Ga naar de inhoud
Nederland

7 ton boete voor gebruik vingerafdrukken personeel bij inklokken

Werknemers van het bedrijf moesten in- en uitklokken met hun vingferafdruk. Beeld © Getty

De Autoriteit Persoonsgegevens heeft een boete van 725.000 euro opgelegd aan een bedrijf dat medewerkers verplichtte om vingerafdrukken te scannen voor het in- en uitklokken.

Bedrijven en andere organisaties mogen niet zomaar vingerafdrukken gebruiken. Dat mag alleen als ze noodzakelijk zijn voor de beveiliging van zeer belangrijke gebouwen of computersystemen. Of ze moeten hun medewerkers expliciet om toestemming hebben gevraagd, die 'ondubbelzinnig, specifiek, geïnformeerd en vrij is'.

De Autoriteit Persoonsgegevens concludeert dat het bedrijf in kwestie aan beide uitzonderingsregels niet voldoet. Vanwege een uitspraak van de rechter mag de Nederlandse privacytoezichthouder de naam van het bedrijf niet bekend maken.

Privacyautoriteit
Lees ook
Privacyautoriteit kan drukte niet aan: grove privacyschendingen dreigen

Risico op identiteitsfraude

Biometrische gegevens zoals vingerafdrukken zijn uniek, omdat ze gebaseerd zijn op lichaamskenmerken. Dat maakt ze erg geschikt om iemands identiteit te checken, bijvoorbeeld voor een toegangscontrole. Naast vingerafdrukken kunnen organisaties gebruikmaken van iris- of netvliesscans, stemherkenning of gezichtsscans.

Het nadeel van deze gegevens is dat de gevolgen groot zijn wanneer ze in verkeerde handen vallen. "Dit kan leiden tot onherstelbare schade zoals chantage of identiteitsfraude", zegt Monique Verdier, vicevoorzitter van de AP. "Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan dat een leven lang een negatief effect hebben op iemand."

Volgens de autoriteit zijn er in veel gevallen goede alternatieven beschikbaar, waardoor een bedrijf geen biometrische gegevens hoeft te gebruiken voor zijn beveiliging.

Toezichthouder
Lees ook
Toezichthouder onderzoekt privacy bij thuisonderwijs

Medewerkers voelden zich verplicht

Verder wijst de AP erop dat een bedrijf wel toestemming kan vragen aan zijn medewerkers, maar dat deze medewerkers vaak afhankelijk zijn van hun werkgever. Zij zijn daardoor niet in de positie om toestemming te weigeren.

In dit specifieke geval heeft het bedrijf niet kunnen aantonen dat het expliciet toestemming heeft gekregen. Daarnaast werd duidelijk dat de medewerkers het vastleggen van hun vingerafdrukken als een verplichting ervoeren.

De onderneming heeft bezwaar gemaakt tegen het besluit van de AP.

Inschatten
Lees ook
Inschatten privacyrisico's nu verplicht bij vingerafdrukscanners