Dat lijkt vooral handig – tenzij u een snee in uw vinger hebt natuurlijk – maar er zit ook een andere kant aan het verhaal. Als u een vingerafdruk gebruikt voor bijvoorbeeld toegangsverlening dan heeft u een hoop huiswerk te doen. Anders kunt u grote problemen krijgen met de Autoriteit Persoonsgegevens (AP) en die is gerechtigd om erg hoge boetes op te leggen.
Hoe zit dat precies?
Sinds mei 2018 hebben we te maken met de Algemene Verordening Persoonsgegevens (AVG). Onder de AVG is het gebruik van persoonsgegevens gereguleerd of soms zelfs verboden. Dat verbod geldt in principe voor de zogenaamde bijzondere persoonsgegevens wanneer zij worden gebruikt bij identificatie.
Bij bijzondere gegevens kun je denken aan biometrische gegevens zoals een vingerafdruk, de iris- of netvliesscan, stemherkenning en de gezichtsscan. Op dat verbod zijn wel uitzonderingen gemaakt. Zo kan het gebruik noodzakelijk worden geacht in verband met een zwaarwegend belang of is het gebruik toegestaan als u toestemming hebt van degene om wiens biometrische gegeven het gaat.
Welke noodzaak?
Het is nog niet zo gemakkelijk om onder de uitzondering te vallen. De wetgever gebruikt als voorbeeld van noodzaak de beveiliging van een kerncentrale. Het gemiddelde bedrijf, zeker de gemiddelde supermarkt, is natuurlijk onvergelijkbaar met een kerncentrale. De kans dat u zich succesvol kunt beroepen op deze uitzonderingsgrond is dus vrijwel uitgesloten.
Even goede vrienden?
Toestemming van uw werknemer is ook niet zonder problemen. Toestemming is onder de AVG alleen geldig als er sprake is van echt vrijelijk gegeven toestemming. Aangezien er in werkgever-werknemer relatie sprake is van hiërarchie en afhankelijkheid geldt dat toestemming alleen vrijelijk is gegeven als de keuze geen nadelen kent voor de werknemer. Ook moet de werknemer bij het geven van zijn toestemming weten waar hij toestemming voor geeft.
Als hij of zij geen toestemming wil geven voor het gebruik van een vingerafdruk dan moet dat kunnen. Er moet dus naast de vingerafdruk een mogelijkheid zijn om bijvoorbeeld met een pasje en/of toegangscode te werken en kiest de werknemer daarvoor dan hoort te gelden: ‘even goede vrienden’. Dat is misschien duurder en minder veilig, maar zonder die mogelijkheid is toestemming niets waard. Vergeet ook niet dat u de toestemming achteraf moet kunnen aantonen en dat deze te allen tijde kan worden ingetrokken.
DPIA verplicht!
Hebt u die toestemming binnen dan bent u er nog niet, want de AP heeft eind november 2019 besloten dat voor het gebruik van onder andere biometrische gegevens vooraf een DPIA moet worden gemaakt. DPIA staat voor een ‘Data Protection Impact Assessment’; in het Nederlands ook wel gegevensbeschermingseffectbeoordelingsrapportage genoemd. Voordat je de biometrische gegevens gaat gebruiken moet u zo’n rapport hebben opgemaakt.
In onze praktijk doen we dit ook voor supermarkten en brengen we in het rapport de privacyrisico’s van de gegevensverwerking in kaart, zodat er volgens maatregelen kunnen worden genomen om de beschreven risico’s te verkleinen. Helaas heeft lang niet iedereen dit stukje huiswerk gedaan. Dat is misschien begrijpelijk, want ik ken geen ondernemer die hier warm van wordt.
Het is alleen wel duur als de AP zich er mee gaat bemoeien. Het onrechtmatig gebruik van biometrische gegevens valt in de zwaarste boetecategorie. Dat leidde onlangs tot een boete van € 725.000 en dat is zonde van de corona-omzet.
Deze blog is geschreven door Arnold Vedder, retailadvocaat bij BVD Advocaten