Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu of de AVG een uitzonderingsgrond biedt voor deze categorie verwerkingen. Dat komt met name door een fout antwoord van de minister op Kamervragen hierover.
Biometrische gegevens zoals vingerafdrukken worden onder de AVG aangemerkt als bijzondere persoonsgegevens, waarmee ze in beginsel helemaal niet mogen worden gebruikt. Alleen als de AVG daar een aparte grondslag voor biedt, kan dat toegestaan zijn. Naast uitdrukkelijke vrijwillige toestemming -die werknemers niet kunnen geven- is voor biometrie eigenlijk de enige optie dat je je beroept op een nationale regeling die het onder voorwaarden toelaat (art. 9 lid 2 AVG). De politieke achtergrond hiervan is namelijk dat de lidstaten het niet eens konden worden over de toelaatbaarheid en risico’s van biometrie, zodat iedereen het maar zelf in zijn eigen wet moet regelen.
In Nederland is er sinds 25 mei de Uitvoeringswet AVG, waarin een aantal nationale regels zijn opgenomen die de AVG nader uitwerken of aanvullen, waaronder op het punt van biometrie. In artikel 29 daarvan wordt het verbod op gebruik van biometrie opgeheven wanneer
de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Opvallend daarbij is dat bij de invoering alleen over beveiligingsnoodzaak is gesproken. Biometrie is natuurlijk primair bedoeld voor de veiligheid, zeker weten dat je de juiste persoon binnen of buiten laat. In de zeer korte behandeling van dit wetsartikel komt men dan ook niet verder dan de inzet voor toegangscontrole.
In de beantwoording van de Kamervragen uit februari gaat de minister ook niet verder dan dat:
Het criterium van de regeling in de UAVG betekent dat het gebruik van vingerafdrukken noodzakelijk moet zijn voor de beveiliging van de toegang van gebouwen of ICT systemen. Het vastleggen van de biometrische gegevens moet voorts proportioneel zijn en noodzakelijk voor de toegangscontrole.
En bij het antwoord op vraag 3 (mag een werknemer straffeloos weigeren zich met vingerafdruk in de prikklok te registreren) is men nog stelliger: Ja. Dat wekt natuurlijk wel héél erg de indruk dat biometrie voor prikklokken niet de bedoeling is – het is geen toegangscontrole, en de werknemer mag niet worden gestraft met niet-uitbetaling van gewerkte uren als hij er niet aan wil meewerken. Daar zou ik ook wat zenuwachtig door worden als werkgever.
Het klopt natuurlijk niet. “Authenticatie” is een veel breder begrip dan enkel “toegangscontrole”. Authenticatie is algemeen gesteld het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Er is geen enkele reden om dat te lezen als beperkt tot nagaan in de context van toegang tot controle of bijvoorbeeld een ict-systeem. De Uitvoeringswet noemt in de tekst ook nergens die beperking.
Relevant is natuurlijk wel of de inzet van biometrie noodzakelijk is voor het goed functioneren van de prikklok. Er zijn immers alternatieven, zoals authenticatie met een persoonlijk pasje. De vraag wordt dan of die alternatieven onwerkbaar zijn, bijvoorbeeld omdat er te makkelijk mee kan worden gefraudeerd. Je kunt immers het pasje van je collega meenemen en scannen, om zo fictief zijn uren op te hogen. In de praktijk gaat het vooral om gemak, zo lees ik in het FD:
‘De praktijk leert echter dat veel medewerkers de voorkeur hebben voor het gemak van de vingerscan boven het gedoe van een pasje. We hebben dan ook diverse klanten gehad die een groot deel van hun passen hebben teruggestuurd’, aldus Matthijs van den Ende van [prikklok-leverancier] Dyflexis.
Gemak zou ik zien als een te zwak argument om de noodzaak te ondersteunen. Als mensen liever met vingerafdrukken werken vanwege het gemak, dan zou je dat kunnen zien als een uitdrukkelijke toestemming. Dan kom je uit bij een prikkloksysteem dat én met vingerafdruk én met pasje werkt, zodat de werknemer de keuze heeft. Dat lost het probleem dan op, zij het dat je nog blijft zitten met de mogelijkheid van pasjesfraude. Maar dat is een al bekend probleem waar -neem ik aan- ook al oplossingen voor zijn.
Arnoud
Maar is het dan toegestaan om vaak een controle te houden tegen pasjesfraude? Dit is namelijk alleen hinderlijk voor de mensen die pasjes gebruiken en niet voor diegene die de vingerafdruk gebruiken. En dus kan dit mogelijk gezien worden als druk op de pasjesmensen om over te stappen naar de vingerafdruk.
En hoe zit het als de prikklok onderdeel is van het systeem om de buitendeur te openen? Is het dan opeens wel beveiliging?
Je mag natuurlijk controle en toezicht uitoefenen, maar ook dat moet noodzakelijk en proportioneel zijn. Als het uitdraait op pesten of druk uitoefenen op de pasjesgebruikers, dan is het geen echte controle (meer). Maar volgens protocol steeksproefgewijs mensen controleren, of op willekeurige dagen een 100%-controle mag gewoon, geen twijfel.
Als de vingerafdruk zowel de deur opent als de tijd registreert voor de urendeclaraties, dan moeten beide functies apart gerechtvaardigd worden. Bij beveiliging krijg je dat sneller rond, maar je mag dan niet die grondslag ‘kapen’ om ook andere dingen te gaan doen. Ik mag de beveiligingscamera’s op het terrein ook niet inzetten om collega’s te spotten die stiekem staan te niksen op het werk.
In films / series zie je vaak dat op het kantoor van de baas/manager een tv staat met daarop rechtstreeks de beveiligingscamera’s. Dit is natuurlijk erg handig om te zien of er situaties zijn waarbij hij naar de winkelvloer moet om ergens bij te springen. Maar als hij op de tv in zijn kantoor ziet dat een vakkenvuller in een gangpad op zijn mobiel dingen zit te doen i.p.v. aan het werken, mag hij dan die persoon er niet op aanspreken? Want hij mag de camera’s “niet inzetten om collega’s te spotten die stiekem staan te niksen op het werk.”
Als ik het me goed herinner valt het live bekijken van beelden wel onder de AVG maar niet onder zijn voorloper.
Dat zijn vaak Amerikaanse series. In Amerika mag de baas alles en hoeft hij het vaak niet eens te melden. Bij ons moet er sowieso een protocol zijn, anders überhaupt geen camera (ook niet voor beveiliging). In dat protocol kun je vrij eenvoudig “de baas mag live meekijken” zetten, hoewel je wel instemming van de OR nodig hebt. De grotere zorg is bij het terugkijken van opgenomen beelden, omdat je daarmee veel breder en langduriger kunt monitoren en overtredingen kunt spotten.
Live kijken valt onder de AVG inderdaad, maar is vanwege de beperkte impact snel te rechtvaardigen.
Ik zou veiligheid hier vervangen door identificatie. Identificatie kan bij veiligheid een rol spelen maar ook bij andere zaken.
In ICT termen is een vingerafduk is een soort unieke hash van een persoon.
. Een enorm voordeel van vingerafdrukken is dat ze geen informatie bevatten over de persoon net zoals een hash.fixed that for you….
Welke informatie over een persoon kan jij uit enkel een vinderafdruk halen ?
Er zijn enkele huidziektes die herkenbaar zijn aan bepaalde afwijkingen in vingerafdrukpatronen. Tevens kun je uit het zweet dat meekomt met een vinger soms medische informatie halen, al moet je dan wel een extra sensor inzetten.
Die huidziektes lijkt me een vergezocht argument en gebruik van ene extra sensor heeft niks met het maken van vingerafdrukken te maken. Je kunt ook verborgen camera’s ophangen of honderd andere verborgen sensors.
“De vraag wordt dan of die alternatieven onwerkbaar zijn, bijvoorbeeld omdat er te makkelijk mee kan worden gefraudeerd. Je kunt immers het pasje van je collega meenemen en scannen, om zo fictief zijn uren op te hogen.”
Het identificatiemiddel is zo ingrijpend, dat het alleen de veiligheid mag dienen en niet fraudebestrijding. Fraude zal men met andere middelen moeten bestrijden en deels accepteren. De AIVD mag ook niet de Belastingdienst inseinen inzake zwartwerk.
Waarom zouden werknemers geen toestemming kunnen geven als er ook een alternatief wordt ingericht voor de nee-zeggers?
Edit: excuses, te snel gereageerd. Is al beantwoord in de laatste alinea.
En stel nou dat je net een aantal jaar voor de invoering van de AVG, prikklokken met vingerafdrukken hebt aangeschaft voor vele honderden filialen en alle medewerkers daar inmiddels aan gewend zijn… En dat in combinatie met dat de belastingdienst ook al aangegeven heeft op voorlopig niet aan de AVG te kunnen voldoen, omdat de kosten daarvoor buiten proporties zouden zijn. Kan je dan niet concluderen dat, als de kosten niet in proportie staan met het privacybelang, het gedoogd wordt dat bedrijven niet 100% aan de AVG voldoen? Lijkt me een risico dat je als onderneming best kunt nemen toch?