Yn dizze moderne tiid wêryn't wy hjoed libje, wurdt it hieltyd faker om fingerprinten te brûken as in middel foar identifikaasje, bygelyks: it ûntsluten fan in smartphone mei in finger scan. Mar wat oer privacy as it net mear fynt plak yn in privee saak wêr't bewust frijwilligens bestiet? Kin wurk-relatearre fingeridentifikaasje ferplicht wurde makke yn 'e kontekst fan feiligens? Kin in organisaasje in ferplichting oplizze oan har meiwurkers om har fingerprinten yn te leverjen, bygelyks foar tagong ta in befeiligingssysteem? En hoe hat sokke ferplichting te krijen mei de privacyregels?
Fingerprints as spesjale persoanlike gegevens
De fraach dy't wy ús hjir moatte freegje, is oft in fingerscan jildt as persoanlike gegevens yn 'e betsjutting fan' e Algemiene Regeling foar gegevensbeskerming. In fingerprint is in biometryske persoanlike gegevens dy't it resultaat is fan spesifike technyske ferwurking fan 'e fysike, fysiologyske as gedrachseigenskippen fan in persoan. [1] Biometryske gegevens kinne wurde beskôge as ynformaasje oangeande in natuerlike persoan, om't it gegevens binne dy't, troch har aard, ynformaasje leverje oer in bepaalde persoan. Troch biometryske gegevens lykas in fingerprint is de persoan te identifisearjen en kin ûnderskieden wurde fan in oare persoan. Yn artikel 4 AVG wurdt dit ek eksplisyt befestige troch de definysjebepalingen. [2]
Fingerprintidentifikaasje is in skending fan privacy?
It Kantongerjocht Amsterdam koartlyn oardiele oer de akseptabelheid fan in finger scan as identifikaasje systeem basearre op feiligens regeljouwing nivo.
De skuonwinkelketen Manfield brûkte autorisaasjesysteem foar finger scan, dat joech meiwurkers tagong ta in kassa.
Neffens Manfield wie it gebrûk fan fingeridentifikaasje de iennige manier om tagong te krijen ta it kassa-systeem. It wie ûnder oaren nedich om de finansjele ynformaasje en persoanlike gegevens fan meiwurkers te beskermjen. Oare metoaden wiene net mear kwalifisearre en gefoelich foar fraude. Ien fan 'e meiwurkers fan' e organisaasje makke beswier tsjin it gebrûk fan har fingerprint. Se naam dizze autorisaasjemetoade as in ynbreuk op har privacy, ferwizend nei artikel 9 fan 'e GDPR. Neffens dit artikel is it ferwurkjen fan biometryske gegevens foar it doel fan 'e unike identifikaasje fan in persoan ferbean.
Needsaak
Dit ferbod is net fan tapassing wêr't de ferwurking nedich is foar ferifikaasje as feiligensdoelen. It bedriuwsbelang fan Manfield wie ferlies oan ynkomsten te foarkommen troch frauduleus personiel. It kantonrjochtbank wegere it berop fan 'e wurkjouwer. De saaklike belangen fan Manfield makken it systeem net 'needsaaklik foar ferifikaasje as feiligensdoelen', lykas bepaald yn Seksje 29 fan 'e GDPR Implementation Act. Fansels is Manfield frij om op te treden tsjin fraude, mar dit kin net dien wurde yn striid mei de bepalingen fan 'e GDPR. Fierder hie de wurkjouwer har bedriuw gjin oare foarm fan befeiliging levere. Unfoldwaande ûndersyk waard útfierd nei alternative autorisaasjemethoden; tink oan it gebrûk fan in tagongspas of numerike koade, al dan net in kombinaasje fan beide. De wurkjouwer hie de foardielen en neidielen fan ferskillende soarten befeiligingssystemen net goed metten en koe net genôch motivearje wêrom't hy in spesifyk finger-scan-systeem foarkaam. Benammen om dizze reden hie de wurkjouwer net it wetlike rjocht om it gebrûk fan it autorisaasjesysteem foar fingerprint scannen op syn personiel te easkjen op basis fan 'e GDPR Implementation Act.
As jo ynteressearre binne yn it yntrodusearjen fan in nij befeiligingssysteem, sil it moatte wurde beoardiele as sokke systemen binne tastien ûnder de GDPR en de ymplemintaasjewet. As der fragen binne, nim dan kontakt op mei de advokaten op Law & More. Wy sille jo fragen beantwurdzje en jo juridyske bystân en ynformaasje jaan.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005