Biometrische authenticatie op de werkvloer: juridisch afdwingbaar?

Ondernemingen zetten steeds meer stappen om zich digitaal te beveiligen. MFA of multifactor-authenticatie is daar een voorbeeld van. Hierbij wordt het wachtwoord aangevuld door een extra element die de identiteit moet bevestigen. Denk bijvoorbeeld aan een code die per sms wordt verzonden, een speciale tokengenerator of zogenoemde biometrische middelen. In het laatste geval maakt men vooral gebruik van de vingerafdruk, omdat veel smartphones reeds mogelijkheden bieden om dat af te nemen.

Op de werkvloer is biometrische authenticatie echter niet zo eenvoudig afdwingbaar omdat je nu eenmaal rekening moet houden met de privacyrechten van de werknemers. Daarom doen wij van MKBrecht.nl een en ander uit de doeken.

Biometrische gegevens zijn bijzondere persoonsgegevens

De AVG heeft duidelijk gemaakt dat biometrische gegevens ook als bijzondere persoonsgegevens worden bestempeld. De AVG hanteert een ruime definitie van biometrische gegevens: het moet gaan om het “resultaat van een specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken” van een persoon. Vingerafdrukken, irisscans en gezichtsherkenning worden door de Autoriteit Persoonsgegevens als voorbeelden genoemd, maar ook de hartslag, de stem of zelfs ademhalingspatronen zouden hieronder kunnen vallen. Uiteraard is er wel nog maar weinig rechtspraak gepubliceerd om een en ander te verfijnen.

Toestemming vragen volstaat niet

Net omdat het hier om bijzondere persoonsgegevens gaat, is het opletten geblazen. De wetgever is beducht voor identiteitsfraude en legt een verwerkingsverbod op. Hierop zijn wel een aantal uitzonderingen voorzien. Een eerste uitzondering is de toestemming van de persoon. Maar op vlak van tewerkstelling levert dat een extra bijzonderheid op. Het verkrijgen van toestemming volstaat misschien voor een of andere vage app met ellenlange gebruiksvoorwaarden, maar niet voor de werkgever. Aan de toestemming wordt immers een extra voorwaarde gekoppeld: de toestemming moet vrij zijn. En van vrijheid is er volgens de wetgever geen sprake indien er een gezagsverhouding bestaat, wat bij een arbeidsovereenkomst altijd het geval is.

Enkel indien noodzakelijk voor beveiliging

De werkgever kan zich echter wel beroepen op de noodzaak voor beveiligings- en authenticatiedoeleinden. Het gebruik van biometrische gegevens moet dan noodzakelijk zijn om de veiligheid te waarborgen. Dat er niet lichtzinnig met het woordje “noodzakelijk” mag worden omgesprongen, blijkt uit de memorie van toelichting. Hier haalt men de beveiliging van een kerncentrale als voorbeeld aan.

Op 12 augustus 2019 tikte de rechtbank Amsterdam schoenenwinkel Manfield daarover nog op de vingers. Manfield had een vingerafdrukscanner op haar kassasystemen laten bevestigen en verplichte werknemers om hun vingerafdrukken af te staan. Volgens Manfield was dat noodzakelijk om gevoelige informatie te beveiligen, fraude te voorkomen en klantgegevens te beschermen. De rechter oordeelde echter dat er geen sprake was van noodzakelijkheid omdat er ook minder ingrijpende alternatieven bestaan die geen inbreuk op de privacy van de werknemers inhoudt. De rechter haalde onder andere cijfercodes, het gebruik van een toegangspas en gelijkaardige alternatieven aan als voorbeeld.

Goed nadenken over persoonsgegevens

Als werkgever kom je al snel in aanraking met de persoonsgegevens van jouw medewerkers. Zeker bij het gebruik van digitale systemen, nieuwe werkvormen en beveiligingstoepassingen. Daar denk je maar beter goed over na, want terwijl de Autoriteit Persoonsgegevens met boetes zwaait mogen gedupeerden een schadevergoeding claimen. Twijfel je? Spreek er dan over met een van onze juristen. Enkel zo houd je de privacygevoelige schaapjes op het droge.