Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Internetrecht | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Beveiliging, Privacy | 27 reacties

iphone-vingerafdrukDeze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon.

Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn oude telefoon plaatsmaken voor een state-of-the-art smartphone. Vol met nieuwe snufjes, inclusief handige vingerafdruk scanner. Geweldig: geen gezeur meer met het onthouden en vegen van specifieke patronen of het intikken van een pincode. Alleen: wordt mijn vingerafdruk wel veilig opgeslagen? Hoe weet ik zeker dat mijn unieke afdruk niet gebruikt of doorgestuurd wordt naar een bepaalde app of leverancier?

De General Data Protection Regulation (GDPR) Aangezien ik een juridische achtergrond heb, begon ik mijn zoektocht bij wet- en regelgeving. Mijn startpunt was de nieuwe General Data Protection Regulation (GDPR, in het Nederlands ook wel de Privacyverordening) die in mei 2018 van kracht gaat samen met de huidige Wet bescherming persoonsgegevens (wbp). In vergelijking met de Wbp gaat er behoorlijk wat veranderen in 2018, waaronder de uitgangspunten omtrent het gebruik van biometrische gegevens.

Volgens de GDPR zijn alle biometrische gegevens bijzondere persoonsgegevens. De verwerking van biometrische gegevens is hiermee verboden, tenzij is voldaan aan een van de uitzonderingssituaties. Bovendien moet in het geval van een uitzonderingssituatie de verwerking van persoonsgegevens voldoen aan het subsidiariteit en proportionaliteit principe en aan strenge organisatorische en technische maatregelen.

Werp je een vlugge blik op de limitatief opgesomde uitzonderingen in de GDPR, dan lijkt het opslaan van biometrische gegevens ten behoeve van authenticatie door commerciële bedrijven hier niet direct onder te vallen. De meeste uitzonderingssituaties vallen namelijk binnen de publieke sector (zoals publieke gezondheid, werkgelegenheid en sociale veiligheid). Ik kan bijvoorbeeld geen situatie bedenken waarbij het gebruik van je vingerafdruk voor het ontgrendelen van je smartphone noodzakelijk is voor je werkgever.

Wettelijke uitzondering: toestemming De enige situatie waarin commerciële bedrijven wel biometrische persoonsgegevens mogen verwerken is de situatie waarin het datasubject expliciete toestemming heeft gegeven. Mijn mobiele telefoon mag dus mijn vingerafdruk gebruiken, omdat ik hiervoor expliciete toestemming heb gegeven. Of niet?

De vraag is namelijk of mijn toestemming wel expliciet genoeg was. Je kunt je namelijk, net zoals bij cookies, afvragen wanneer er sprake is van expliciete toestemming. Zoals ik al zei was ik bij ingebruikname vooral gedreven door het voor mij nieuwe en interessante technologische snufje. Ik dacht op het moment van instellen niet na over mogelijke gevolgen voor mijn privacy. Ik heb bovendien nergens zien staan wat er precies met mijn vingerafdruk gebeurt. Heeft de fabrikant nu ook mijn vingerafdruk in een database staan?

Toestemming of niet? Op basis hiervan zou ik dus kunnen beargumenteren dat ik geen expliciete toestemming hebben gegeven. Ik heb immers niet alle consequenties afgewogen. Door het gebrek aan informatie was dit bovendien ook niet echt mogelijk. De fabrikant daarentegen zou kunnen zeggen dat ik een keuze heb gehad. Het was namelijk ook mogelijk om mijn smartphone niet te beveiligen, of om enkel een wachtwoord of patroontje te gebruiken. Doordat ik toch heb gekozen voor mijn vingerafdruk, zou de fabrikant kunnen zeggen dat ik expliciet toestemming heb gegeven.

Wie heeft er nu gelijk? Ik weet het niet. Ik denk wel dat dit vraagstuk een stuk makkelijker wordt wanneer de biometrische gegevens versleuteld worden opgeslagen. Als je dit doet, zijn de data immers niet meer direct herleidbaar tot een natuurlijke persoon. In de GDPR staat bovendien dat persoonsgegevens data zijn die direct of indirect herleidbaar is tot een geïdentificeerd of identificeerbaar persoon. Maakt de versleutelmethode de data onherleidbaar tot een persoon? Dan is de kans groot dat deze data niet meer als persoonsgegeven te bestempelen zijn. De GDPR is dan niet meer van toepassing.

Toekomst Er zijn tegenwoordig legio van functionaliteiten te verzinnen waarbij biometrische gegevens gebruikt kunnen worden om de gebruiker te authenticeren. Continuous authentication kijkt bijvoorbeeld niet meer naar fysieke kenmerken, maar ‘leert’ van het gedrag van de gebruiker. Op basis van deze informatie kan de applicatie bijvoorbeeld bepalen om de toegang van de gebruiker te blokkeren, of extra bewijs te vragen, als zijn handelingen te veel afwijken van hoe de gebruiker normaliter acteert. Ook dit soort informatie valt binnen de GDPR onder bijzondere persoonsgegevens. In mijn situatie is het gebruik van een vingerafdruk nog redelijk behapbaar en is het uitleggen aan de gebruiker wat er met deze gegevens gebeurt nog vrij eenvoudig. In het kader van zelflerende techniek wordt dat een behoorlijke uitdaging.

De toekomst van biometrische authenticatiemethoden is enigszins onzeker. De GDPR lijkt immers enkele barrières op te werpen die het gebruik van biometrische authenticatiemethoden kunnen vertragen of tegenhouden. De lat voor het verkrijgen van expliciete toestemming lijkt namelijk steeds hoger te worden. Voor mij zal de regeling in de GDPR voor het verwerken van biometrische gegevens geen directe gevolgen hebben. Ik zal nog steeds elke dag blij zijn dat het zo makkelijk is om mijn telefoon met mijn vingerafdruk te ontgrendelen. Of mijn toestemming nou expliciet was of niet.

Xinthia Krielaart is Associate Advisory bij Everett B.V. Dit is een advies- en systeemintegratiebureau dat gespecialiseerd is in digitale identiteiten. Xinthia heeft een achtergrond in Privaatrecht en in Communicatie. Haar interesses liggen op het vlak van IT en dataprotectie.