image

Werkgever moet alternatief voor biometrische prikklok bieden

donderdag 29 maart 2018, 15:52 door Redactie, 15 reacties

Werkgevers die van een biometrische prikklok gebruikmaken moeten een alternatief bieden als werknemers hun vingerafdruk niet willen afstaan. Dat heeft staatssecretaris Van Ark van Sociale Zaken op Kamervragen van SP-Kamerleden Jasper van Dijk en Alkaya laten weten.

De vragen werden gesteld naar aanleiding van een inkloksysteem van fabrikant Dyflexis waarmee medewerkers via een vingerafdruk kunnen in- en uitklokken. De Kamerleden wilden weten of werknemers verplicht kunnen worden door een werkgever om hun vingerafdrukken af te staan, als dit niet vanwege veiligheidsvoorschriften noodzakelijk is. "Op grond van de privacy-wetgeving is dat niet waarschijnlijk", antwoordt Van Ark. Ze wijst naar de AVG waarin een verbod is opgenomen wat betreft het verwerken van biometrische gegevens voor de unieke identificatie van een persoon, tenzij de persoon daar nadrukkelijk toestemming voor heeft gegeven of als dit via nationale wetgeving is afgedwongen.

In de Uitvoeringswet Algemene verordening gegevensbescherming is een uitzondering opgenomen dat het verwerken van biometrische gegevens is toegestaan als dit voor authenticatie of beveiligingsdoeleinden noodzakelijk is. Bijvoorbeeld om toegang tot gebouwen of systemen te krijgen. "Het vastleggen van de biometrische gegevens moet voorts proportioneel zijn en noodzakelijk voor de toegangscontrole", antwoordt de staatssecretaris. Ze merkt verder op dat het gebruik van vingerafdrukken van een werknemer voor andere doelen dan authenticatie en beveiligingsdoeleinden niet is toegestaan. "Overigens is het aan de Autoriteit persoonsgegevens en uiteindelijk aan de rechter om te beoordelen of in een specifiek geval van verwerking van biometrische gegevens rechtmatig wordt gehandeld", stelt Van Ark.

Volgens de staatssecretaris is het niet toegestaan dat medewerkers niet uitbetaald krijgen als zij weigeren hun vingerafdruk af te staan. Wanneer een werknemer niet zijn vingerafdruk wil afstaan moet een werkgever een alternatief bieden. "Het gaat hier immers om gebruik dat niet te maken heeft met authenticatie vanwege beveiligingsdoeleinden." Van Ark merkt op dat het systeem van Dyflexis een alternatief voor de vingerafdruk biedt, namelijk het scannen van een pas van de werknemer.

Reacties (15)
29-03-2018, 16:34 door Anoniem
Zou mevrouw van Ark het verschil snappen tussen fingerprint en fingerscan technologie ? Immers kan je een biometrische prikklok hebben die enkele kenmerken van je vingerafdruk op slaat, voor identificatie *zonder* dat er sprake is van het afstaan van je gehele vingerafdruk aan je werkgever.
29-03-2018, 16:46 door Anoniem
Dit heeft volgens de AVG (Hoofdstuk 3 Beginselen- Artikel 6 Rechtmatigheid van de verwerking- lid 1.b t/m 1.f)

1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)
de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b)
de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c)
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d)
de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e)
de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f)
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is..

Bron: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL

Conclusie
Zoals in het artikel al wordt vermeld kunnen ze het niet hard maken dat ze vingerafdrukken MOETEN hebben van de werknemers als dat niet NOODZAKELIJK is. Oftewel rechtmatigheid en doelbinding.
29-03-2018, 16:51 door Anoniem
Door Anoniem: Zou mevrouw van Ark het verschil snappen tussen fingerprint en fingerscan technologie ? Immers kan je een biometrische prikklok hebben die enkele kenmerken van je vingerafdruk op slaat, voor identificatie *zonder* dat er sprake is van het afstaan van je gehele vingerafdruk aan je werkgever.
Een vingerprint of scan maken beide gebruik van een biometrisch gegeven, namelijk je vingerafdruk. Dit is direct te herleiden tot een natuurlijk persoon en dus een bijzonder persoonsgegeven.
29-03-2018, 16:57 door Anoniem
Door Anoniem: Zou mevrouw van Ark het verschil snappen tussen fingerprint en fingerscan technologie ? Immers kan je een biometrische prikklok hebben die enkele kenmerken van je vingerafdruk op slaat, voor identificatie *zonder* dat er sprake is van het afstaan van je gehele vingerafdruk aan je werkgever.

1) Zou de betreffende werkgever het verschil weten?
2) En hoe denk je dat de werknemer dit kan controleren? Op de blauwe ogen van de werkgever en/of de leverancier vertrouwen?

Het lijkt mij persoonlijk inderdaad nogal buitenproportioneel.
29-03-2018, 17:06 door Anoniem
Door Anoniem: Zou mevrouw van Ark het verschil snappen tussen fingerprint en fingerscan technologie ? Immers kan je een biometrische prikklok hebben die enkele kenmerken van je vingerafdruk op slaat, voor identificatie *zonder* dat er sprake is van het afstaan van je gehele vingerafdruk aan je werkgever.

volgens mij vallen beiden evident onder 'het vastleggen van biometrische gegevens'... Dus het verschil is irrelevant.
29-03-2018, 17:48 door karma4 - Bijgewerkt: 29-03-2018, 17:54
Expliciet bij het ap en bij de avg gdpr opgenomen dat biometrische gegevens voor autenticatie doeleinden is toegestaan. Valt onder geaccepteerde normale zaken.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

Een vingerscan is wel biometrisch maar de vraag is of het een bijzonder persoonsgegeven is. Een naw is dat niet.
Zou van ark ook gaan beweren dat het registreren van een bsn door werkgevers fiancials zorg opleidingen niet correct is?
29-03-2018, 17:53 door Anoniem
Door Anoniem: Zou mevrouw van Ark het verschil snappen tussen fingerprint en fingerscan technologie ? Immers kan je een biometrische prikklok hebben die enkele kenmerken van je vingerafdruk op slaat, voor identificatie *zonder* dat er sprake is van het afstaan van je gehele vingerafdruk aan je werkgever.
Dat is een irrelevant verschil. Immers, die vingerafdrukken laat je overal achter dus is het vrij triviaal ze na te maken dus kan je ook speculatief gevonden vingerafdrukken met de database matchen; de machinerie geeft de naam er gratis bij, en dan is de privacy nog steeds geschonden.
29-03-2018, 20:26 door Anoniem
In dit geval is denk ik de enige oplossing de plaatsing van een tourniquette waar iedereen doorheen moet en welke open gaat met een pasje. Dan is de werkgever van het probleem van het opslaan van de gegevens verlost en kan hij toch ieder personeelslid controleren aan de hand van een pasje.
29-03-2018, 21:08 door karma4
Door Anoniem:
Dat is een irrelevant verschil. Immers, die vingerafdrukken laat je overal achter dus is het vrij triviaal ze na te maken dus kan je ook speculatief gevonden vingerafdrukken met de database matchen; de machinerie geeft de naam er gratis bij, en dan is de privacy nog steeds geschonden.
een belangrijke verschil aangezien je met een beveiliger in de buurt niet kan zien of er met pasjes gerommeld wordt maar wel of er geknoeid wordt bij de vingerscanner. De beste biometrische invulling is een biometrische herkent stem gezicht en afwijkend gedrag opereert zelfstandig. Is wel wat duurder dan elektronica.
30-03-2018, 10:48 door Anoniem
Door karma4:
Door Anoniem:
Dat is een irrelevant verschil. Immers, die vingerafdrukken laat je overal achter dus is het vrij triviaal ze na te maken dus kan je ook speculatief gevonden vingerafdrukken met de database matchen; de machinerie geeft de naam er gratis bij, en dan is de privacy nog steeds geschonden.
een belangrijke verschil aangezien je met een beveiliger in de buurt niet kan zien of er met pasjes gerommeld wordt maar wel of er geknoeid wordt bij de vingerscanner. De beste biometrische invulling is een biometrische herkent stem gezicht en afwijkend gedrag opereert zelfstandig. Is wel wat duurder dan elektronica.
Het is weer prachtig om te zien dat iedereen *of* in de "welles/nietes" mode (kijk eens welke URL ik heb gevonden), *of* in de "dit is de oplossing" mode schiet (met andere techniek is het beter).

Waarom? Het artikel geeft aan dat onze staatssecretaris een onderbouwd antwoord heeft, en dat je niet biometrische gegevens mag verwerken tenzij XYZ, en een prikklok valt niet onder XYZ

Ik lees graag discussies maar laat die dan over iets uit het artikel gaan. Dus niet over "de ene biometrische techniek is beter dan de andere", ze worden namelijk volgens de staatssecretaris allemaal uitgesloten.
De nu relevante vraag is volgens mij: is de staatssecretaris wel/niet correct, en WAAROM. Dat waarom zou ik dan graag van een jurist horen en niet van iemand die op Internet wetteksten vindt en op eigen creatieve manier interpreteert, of van mensen die iets "vinden" zonder onderbouwing.

Q
30-03-2018, 12:44 door Anoniem
Door karma4:
Door Anoniem:
Dat is een irrelevant verschil. Immers, die vingerafdrukken laat je overal achter dus is het vrij triviaal ze na te maken dus kan je ook speculatief gevonden vingerafdrukken met de database matchen; de machinerie geeft de naam er gratis bij, en dan is de privacy nog steeds geschonden.
een belangrijke verschil aangezien je met een beveiliger in de buurt niet kan zien of er met pasjes gerommeld wordt maar wel of er geknoeid wordt bij de vingerscanner.
Als je het handig aanpakt zijn beide niet te zien. Als jij denkt van wel, maak maar aannemelijk.

De beste biometrische invulling is een biometrische herkent stem gezicht en afwijkend gedrag opereert zelfstandig. Is wel wat duurder dan elektronica.
Totdat je een keer verkouden en/of met een slok op op het werk komt. Dus nee, "meer biometrie" is geen oplossing. Biometrie is geen oplossing. Het is vooral een soortement van hollywooddenken.
30-03-2018, 13:19 door Anoniem

Conclusie
Zoals in het artikel al wordt vermeld kunnen ze het niet hard maken dat ze vingerafdrukken MOETEN hebben van de werknemers als dat niet NOODZAKELIJK is. Oftewel rechtmatigheid en doelbinding.

Jawel hoor: gerechtvaardigd belang, lid f. Werkgever stelt dat het nodig is om bedrijfsgeheimen of toegang tot netwerk af te schermen. Belang van werknemer valt mee, want de afdruk zelf wordt niet opgeslagen, alleen de kenmerken om de werknemer te herkennen. Ben je het er niet mee eens, dan kun je bij de AP je beklag doen. Dat zal je bedrijf zeer waarderen.

Wat mij betreft was het verbod op gebruik van biometrie uit artikel 9 prachtig, tot het om zeep werd geholpen door de uitvoeringswet. De rechtspraak zal uitwijzen of in welke gevallen er inderdaad nog sprake is van een gerechtvaardigd belang, en waar de grens ligt.
31-03-2018, 13:53 door SPer
Door karma4: Expliciet bij het ap en bij de avg gdpr opgenomen dat biometrische gegevens voor autenticatie doeleinden is toegestaan. Valt onder geaccepteerde normale zaken.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

Een vingerscan is wel biometrisch maar de vraag is of het een bijzonder persoonsgegeven is. Een naw is dat niet.
Zou van ark ook gaan beweren dat het registreren van een bsn door werkgevers fiancials zorg opleidingen niet correct is?
Goede plaats om naar te verwijzen hier kan je bij de FAQ een antwoord terugvinden welke luid:
Is er een andere mogelijkheid, die minder ingrijpend is voor de privacy van de werknemers? Bijvoorbeeld het gebruik van een toegangspas? Dat moet uw werkgever eerst nagaan. Alleen als uw werkgever het doel niet op een andere manier kan bereiken, is er sprake van noodzaak.
Bovenstaande gaat over vingerafdrukken. Dus niet een geaccepteerde methode maar een bijzondere methode alleen toegestaan als er geen ander middel is. Daar een toegangspas ook gebruikt kan worden is het dus geen noodzaak
31-03-2018, 14:35 door karma4
Door Anoniem:
De beste biometrische invulling is een biometrische herkent stem gezicht en afwijkend gedrag opereert zelfstandig. Is wel wat duurder dan elektronica.
Totdat je een keer verkouden en/of met een slok op op het werk komt. Dus nee, "meer biometrie" is geen oplossing. Biometrie is geen oplossing. Het is vooral een soortement van hollywooddenken.
Ik beschreef de menselijke beveiliger bewaker van vlees en bloed, zelf is die geheel biometrisch, zijn herkenningsmethodiek heeft de biometrie als basis. Dat is hoe een mens functioneert. Dat is tevens het referentiekader voor wat de techniek moet zien te evenaren.

Als je het handig aanpakt zijn beide niet te zien. Als jij denkt van wel, maak maar aannemelijk.
Het gebruik van passen is niet te zien door de bewaking een foto naam is gewoon niet herkenbaar op 3 meter afstand, zeker niet als het als normaal gebruik gaat. Ik spreek uit ervaring met de bekendheid van beleidsregels en de praktijk.

Vingerscans.... Wat meer zeker is dat enkel user/password geen behoorlijke security is. hangen stickers op de terminals dan gaan we uit ons dak dat het fout is. Kan er niet behoorlijk gewerkt worden omdat de technologie blkokkeerd dan gaan anderen uit hun dak.
https://www.nytimes.com/2017/04/10/technology/fingerprint-security-smartphones-apple-google-samsung.html

Waarom? Het artikel geeft aan dat onze staatssecretaris een onderbouwd antwoord heeft, en dat je niet biometrische gegevens mag verwerken tenzij XYZ, en een prikklok valt niet onder XY
De staatssecretaris is onderdeel van de wetgevende macht nit de rechterlijke of handhavende. In dit geval is de GDRP leidend en heeft de staatssecretaris of minister zelfs als wetgever een ondergeschikkte rol. Ook zij moeten zeggen aan wetten houden. Artikel 9 https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=EN zegt weinig, zelfs een pasfoto op een pas valt er onder, een naam op die pas is ook al een persoonsgegeven.

Het zegt weinig omdat het vraagstuk identificatie authenticatie niet opgenomen richtlijn/wet dat is een wel gerechtvaardigd belang. SIS2 is alleen voor overheden (paspoort) https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?
uri=CELEX:32016D1345&from=EN.
Als je zou beweren dat een werkgever niet mag weten wie voor hem werkt en dat hij geen opdrachten tot het werk mag uitvoeren en niet mag zien hoe het werk uitgevoerd wordt, dan zie je pas het vraagstuk wat opgelost moet worden.
01-04-2018, 03:48 door Anoniem
Door Anoniem: Zou mevrouw van Ark het verschil snappen tussen fingerprint en fingerscan technologie ? Immers kan je een biometrische prikklok hebben die enkele kenmerken van je vingerafdruk op slaat, voor identificatie *zonder* dat er sprake is van het afstaan van je gehele vingerafdruk aan je werkgever.

waar ik werkte had je ook een biometrische prikklok, en je gehele vingerafdruk stond opgeslagen in de computersysteem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.