nieuws

Vingerscan invoeren: 6 privacy tips

Organisatie & Strategie

Vingerscan invoeren: 6 privacy tips

Steeds meer werkgevers voeren de vingerscan in als prikklok. Waar moet u op letten bij de invoering ervan?

De vingerscan als prikklok neemt toe in het bedrijfsleven, zo berichtte het Financieele Dagblad onlangs. Niet gek: met het juiste systeem kan uw tijdregistratie een stuk nauwkeuriger en efficiënter worden en heeft HR minder te maken met problemen met zoekgeraakte pasjes en een rommelige urenadministratie. Maar zoals met elke technologische ontwikkeling is ook de vingersan niet onomstreden. Volgens de juridische wereld is dit tijdregistratiemiddel namelijk een vergaand middel voor een simpele controle.

Volgens tegenstanders zit het belangrijk bezwaar ‘m in het gebruik van de vingerscan. Zo kan de scan in de eerste instantie worden ingezet voor tijdregistratie, maar wordt het later ook gebruikt voor toegangscontrole. En dat heeft natuurlijk impact op de arbeidsrechtelijke positie van zowel werkgever als werknemer.
Bovendien kan er bij werkgevers door het werken met de vingerscan discriminatie ontstaan, zegt Elisabeth Thole, advocaat privacyrecht bij advocatenkantoor Van Doorne. Werkgevers kunnen medewerkers namelijk gaan categoriseren op de werkvloer. Thole: ‘Als een manager over de tijdadministratie beschikt, kan hij bij een laatkomer gaan denken dat hij de kantjes ervan af loopt. Terwijl de medewerker verder misschien wel prima functioneert.’
Dat neemt niet weg dat met de juiste voorbereiding de vingerscan als middel voor tijdregistratie niet goed ingevoerd kan worden, zegt Thole. Waar moeten werkgevers op letten?

1. Bepaal wat u wilt bereiken met de vingerscan
Dat de vingerscan steeds populairder wordt, betekent niet dat u daar automatisch in mee moet gaan. Natuurlijk heeft het middel voordelen, maar zoals bij elke innovatie zitten er ook nadelen aan. En die moeten goed worden afgewogen, zegt Thole. ‘Vaak worden dit soort beslissingen vanuit het management genomen en heeft de werknemer weinig keuze, die moet gewoon elke dag naar zijn werk. Als werkgever hoef je niet altijd toestemming te vragen, maar je moet wel een gerechtvaardigd belang hebben om het middel in te voeren.’
Daarom moeten werkgevers voordat ze zo’n vingerscan invoeren, heel helder hebben wat ze ermee willen bereiken en moeten de zakelijke belangen worden afgewogen tegen die van de werknemers. Als het doel is om minder fouten te maken in de werktijdenadministratie, dan moet eerst gekeken worden naar het huidige systeem: kunnen daar nog aanpassingen worden gedaan? En zijn er andere alternatieven?
Thole: ‘Werkgevers moeten echt goed bepalen wat de toegevoegde waarde is van zo’n vingerscan. Dat moet HR samen bepalen met de juridische en IT-afdeling, maar ook met facilitair. Of het middel goed gebruikt wordt, ligt immers in handen van de stafafdelingen.’

2. Houd u aan het oorspronkelijke doeleinde
Werkgevers hebben bij controlemiddelen vaak de neiging om het middel voor steeds meer doeleinden te gebruiken, ziet Thole. ‘Neem cameratoezicht. Werkgevers bedoelen dat oorspronkelijk om de veiligheid van het gebouw, de spullen en de werknemers te waarborgen, maar je ziet het ook wel gebeuren een werknemer opeens wordt aangesproken, bijvoorbeeld omdat deze op de beelden met zijn benen op het bureau zat. Er is dan sprake van het verwerken van persoonsgegevens voor een nieuw doeleinde, zonder dat de werknemer daarover vooraf is geïnformeerd. Dat kan hij als schending van zijn privacy ervaren’
Stel dat u de vingerscan toch voor een nieuw doeleinde wil gebruiken, dan moet de werkgever bij elk nieuw gebruiksdoel opnieuw alle belangen afwegen. Bijvoorbeeld of het nieuwe doel wel verenigbaar is met het oorspronkelijke doel en of de werkgever daartoe wel een gerechtvaardigd belang heeft. En dat vraagt om regelmatige evaluatiemomenten wanneer de vingerscan eenmaal is ingevoerd: wordt het nog steeds gebruikt voor het oorspronkelijke doel? Wie kan er allemaal bij de gegevens en hoe lang worden de gegevens bewaard?

Lees ook: Waar ligt de grens van privacy op de werkvloer? 

3. Leg het plan voor aan de ondernemingsraad
Meestal is een dergelijke beslissing een plan van het hoger management en hebben werknemers hier niet veel over te zeggen. Maar heeft de organisatie meer dan vijftig medewerkers, dan moet het plan op voorhand ter instemming worden voorgelegd aan de ondernemingsraad.
Grotere organisaties hebben hier vaak een voorsprong. Daar heeft HR vaak al eerder een privacydocument opgesteld waarin zaken over het monitoren van werknemers is vastgelegd, zoals het social media gebruik en het cameratoezicht. Thole: ‘Dan is het goed om te kijken: wat bestaat er al aan documenten, welke zaken omtrent privacy moeten worden aangepast en waar is nader overleg nodig.’ Bij aanpassingen waardoor de werknemers nog verder kunnen worden gecontroleerd, of die betrekking hebben op de verwerking van hun persoonsgegevens, is namelijk opnieuw de instemming van de OR nodig.

4. Informeer uw medewerkers
Alle nieuwe technologie roept vragen op. Ook bij de vingerscan willen medewerkers dus weten: wat doet zo’n systeem en wat betekent dat voor mijn positie? Voor HR en management dus de schone taak om het personeel te informeren over het systeem. Denk daaraan vooral aan arbeidsrechtelijk consequenties: wat betekent dit voor de arbeidspositie van de werknemer en welke maatregelen kunnen tegen de werknemer worden genomen.
Daarnaast speelt HR een belangrijke rol naar de werkvloer. ‘HR zou goed moeten letten op de signalen vanuit de werkvloer, zoals welke bezwaren er leven onder medewerkers. HR kan daarbij als schakel functioneren naar het management om die bezwaren zo veel mogelijk weg te nemen’, aldus Thole.

5. Train uw personeel in het gebruik van de vingerscan
Omdat de vingerscan privacygevoelige gegevens van medewerkers opslaat, moet het personeel dat er mee werkt goed worden getraind op het juridische component ervan. In de praktijk ligt het middel veelal in handen van de facilitaire afdeling, ook IT kan hierbij betrokken zijn. ‘Zij moeten zich realiseren wat voor impact hun werk kan hebben’, zegt Thole. ‘Op basis van de informatie van de vingerscan kan iemand worden aangesproken op zijn gedrag, met alle gevolgen van dien. Omdat het persoonsgegevens betreft, moet daar zorgvuldig mee om worden gegaan.’
Een goede training op het beveiligen van de gegevens is dus een must. Daarbij moeten ook de richtlijnen van de privacytoezichthouder in acht worden genomen. Het is dus verstandig om ook afspraken te maken over wie er bij de gegevens mogen en welke bevoegdheden deze personen krijgen. Dat dient in protocollen te worden vastgelegd.

6. Meld het systeem
Wanneer de organisatie werkt met privacygevoelige gegevens, zoals bij de vingerscan, moet de verwerking van de persoonsgegevens in principe worden gemeld bij het College Bescherming Persoonsgegevens (CBP), of een interne Functionaris voor Gegevensbescherming (FG). Het CBP, de privacywaakhond, heeft de verwerking van persoonsgegevens op de werkvloer dit jaar extra hoog op zijn agenda staan. Door een aanstaande wetswijziging zal de boetebevoegdheid van het CBP bovendien worden uitgebreid en kan het werkgevers strikt genomen tot 810.000 euro of 10 procent van hun jaaromzet gaan kosten wanneer zij hun verplichtingen op het gebied van privacy niet nakomen.
‘Ook werknemers en ondernemingsraden worden steeds kritischer’, zegt Thole. ‘Je moet de reputatieschade bij een privacyschending niet onderschatten. Steeds meer organisaties realiseren zich dat. Het is daarom verstandig om vooraf goed te kijken wat privacy technisch gezien vereist is, en daarbij zo nodig extern juridisch advies in te winnen.’

Reageer op dit artikel