Autoriteit Persoonsgegevens legt hoogste boete tot nu toe op

boete-AVG-AP-bewustzijn-awareness

De Autoriteit Persoonsgegevens (AP) heeft de hoogste boete ooit opgelegd. Een bedrag van 725.000 euro aan een bedrijf dat vingerafdrukken van werknemers verzamelde en daarmee in strijd handelde met de privacywetgeving. De naam van het bedrijf is niet bekend gemaakt. Het bedrijf gebruikte de vingerafdrukken om de werktijden van medewerkers te registreren.

Medewerkers dienden een vingerafdruk af te geven waarna de afdrukken lokaal werden opgeslagen. In 2017 werd gestart met het registreren en opslaan van de vingerafdrukken (nog voor de invoering van de AVG die in mei 2018 in werking trad) en liep door tot november 2018. Nadat de AP het bedrijf bezocht en aansprak is het gestopt met het registreren, opslaan en verwerken van de vingerafdrukken.

AP deelt boete uit in plaats van te waarschuwen

Nadat de AP bij het bedrijf langs is gegaan, heeft het bedrijf de verzameling van gegevens stopgezet. Toch kreeg het bedrijf de forse boete opgelegd. Bijzonder is dat de AP aangeeft doorgaans bij te sturen door het geven van waarschuwingen in plaats van het opleggen van boetes. Mogelijk dat deze ingrijpende maatregel te maken heeft met het feit dat vingerafdrukken zogenaamde ‘bijzondere persoonsgegevens’ zijn. Monique Verdier, vicevoorzitter van de AP zegt op haar website: ’Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand.'

Verplichting

Het AD meldt dat werknemers aangaven ook verrast te zijn over het feit dat zij hun vingerafdruk moesten afstaan. Er werd geen goede uitleg over het nut en noodzaak gegeven en ook konden werknemers geen uitdrukkelijke toestemming geven voor de opslag en het verwerken van hun vingerafdrukken. Sommigen van hen verklaren tegen de AP dat het gebruik verplicht was.

Verklaring AP

‘Het bedrijf heeft niet alleen de biometrische gegevens van huidige werknemers, maar ook van voormalige werknemers zonder noodzaak langere tijd bewaard’, schrijft de AP in het boetebesluit. ’Bovendien waren de werknemers onvoldoende geïnformeerd over de verwerking en staat niet vast dat zij toestemming hebben gegeven.’ De AP zegt dat het bedrijf destijds al bij de start van het registreren van de vingerafdrukken had kunnen weten dat dit in strijd was met de aanstaande privacywetgeving AVG. ,Van een professionele partij als dit bedrijf mag worden verwacht dat zij zich terdege van de voor haar geldende normen vergewist en deze naleeft.’

#communityAim2Secure

#Aim2Awareness

#Aim2Legal

Hirschel HesselAim2secureMay2020, wet-en-regelgeving, management, HRM, fysieke-beveiliging1 Comment