Een werkgever handelde in strijd met de wettelijke regels omtrent de privacybescherming van zijn werknemers door gebruik te maken van de vingerafdruk van zijn werknemers, omdat de noodzaak voor het gebruik van die gegevens niet was aangetoond en het belang van het gebruik van die vingerafdruk niet de inbreuk op de privacy van de werknemer rechtvaardigde.
Een winkelketen die zich bezig houdt met de verkoop van schoenen had een nieuw kassasysteem ingevoerd, waarbij de werknemers zich dienden te identificeren door het invoeren van een vingerafdruk op een scanapparaat. Eén werkneemster beklaagde zich vervolgens over de inbreuk op haar privacy die daarmee wordt gemaakt. Omdat de winkelketen en de werkneemster het niet eens kunnen worden over de vraag of die inbreuk op de privacy in overeenstemming is met de wet, besluiten zij die vraag samen op basis van vrijwilligheid voor te leggen aan de kantonrechter te Amsterdam. Zij zien daarbij op voorhand af van het instellen van hoger beroep.
De kantonrechter overweegt allereerst dat de toepasselijke wet in dit geval de Algemene verordening gegevensbescherming van de Europese Unie is (AVG). Die verordening heeft rechtstreekse werking in alle lidstaten van de Europese Unie. Alleen voor zover dat door de AVG is toegestaan, kunnen lidstaten in nationale wetgeving daarvan afwijken, zoals in Nederland is gebeurd in de Uitvoeringswet AVG.
De scan van een vingerafdruk is volgens de kantonrechter een persoonsgegeven in de zin van de AVG omdat daarmee een persoon kan worden geïdentificeerd. De AVG bevat een verbod voor het verwerken van zogenaamde “biometrische gegevens”, zoals gezichtsafbeeldingen en vingerafdrukgegevens. Maar de AVG kent vervolgens een aantal uitzonderingen op dit verbod, waaronder het geval waarin toestemming is verleend voor het verwerken van biometrische gegevens. Die toestemming had de werkneemster in dit geval echter nu juist niet verleend. De werkgever had er ook niet om gevraagd en had eenvoudigweg besloten het nieuwe kassasysteem met de vingerscan in te voeren.
De AVG laat ook toe dat de lidstaten van de Europese Unie in nationale wetgeving een uitzondering op het verbod tot het verwerken van biometrische gegevens toestaan in het geval van de uitoefening van specifieke rechten van de werkgever, maar dan moet wel zijn voorzien in passende waarborgen voor de belangen van de werknemer. De Nederlandse Uitvoeringswet AVG voorziet vervolgens in een dergelijke uitzondering voor de unieke identificatie van een persoon, als dat noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. De vraag is nu of die uitzondering in dit geval van toepassing is.
Uit de wetsgeschiedenis blijkt dat de wetgever heeft gedacht aan een uitzondering voor de toegang tot bijvoorbeeld een kerncentrale, maar niet tot bijvoorbeeld de garage van een reparatiebedrijf. Maar de wetgever had ook erkend dat beveiliging van informatiesystemen die veel persoonsgegevens bevatten tegen onrechtmatige toegang door werknemers, een voorbeeld was waarin het gebruik van biometrische gegevens zou zijn toegestaan. De uitzondering op het verbod van het gebruik van biometrische gegevens moet volgens de wetgever noodzakelijk zijn voor de authenticatie en het feit dat biometrische gegevens worden gebruikt moet proportioneel zijn in verhouding tot het doel van het gebruik van die gegevens.
De winkelketen had aangevoerd dat de scan van de vingerafdruk noodzakelijk was ter voorkoming van fraude door werknemers en dat het gebruik van een persoonlijke code om toegang tot de kassa te krijgen in de praktijk onvoldoende was gebleken omdat de codes ook door collega’s bleken te worden gebruikt. Ook kon de code worden afgekeken bij het intoetsen daarvan. Een pas zou ook niet voldoende zekerheid bieden, omdat ook de pas door een collega kan worden gebruikt.
Maar de kantonrechter is niet overtuigd door het aldus door de werkgever gestelde belang bij het gebruik van de biometrische gegevens. De winkelketen had volgens de kantonrechter niet aangegeven waarom niet een combinatie van de pas en een code zou kunnen worden gebruikt. En het belang van het voorkomen van fraude wordt door de kantonrechter onvoldoende geacht voor een uitzondering op het verbod tot gebruik van biometrische gegevens, omdat de winkelketen verder nauwelijks maatregelen heeft getroffen ter voorkoming van derving van de omzet, zoals cameratoezicht of alarmpoortjes bij de uitgang. De kantonrechter oordeelt daarom dat het gebruik van de scan van de vingerafdruk in dit geval in strijd is met de AVG en de Uitvoeringswet AVG.