Urenregistratie met vingerscan? - Van Oers Accountancy en Advies

Marco Schouwenaar

Manager juridisch advies

23 sep. `20

Veel organisaties hebben na invoering van de Algemene Verordening gegevensbescherming (AVG) maatregelen getroffen om aan de wetgeving te voldoen en ter voorkoming van een datalek. Toch bestaat er nog regelmatig onduidelijkheid of in voldoende mate de wetgeving wordt nageleefd. Indien uw organisatie gebruikmaakt van een kloksysteem waarbij vingerafdrukken worden gescand om werktijden te registreren bent u mogelijk in overtreding met deze wetgeving. Welke wettelijke beperkingen bestaan er op basis van de AVG indien er gebruik wordt gemaakt van het scannen van vingerafdrukken en wat kunt u doen om aan deze wetgeving te voldoen?

Bijzondere persoonsgegevens

De AVG categoriseert vingerafdrukken en andere biometrische gegevens onder bijzondere persoonsgegevens. Dit houdt in dat er strengere eisen gelden omtrent de opslag en verwerking van deze gegevens. Zelfs wanneer een medewerker nadrukkelijk toestemming verleent voor het gebruik van de vingerafdrukscan, hoeft dit nog geen geldige grondslag te zijn voor het verwerken van bijzondere persoonsgegevens.

Een organisatie mag deze bijzondere persoonsgegevens namelijk enkel gebruiken als daarvoor in de wet een uitzondering is. Op basis van de Uitvoeringswet Algemene Verordening Persoonsgegeven is dit enkel toegestaan indien dit noodzakelijk is voor beveiligingsdoeleinden, zoals toegang van gebouwen of ICT-systemen. Bij het gebruik van biometrische gegevens voor tijdsregistratie ontbreekt deze noodzaak.

Hoge boetes

Eerder dit jaar heeft de Autoriteit Persoonsgegevens (AP) een boete van 725.000 euro opgelegd aan een organisatie die vingerafdrukken van haar werknemers scande om werktijden te registreren. De organisatie overtrad bij de verwerking van deze biometrische gegevens de AVG. Zo werden onder andere gegevens van oud-werknemers zonder noodzaak langere tijd bewaard, was er geen passend alternatief en waren werknemers onvoldoende geïnformeerd over de verwerking. Dit resulteerde uiteindelijk in de hoogste boete die de AP ooit heeft opgelegd.

Bij het vaststellen van de boete houdt de AP rekening met de ernst, omvang en duur van de overtreding en of er sprake is van opzet of recidive. Daarnaast worden de financiële omstandigheden van de overtreder in acht genomen. De AVG onderscheidt twee categorieën van overtredingen en bijbehorende boetes:

Verplichtingen niet nakomen: Indien een verantwoordelijke (verwerker van persoonsgegevens) haar verplichtingen onder de AVG niet nakomt, zoals het bijhouden van een verwerkingsregister, kan de AP een boete opleggen van maximaal 10 miljoen euro, of indien dit bedrag hoger is, 2 procent van de totale wereldwijde jaaromzet van de onderneming.
Grondslagen overtreden: Indien een verantwoordelijke de beginselen, grondslagen of rechten van betrokkenen overtreedt, kan de AP een boete opleggen van maximaal 20 miljoen euro, of indien dit bedrag hoger is, 4 procent van de wereldwijde jaaromzet van de onderneming.

Voldoen aan de AVG

Is uw organisatie al op de hoogte van uw risico’s omtrent privacygevoelige gegevens? Weet u welke gegevens u verwerkt en is dit op de juiste manier gedocumenteerd? Van Oers organisatieadvies ondersteunt u graag, zodat ook uw organisatie voldoet aan de AVG.