Het verwerken van bijzondere persoonsgegevens in een werkomgeving, hoe ver mag je gaan?

Het verwerken van bijzondere persoonsgegevens in een werkomgeving, hoe ver mag je gaan?
Jeroen Tegelaar

Veel organisaties verwerken persoonsgegevens van hun werknemers. Deze zijn noodzakelijk om bijvoorbeeld het salaris uit te betalen. Een werkgever mag niet zomaar allerlei persoonsgegevens verzamelen maar moet hierbij onder meer een afweging maken of de verwerking voldoet aan de beginselen die in art. 5 van de Algemene verordening gegevensbescherming (AVG) worden gesteld. Eén van deze beginselen is rechtmatigheid van de verwerking. Organisaties moeten ervoor zorgen dat ze de wet niet overtreden met hun procedures voor het verwerken van gegevens (rechtmatigheid), en dat ze niets verbergen aan hun betrokkenen, in dit geval de werknemer, anders is men niet transparant: een ander verwerkingsbeginsel.

Een ander belangrijk beginsel is minimale gegevensverwerking. Organisaties mogen alleen persoonsgegevens verwerken als dit noodzakelijk is voor een specifiek verwerkingsdoel. Dit betekent dat wanneer er een meer privacy-vriendelijke oplossing is dat hetzelfde doel bereikt, dus met minder persoonsgegevens, de organisatie voor deze methode dient te kiezen.

Biometrische gegevens & AVG
Wanneer een organisatie niet aan deze beginselen en andere bepalingen uit de AVG voldoet, overtreedt zij mogelijk de wet. Dit is onlangs gebeurd bij een organisatie die vingerafdrukken van werknemers, dus biometrische gegevens, verwerkte voor tijdsregistratie. De Autoriteit Persoonsgegevens heeft een boete opgelegd van €725.000.

Welke les kunt u hieruit trekken?
Het is van belang om altijd op de hoogte te zijn van de verwerkingen die plaatsvinden binnen uw organisatie en of deze in lijn zijn met de AVG en andere nationale wetgeving. De organisatie in kwestie heeft namelijk onvoldoende nagedacht over de verwerking van biometrische gegevens. Biometrische gegevens gebruikt voor identificatie zijn namelijk een bijzondere categorie persoonsgegevens in de AVG. In het algemeen zijn biometrische gegevens persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedrag gerelateerde kenmerken van een persoon. Met deze gegevens kan mogelijk men de identiteit van een persoon achterhalen (identificatie) ofwel bevestigen (verificatie) tijdens de authenticatie.

Bijzondere persoonsgegevens zijn verboden om te verwerken en mogen enkel worden verwerkt wanneer er uitzonderingen van toepassing zijn. Volgens art. 29 uit de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Boete Autoriteit Persoonsgegevens
Op 30 april jl. heeft de Autoriteit Persoonsgegevens een nieuwsbericht gepubliceerd dat zij een organisatie een boete hebben gegeven vanwege niet-naleving van de AVG en de UAVG. Er zijn verschillende redenen waaruit blijkt dat de organisatie in overtreding was.

Ten eerste is het verwerken van vingerafdrukken (biometrische gegevens) met als doel voor tijdsregistratie, geen rechtmatig doel volgens de UAVG. Het doeleinde voor deze verwerking was om misbruik van het inklokken door andere collega’s tegen te gaan. Het verwerken van deze biometrische gegevens is dus niet noodzakelijk voor beveiliging ofwel authenticatie doeleinden. Zelfs als er sprake van één van deze twee doeleinden is, dan moet de werkgever een weloverwogen afweging maken of hetgeen wat beveiligd dient te worden, zo goed moet worden beveiligd dat daar biometrische gegevens voor nodig zijn.

Ten tweede zijn er andere manieren, minder privacy-invasieve manieren, voor de werkgever om tijdsregistratie van werknemers te verwerken. Denk hierbij aan een pasjessysteem of tag met een extra code.

Ten derde werd er geen geldige verwerkingsgrondslag gevonden door de Autoriteit Persoonsgegevens. Volgens de organisatie werd er om toestemming gevraagd, echter stelt de Autoriteit Persoonsgegevens dat er geen toestemming was verkregen. Daarnaast was de verwerking ook niet vermeld in een arbeidsovereenkomst of intern geldend beleid. Toestemming in een werkgevers – werknemersrelatie is meestal niet geldig omdat er sprake is van een onevenwichtige machtsrelatie; de werknemers heeft niet echt een “vrije keuze”: een essentieel element voor een geldige toestemming.  De organisatie kon niet aantonen dat er sprake was van uitdrukkelijke toestemming en het nemen van de vingerafdrukken werd als verplicht ervaren, omdat weigering niet mogelijk was.

Verantwoordingsplicht
Met andere woorden, de organisatie voldeed niet aan de verantwoordingsplicht. De AVG legt namelijk de verantwoordelijkheid bij u als organisatie om aan te tonen dat u voldoet aan de wet- en regelgeving. Hierdoor dwingt de AVG dat u goed nadenkt over hoe uw organisatie persoonsgegevens verwerkt. Indien men een Data Protection Impact Assessment (ofwel in het Nederlands: gegevensbeschermingseffectbeoordeling) had gedaan, dan had de werkgever kunnen vaststellen dat de vingerafdruk voor tijdsregistratie hier niet het meest gepaste middel was om het doel te bereiken.

In de meeste situaties is het duidelijk welke persoonsgegevens u mag verwerken. Maar het kan zo zijn dat u een nieuwe verwerking wilt starten, of een product aan het ontwikkelen bent, waarbij u niet zeker weet of u alle beginselen en bepalingen uit de AVG heeft meegenomen. Daarom kan het handig zijn om een procesbeschrijving te maken voor uw register van de verwerkingsactiviteiten, een risicoanalyse uit te voeren of wanneer wettelijk verplicht een Data Protection Impact Assesment.

Over Marloes
Marloes de Bruin is adviseur privacy, security & datamanagement bij CRANIUM Nederland. Ze is voor diverse organisaties het aanspreekpunt voor privacy vraagstukken, organiseert ze bewustwordingscampagnes voor privacy en security voor scholen en bedrijven en doet onderzoek naar smart cities en het gebruik van artificial intelligence in de publieke ruimte.