Een bedrijf dat via een biometrische prikklok de vingerafdrukken van werknemers verwerkte heeft van de Autoriteit Persoonsgegevens een AVG-boete van 725.000 euro gekregen. Het bedrijf, waarvan de rechter bepaalde dat de naam niet openbaar mag worden, gebruikte het biometrische systeem naar eigen zeggen om misbruik bij het in- en uitklokken tegen te gaan.
Daarnaast zouden er praktische voordelen voor medewerkers zijn. Die hoefden geen "druppel" (tag) meer aan te schaffen waarmee ook kon worden in- en uitgeklokt of zouden het apparaatje kunnen verliezen. De vingerscanapparatuur was sinds begin 2017 aanwezig en bevatte de vingerafdrukken van 337 huidige en voormalige werknemers. Deze gegevens werden bij uitdiensttreding niet verwijderd. In de arbeidsovereenkomst was geen informatie opgenomen over het gebruik van vingerafdrukken. Daarnaast kon het bedrijf niet aantonen dat het uitdrukkelijke toestemming vroeg voor het afnemen van vingerafdrukken en het gebruik van de vingerscans.
De Autoriteit Persoonsgegevens trof ook geen bewijs aan dat medewerkers voor het afnemen of gebruik van de vingerafdrukken toestemming hadden gegeven of dit hadden geweigerd. "Medewerkers tekenen slechts voor ontvangst van een druppel. Sommige medewerkers gaven aan dat het laten inscannen van de vingerafdruk verplicht was en er geen toestemming was gevraagd", zo laat de toezichthouder weten. Verschillende medewerkers lieten weten dat als het inscannen van de vingerafdruk werd geweigerd, er een gesprek met de directeur of het bestuur volgde, waardoor in de praktijk iedereen zijn of haar vingerafdruk liet inscannen. Daardoor hadden medewerkers geen vrije keuze, stelt de toezichthouder.
Volgens de Autoriteit Persoonsgegevens zijn biometrische gegevens, zoals een vingerafdruk, bijzondere persoonsgegevens. Organisaties mogen bijzondere persoonsgegevens niet gebruiken, tenzij daarvoor in de wet een uitzondering is. In dit geval zouden er twee uitzonderingen op het verbod kunnen zijn. Namelijk als het bedrijf medewerkers om toestemming had gevraagd of wanneer het gebruik van biometrische gegevens noodzakelijk was voor authenticatie of beveiligingsdoeleinden.
Beide uitzonderingen waren volgens de toezichthouder niet van toepassing op het bedrijf. Door het onrechtmatig verwerken van bijzondere persoonsgegevens heeft het bedrijf de AVG overtreden. De Autoriteit Persoonsgegevens legde hiervoor een boete op van 725.000 euro. De hoogste boete die de AP tot nu toe voor het overtreden van de AVG heeft opgelegd. Het bedrijf, dat tegen de boete bezwaar heeft gemaakt, was sinds 8 november 2018 zelf al gestopt met het vastleggen en opslaan van de vingerafdrukken van nieuwe medewerkers. De al eerder opgeslagen vingerafdrukken van zowel huidige als voormalige medewerkers zijn vorig jaar april verwijderd.
"Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand", zegt Monique Verdier, vicevoorzitter van de AP.
Deze posting is gelocked. Reageren is niet meer mogelijk.