Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Internetrecht | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud

Verdachte doet aangifte van dreiging en dwang bij ontgrendelen smartphone

| AE 9515 | Strafrecht | 39 reacties

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om zijn vingers te breken. Dat is natuurlijk onrechtmatig, maar iets fundamenteler is wel de vraag of je móet meewerken aan het vingerafdrukken ter ontgrendelen van je telefoon.

Het is een vast principe dat je geen wachtwoorden of pincodes hoeft te geven als verdachte. Dat valt onder het recht niet gedwongen te mogen worden om tegen jezelf te getuigen. Maar dat gaat alleen over dingen die je wéét. Dingen die je hébt, mag Justitie gerust afpakken en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt. Of je telefoon leegtrekken, waar genoeg speciale apparatuur voor is.

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Wat is nu het veiligdste slot op je telefoon dat tevens praktisch bruikbaar is?

Arnoud

Hoe bindend is een bestelling met je moeders duim?

| AE 9164 | Webwinkels | 14 reacties

Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone, las ik in SFgate. Ze ontgrendelde de telefoon door haar moeders duim te gebruiken terwijl die sliep. Gelukkig voor het verhaal bleek de order retourneerbaar, maar het riep bij mij wel de juridische vraag op: zit je er aan vast als ouder, als je kind zo een bestelling plaatst?

Een kind van zes kan niet rechtsgeldig een overeenkomst sluiten met een winkel natuurlijk. Tenzij je zegt dat het normaal is voor zesjarigen om voor 250 dollar aan speelgoed te kopen (art. 1:234 lid 2 BW). Daar verandert het gebruik van moeders duim -of pincode, of lijst met TAN-codes, of portemonnee- niets aan. De ouders kunnen die transactie onder Nederlands recht dus zonder enig probleem terugdraaien.

Lastig wordt het alleen wel als de winkel zegt “Nee, niet het kind maar u de ouder heeft die bestelling geplaatst, het was immers uw telefoon waarmee de betaling werd geautoriseerd”. Bij dit soort bestellingen zal de bestelinformatie immers op naam van de vader of moeder staan, en inderdaad is er een betaalmiddel van de ouder gebruikt. De bal ligt dan bij de ouder in kwestie om te bewijzen dat het niet haar was maar het kind dat op die knop drukte. En dat lijkt me nog knap ingewikkeld.

In het verleden hebben we deze discussie ook gehad bij gebruik van ouderlijke creditcards, of smartphones waar recent de pincode nog was ingevoerd. Juridisch maakt het weinig verschil dat nu een vingerafdruk is gebruikt. De bewijsproblematiek wordt er volgens mij niet wezenlijk anders van. Hoe toon je aan dat je kind jouw duim pakte, dat is hetzelfde als hoe je aantoont dat je kind jouw creditcard overtypte of jouw telefoon gebruikte binnen de 20 minuten voordat de pincode weer gevraagd wordt.

Verschil in de praktijk is natuurlijk wel dat je bij die andere betaalmiddelen iets kunt doen. Je creditcard kan in een afgesloten tas. Je telefoon kun je handmatig vergrendelen. Je TAN-codes kun je op een hoge plank leggen. Maar wat doe je met je duim als je in slaap valt? Dit schijnt sleepjacking te heten, en volgens mij is het nog best lastig om dat probleem met biometrische authenticatie op te lossen.

Arnoud

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Beveiliging, Privacy | 27 reacties

Deze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon. Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn… Lees verder

Europese Hof: overheid mag vingerafdruk in paspoort verplichten

| AE 6045 | Privacy | 72 reacties

De overheid mag burgers verplichten hun vingerafdruk af te geven bij het aanvragen van een identiteitskaart, las ik bij Tweakers. Een Duitse burger had bezwaar gemaakt tegen deze eis, en de Duitse rechter vroeg daarop aan het Europese Hof hoe dat nu eigenlijk zit met vingerafdrukken binnen het Europese privacyrecht. Het Hof bepaalt nu dat… Lees verder