Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is precies hoe de AVG werkt: dingen mogen prima, als je er maar goed over nagedacht hebt en vooraf hebt onderbouwd waarom het op deze manier moet. Heb je niet nagedacht, dan mag het niet. Zoals hier.

De zaak was aangespannen* door een werknemer die het niet eens was met deze verwerking van bijzondere persoonsgegevens (biometrie) bij de Manfield-keten. Alle winkels werden voorzien van kassa’s met vingerafdruk-loginsystemen, dat verplicht moest worden gebruikt om te kunnen afrekenen. Volgens Manfield was dit nodig vanwege de gevoelige gegevens die in de kassa zitten: financiële gegevens, maar ook persoonsgegevens van personeel. En tsja, de AVG verplicht tot gebruik van passende state of the art technische beveiliging en zo’n pincodetje zoals vroeger, dat is natuurlijk wel een tikje verouderd he meneertje. (Oh pardon, ga ik weer met mijn AVG cynisme.)

(* Met compliment voor Manfield, dat er een gezamenlijke stap naar de kantonrechter van maakte om duidelijkheid te krijgen én de griffiekosten betaalde.)

Een iets serieuzere reden was zo te lezen dat er in de oude systemen nog wel eens fraude werd gepleegd, je kunt immers elkaars pincode afkijken en dan valse transacties onder elkaars account boeken – of een collega inloggen die eigenlijk nog niet op het werk was, en zo toch voor de hele dag betaald kan krijgen. Er was “nagedacht” over alternatieven zoals pasjes, maar dat bleek niet 100% waterdicht.

Vanuit de AVG zijn de regels rond biometrische systemen streng. Het mag niet, tenzij een land in de wet heeft staan dat het wel mag en waarom. In Nederland staat er (art. 29 UAVG) dat het mag als noodzakelijk voor beveiliging of authenticatie. “Noodzaak” wil hier niet zeggen “we hebben geen reëel alternatief” en dat vereist een uitwerking van zowel de problemen die je oplost met het biometrisch systeem (dit is waarom het moet) als van de risico’s en hun maatregelen voor de privacy van de werknemer (dit is hoe we het netjes houden). En die uitwerking ontbrak bij Manfield, en dan ben je gewoon direct af onder de AVG. Had Manfield op papier de alternatieven uitgewerkt met hun voors en tegens en was er dán uiteindelijk dit systeem uitgekomen, dan had het zeer waarschijnlijk wel gemogen.

Wie nu denkt dat biometrie überhaupt niet meer mag in Nederland, heeft er dus weinig van begrepen. Het is prima, maar werk uit waarom het moet, waarom de privacy desondanks gewaarborgd is (en hoe dan) en waarom alternatieven niet goed genoeg zijn. Bij een datacenter dat toegangsbeveiliging met irisscan of vingerafdrukken regelt, is dit bijvoorbeeld een zeer eenvoudige casus: het gaat om zeer waardevolle en kwetsbare systemen en gegevens (fysieke toegang tot hardware), er komen veel wisselende mensen en er is niet altijd menselijk toezicht, en het gaat om beperkte werkzaamheden. Dat zie ik dus niet als een probleem.

(Meelezende DC security officers: doe me alleen een lol en ga je bezoekers geen consentformulier laten tekenen voor vingerafdrukgebruik. Consent is voor nieuwsbrieven.)

Arnoud

Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud