Wat u moet weten.

Dat een slot praktisch en veilig moet zijn, geldt zowel in de privésfeer als voor uw onderneming. In dat laatste geval, hebben vaak tientallen werknemers toegang tot uw gebouwen. Het gebruik van een sleutel, badge en/of toegangscode is niet noodzakelijk de veiligste optie. Uw personeel kan hun sleutel of badge verliezen of zij kunnen hun toegangscode vergeten. In het slechtste geval worden deze (al dan niet neergeschreven) zaken gestolen. Het gebruik van vingerafdrukauthenticatie lijkt dan ook een meer praktische en veilige optie voor het beveiligen van uw bedrijfsgebouwen.  

Het gebruik van vingerafdrukauthenticatie is vanuit privacy perspectief echter niet zo vanzelfsprekend. Een vingerafdruk is namelijk een ‘biometrisch gegeven’, zijnde een uniek en persoonsgebonden patroon waarmee uiterst voorzichtig moet worden omgesprongen. Het verwerken van zulke gegevens is daarom in principe verboden en wordt enkel toegestaan indien er zich een opheffingsgrond in de zin van artikel 9.2 GDPR voordoet. Zo is het mogelijk om vingerafdrukken te verwerken wanneer hiervoor de uitdrukkelijke toestemming werd verkregen van de betrokkene. 

Het verkrijgen van een geldige toestemming is in een werkgever-werknemer relatie niet zo evident. Een geldige toestemming dient namelijk ‘vrij’ te worden gegeven en er wordt algemeen aangenomen dat de gezagsverhouding van een werkgever ten aanzien van zijn werknemer een ‘vrije’ toestemming in de weg staat. Wij menen echter dat hieraan kan worden tegemoetgekomen door het personeel uitdrukkelijk een alternatief aan te bieden dat qua impact op de privacy minder verregaand is (bijvoorbeeld een persoonlijke badge).

Wat u moet doen.

Indien u gebruik wilt maken van vingerafdrukauthenticatie voor de beveiliging van uw bedrijfsgebouwen, moet u de uitdrukkelijke toestemming verkrijgen van uw personeel voor het verwerken van hun vingerafdrukken. Wij raden aan om daartoe een concreet toestemmingsformulier op te stellen waarin duidelijk wordt opgenomen voor welk doeleinde de vingerafdrukken zullen worden gebruikt (i.e. voor de beveiliging van uw bedrijfsgebouwen tegen toegang van onbevoegden). 

In dit toestemmingsformulier moet ook duidelijk en uitdrukkelijk worden vermeld dat, indien de werknemer niet wil dat zijn/haar vingerafdruk wordt gebruikt voor authenticatiedoeleinden, er kan worden geopteerd voor een alternatief (bijvoorbeeld een persoonlijke badge). Indien de werknemer wel akkoord gaat om zijn/haar vingerafdrukken te gebruiken, ondertekent hij/zij het toestemmingformulier en geeft op deze manier zijn/haar expliciete toestemming. Het formulier moet ook vermelden dat de gegeven toestemming te allen tijde kan worden ingetrokken en hoe deze intrekking moet gebeuren (bijvoorbeeld door een bericht aan een centrale contactpersoon). In dat geval krijgt de werknemer het alternatief aangeboden. 

U mag vingerafdrukken niet langer bijhouden dan noodzakelijk voor de beveiliging van uw bedrijfsgebouwen. De vingerafdrukken van uw personeel dienen op onomkeerbare wijze te worden gewist uit de betrokken systemen op het ogenblik van hun uitdiensttreding. Uw personeel beschikt ook over alle rechten die de GDPR toekent met betrekking tot de verwerking van hun persoonsgegevens. 

Daarnaast mag u uiteraard de andere verplichtingen onder de GDPR niet uit het oog verliezen en moet u onder meer alle mogelijke organisatorische en technische maatregelen nemen om de beveiliging van de gegevens in uw bezit te waarborgen en moet de vingerafdrukauthenticatie worden opgenomen in uw register van verwerkingsactiviteiten en in de privacyverklaring aan het personeel.