Meerdere winkels hebben onlangs laten weten te stoppen met het omstreden vingerscansysteem vanwege de strenge privacyregels. Werkgevers mogen alleen in uitzonderlijke gevallen werknemers verplichten om hun vingerafdruk te scannen.
Warenhuis HEMA heeft aangekondigd vanaf 1 januari 2020 geen gebruik meer te maken van vingerscansystemen in alle Nederlandse filialen. Ook de supermarkten Dirk en DekaMarkt zullen in de loop van volgend jaar het vingerscansysteem afschaffen. Werknemers van HEMA maken nu nog een scan van hun vingerafdruk om toegang te krijgen tot het kassasysteem. De organisatie geeft aan tot dit besluit te zijn gekomen na een uitspraak van de rechter afgelopen zomer. De rechter oordeelde toen dat een werkgever zijn werknemers niet zonder meer mag verplichten om een scan te maken van hun vingerafdruk. Voor het afnemen van vingerafdrukken gelden strenge regels op privacygebied.
Een vingerafdruk valt als biometrisch persoonsgegeven onder de bijzondere persoonsgegevens. Biometrische gegevens zijn unieke lichaamskenmerken van een persoon. Aan de hand van deze lichaamskenmerken kan een persoon geïdentificeerd worden. Voorbeelden hiervan zijn vingerafdrukken en irisscans. Bij het gebruiken van biometrische gegevens is de privacy van het individu van groot belang. Uit de Algemene verordening gegevensbescherming (AVG) volgt dat het verwerken van biometrische gegevens om iemand te identificeren in principe verboden is. Alleen in uitzonderlijke gevallen is dit toegestaan, bijvoorbeeld als een vingerafdruk noodzakelijk is om toegang te krijgen tot een plek met een hoog veiligheidsrisico en er geen andere mogelijkheden zijn om dit doel te bereiken.
Kan een werkgever minder ingrijpende maatregelen inzetten om werknemers toegang te geven, zoals een werknemerspas of toegangscode, dan moet hij hiervoor kiezen. Een werkgever mag een werknemer niet verplichten om een vingerafdruk af te geven als hier geen noodzaak voor is. Bovendien is een werkgever verplicht om, voordat de gegevensverwerking plaatsvindt, een data protection impact assessment (DPIA) uit te voeren. Met een DPIA krijgt een werkgever inzicht in de privacyrisico’s van de gegevensverwerking en de maatregelen om deze risico’s te verkleinen. In november 2019 heeft de AP ook de verwerking van biometrische gegevens opgenomen in de definitieve lijst van het aantal persoonsverwerkingen waarvoor een DPIA verplicht is.