Mag een werkgever personeel verplichten tot een biometrische scan?

Stel je voor: je komt aan op je werk, en in plaats van je pasje te swipen, moet je even je vinger op een scanner leggen of je gezicht laten scannen. Handig, snel, maar wat betekent dat voor je privacy?

Mag je baas je zomaar verplichten om je biometrische gegevens af te staan? Dit is een vraag die steeds vaker opduikt, want technologie zoals vingerafdrukscanners en gezichtsherkenning wordt steeds gewoner op kantoren, fabrieken en zelfs in de horeca. Het gaat hier niet om een ver-van-je-bed-show.

Het gaat om jouw lichaam, jouw data en jouw rechten. In Nederland en Europa is de wet hier heel duidelijk over, maar de praktijk kan soms ingewikkeld voelen.

Laten we samen uitzoeken wat wel en niet mag, zonder ingewikkelde juridische taal. We gaan voor een helder verhaal, met concrete voorbeelden en tips die je meteen kunt gebruiken.

Wat is biometrie en waarom gebruiken bedrijven het?

Biometrie zijn unieke lichaamskenmerken die jou identificeren. Denk aan je vingerafdruk, de scan van je iris, je gezicht of zelfs je stemgeluid.

Bedrijven gebruiken dit steeds vaker voor toegang tot gebouwen, het in- of uitklokken of om gevoelige ruimtes te beveiligen. Het idee is simpel: iets wat je bent (je lichaam) is veiliger dan iets wat je hebt (een pasje) of weet (een wachtwoord). Waarom kiezen bedrijven hiervoor?

Ten eerste is het snel en efficiënt. Geen gedoe met vergeten pasjes of kwijtgeraakte sleutels.

Ten tweede verkleint het de kans op fraude. Iemand anders kan niet zomaar jouw vingerafdruk gebruiken. Bedrijven zoals Suprema of HID Global leveren systemen die speciaal hiervoor zijn ontworpen, met prijzen vanaf €200 voor een basis scanner tot €1.500 voor een geavanceerd systeem met gezichtsherkenning.

Maar er zit een keerzijde aan. Je biometrische gegevens zijn extreem persoonlijk.

Als ze eenmaal gelekt zijn, kun je ze niet zomaar veranderen zoals een wachtwoord.

Daarom is privacy hier een groot thema. De Algemene Verordening Gegevensbescherming (AVG) beschermt deze data streng. Bedrijven moeten kunnen uitleggen waarom ze deze data nodig hebben en hoe ze die beveiligen.

De AVG en biometrie: wat zegt de wet?

De AVG ziet biometrische gegevens als ‘bijzondere persoonsgegevens’. Dat betekent dat ze extra bescherming krijgen.

Een werkgever mag je niet dwingen om biometrische data af te staan zonder een goede reden en zonder duidelijke informatie.

Een werkgever mag deze gegevens niet zomaar verwerken. Er moet een duidelijke, wettige reden zijn, en de werknemer moet weten wat er met zijn of haar data gebeurt.

Toestemming is belangrijk, maar die moet vrij gegeven worden. Dus geen druk van de baas om toch maar te tekenen. In de praktijk betekent dit dat een werkgever moet kunnen aantonen waarom een vingerafdrukscanner nodig is.

Bijvoorbeeld voor de beveiliging van een lab met gevaarlijke stoffen, of voor het bijhouden van uren in een grote fabriek waar pasjes makkelijk worden doorgegeven. Maar voor een kantoor met 10 man?

Dan is de noodzaak vaak minder groot. De Autoriteit Persoonsgegevens (AP) houdt toezicht. Als een bedrijf de regels overtreedt, kunnen ze een boete krijgen. Die kan oplopen tot €20 miljoen of 4% van de wereldwijde omzet. Dus bedrijven denken twee keer na voordat ze zomaar een biometrisch systeem installeren.

Wanneer mag een werkgever biometrie verplichten?

Een werkgever mag biometrie verplichten alleen als er geen minder ingrijpend alternatief is.

Dit is de kern van de AVG-regel. Stel, je werkt in een hoogbeveiligde omgeving, zoals een datacenter of een farmaceutisch lab. Dan kan een vingerafdrukscanner nodig zijn om te zorgen dat alleen geautoriseerde mensen binnenkomen.

Een pasje zou gestolen kunnen worden, een code gekraakt, maar je vingerafdruk is uniek. Maar voor veel kantoorbanen is dat niet het geval.

Waarom zou je een vingerafdrukscanner nodig hebben om in te klokken als een pasje of een app op je telefoon ook werkt?

De wet vraagt dus om proportionaliteit. Is het echt nodig? Zo niet, dan mag het niet verplicht worden. Er zijn bedrijven die speciale systemen aanbieden voor tijdregistratie, zoals die van ZKTeco of Anviz.

Deze systemen kosten tussen de €300 en €800 en combineren vingerafdrukken met gezichtsherkenning. Handig, maar alleen als het echt nodig is.

Voor een klein bedrijf met 15 werknemers is een simpel pasjessysteem vaak al voldoende en kost dat maar €50 per stuk. Als een werkgever toch besluit biometrie in te voeren, moet hij eerst een Data Protection Impact Assessment (DPIA) doen. Dit is een soort risicoanalyse die laat zien hoe de privacy van werknemers wordt beschermd. Zonder deze analyse mag het systeem niet worden ingevoerd.

Soorten biometrische systemen en hun kosten

Er zijn verschillende soorten biometrische systemen op de markt, elk met hun eigen voor- en nadelen.

• Vingerafdrukscanners: Dit is de meest bekende en goedkoopste optie. Een basis scanner van Suprema of HID Global kost tussen de €200 en €500. Ze zijn snel en betrouwbaar, maar vragen wel om hygiëne (aanraken van de scanner) en werken niet altijd goed als je vingers beschadigd zijn.
• Gezichtsherkenning: Steeds populairder, vooral na de coronapandemie omdat het contactloos is. Systemen van Hikvision of Dahua kosten vanaf €500 tot €1.500. Ze zijn snel, maar kunnen problemen hebben met verschillende lichtomstandigheden of gezichtsbedekking.
• Irisscanners: Dit zijn de meest veilige, maar ook de duurste. Ze scannen je iris, wat unieker is dan een vingerafdruk. Prijzen liggen tussen de €1.000 en €3.000 per stuk. Ze worden vooral gebruikt in zeer beveiligde omgevingen, zoals luchthavens of banken.

Laten we de drie meest voorkomende bekijken: vingerafdrukscanners, gezichtsherkenning en irisscanners. Bij de keuze voor een systeem moet je bedrijf ook kijken naar de software en opslag van data.

Veel systemen slaan de biometrische data lokaal op, wat veiliger is dan in de cloud. Maar zelfs dan moeten ze voldoen aan de AVG. Vraag altijd naar de privacy-features van het systeem. Een ander belangrijk punt is de onderhoudskosten.

Scanners moeten regelmatig worden schoongemaakt en geüpdatet. Reken op €50-€100 per jaar per apparaat voor onderhoud en software-updates.

Praktische tips voor werknemers en werkgevers

Als werknemer: vraag altijd waarom een biometrisch systeem nodig is. Vraag om de DPIA en lees alles over privacy en biometrie op de werkvloer in het privacybeleid.

Je hebt het recht om te weten hoe je data wordt gebruikt en bewaard. Als je twijfelt, neem contact op met de ondernemingsraad of de Autoriteit Persoonsgegevens. Als werkgever: wees transparant.

1. Voer een DPIA uit voordat je een systeem installeert.
2. Bied werknemers een alternatief als dat redelijk is.
3. Zorg voor goede beveiliging en regelmatige updates.
4. Geef werknemers duidelijke informatie en training.
5. Monitor het gebruik en pas aan waar nodig.

Leg uit waarom je biometrie invoert en hoe je de data beveiligt, en verdiep je in de ethiek van biometrie.

Kies voor systemen die lokale opslag bieden en voldoen aan de AVG. Overweeg alternatieven, zoals pasjes of apps, vooral als de noodzaak niet groot is. Onthoud: biometrie kan handig zijn, maar het mag nooit ten koste gaan van je privacy. Bij minderjarigen gelden extra privacyregels; door samen te werken en open te communiceren, kunnen bedrijven en werknemers een balans vinden tussen gemak en bescherming. Zo blijft technologie dienen, niet beheersen.