Nieuws Cybersecurity

Recordboete voor bedrijf dat werktijden registreerde met vingerafdrukscanners

De Autoriteit Persoonsgegevens (AP) heeft een boete van 725.000 euro opgelegd aan een bedrijf dat vingerafdrukken van werknemers verzamelde. Het niet bij naam genoemde bedrijf deed dat om werktijden te registreren, maar dat was in strijd met de privacywetgeving. Het is de hoogste boete die de AP ooit heeft uitgedeeld.

Techredactie/Tweakers 4 mei 2020

Vingerafdrukscanner

Foto: Reuters

De AP ging na een tip langs bij het bedrijf en bevestigde dat daar meerdere ‘scanstations’ stonden waarop medewerkers hun tijdregistratie moesten doorgeven. Nieuwe werknemers moesten hun vingerafdruk bij aanvang van hun dienstverband afstaan, maar bestaande werknemers moesten die ook later nog registreren, schrijft het AD. De scans werden bij het bedrijf zelf opgeslagen. Van werknemers die uit dienst gingen, werden de gegevens niet verwijderd, maar wel geblokkeerd in het bijbehorende softwareprogramma.

Het bedrijf begon in januari 2017 met de scans, maar dat liep door tot november 2018. Toen was de Algemene Verordening Gegevensbescherming (AVG) al in werking getreden. In totaal zijn er sinds de invoering van de AVG 1348 vingerafdrukken van 337 werknemers opgeslagen.

Nadat de AP bij het bedrijf langs is gegaan, heeft het bedrijf de verzameling van gegevens stopgezet. Desondanks kreeg het bedrijf de boete. Daarmee lijkt het erop dat de AP niet eerst een waarschuwing heeft gestuurd aan het bedrijf, wat opvallend is. De Autoriteit Persoonsgegevens zegt vaak bijsturing en waarschuwingen te verkiezen boven boetes.

Het bedrijf meldt dat de vingerafdruk optioneel was voor de tijdregistratie. Het was ook mogelijk om met alleen een druppel in te klokken. Volgens het bedrijf hadden werknemers bovendien de keus hun vingerafdruk wel of niet af te staan. Daarvoor moesten ze echter in gesprek met de directeur van het bedrijf, wat in de praktijk amper voorkwam. ,,In de paar gevallen waarin dit voorgevallen is, heeft de werknemer na het gesprek met de directeur alsnog zijn of haar vingerafdruk afgegeven”, schrijft de AP.

Verplichting van werknemers

Werknemers zeiden ook verrast te zijn over het feit dat zij plotseling hun vingerafdruk moesten afstaan. Er waren geen goede documentaties of procedures over wat er gebeurde bij weigering. Werknemers konden daardoor geen uitdrukkelijke toestemming geven voor de opslag van hun vingerafdrukken. Sommigen van hen verklaren tegen de AP dat het gebruik verplicht was.

Met name dat laatste zat de AP dwars. Vingerafdrukken en andere biometrische gegevens zijn onder de AVG een ‘bijzonder persoonsgegeven’. Dat betekent dat er strengere eisen gelden voor de opslag van zulke data. Een van die eisen is dat iemand uitdrukkelijke toestemming moet geven voor het afstaan van de gegevens. Aan die eisen voldeed het bedrijf niet, zegt de toezichthouder nu. De AP spreekt van een ‘systematische en structurele inbreuk’ die ruim tien maanden duurde.

''De werknemers waren onvoldoen­de geïnfor­meerd over de verwerking en er staat niet vast dat zij toestem­ming hebben gegeven''

Autoriteit Persoonsgegevens

,,Het bedrijf heeft niet alleen de biometrische gegevens van huidige werknemers, maar ook van voormalige werknemers zonder noodzaak langere tijd bewaard”, schrijft de AP in het boetebesluit. ,,Bovendien waren de werknemers onvoldoende geïnformeerd over de verwerking en staat niet vast staat dat zij toestemming hebben gegeven.”

Kennis van AVG

De AP zegt dat het bedrijf de vingerafdrukscanners in oktober 2016 had afgenomen. Dat was ‘ruim na de publicatie van de AVG’. Het bedrijf had moeten weten dat vingerafdrukscanners niet zomaar toegestaan waren. ,,Van een professionele partij als dit bedrijf mag worden verwacht dat zij zich terdege van de voor haar geldende normen vergewist en deze naleeft.” Dat is opvallend. Tot kort vóór de inwerkingtreding van de wet in mei 2018 beklaagden veel bedrijven en sectoren zich over de onduidelijkheid van de regels, mede door het gebrek aan voorlichting van de Autoriteit Persoonsgegevens.

Het bedrag van 725.000 euro is het hoogste boetebedrag dat de AP tot nu toe heeft uitgedeeld. Het vorige record was toen de toezichthouder een boete van 500.000 euro gaf aan de tennisbond KNLTB. Het bedrijf heeft bezwaar gemaakt tegen de boete. Het is niet bekend om welk bedrijf het precies gaat. De Autoriteit Persoonsgegevens houdt die informatie op verzoek van de rechtbank geheim.

Alles over, voor én door ondernemers in je mailbox.

Ontvang twee keer per week onze nieuwsbrief met inspirerende ondernemersverhalen en informatieve artikelen.