Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud

19 reacties

  1. Wow. Arnoud, vergeet je de prportionaliteitstoets niet? Ik kan me jouw redernering voorstellen bij bijvoorbeeld een kerncentrale, bankkluizen en andere obejecten waar veiligheid heel belangrijk is. Maar voor iedere willekeurig kantoor? Hoezo zou een sleutel of toegangspas niet voldoen? Volgens mij kan een werkgever niet zo makkelijk het verwerken van bijzondere persoonsgegevens rechtvaardigen.

  2. Je legt de lat wel heel erg laag voor rechtvaardiging. Ik denk dat je op die manier heel erg je best moet doen om iets te vinden wat niet zou mogen.

    Ik kan me haast niet voorstellen dat dit werkelijk zo is, en als dat wel zo is, snap ik niet waarom je de GPDR zo belangrijk noemt want dat is het vooral een papieren werkelijkheid.

    [edit] Wat Alex dus ook al zegt…

  3. Begrijp ik het goed dat de wet tekst in Nederland nog niet bepaald is? In dat geval is er niet echt een lange overgangstermijn om alles te regelen conform de nieuwe wet. En dus ook uit te zoeken wat je vanuit het verleden mocht hebben of doen en nu niet meer.

  4. Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen.

    Hoe actueel of in ieder geval universeel is dit argument eigenlijk nog? In sommige sectoren, bijvoorbeeld technische beroepen, is een groot tekort aan gekwalificeerd personeel, zodat werkgevers inmiddels werknemers moeten overtuigen om voor hen te komen werken in plaats van dat medewerkers ‘bij gratie van’ de werkgever een baan hebben. Die afhankelijkheid is in de IT inmiddels bijna omgekeerd geworden.

    1. werkgevers inmiddels werknemers moeten overtuigen om voor hen te komen werken in plaats van dat medewerkers ‘bij gratie van’ de werkgever een baan hebben. Die afhankelijkheid is in de IT inmiddels bijna omgekeerd geworden.

      Dat gaat enkel op als je in de juiste leeftijdscategorie valt. ben je zoals ik 60- dan gaat je redenering niet meer op vrees ik.

    2. Dat tekort valt heel erg mee. Het is vooral een verhaal dat door de sector opgehangen wordt, om de focus af te houden van het feit dat veel bedrijven gewoon te slechte arbeidsvoorwaarden aanbieden. Er is dus waarschijnlijk helemaal geen tekort; slechts een tekort aan slecht compenseerbare medewerkers.

      (Ik denk dan aan bijvoorbeeld de IT-bedrijven die van medewerkers verwachten dat ze al dan niet officieel 24/7 on-call bereikbaar zijn voor kritieke bugs of downtimes, maar de bijbehorende compensatie daarvoor niet ontvangen.)

      EDIT: En om even in te haken op wat HBL zegt: dat je als oudere niet zo makkelijk aan de bak komt in de IT is waarschijnlijk onder andere om die reden; jonge mensen weten vaak minder waar ze recht op hebben, en zijn voor dubieuze werkgevers dus veel aantrekkelijker. Ouderen worden vaak gewoon gezien als lastig en veeleisend.

    1. Want de portier kent het gezicht van alle 400 medewerkers die hun pasje tegen de sensor houden? En vraagt dan om een ID bij twijfel? En als hij naar het toilet moet, moet je wachten tot hij terug is, om naar je werk te gaan.

    2. Bij grote bedrijven waar veiligheid belangrijk is, zit de portier aan de buitenste veiligheidsgrens, waar personen en tassen gecontroleerd worden op een manier zoals de veiligheidscontrole bij een vliegveld: zakken leegmaken, bagage door de röntgen, personen door de scanner, eventueel fouilleren. Wanneer je een veiligheidszone binnengaat of van de ene naar de andere zone gaat is de controle gebaseerd op een combinatie van passeerkaart en pincode en daar bovenop afhankelijk van het veiligheidsniveau van de zonegrens ook nog vingerafdruk scannen, handpalm scannen, irisscan en/of gezichtsherkenning.

      En in mijn ervaring zijn portiers/beveiligers op kerncentrales goed getrainde en fatsoenlijk betaalde vaste medewerkers die inderdaad al het personeel van gezicht kennen. Vaak wordt je zelfs herkent door de beveiligers als je er meer dan een jaar niet geweest bent.

      1. Ik ken bedrijven/instellingen waar je (op de eerste werkdag) vriendelijk naar de portier wuift en dan gewoon doorloopt. Bij sommige organisaties heb je meer een ontvangstfunctie dan een beveiligingsfunctie. Dat hangt van het type bedrijf en de rol van de vestiging af.

      2. Dan heb je zeker gemist hoe Alberto Stegeman keurig voorbij de portiers bij het Koninklijk Huis en een Defensie-unit kwam? Ik weet niet wat jij vindt, maar ik vind zeker Defensie (maar ook het KH tot op zekere hoogte) toch wel enorm belangrijk om goed beveiligd te hebben, maar dat schoot hier dus nogal te kort.

    1. Correct, maar pseudonieme gegevens zijn nog steeds persoonsgegevens. Het pseudonimiseren helpt vooral om een beroep op een eigen gerechtvaardigd belang te kunnen doen, het ontslaat je niet van de verplichting de AVG na te volgen. Lekken van een hash is dus net zo goed een datalek, om eens wat te noemen. En als ik mijn hash uit het systeem wil, is dat in principe mijn recht.

    2. Aannemende dat het mogelijk is om een vingerafdruk te hashen(*) zie ik niet in wat je er privacy-gewijs mee op schiet. Misschien kan je voorkomen dat jouw lijst van opgeslagen gesalte en gehashte vingerafdrukken gekoppeld kan worden aan een andere lijst van opgeslagen gehashte vingerafdrukken? Veel verder kom je niet: als iemand in de toekomst over de vingerafdruk zelf komt te beschikken kan die nog steeds worden vergeleken met jouw lijst van hashes. Het is dus niet echt betrouwbaar pseudoniem.

      Daar komt bij dat iemand maar 10 vingers heeft, die niet zomaar veranderd kunnen worden: dat is heel anders dan bij wachtwoorden, die je (potentieel) bij elke website, werkgever e.d. anders kunt maken, en kunt updaten op het moment dat ‘ie (mogelijk) bekend is geworden. Biometrische authenticatie door computersystemen is gewoon een slecht idee.

      Wellicht krijg je nog het beste gebruik van biometrische gegevens als je er voor de zekerheid van uit gaat dat de koppeling tussen biometrische gegevens en identiteit bij iedereen bekend is: dat ik, en elke hacker, jouw vingerafdrukken, DNA, iris-scan en dergelijke gewoon ergens kan opzoeken. Is jouw systeem in die omstandigheden nog steeds privacy-vriendelijk en veilig?

      (*) een twijfelachtige claim, want voor vingerafdruk-verificatie moet je dan een nieuwe vingerafdruk-scan hashen en vergelijken met de gehashte opgeslagen data; probleem daarbij is dat de output van een hash-functie compleet anders is als er ook maar 1 bit anders is aan de input. Normaal zal er altijd wel wat ruis op een vingerafdruk-scan zitten, waardoor het matchen niet gaat werken. Maar goed: misschien lukt het iemand om een soort slimme pre-processing te doen op vingerafdruk-scans, die data oplevert die bij (bijna) elke scan van de zelfde vinger 100% identiek is (zonder ruis).

      1. De terminologie is wat onzuiver maar er zijn genoeg wiskundige functies waarmee een fuzzy input zoals een fingerprint gereduceerd kan worden tot een vaste output. Heel grof gezegd, neem een referentie-fingerprint en bepaal error-correcting data, neem vervolgens een query fingerprint en ga middels die error correcting data kijken of hij dicht genoeg lijkt op de referentie-fingerprint. Minder grof gezegd: https://link.springer.com/article/10.1007/s11623-008-0094-8 (eerste gevonden link, er zijn er veel meer)

  5. Ik hoorde laatst trouwens dat vingerafdrukken bepaald niet een perfecte identificatie zijn. Ik weet niet in hoeverre ze biologisch gezien altijd uniek zijn, maar in ieder geval is bij strafzaken mogelijk gebleken dat twee personen allebei een match zijn bij een vingerafdruk op een plaats delict (oftewel, men kwam erachter dat ze onschuldige mensen in de gevangenis hadden zitten, en in 9 gevallen zelfs geëxecuteerd). Kortom, volgens mij zijn vingerafdrukken vooral betrouwbaar om mensen uit te sluiten bij identificatie. Daarmee bedoel ik zoiets als “deze persoon kan het in ieder geval niet zijn”. Bij sloten zou ik dus altijd een combinatie gebruiken waarbij ook een pincode of een vorm van sleutel gebruikt moet worden. Hierdoor kan iemand die toevallig dezelfde kenmerken in zijn vingerafdruk heeft niet zomaar naar binnen, en kan een dief met sleutel ook niet zomaar naar binnen. De kans dat een dief én de sleutel heeft bemachtigd én een vingerafdruk uit de database heeft is dan vrij laag.

    1. Je bent in de war; dat stuk (van Last Week Tonight) ging over alle vormen van forensisch onderzoek, zoals haaranalyse, bijtafdrukken, enzovoorts.

      Dat van die vingerafdrukken waren maar een of twee gevallen, en in die gevallen waren ook maar gedeeltelijke vingerafdrukken teruggevonden op het plaats delict.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.