Hoge boete voor bedrijf dat vingerafdrukken gebruikte voor registeren werktijden

De Autoriteit Persoonsgegevens (AP) heeft een hoge boete opgelegd aan een bedrijf dat vingerafdrukken van werknemers verzamelde om zo werktijden te registreren. Het gaat om een bedrag van 725.000 euro. Het bedrijf wordt niet bij naam genoemd.

Door Rose-Marie Mühren

In januari 2017 begon het bedrijf met ‘scanstations’ waarop medewerkers hun tijdregistratie moesten doorgeven en dit liep door tot november 2018. De Algemene Verordening Gegevensbescherming (AVG) was toen al in werking getreden. Sinds de invoering van de AVG zijn er bij het bedrijf 1.348 vingerafdrukken van 337 werknemers opgeslagen. De gegevens van werknemers die uit dienst gingen, werden geblokkeerd, maar niet verwijderd uit het softwareprogramma.

De AP is na een tip langsgegaan bij het bedrijf. Naar aanleiding van dit bezoek heeft het bedrijf de verzameling van gegevens stopgezet. Toch heeft het bedrijf een boete gekregen. De AP zegt waarschuwingen vaak te verkiezen boven boetes, maar in dit geval dus niet.

Keuze of verplichting?

Het bedrijf heeft aangegeven dat werknemers de keuze hadden hun vingerafdruk wel of niet af te staan. Ze moesten daarvoor echter wel in gesprek met de directeur van het bedrijf en dat gebeurde weinig. Werknemers waren verrast over het feit dat zij opeens hun vingerafdruk moesten afstaan. Ze konden geen uitdrukkelijke toestemming geven voor de opslag van hun gegevens, want er waren geen goede procedures over wat er gebeurde bij weigering. Een aantal werknemers heeft aan de AP verklaard dat de vingerafdruk verplicht was.

Strenge eisen

De AVG stelt strenge eisen aan de opslag van vingerafdrukken en andere biometrische gegevens, omdat het ‘bijzondere persoonsgegevens’ zijn. Uitdrukkelijke toestemming van de persoon die de gegevens afstaat is een van die eisen. De toezichthouder heeft aangegeven dat het bedrijf niet aan die strenge eisen voldoet. Het ging volgens de AP om een ‘systematische en structurele inbreuk’. De werknemers waren onvoldoende geïnformeerd en het staat niet vast dat zij toestemming hebben gegeven, aldus de AP. Daarnaast zijn ook gegevens van voormalige werknemers bewaard, ’terwijl daar geen noodzaak voor was’.

Omdat de vingerafdrukscans ruim na de publicatie van de AVG zijn afgenomen, had het bedrijf als professionele partij moeten weten dat dit niet zomaar was toegestaan, zo redeneert de AP. De boete van 725.000 euro is de hoogste boete die de AP tot nu toe heeft uitgedeeld.