverse keren in het nieuws geweest. Voor werkgevers lijkt het een veilig en handig middel om werknemers te identificeren. Het is echter de vraag of veel van deze op de werkvloer gebruikte biometrische systemen in lijn zijn met de (ratio van de) uitzonderingsbepaling, ten aanzien van de verwerking van biometrische gegevens als bedoeld in de Uitvoeringswet Algemene Verordening Gegevensbescherming (“UAVG”).

Wilt u lezen hoe de Algemene Verordening Gegevensbescherming (‘’AVG’’) de term biometrische gegevens definieert en over de verplichting tot het uitvoeren van een Data Protection Impact Assessment? Lees hierover meer in dit blog.

UAVG: authenticatie en beveiligingsdoeleinden

Volgens artikel 29 UAVG is ‘het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden’.

In de MvT bij de UAVG wordt aangegeven dat biometrische systemen sterk in opkomst zijn voor bijvoorbeeld het reguleren van toegang tot bepaalde plaatsen, gebouwen en informatiesystemen. Hierbij wordt als voorbeeld genoemd de situatie dat klanten of werknemers zich identificeren met behulp van biometrie. In de relatie tussen werknemer en werkgever is het in de praktijk voor de werknemer echter vrijwel onmogelijk om toestemming te kunnen weigeren, te meer indien toegang tot bepaalde plaatsen noodzakelijk is voor de uitoefening van de werkzaamheden. De uitzonderingsbepaling ziet dus op de situatie waarin toestemming niet in vrijheid kan worden gegeven.

Bestaande ontwikkelingen in het gebruik van biometrie als identificatiemiddel zouden sterk gehinderd worden wanneer er geen nationale bepaling zou worden opgenomen die voorziet in een uitzondering op het verwerkingsverbod, zo volgt uit de MvT.

Voor een geslaagd beroep op artikel 29 UAVG is het van belang dat de noodzaak van de verwerking voldoende wordt onderbouwd. De werkgever dient een afweging te maken of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden om gebouwen en informatiesystemen te beveiligen. Verder dient de verwerking proportioneel te zijn.

Als voorbeeld noemt de MvT de situatie waar de toegang beperkt moet zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Hiertegenover staat de toegang tot een garage van een reparatiebedrijf. In dat laatste geval zal de noodzaak van de beveiliging met biometrische gegevens niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen.

Aanpassing UAVG

Uit een recentelijk naar buiten gekomen brief van Minister Dekker aan de Tweede Kamer is gebleken dat hij voornemens is om de UAVG op een aantal punten aan te passen, waaronder met betrekking tot het gebruik van biometrische gegevens.

Uit de brief blijkt voorts dat de Europese Commissie kritisch is over het feit dat in artikel 29 UAVG geen verwijzing is opgenomen naar het zwaarwegende belang als bedoeld in artikel 9 lid 2 sub g AVG dat is vereist voor het maken van een uitzondering. Bovenstaande voorbeelden en de uitleg in de MvT vond de Europese Commissie niet afdoende.

Dekker geeft aan dat het wenselijk is in artikel 29 UAVG expliciet het belang te benoemen dat het in de rechtspraktijk noodzakelijk kan maken om biometrische gegevens te verwerken voor authenticatie en beveiligingsdoeleinden. Het gaat hier om het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten. De bedoelde aanvulling van artikel 29 UAVG draagt volgens Dekker bij aan de rechtszekerheid bij het verwerken van biometrische gegevens voor voornoemde doeleinden.

Minister Dekker streeft ernaar het wetsvoorstel tot aanpassing van de UAVG in het eerste kwartaal in consultatie te brengen. Het is dus afwachten op de aangepaste versie van de UAVG.

De werkgever en biometrische gegevens

Dat er al langer onduidelijkheid is over het gebruik van biometrische gegevens op de werkvloer, is reeds meerdere malen naar voren gekomen. Zo is al eerder de biometrische prikklok in het nieuws geweest. Dit betrof de situatie waar werknemers in en uit konden klokken met hun vingerafdruk.

Staatssecretaris Van Ark heeft toen aangegeven dat werknemers die hun vingerafdruk niet willen afstaan een alternatief geboden moet worden. Wanneer biometrische gegevens gebruikt worden voor urenregistratie en kloksystemen gaat het namelijk niet om gebruik ten behoeve van authenticatie vanwege beveiligingsdoeleinden. Ook heeft de staatssecretaris gezegd dat het niet is toegestaan dat werknemers niet krijgen uitbetaald indien zij weigeren hun vingerafdruk af te staan.

Het afstaan van je vingerafdruk was ook onderwerp van geschil in de zaak tussen schoenenwinkel Manfield en een van haar werknemers. Manfield had een nieuw kassasysteem ingevoerd waarbij werknemers werden verplicht om hun vingerafdruk af te staan. Manfield voerde aan dat het systeem van vingerscanautorisatie fraude door werknemers moest tegengaan, omdat door het daarvoor gehanteerde systeem met inlogcodes diefstal niet tot de eigenlijke dader kon worden herleid omdat onder een andere naam kon worden ingelogd.

De rechter geeft aan dat dit niet valt aan te merken als ‘noodzakelijk voor authenticatie- of beveiligingsdoeleinden’, en plaatst vraagtekens bij de proportionaliteit. Verder overweegt de rechter dat Manfield onvoldoende heeft onderbouwd waarom dit de geschikte methode is voor de bestrijding van fraude, bijvoorbeeld door het overleggen van documenten waaruit zou blijken dat er een afweging is gemaakt tussen verschillende systemen. Het beroep van Manfield op het bedrijfsbelang wordt verworpen. Een uitgebreidere PIA had hier dus misschien soelaas geboden.

Recentelijk hebben verschillende retailers zoals Dirk en DekaMarkt bekendgemaakt het vingerafdruksysteem voor werknemers te beëindigen.

Juridisch advies of meer informatie

Meer weten over hoe uw organisatie gebruik kan maken van biometrische gegevens? Neem contact op met Martin Hemmer.

Dit blog is geschreven door Jurriaan Dane.

Meld u aan voor onze nieuwsbrieven