Vingerscan in detailhandel: een stap te ver.

Onlangs deed de kantonrechter Amsterdam een uitspraak over een door schoenenzaak Manfield ten aanzien van het personeel ingevoerde vingerscan.

De situatie is als volgt. Manfield heeft een vingerscan autorisatiesysteem voor haar medewerkers ingevoerd. Zonder deze scan krijgen medewerkers geen toegang tot het kassasysteem.

Eén van de medewerkers gaat niet akkoord met het gebruik van de vingerscan. Zij stelt dat het om een biometrisch persoonsgegeven gaat. Op grond van de Algemene Verordening
Gegevensbescherming (AVG) is het zonder toestemming van de betrokkene verboden om unieke persoonsgegevens, waaronder biometrische, met het oog op de unieke identificatie te verwerken. Op grond van de uitvoeringswet AVG is een uitzondering mogelijk. Namelijk, als het verzamelen van biometrische gegevens noodzakelijk is voor zogenaamde authenticatie of beveiligingsdoeleinden. Daarbij gelden twee (strenge) voorwaarden:

 ·      Er dient een afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor de authenticatie of beveiligingsdoeleinden. De toelichting op de wet noemt als voorbeeld toegang die (zeer) beperkt dient te zijn voor personen die daartoe geautoriseerd zijn. De toelichting noemt als voorbeeldpersoneel van een kerncentrale.

·      De verwerking dient proportioneel te zijn. De toelichting noemt als voorbeeld de toegang tot een garage van een reparatiebedrijf. In zo'n situatie zal de noodzaak van beveiliging niet zodanig zijn dat werknemers met biometrie toegang dienen te krijgen. Aan de andere kant noemt de toelichting op de wet het voorbeeld van beveiliging van informatiesystemen die zelf veel persoonsgegeven bevatten en waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.

Manfield doet een beroep op het bedrijfsbelang. Namelijk, het voorkomen van frauduleus gedrag door de medewerkers. Het eerder gebruikte systeem met inlogcodes zou onvoldoende effectief zijn. De kantonrechter oordeelt dat dit bedrijfsbelang niet is aan te merken als noodzakelijk voor authenticatie of beveiligingsdoeleinden.

De kantonrechter merkt verder op dat hij ten aanzien van de proportionaliteit vragen heeft. In het filiaal waar de medewerkster werkt is geen andere vorm van beveiliging aanwezig. Verder blijkt niet dat Manfield alternatieven voldoende heeft onderzocht.

De slotsom: het is zeer de vraag of het gebruik van een vingerscan voor personeel (dat hier geen toestemming voor geeft) door de beugel kan. Op basis van de uitspraak van deze kantonrechter in elk geval niet. Het is mij niet bekend of Manfield hoger beroep heeft ingesteld. Maar de kans dat de rechter in hoger beroep anders zal oordelen lijkt mij niet groot. De lat ligt hoog om aan de wettelijke uitzonderingen op het verbod te voldoen.

Naast de in de toelichting op de wet genoemde situatie, waarin een uitzondering op het wettelijk verbod geldt (personeel kerncentrale), is voor een organisatie als luchthaven Schiphol een uitzondering denkbaar. Hier spelen immers bijzondere veiligheidsrisico's. Schiphol voert momenteel op kleine schaal, overigens met toestemming van de betreffende reizigers, een experiment uit met biometrisch boarden.

 Wilt u meer informatie of heeft u concrete vragen over dit onderwerp? Dan kunt u contact met mij opnemen via ns@windroosadvocatuur.nl, 06-20421687.

Deel via: