Onbekend bedrijf dat vingerafdrukken scande

€ 50.000

Oorspronkelijk boetebedrag:€ 725.000

Reden voor verlaging:Bedrijf had na corona geen geld

Datum:30 april 2020

Overtreding:Vingerafdrukken verzamelen om werktijden te controleren

Overtreding van AVG-artikel(en):

Artikel 9, lid 1

In 2019 deelde de AP een AVG-boete uit van aanvankelijk 725.000 euro uit aan een bedrijf waarvan het de naam nooit bekend heeft gemaakt. Het bedrijf registreerde de aan- en afwezigheid en de inkloktijden van werknemers via een vingerafdrukscanner.

De AP kreeg in juli 2018 een tip dat het bedrijf vingerafdrukken verzamelde voor tijdregistraties. Het ging daarop langs bij het bedrijf en concludeerde dat dat inderdaad vingerafdrukken verzamelde van werknemers. Dat werd gedaan nadat die in dienst kwamen, en vervolgens moesten ze bij een machine langs om in en uit te klokken. De vingerafdrukken werden gebruikt om met aparte, niet benoemde software, bij te houden wanneer werknemers werkten en wanneer ze met verlof waren. Dat gebeurde bij zeker 337 werknemers, die allemaal vier vingerafdrukken af moesten geven.

Opvallend is ook dat het bedrijf gegevens bewaarde van werknemers die al uit dienst waren.

Wat zei het bedrijf?

Het bedrijf haalde meerdere redenen aan waarom het vingerafdrukken verzamelde. In het verleden werd er bijvoorbeeld gefraudeerd doordat medewerkers druppels aan elkaar doorgaven om mee in te klokken. Bovendien zijn vingerafdrukscanners goedkoper dan het continu aanschaffen van druppels.

Het bedrijf zei ook dat medewerkers niet verplicht waren om vingerafdrukken af te staan. Ze konden ook weigeren en in plaats daarvan toch een druppel gebruiken. Maar in dat geval moesten ze wel op gesprek bij de directeur van het bedrijf, waarop ze in de praktijk hun gegevens alsnog afstonden.

Nadat de AP in november 2018 op bezoek ging, stopte het bedrijf met het verzamelen van de gegevens. Het bedrijf deed dat, omdat het niet zeker wist of het de gegevens nog langer mocht registreren. In april 2019 had het bedrijf alle opgeslagen gegevens verwijderd.

Wat zei de AP?

Onder de AVG zijn biometrische gegevens 'bijzondere persoonsgegevens'. Dat betekent dat er strengere eisen gelden voor wanneer ze mogen worden verwerkt. Tijdregistratie is dat volgens de AP niet. "De AP is van oordeel dat het verwerken van biometrische gegevens in het kader van (het tegengaan van misbruik bij) tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur bij [het bedrijf] niet noodzakelijk en proportioneel is", schrijft de AP.

De boete

Het bedrijf overtrad volgens de AP artikel 9, eerste lid van de AVG. Daarin staat dat het verwerken van biometrische gegevens is verboden, maar er zijn wel een aantal uitzonderingen mogelijk waarop dat wel mag. Dat mag bijvoorbeeld als er 'een zwaarwegend algemeen belang' is. In Nederland is dat vastgelegd in artikel 29 van de UAVG. Daarin staat dat verwerking van biometrische gegevens is toegestaan als dat 'noodzakelijk is voor authenticatie of beveiligingsdoeleinden'. Dat is in dit geval niet aan de orde, zegt de AP.

De AP legde een opvallend hoge boete op voor de overtreding. In de boetebeleidsregels van de AP kan voor een categorie 4-boete een bedrag tussen de 450.000 en 1.000.000 euro worden opgelegd. De overtreding heeft een basisboete van 725.000, en daar koos de AP voor. "Gelet op het feit dat de overtreding ruim tien maanden heeft geduurd waarbij 337 betrokkenen zijn getroffen, is er sprake geweest van een ernstige situatie", zegt de AP. Het ging ook om ex-werknemers en de werknemers waren slecht geïnformeerd

Wat maakt deze zaak opmerkelijk?

Een paar zaken maken de zaak opmerkelijk. In de eerste plaats was het destijds de hoogste boete die tot dan toe onder de AVG werd uitgedeeld. Het was ook voor het eerst dat de AP precedent (en duidelijkheid) schiep over wanneer biometrische gegevens wel (en vooral niet) mogen worden gebruikt. Er kan bijvoorbeeld een uitzondering worden gemaakt voor authenticatie of beveiligingsdoeleinden, maar de AP concludeert hier duidelijk dat dat alleen mag als dat noodzakelijk en proportioneel is. Als voorbeeld daarvan noemt de AP een kerncentrale; daar ligt dus de lat, en dat zullen de meeste bedrijven nooit halen.

Verder merkt de AP op dat het bedrijf de vingerafdrukscanners in 2016 aanschafte. Die datum is belangrijk: toen trad die in werking, maar pas in mei 2018 werd die echt actief. De AP zegt dat het bedrijf zelf een verantwoordelijkheid had om toen al uit te zoeken of dat was toegestaan of niet. Maar in 2016 leefde de AVG nog vrijwel niet. Dat de AP daar nu zo streng over is, is opvallend.

Boete verlaagd

Het bedrijf tekende bezwaar aan tegen zowel de boete zelf als tegen de hoogte ervan. Het bedrijf bracht meerdere bezwaren aan, maar daar ging de AP allemaal niet in mee. Wel wijst het bedrijf erop dat het boetebedrag proportioneel moest zijn, maar dat het dat niet was. Het bedrijfsresultaat uit 2019 was gelijk aan het boetebedrag, en in 2020 was het zelfs negatief door de coronacrisis. Dat vond de AP genoeg reden om het boetebedrag te verlagen naar 50.000 euro.