Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

| AE 11437 | Ondernemingsvrijheid, Privacy | 18 reacties

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is precies hoe de AVG werkt: dingen mogen prima, als je er maar goed over nagedacht hebt en vooraf hebt onderbouwd waarom het op deze manier moet. Heb je niet nagedacht, dan mag het niet. Zoals hier.

De zaak was aangespannen* door een werknemer die het niet eens was met deze verwerking van bijzondere persoonsgegevens (biometrie) bij de Manfield-keten. Alle winkels werden voorzien van kassa’s met vingerafdruk-loginsystemen, dat verplicht moest worden gebruikt om te kunnen afrekenen. Volgens Manfield was dit nodig vanwege de gevoelige gegevens die in de kassa zitten: financiële gegevens, maar ook persoonsgegevens van personeel. En tsja, de AVG verplicht tot gebruik van passende state of the art technische beveiliging en zo’n pincodetje zoals vroeger, dat is natuurlijk wel een tikje verouderd he meneertje. (Oh pardon, ga ik weer met mijn AVG cynisme.)

(* Met compliment voor Manfield, dat er een gezamenlijke stap naar de kantonrechter van maakte om duidelijkheid te krijgen én de griffiekosten betaalde.)

Een iets serieuzere reden was zo te lezen dat er in de oude systemen nog wel eens fraude werd gepleegd, je kunt immers elkaars pincode afkijken en dan valse transacties onder elkaars account boeken – of een collega inloggen die eigenlijk nog niet op het werk was, en zo toch voor de hele dag betaald kan krijgen. Er was “nagedacht” over alternatieven zoals pasjes, maar dat bleek niet 100% waterdicht.

Vanuit de AVG zijn de regels rond biometrische systemen streng. Het mag niet, tenzij een land in de wet heeft staan dat het wel mag en waarom. In Nederland staat er (art. 29 UAVG) dat het mag als noodzakelijk voor beveiliging of authenticatie. “Noodzaak” wil hier niet zeggen “we hebben geen reëel alternatief” en dat vereist een uitwerking van zowel de problemen die je oplost met het biometrisch systeem (dit is waarom het moet) als van de risico’s en hun maatregelen voor de privacy van de werknemer (dit is hoe we het netjes houden). En die uitwerking ontbrak bij Manfield, en dan ben je gewoon direct af onder de AVG. Had Manfield op papier de alternatieven uitgewerkt met hun voors en tegens en was er dán uiteindelijk dit systeem uitgekomen, dan had het zeer waarschijnlijk wel gemogen.

Wie nu denkt dat biometrie überhaupt niet meer mag in Nederland, heeft er dus weinig van begrepen. Het is prima, maar werk uit waarom het moet, waarom de privacy desondanks gewaarborgd is (en hoe dan) en waarom alternatieven niet goed genoeg zijn. Bij een datacenter dat toegangsbeveiliging met irisscan of vingerafdrukken regelt, is dit bijvoorbeeld een zeer eenvoudige casus: het gaat om zeer waardevolle en kwetsbare systemen en gegevens (fysieke toegang tot hardware), er komen veel wisselende mensen en er is niet altijd menselijk toezicht, en het gaat om beperkte werkzaamheden. Dat zie ik dus niet als een probleem.

(Meelezende DC security officers: doe me alleen een lol en ga je bezoekers geen consentformulier laten tekenen voor vingerafdrukgebruik. Consent is voor nieuwsbrieven.)

Arnoud

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was met het beginsel dat je niet tegen jezelf hoeft te getuigen, maar de rechtbank vindt dat onterecht.

In Nederland is niet expliciet geregeld dat opsporingsambtenaren vingers mogen zetten op sensors waarmee apparatuur van verdachten wordt ontgrendeld. Er is wel een algemene regel dat vingerafdrukken mogen worden genomen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt, schreef ik in 2013. De rechter lijkt het nu met me eens te zijn, getuige de simpele opmerking dat

Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal wat onafhankelijk van de wil van verdachte bestaat en wat zonder zijn medewerking zou kunnen worden verkregen (…)

Complicatie was nog dat tegen de verdachte was gezegd “geef je pincode of ik forceer je vinger op de telefoon en unlock ‘m zo”. Het vragen om pincodes is wezenlijk anders, dat is wél een getuigenis die je dan vraagt. Het doet raar aan, want je hebt als agent gewoon de bevoegdheid om een vingerafdruk fysiek af te nemen als de verdachte tegenstribbelt. Dus waarom dan vragen om pincodes?

Maar omdat hier het ontgrendelen met de vinger wél legaal mogelijk was, ziet de rechtbank deze vraag niet als een verplichting om te getuigen tegen jezelf. Zeg maar hetzelfde als “zeg waar de huissleutel ligt of ik knal de deur open met deze stormram”.

Arnoud

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

| AE 10911 | Privacy | 12 reacties

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu… Lees verder

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Informatiemaatschappij | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland): I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me? (Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst… Lees verder

Verdachte doet aangifte van dreiging en dwang bij ontgrendelen smartphone

| AE 9515 | Regulering | 39 reacties

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om… Lees verder

Hoe bindend is een bestelling met je moeders duim?

| AE 9164 | Ondernemingsvrijheid | 14 reacties

Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone, las ik in SFgate. Ze ontgrendelde de telefoon door haar moeders duim te gebruiken terwijl die sliep. Gelukkig voor het verhaal bleek de order retourneerbaar, maar het riep bij mij wel de juridische vraag op: zit je er aan vast als ouder,… Lees verder

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Privacy, Security | 27 reacties

Deze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon. Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn… Lees verder