Een lezer vroeg me:
Mijn werkgever wil inloggen op haar computersystemen mogelijk maken via gezichtsherkenning (Microsoft Hello). Wij als OR zijn niet om instemming gevraagd, met als argument dat de feature zuiver lokaal werkt en er niets wordt opgeslagen, zodat er geen sprake is van ‘verwerking’ onder de AVG. Klopt dat?Nee, dat klopt niet. Dat er niets wordt verzonden via een netwerk of opgeslagen, is niet genoeg om te zeggen dat er niet wordt verwerkt. ‘Verwerken’ is namelijk de koepelterm. Er worden gezichtsfeatures herkend en gematcht met een opgeslagen set features waaruit een ja/nee volgt. Dat is elektronisch verwerken.
Microsoft heeft voor deze verwerking middelen geleverd en de werkgever beslist dat deze ingezet moeten worden en wanneer/waarom. Een simpele toepassing van de AVG geeft dan dat de werkgever verwerkingsverantwoordelijke is.
Ik geloof meteen dat de werkgever geen idee heeft hoe dit werkt, en dat is prima. Maar dat maakt voor de AVG vraag niet uit. Zelfs als het in een dichtgelaste stalen kist zou gebeuren, blijft men verwerkingsverantwoordelijke, enkel en alleen omdat men beslist dat het moet worden gebruikt.
Er is jurisprudentie dat bij een fanpagina op Facebook (of zelfs een Like-knop) de beheerder (mede) verwerkingsverantwoordelijke is voor wat Facebook/Meta doet, ook al weet niemand wat dat bedrijf uitspookt. Die lijn doortrekkend is het voor mij evident dat je ook de verwerkingsverantwoordelijke bent als je een standaardfeature zoals Hello gebruikt.
Standaard werkt deze vorm van herkenning vrijwillig, je moet het aanzetten. Door die vrijwilligheid is hier denk ik wel ruimte voor de grondslag toestemming, dit zal geen consequenties hebben in de arbeidsrelatie.
De grondslag arbeidsovereenkomst vind ik lastiger, juist omdat het niet verplicht is. Je kunt dan moeilijk zeggen dat deze feature voor het werk nodig is. Als je dus als werkgever zou willen verplichten dat iedereen met Hello inlogt, dan moet daar nog een extra verhaal bij komen.
Arnoud
Ik weet niet of je stelligheid deel dat de werkgever hier evident verwerkingsverantwoordelijke is. Bij zowel die fanpagina als FashionID is doorslaggevend dat de pagina/website-beheerder een onmisbare rol speelt in de doorgifte van gegevens aan de andere partij. Overigens oordeelde de feitenrechter na terugverwijzing door het EU HvJ volgens mij bij de fanpagina dat dat niet de feitelijke situatie was.
In het verlengde: zou je ook zeggen dat de autofabrikant verwerkingsverantwoordelijke is voor rijhulpsystemen zoals lanekeeping en vermoeidheidsdetectie – dat wordt namelijk ook allemaal gelogd? (uiteraard zolang niet met internet verbonden, en waar professioneel gebruikt zodat we de huishoudelijke exceptie buiten beschouwing kunnen laten). Ik zou zeggen van niet.
Overigens voelt het voor mij gevoelsmatig hier ook dat de werkgever verantwoordelijke zou zijn, maar wel veel minder stellig.
De analogie met rijhulpsystemen klopt niet. De vraag moet dan niet zijn of de autofabrikant (vgl. Microsoft) verwerkingsverantwoordelijke is, maar of de werkgever (die het voertuig ter beschikking stelt) dat is. Lijkt mij van wel.
Het ging mij even te snel in het begin want ik zit niet echt in de Wet op de Ondernemingsraden. Maar kennelijk wordt door vraagsteller verwezen naar een van de rechten van de OR, namelijk instemming geven op: “een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen” (artikel 27 1.k. WOR)
De vraag is hierbij of sprake is van een ‘regeling’ in de zin van de WOR. Het enkele feit dat ergens een persoonsgegeven wordt verwerkt, is daarvoor niet genoeg. De werkgever moet zeg maar beleid hebben, een plan met die persoonsgegevens. Hier kun je je dat afvragen; dit is gewoon een feature in Windows waarmee je je aanmeldt als werknemer.
… en waarbij MS (via telemetrie) mee zit te loeren welke functies de werknemer gebruikt.
Bedrijven hebben vrijwel altijd dat soort telemetrie functies uitgeschakeld staan en verder maakt het niet uit op welke wijze je inlogt of je iemand kan volgen
De OR kan niet de instemming afgeven (goedkeuren) die een medewerker gevraagd wordt / gevraagd moet worden als grondslag voor de AVG. De OR gaat over de inrichting van het werkproces. De OR is geen vertegenwoordiger voor de (grond)rechten van belanghebbende.
Het gaat ook niet om de AVG-grondslag. De instemming onder artikel 27 WOR staat geheel los van het AVG-kader van de verwerking. Natuurlijk mag de WOR bij haar weigering in te stemmen best een AVG-bezwaar geven als reden.
Toestemming is op de werkvloer eigenlijk nooit een geschikte grondslag, dus de medewerker hoeft niets gevraagd te worden.
Het gaat ook niet om de AVG-grondslag. De instemming onder artikel 27 WOR staat geheel los van het AVG-kader van de verwerking. Natuurlijk mag de WOR bij haar weigering in te stemmen best een AVG-bezwaar geven als reden.
Toestemming is op de werkvloer eigenlijk nooit een geschikte grondslag, dus de medewerker hoeft niets gevraagd te worden.
“De verwerking is noodzakelijk voor authenticatie of beveiliging. Deze uitzondering staat in de Uitvoeringswet AVG (UAVG) Die noodzaak is er echter niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.”
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/gezichtsherkenning
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie#afweging-gebruik-biometrie-voor-authenticatie-of-beveiliging
Ben heel benieuwd waar ze werken 🙂
Als Windows Hello één van de opties is (en medewerkers dus een alternatief hebben zonder biometrie) en het gebruik ervan een vrije keuze is, is er geen bezwaar toch?
Klopt Mag je alleen even hopen dat de (werk)instructies bij het onboarden van nieuwe medewerkers en bij het uitrollen van deze functionaliteit vanuit de IT-afdeling benadrukt dat dit optioneel is, en ook de risico’s aanstipt van het gebruik hiervan. Ik kan je nu al beloven, dat zal niet gebeuren. En dan zal snel de indruk ontstaan op de werkvloer dat dit de nieuwe manier is om in te loggen, zonder dat het expliciet beleid is.
Er is een belangrijk aspect aan “Hello” voor de medewerkers die niet willen meedoen. Wordt hun gezichtsfoto ook automatisch biometrisch verwerkt als “Hello” op hun laptop ingeschakeld is, wanneer zij met MFA willen inloggen?
Het is niet AVP correct om de biometrische verwerking te doen bij personen die toestemming hebben onthouden, wanneer toestemming de grondslag is. (En ik zie de werkgever, als eigenaar en beheerder van de systemen als verwerkingsverantwoordelijke, omdat zij de gezichtsherkenning aanzetten.)
Kan je met die Hello feature niet kiezen voor gezichtsherkenning, een vingerafdruk en/of een pin-code? Als een pin-code ook een van de aangeboden methoden is, en gezichtsherkenning en/of een vingerafdruk is iets waar werknemers zelf voor kunnen kiezen om te gebruiken, verandert dat de zaak dan?
Dit is helemaal correct. Het Windows Hello for Business framework heeft meerdere methodes. Sterker nog, PIN is de enige gegarandeerde oplossing. Tenzij de camera onboard is van een tablet of laptop werkt gezichtsherkenning namelijk niet. Voor vinger afdrukken geld volgens mij hetzelfde. Er zijn iig niet veel PC’s waar een scanner bij zit.
Het argument dat gezichtsherkenning moet voor de beveiliging is ongeldig. Er zijn andere “phising resistant” MFA opties. Zo kan je ook iedereen een FIDO2 sleutel geven.
Maar zoals iemand hier boven stelde “werk je bij een nucleaire installatie”, gaat ook niet op. Phishing Resistant authenticatie middelen zijn echt niet voorbehouden voor dergelijke omgevingen, maar brood nodig in de beveiliging van elke IT omgeving, zelfs voor kleine bedrijven met 15-60 medewerkers. Het bestaansrecht van elk bedrijf is klanten. B2B of B2C maakt erbij niet uit. In het ene geval praat je over privacy gevoelige gegevens (Hoi Odido, lezen jullie me?), in het andere geval zit je in een supply-chain en kan jouw bedrijf bij een hack gebruikt worden als hefboom naar grotere spelers in de keten. NIS2 compliancy is echt een ding geworden, ook als je zelf niet rechtstreeks onder de AED valt.
Van alle biometrische oplossingen is WHfB verreweg de minst impact volle, en lokale oplossing, waarvan de informatie alleen op een aan jou als persoon toegekend bedrijfs apparaat is geplaatst, en die bij een wipe of reinstall volledig gewist wordt.
Of hier nou OR instemming voor nodig is… lijkt me toch spijkers op laag water zoeken. Installatie van een Microsoft Authenticator op een privé telefoon afdwingen is dan eerder een punt van discussie en zelfs daarvan is mijn persoonlijke mening dat die discussie veel te ver is doorgeslagen.
PIN is natuurlijk gewoon een ander woord voor een wachtwoord, met als idiote consequentie dat dat woord mensen verleidt een vier-cijferig nummer te gebruiken. Gelukkig is dat niet nodig, en kun je gewoon een fatsoenlijk lang wachtwoord met letters, cijfers en andere tekens gebruiken. Dus dat moet je gewoon ook doen.
Veilig inloggen kan ook zonder biometrische gegevens, dus Windows Hello is volgens mij niet per se nodig. Uit die gedachte komt bij mij dan de vraag op: wat de reden zou kunnen zijn om het toch verplicht te maken?
Ik haal die verplichting niet uit de vraagstelling. Er staat ‘wil mogelijk maken’.
De reden die ik vaak hoor, is veiligheid: wachtwoorden kunnen worden afgekeken, je gezicht of vinger niet. En het scheelt gedoe met 2FA. Niet volledig mee eens, maar ik gebruik zelf Hello om precies die reden, 2FA codes zijn gedoe.
Gezicht en vinger kunnen ook gewoon worden afgekeken, het is alleen iets moeilijker.
Echter, wanneer je gezicht of vinger eenmaal zijn afgekeken kun je die niet aanpassen zoals met een wachtwoord. Dan ben je gewoon de sjaak en kan de afkijker altijd in jouw spul inloggen en daar kun je niks aan doen.