Een organisatie kan haar werknemers verzoeken om hun vingerafdruk te gebruiken om bijvoorbeeld het bedrijfspand in te komen of een kassa te openen. Maar de werkgever mag zo’n systeem met vingerscan niet zomaar verplichten. Onlangs heeft de kantonrechter in Amsterdam een oordeel geveld over een vingerscan-autorisatiesysteem dat een werkneemster van een schoenenketen moest gebruiken om toegang te krijgen tot een kassasysteem.

Zonder de vingerafdruk zou de werkneemster het systeem niet in kunnen en zou zij haar kassawerkzaamheden niet kunnen uitvoeren. Volgens de kantonrechter maakte de werkgever in dit geval een ‘ongeoorloofde inbreuk’ op de privacy van het personeel.

Vingerafdruk is bijzonder persoonsgegeven

De werkgever had het vingerscansysteem ingevoerd als vervanger van een systeem waarbij werknemers een persoonsgebonden code moesten invoeren. De werkneemster uit deze zaak was de enige die zich verzette tegen het gebruik van een vingerafdruk voor het kassasysteem. Volgens de werkneemster maakte het nieuwe autorisatiesysteem inbreuk op haar privacyrechten omdat een vingerafdruk een biometrisch gegeven is. Dit valt onder de bijzondere persoonsgegevens, die de werkgever op basis van de Algemene verordening gegevensbescherming (AVG) in principe niet mag verwerken. Er zou in deze situatie geen uitzondering gelden die de privacyinbreuk rechtvaardigde.

Werkgever vindt gebruik vingerafdruk noodzakelijk

Volgens de werkgever was het gebruik van het vingerscan-autorisatiesysteem (dat overigens ook voor urenregistratie werd ingezet) juist noodzakelijk, onder andere om (gevoelige) financiële informatie en persoonsgegevens van werknemers en klanten te beveiligen. Het vorige systeem met codes was niet langer geschikt als beveiligingsmiddel. Bovendien zou het nieuwe systeem minder fraudegevoelig zijn. De werkgever zag geen geschikt, minder ingrijpend alternatief.

Onvoldoende onderzoek naar alternatieven

De kantonrechter verwierp het beroep van de werkgever op het bedrijfsbelang (omzetderving door fraude tegengaan). Dit type bedrijfsbelang maakte het systeem niet ‘noodzakelijk voor authenticatie- of beveiligingsdoeleinden’, zoals in de Uitvoeringswet AVG is bepaald voor de uitzondering op het verbod op de verwerking van biometrische gegevens. Bovendien had de werkgever het filiaal van de werkneemster op geen enkele andere wijze van beveiliging voorzien.

Verder volgde de rechter het argument van de werkneemster dat de werkgever alternatieve autorisatiemethodes onvoldoende had onderzocht. De werkgever toonde niet met een zorgvuldige afweging van voors en tegens van verschillende systemen waarom hij voor de vingerscan had gekozen. En dus mocht de werkgever op basis van de (U)AVG in dit geval het gebruik van het vingerscan-autorisatiesysteem niet verplichten.

Rechtbank Amsterdam, 12 augustus 2019, ECLI (verkort): 6005