image

Bedrijf krijgt AVG-boete van 725.000 euro voor verwerken vingerafdrukken personeel

donderdag 30 april 2020, 11:02 door Redactie, 23 reacties
Laatst bijgewerkt: 30-04-2020, 15:11

Een bedrijf dat via een biometrische prikklok de vingerafdrukken van werknemers verwerkte heeft van de Autoriteit Persoonsgegevens een AVG-boete van 725.000 euro gekregen. Het bedrijf, waarvan de rechter bepaalde dat de naam niet openbaar mag worden, gebruikte het biometrische systeem naar eigen zeggen om misbruik bij het in- en uitklokken tegen te gaan.

Daarnaast zouden er praktische voordelen voor medewerkers zijn. Die hoefden geen "druppel" (tag) meer aan te schaffen waarmee ook kon worden in- en uitgeklokt of zouden het apparaatje kunnen verliezen. De vingerscanapparatuur was sinds begin 2017 aanwezig en bevatte de vingerafdrukken van 337 huidige en voormalige werknemers. Deze gegevens werden bij uitdiensttreding niet verwijderd. In de arbeidsovereenkomst was geen informatie opgenomen over het gebruik van vingerafdrukken. Daarnaast kon het bedrijf niet aantonen dat het uitdrukkelijke toestemming vroeg voor het afnemen van vingerafdrukken en het gebruik van de vingerscans.

De Autoriteit Persoonsgegevens trof ook geen bewijs aan dat medewerkers voor het afnemen of gebruik van de vingerafdrukken toestemming hadden gegeven of dit hadden geweigerd. "Medewerkers tekenen slechts voor ontvangst van een druppel. Sommige medewerkers gaven aan dat het laten inscannen van de vingerafdruk verplicht was en er geen toestemming was gevraagd", zo laat de toezichthouder weten. Verschillende medewerkers lieten weten dat als het inscannen van de vingerafdruk werd geweigerd, er een gesprek met de directeur of het bestuur volgde, waardoor in de praktijk iedereen zijn of haar vingerafdruk liet inscannen. Daardoor hadden medewerkers geen vrije keuze, stelt de toezichthouder.

Volgens de Autoriteit Persoonsgegevens zijn biometrische gegevens, zoals een vingerafdruk, bijzondere persoonsgegevens. Organisaties mogen bijzondere persoonsgegevens niet gebruiken, tenzij daarvoor in de wet een uitzondering is. In dit geval zouden er twee uitzonderingen op het verbod kunnen zijn. Namelijk als het bedrijf medewerkers om toestemming had gevraagd of wanneer het gebruik van biometrische gegevens noodzakelijk was voor authenticatie of beveiligingsdoeleinden.

Beide uitzonderingen waren volgens de toezichthouder niet van toepassing op het bedrijf. Door het onrechtmatig verwerken van bijzondere persoonsgegevens heeft het bedrijf de AVG overtreden. De Autoriteit Persoonsgegevens legde hiervoor een boete op van 725.000 euro. De hoogste boete die de AP tot nu toe voor het overtreden van de AVG heeft opgelegd. Het bedrijf, dat tegen de boete bezwaar heeft gemaakt, was sinds 8 november 2018 zelf al gestopt met het vastleggen en opslaan van de vingerafdrukken van nieuwe medewerkers. De al eerder opgeslagen vingerafdrukken van zowel huidige als voormalige medewerkers zijn vorig jaar april verwijderd.

"Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand", zegt Monique Verdier, vicevoorzitter van de AP.

Reacties (23)
30-04-2020, 11:17 door Anoniem
Iets wat je voor paar tientjes hebt gekocht via Aliexpress kost je zo 725.000.
30-04-2020, 11:58 door Anoniem
Wat, wacht even, de werkgever verwacht van de werknemers dat ze een "druppel" (wat dat ook moge zijn) aan te schaffen ten behoeve van het bedrijf? Die gasten hebben een beetje rare kijk op zakendoen.

Overigens zijn vingerafdrukken [x] Ongeschikt als authenticatie wegens triviaal na te maken en onvervangbaar dus die uitzondering mag uit de wet verdwijnen.
30-04-2020, 12:34 door Anoniem
Leuk zo'n boete maar uiteindelijk betaalt de consument dit weer door een prijs verhoging van het product, wat schieten we daar dan mee op?
30-04-2020, 12:41 door karma4
Toch wel weer typsich: "Monique Verdier, vicevoorzitter van de AP: 'Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. " het bewijs leveren van de juiste persoon als authenticatie wordt door het AP niet begrepen.
Daarmee begeeft het AP zich op het hellend vlak naar faciliteren van onwettelijke situaties.
Ben benieuwd hoe de zaak bij de rechter zal lopen. De eis naar eenvoudige MFA authenticatie in het dagelijks gebruik is hoog.
Passwords zijn per definitie niet echt veilig.
30-04-2020, 12:46 door johanw
waarvan de rechter bepaalde dat de naam niet openbaar mag worden
Waarom dat nu weer niet? Gezien het boetebedrag vermoed ik dat het Dirk van den Broek is, die is eerder in het nieuws gekomen met dergelijke systemen.
Door karma4:het bewijs leveren van de juiste persoon als authenticatie wordt door het AP niet begrepen.
Het mag niet, punt. Het kleine risico dat iemand voor een ander klokt zodat die nog wat langer pauze kan nemen moet het bedrijf maar op een andere manier opvangen.
30-04-2020, 13:16 door karma4
Door johanw: Het mag niet, punt. Het kleine risico dat iemand voor een ander klokt zodat die nog wat langer pauze kan nemen moet het bedrijf maar op een andere manier opvangen.
Het mag niet net zoals stoommachines niet mogen. Het idee komt van het AP niet vanuit de GDPR. Dat is een probleem op zich. https://ec.europa.eu/growth/tools-databases/dem/monitor/sites/default/files/Biometrics%20technologies_v2.pdf
Lees even: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf
30-04-2020, 13:31 door DDK - Bijgewerkt: 30-04-2020, 13:33
Door karma4:
Door johanw: Het mag niet, punt. Het kleine risico dat iemand voor een ander klokt zodat die nog wat langer pauze kan nemen moet het bedrijf maar op een andere manier opvangen.
Het mag niet net zoals stoommachines niet mogen. Het idee komt van het AP niet vanuit de GDPR. Dat is een probleem op zich. https://ec.europa.eu/growth/tools-databases/dem/monitor/sites/default/files/Biometrics%20technologies_v2.pdf
Lees even: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf

Euhh karma4; leuk die PDF's en jou statement dat onze AP met het idee gekomen zou zijn, maar mag ik je wijzen op artikel 9 van de GDPR:

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited.

https://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personal-data-GDPR.htm

DDK
30-04-2020, 13:40 door Anoniem
Door karma4: Passwords zijn per definitie niet echt veilig.
Ik zie dat niet in de definitie zitten, dus als je dit hard wil maken, doe je best.
30-04-2020, 13:42 door Anoniem
Door DDK:
Door karma4:
Door johanw: Het mag niet, punt. Het kleine risico dat iemand voor een ander klokt zodat die nog wat langer pauze kan nemen moet het bedrijf maar op een andere manier opvangen.
Het mag niet net zoals stoommachines niet mogen. Het idee komt van het AP niet vanuit de GDPR. Dat is een probleem op zich. https://ec.europa.eu/growth/tools-databases/dem/monitor/sites/default/files/Biometrics%20technologies_v2.pdf
Lees even: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf

Euhh karma4; leuk die PDF's en jou statement dat onze AP met het idee gekomen zou zijn, maar mag ik je wijzen op artikel 9 van de GDPR:

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited.

https://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personal-data-GDPR.htm

DDK
Sowieso is het AP de door deze wet expliciet aangewezen handhavende instantie. Het AP houdt zich daarmee aan de wet en is in veel gevallen ook de wet. Eindeloos geroeptoeter dat ze zich boven de wet zouden begeven is daarmee absurd en toont ook dat de materie geenszins beheersd wordt.
30-04-2020, 13:44 door Anoniem
Door Anoniem: Wat, wacht even, de werkgever verwacht van de werknemers dat ze een "druppel" (wat dat ook moge zijn) aan te schaffen ten behoeve van het bedrijf? Die gasten hebben een beetje rare kijk op zakendoen.

Een 'druppel' is de nickname die mensen geven aan een elektronische tag .
Zo gebruikelijk dat bedrijven en verkopers die dingen ook zo noemen :

https://www.nfc-nederland-shop.nl/tags/druppel/
https://www.cardvision.nl/winkel/mifare-1k-druppel-tag-25-stuks/
30-04-2020, 13:48 door karma4
Door DDK: Euhh karma4; leuk die PDF's en jou statement dat onze AP met het idee gekomen zou zijn, maar mag ik je wijzen op artikel 9 van de GDPR: ..
DDK
Je lees inderdaad wat, maar helaas niet alles. Voor authenticatiedoeleinden prima. State of the art technologie is ook genoemd in de GDPR maar vermijd je om een wonderlijke reden. Het is een vereiste om niet bij verouderde aannames te blijven hangen.
Deze dan: https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/authentication-methods.

Het probleem blijft dat je niet alles bij voorbaat kan benoemen in goed of fout.
Met het idee dat het AP alles wel zelf kan bepalen richtlijnen handhaving en rechtspraak glijden ze af naar een big brother.
30-04-2020, 14:08 door User2048 - Bijgewerkt: 30-04-2020, 14:09
Door karma4: Je lees inderdaad wat, maar helaas niet alles. Voor authenticatiedoeleinden prima.

De AP zegt: "Nederland heeft in de UAVG bijkomende voorwaarden hierover vastgesteld. Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden." De crux zit in "noodzakelijk". Je moet als werkgever aantonen dat er geen andere manier is om je beveiliging goed genoeg te regelen. Voor een kerncentrale is biometrische toegangscontrole wel toegestaan, voor een gewoon kantoorgebouw niet.
Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie?qa=vingerafdruk



Met het idee dat het AP alles wel zelf kan bepalen richtlijnen handhaving en rechtspraak glijden ze af naar een big brother.

Dat heet niet "big brother", maar "autoriteit". De AP heeft de wettelijke opdracht om richtlijnen op te stellen. En hun opdracht is ook om big brother-situaties nou juist te voorkomen. Bijvoorbeeld door werkgevers die zich als big brother gedragen een boete op te leggen.
30-04-2020, 14:08 door Anoniem
Door Anoniem: Leuk zo'n boete maar uiteindelijk betaalt de consument dit weer door een prijs verhoging van het product, wat schieten we daar dan mee op?

Wat stel je voor? Bedrijven helemaal geen boetes meer laten betalen en ze hun gang maar laten zijn? Boetes zijn effectief omdat de concurrenten van dit bedrijf deze niet hoeven te betalen en hun diensten dus goedkoper kunnen leveren. Dat gaat dus ook niet ten koste van de concurrent. Het bedrijf kan zichzelf uit de markt prijzen of de winst verlagen en dan doet het wel pijn bij wie er over de besluiten gaat.
30-04-2020, 14:24 door karma4
Door User2048:
Dat heet niet "big brother", maar "autoriteit". De AP heeft de wettelijke opdracht om richtlijnen op te stellen. ..
Bijvoorbeeld door werkgevers die zich als big brother gedragen een boete op te leggen.
GDPR: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2043-1-1
artikel 9 heeft ook een lid 2. Lees hem even door en let op alle teksten rond snel veranderende technology.
Het AP heeft geen opdracht om richtlijnen / wetten op te stellen daarvoor is de GDRP,
Noodzakelijk is een kader van werkbaarheid en proportionaliteit. Zeg maar de tegenhanger van het politiehandboek.
Dat er wekgevers zijn die zich foutief als een big brother gedragen, ik weet het.
Het probleem wat we nu zien is dat het AP zich als een big brother aan het gedragen is. Net zo fout.
30-04-2020, 14:42 door Anoniem
Door karma4:
Door User2048:
Dat heet niet "big brother", maar "autoriteit". De AP heeft de wettelijke opdracht om richtlijnen op te stellen. ..
Bijvoorbeeld door werkgevers die zich als big brother gedragen een boete op te leggen.
GDPR: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2043-1-1
artikel 9 heeft ook een lid 2. Lees hem even door en let op alle teksten rond snel veranderende technology.
Het AP heeft geen opdracht om richtlijnen / wetten op te stellen daarvoor is de GDRP,
Noodzakelijk is een kader van werkbaarheid en proportionaliteit. Zeg maar de tegenhanger van het politiehandboek.
Dat er wekgevers zijn die zich foutief als een big brother gedragen, ik weet het.
Het probleem wat we nu zien is dat het AP zich als een big brother aan het gedragen is. Net zo fout.

Als je artikel 9 lid 2 doorgelezen had, had je geweten dat geen van de uitzonderingen van toepassing zijn op dit bedrijf.
30-04-2020, 14:48 door User2048
Door karma4:
Door User2048:
Dat heet niet "big brother", maar "autoriteit". De AP heeft de wettelijke opdracht om richtlijnen op te stellen. ..
Bijvoorbeeld door werkgevers die zich als big brother gedragen een boete op te leggen.
GDPR: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2043-1-1
artikel 9 heeft ook een lid 2. Lees hem even door en let op alle teksten rond snel veranderende technology.
Het AP heeft geen opdracht om richtlijnen / wetten op te stellen daarvoor is de GDRP,
Noodzakelijk is een kader van werkbaarheid en proportionaliteit. Zeg maar de tegenhanger van het politiehandboek.
Dat er wekgevers zijn die zich foutief als een big brother gedragen, ik weet het.
Het probleem wat we nu zien is dat het AP zich als een big brother aan het gedragen is. Net zo fout.

Artikel 9 lid 2 bestaat uit sub a t/m j. Welke daarvan onderbouwt jouw stelling dat de AP onjuist heeft gehandeld?

Ik zei niet dat de AP wetten opstelt, maar richtlijnen. Als jij nou even artikel 58 lid 3 sub b leest, dan snap je waarom.
30-04-2020, 14:54 door Anoniem
Je hoeft die vingerafdrukken helemaal niet centraal op te slaan, stel dat het noodzakelijk zou zijn geweest deze vorm van authenticatie te gebruiken, dan had je ook Templates kunnen opslaan of op een chipkaart kunnen zetten. Wat mij betreft heeft dit bedrijf gewoon stom gehandeld en het ergste is ook nog eens dat de leverancier van dit materiaal er in is meegegaan . Blijkbaar is geld verdienen belangrijker. (Of ze hebben het zelf in elkaar gehobbyd. Terechte boete , aanvechten is kansloos .
30-04-2020, 15:01 door Anoniem
Door karma4: Toch wel weer typsich: "Monique Verdier, vicevoorzitter van de AP: 'Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. " het bewijs leveren van de juiste persoon als authenticatie wordt door het AP niet begrepen.
Daarmee begeeft het AP zich op het hellend vlak naar faciliteren van onwettelijke situaties.
Ben benieuwd hoe de zaak bij de rechter zal lopen. De eis naar eenvoudige MFA authenticatie in het dagelijks gebruik is hoog.
Passwords zijn per definitie niet echt veilig.

Dat laatste klopt, maar daar bestaan ook andere oplossingen voor . En zoals de AP schrijft je kunt met goede redenen en een backup proces en toestemming best Biometrie gebruiken (en dan graag op een juiste manier . Voor 2FA of MFA kun je ook andere minder intrusive methoden kiezen (er is echt keus genoeg en je kunt makkelijk wegblijven bij Biometrie)
30-04-2020, 17:06 door Anoniem
Door Anoniem: Wat, wacht even, de werkgever verwacht van de werknemers dat ze een "druppel" (wat dat ook moge zijn) aan te schaffen ten behoeve van het bedrijf? Die gasten hebben een beetje rare kijk op zakendoen.

Overigens zijn vingerafdrukken [x] Ongeschikt als authenticatie wegens triviaal na te maken en onvervangbaar dus die uitzondering mag uit de wet verdwijnen.

Een druppel is gewoon een toegangspas/sleutel in de vorm van een druppel. Maar terecht, welk bedrijf denkt nu echt dat de medewerker een pas koopt om het bedrijf in te komen. Riekt naar vorm van chantage om gebruik van vingerafdruk af te dwingen.
Maar waarom wordt de naam van dit aso-bedrijf geheim gehouden?
30-04-2020, 17:09 door karma4 - Bijgewerkt: 30-04-2020, 17:16
Door Anoniem: Dat laatste klopt, maar daar bestaan ook andere oplossingen voor . En zoals de AP schrijft je kunt met goede redenen en een backup proces en toestemming best Biometrie gebruiken (en dan graag op een juiste manier . Voor 2FA of MFA kun je ook andere minder intrusive methoden kiezen (er is echt keus genoeg en je kunt makkelijk wegblijven bij Biometrie)
Ik haalde niet voor niets de stoommachine aan. Met een trekschuit kun je ook reizen.
De snelle ontwikkelingen in technology maken bepaalde ideeen wat proportioneel is achterhaald.
Een vingerscan voor het aanmelden in de medische zorg of overeenkomstig iets zoals een nfc signaal lijkt me nu juist op zijn plaats. Velen weten ook niet meer wat een kroontjespen dan wel rekenlineaal was.

De genoemde andere oplossingen komen uit de AP koker en zijn zo op deze wijze zeker niet proportioneel.
Het hele idee van een DPIA is goed maar zal met deze benadering van het AP niet geholpen worden.
Het is opvallend hoe weinig er aan gedacht wordt om mensen te beschermen tegen fraudeurs oplichters en hoe weinig er nagedacht wordt over algemeen belang zoals volksgezondheid.

Door User2048:
Artikel 9 lid 2 bestaat uit sub a t/m j. Welke daarvan onderbouwt jouw stelling dat de AP onjuist heeft gehandeld?
Ik zei niet dat de AP wetten opstelt, maar richtlijnen. Als jij nou even artikel 58 lid 3 sub b leest, dan snap je waarom.
Alles ontbreekt over e onderbouwing van een onvoldoende technologische invulling (foto-s ipv van hashes) een overweging van een dpia. Ik lees dat het er niet zou zijn of is er het wel maar naar de mening van het AP onvoldoende. Daarvoor, de dpia, zijn er geen dan wel onvoldoende richtlijnen vanuit het AP.

Ik lees wel dat het om het bijhouden van uren/werkvoortgang gaat. Het AP eist op die manier dat hij bijhouden door een aparte werknemer gedaan moet worden zoals ooit de stasi deed. Als het geen uren/voortgang is maar wat dan?
30-04-2020, 18:15 door Anoniem
Door Anoniem: Leuk zo'n boete maar uiteindelijk betaalt de consument dit weer door een prijs verhoging van het product, wat schieten we daar dan mee op?

Ja nee laten we dan vooral de bedrijven lekker hun gang laten gaan! What could go wrong
30-04-2020, 18:39 door karma4
Door Anoniem: Maar waarom wordt de naam van dit aso-bedrijf geheim gehouden?
Afgedwongen bij de rechter onder het privacyrecht. Wordt nog leuk als het AP flatert en de zaak zo terugkomt wegens een fout in de rechtsgang en inbreuk van privacy.
Overigens sinds wanneer moeten boetes met naming en shaning uitgesproken worden? Het AP maakte zich er juist zo sterk voor dat bewezen oplichters niet met een herkenbare foto bekend zouden mogen kunnen worden.
01-05-2020, 21:34 door Anoniem
Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand

Dat is nog vrij licht uitgedrukt.
Niet alleen kan de impact groot zijn op iemand zelf als het mis gaat, ook op de directe omgeving waarin die persoon zich bevind.
Of het nou bekenden of onbekenden zijn van iemand die de impact rechtstreeks treft.
Er is dus een heel zwaar algemeen maatschappelijk belang in het geding.

Daarnaast moet ook niet de omgeving worden vergeten van iemand die de dupe ervan kan worden als het mis gaat.
In dat opzicht kan je gerust terugvallen op de gebleken effecten van een verstoord familie leven die uit reportages van de Nederlandse omroepen van een paar jaar geleden.
Hierin ging het over mensen wiens identiteit geroofd of gekaapt werd en ze tegen vergaande ongevraagde kosten en rompslomp aanliepen.
Bij het remmen en binnen de perken houden blijkt in gevallen politie ook niet altijd corporatief te (kunnen) zijn.
Aldus is een slachtoffer van gegevens kaping aan de willekeur van de daders overgeleverd.
Het was medio 2012 nog zo dat slachtoffers na de gegevens kaping zo maar 10 jaar lang steeds administratief tegen allerlei schades aanlopen.
Dat heeft een gigantische invloed op de verdere toekomst plannen van de getroffen mensen.
Tot en met gezamenlijke huishoudens die in de soep lopen en inrichting stevige schulden die buiten de schuld of toedoen van de slachtoffers zelf steeds uit hun naam / identiteit worden aangegaan tot het niveau dat faillisementen voor 1 en dezelfde persoon steeds opnieuw dreigen.

Dus ook het gezinsleven kan dit ernstig raken.
Ook omstanders zodra een slachtoffer onnodig uit een rij bij douane controles op Schiphol wordt gehaald terwijl de autoriteiten in die gevallen zelf bevestigd hadden op de hoogte te zijn van de werkelijke eigenaar van de authentieke identiteit, in dit geval het slachtoffer.
Al met al is dit enorm schrijnend.

Het scheen volgens insiders destijds toen al om meer dan 1.000 mensen te gaan.
Als er nog meer mensen potentieel slachtoffer kunnen worden dan neemt de maatschappelijke schade qua omvang natuurlijk ook steeds grotere vormen aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.