Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is precies hoe de AVG werkt: dingen mogen prima, als je er maar goed over nagedacht hebt en vooraf hebt onderbouwd waarom het op deze manier moet. Heb je niet nagedacht, dan mag het niet. Zoals hier.

De zaak was aangespannen* door een werknemer die het niet eens was met deze verwerking van bijzondere persoonsgegevens (biometrie) bij de Manfield-keten. Alle winkels werden voorzien van kassa’s met vingerafdruk-loginsystemen, dat verplicht moest worden gebruikt om te kunnen afrekenen. Volgens Manfield was dit nodig vanwege de gevoelige gegevens die in de kassa zitten: financiële gegevens, maar ook persoonsgegevens van personeel. En tsja, de AVG verplicht tot gebruik van passende state of the art technische beveiliging en zo’n pincodetje zoals vroeger, dat is natuurlijk wel een tikje verouderd he meneertje. (Oh pardon, ga ik weer met mijn AVG cynisme.)

(* Met compliment voor Manfield, dat er een gezamenlijke stap naar de kantonrechter van maakte om duidelijkheid te krijgen én de griffiekosten betaalde.)

Een iets serieuzere reden was zo te lezen dat er in de oude systemen nog wel eens fraude werd gepleegd, je kunt immers elkaars pincode afkijken en dan valse transacties onder elkaars account boeken – of een collega inloggen die eigenlijk nog niet op het werk was, en zo toch voor de hele dag betaald kan krijgen. Er was “nagedacht” over alternatieven zoals pasjes, maar dat bleek niet 100% waterdicht.

Vanuit de AVG zijn de regels rond biometrische systemen streng. Het mag niet, tenzij een land in de wet heeft staan dat het wel mag en waarom. In Nederland staat er (art. 29 UAVG) dat het mag als noodzakelijk voor beveiliging of authenticatie. “Noodzaak” wil hier niet zeggen “we hebben geen reëel alternatief” en dat vereist een uitwerking van zowel de problemen die je oplost met het biometrisch systeem (dit is waarom het moet) als van de risico’s en hun maatregelen voor de privacy van de werknemer (dit is hoe we het netjes houden). En die uitwerking ontbrak bij Manfield, en dan ben je gewoon direct af onder de AVG. Had Manfield op papier de alternatieven uitgewerkt met hun voors en tegens en was er dán uiteindelijk dit systeem uitgekomen, dan had het zeer waarschijnlijk wel gemogen.

Wie nu denkt dat biometrie überhaupt niet meer mag in Nederland, heeft er dus weinig van begrepen. Het is prima, maar werk uit waarom het moet, waarom de privacy desondanks gewaarborgd is (en hoe dan) en waarom alternatieven niet goed genoeg zijn. Bij een datacenter dat toegangsbeveiliging met irisscan of vingerafdrukken regelt, is dit bijvoorbeeld een zeer eenvoudige casus: het gaat om zeer waardevolle en kwetsbare systemen en gegevens (fysieke toegang tot hardware), er komen veel wisselende mensen en er is niet altijd menselijk toezicht, en het gaat om beperkte werkzaamheden. Dat zie ik dus niet als een probleem.

(Meelezende DC security officers: doe me alleen een lol en ga je bezoekers geen consentformulier laten tekenen voor vingerafdrukgebruik. Consent is voor nieuwsbrieven.)

Arnoud

18 reacties

  1. Het lijkt erop dat ook als Mansfield wel een afweging met alternatieven gemaakt deze methode niet was goedgekeurd. De rechter zegt over het argument van Fraude of diefstal door werknemers:

    Uiteraard staat het Manfield vrij op te treden tegen bedoelde vormen van omzetderving, maar haar handelen dient wel in overeenstemming te zijn met de AVG. Naar het oordeel van de kantonrechter is dat niet het geval nu dit type bedrijfsbelang niet is aan te merken als “noodzakelijk voor authenticatie- of beveiligingsdoeleinden” in de zin van in artikel 9 lid 2 AVG.

    Daarmee lijkt er geen ruimte voor Manfield om biometrische gegevens nog in te zetten tegen fraude door werknemers.

    1. Terecht punt, bestrijding van fraude is op zichzelf niet “authenticatie of beveiliging”. Je moet dat dus anders inkleden: voor diefstal- en fraudebestrijding is een proces opgetuigd, deel van dat proces is een systeem van authenticatie, en bij dat systeem móeten we wel met vingerafdrukken werken want.

  2. Maakt het nog verschil of de vingerafdruk wordt vergeleken met een opgeslagen hash? Mijn vingerafdruk in het systeem van mijn werkgever zie ik niet zitten, maar een hash daarvan vind ik veel minder problematisch. Zeker als dit ook fraude met mijn kassaaccount kan voorkomen en bovendien het inloggen een stuk sneller en makkelijker maakt.

    1. Het opslaan van afbeeldingen van vingerafdrukken is mijns inziens te allen tijde nalatig onder de AVG. Je moet bij alle processen adequate en state-of-the-art beveiliging toepassen, en plaatjes van vingerafdrukken opslaan voldoet niet aan die eis. Het is gewoon SOTA om hashes op te slaan, en daar is ook genoeg off-the-shelf technologie voor.

      1. Uiteraard, maar een werkgever die zegt dat vingerafdrukken veiliger zijn, slaat de plank volledig mis. Kost hooguit wat meer tijd.

        En is niet ongedaan te maken. Pincode kan je instant aanpassen. Doe dat eens met vingerafdrukken….

        1. Het kost meer tijd én is een stap heel bewuste handelingen om fraude te plegen. Bij een geleende pincode kun je nog zeggen, oh ja ik dacht dat het kantoor-pincodes waren of een andere slappe smoes. Daar is dan hooguit een waarschuwing op te geven. Maar iemand met een latexvinger of een knappe foto van andermans vingerafdruk, die vliegt staande voet buiten. En dat weten mensen zelf ook. Dus het risico is een fors stuk hoger zo.

          1. Daarom moet je tegenwoordig met pincodes iets hebben, (een pas) en iets weten. Dan gaat jouw redenering ook niet neer op, want een geleende pas is dan ook een bewuste handeling. Word bij banken intern al jaren gebruikt en soms maken ze het nog wat extra lastig door je foto erop te zetten.

              1. Een werknemer die zijn (persoonsgebonden) pas in de la laat liggen op de plek waar die pas gebruikt moet worden, dat is toch wel een gevalletje grove nalatigheid denk ik zo… beetje hetzelfde als de voordeursleutel van het kantoor onder de deurmat leggen.

                  1. Ik heb die cursus ook moeten doen ivm mijn detachering in de ICT bij divers banken. Het is gewoon een verplichting die de DNB oplegt, en dat is overheid. En ja zelfs met 20 jr ervaring kon ik nog wat leren van die cursus. gaat intern op een pc inloggen op een ad terwijl je met naam en toenaam bekend staat incl. een examen. Waar wil je nog ontkennen dat je e.a. niet weet. Banken hebben daar een paar jaar ervaring mee geloof ik. Moet je echt wat nieuws bedenken. En vingerafdrukken hebben ze al geprobeerd. Een goede receptie is de eerste horde en hoort onderdeel van de beveiliging te zijn met de juiste bevoegdheden.

                    Overigens vind ik banken criminele organisaties, maar dat is een andere discussie.

              2. Ja ja welke rechter trapt daar in. hahaha… Heb er een paar in die trant van dichtbij mee mogen maken. Als je hem gevonden hebt wil ik zijn naam wel eens weten.

                Maar jij laat dus je pas zomaar ergens in een la liggen waar anderen er zomaar bij kunnen…Ik geloof je, not. En geeft meteen aan dat je geen idee hebt hoe de beveiliging binnen een bank werkt.

                BV Rabo MOET je een cursus security volgen, daar ben je dagelijks minimaal een uur mee bezig de eerste 8 weken als j in dienst komt. Er zit een verplicht examen aan waar je voor moet slagen, anders geen werk. Geld voor iedereen letterlijk. Is trouwens een verplichting van de DNB. De bank moet aan kunnen tonen..enz. Geld dus ook voor externen die met geld en privacy zaken te maken krijgen.

                Gaat soms erg ver, kom je als ict medewerker in het land bij ‘een’ kantoor voor een storing. moet je jezelf identificeren als geautoriseerd medewerker, pasje enz, maar ze gaan ook even bellen en controleren of dat echt klopt. En nu komt het, je moet dan nog even wat uit je auto pakken omdat je dan pas weet wat je moet repareren. Mag je de hele riedel opnieuw doen en gaan ze weer bellen. Vergeet je je pas mee buiten de bank te nemen heb je een probleem. Kip ei verhaal, en hun mogen hem niet gaan pakken, bedrijfs policy. Je kan bv in de tussentijd ontslagen zijn. En wat is dan lekkerder als je in de kluis aan het werk bent me teen koffer om dan wat mee te nemen. Je word zonder meer gepakt daar twijfel ik niet aan maar kan wel. Kom maar met de naam an zo’n rechter hahaha

                1. Ik ken zat medewerkers die zo met security omgaan. Waarom, omdat de security op vele kantoren voor medewerkers geen toegevoegde waarde biedt maar wel veel overlast. Bv onnodig snel mensen uit loggen die niet actief zijn, single sign on voor bedrijfsapplicaties uitschakelen enz enz. Gebruikers zien security nu vooral als een last.

                  1. Ja idd, vandaar ook dat die banken die security studie jaarlijks herhalen en dus ook het examen. Mede om die reden, jij, de gebruiker bent verantwoordelijk voor de security van jezelf en de bank waar je voor werkt. En als je de medewerker daadwerkelijk verantwoordelijk houd is het snel afgelopen met het gezeur. Er zijn ook bedrijven die de security de vrijheid geven om pc’s te locken als een gebruiker wegloopt zonder te locken, het gaat zelfs zover dat als ze beveligings zaken open en bloot zien liggen die meenemen. Manager word aan het eind vd dag gewaarschuwd, en soms gaat het meteen oor naar de politie. Soms gaat het heel ver en word een medewerker aan het handje meegenomen en buiten de deur gezet. Die rechten hebben beveiligers bij oa banken. Ga er dan ook maar vanuit dat je geen baan meer hebt. IBM bv heeft ook zo’n streng beleid, je komt daar niet binnen zonder afspraak. Er word ook instruktie gegeven als iemand ronddoold in het pand om hem aan te spreken en hem te helpen en hem haar naar de plek en p[ersoon te brengen die hem /haar uitgenodigd heeft. Niemand mag daar zomaar rondlopen. De persoon die iemand rond laat lopen word er dan ook op aangesproken, niet zelfstandig koffie halen of een printje van de printer halen, jij bent de gastheer en jij doet dat, en jij bent verantwoordelijk voor jouw gast.

        2. Het feit dat je je vingerafdrukken continue achterlaat en niet kan wijzigen, maakt het gewoon een slecht identificatiesysteem. Iedereen die eens je vingerafdrukken heeft gefotografeerd (of op een andere wijze bekomen) en dat is zeer eenvoudig, kan deze namaken en gebruiken voor de rest van je leven (en daarna).

          Ik zie niet in hoe je onder AVG de noodzaak kan aantonen, terwijl het een onveilig systeem is en zeker geen “state of the art”.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.