Steeds meer werkgevers voeren de vingerscan in, berichtte het Financieele Dagblad. Dit systeem registreert de tijd een stuk efficiënter en nauwkeuriger. Maar volgens de wetten en regels is de vingerscan als prikklok een vergaand middel voor een simpele controle. Waar moet de werkgever op letten als hij de vingerscan invoert? Elisabeth Thole, advocaat privacyrecht, geeft 6 tips.
Het eerste bezwaar zit in het gebruik van de vingerscan. Hoewel je het middel kunt inzetten om te klokken, kun je het ook gebruiken voor toegangscontrole. Dat heeft natuurlijk impact op de arbeidsrechtelijke positie van zowel werkgever als werknemer. Bovendien kan er bij werkgevers door het werken met de vingerscan discriminatie ontstaan, zegt Elisabeth Thole, advocaat privacyrecht bij advocatenkantoor Van Doorne. Want werkgevers kunnen medewerkers namelijk gaan categoriseren op de werkvloer. Thole: “Als een manager over de tijdsadministratie beschikt, kan hij bij een laatkomer gaan denken dat hij de kantjes ervan af loopt. Terwijl de medewerker verder misschien wel prima functioneert.”
Vingerscan
Dat neemt niet weg dat met de juiste voorbereiding de vingerscan als middel voor tijdsregistratie niet goed ingevoerd kan worden, zegt Thole. Waar moeten werkgevers op letten?
1. Bepaal wat u wilt bereiken met de vingerscan
Dat de vingerscan steeds populairder wordt, betekent niet dat u daar automatisch in mee moet gaan. Natuurlijk heeft het middel voordelen, maar zoals bij elke innovatie zitten er ook nadelen aan. En die moeten goed worden afgewogen, zegt Thole. “Vaak worden dit soort beslissingen vanuit het management genomen en heeft de werknemer weinig keuze, die moet gewoon elke dag naar zijn werk. Als werkgever hoef je niet altijd toestemming te vragen, maar je moet wel een gerechtvaardigd belang hebben om het middel in te voeren.”
2. Houd u aan het oorspronkelijke doeleinde
Werkgevers hebben bij controlemiddelen vaak de neiging om het middel voor steeds meer doeleinden te gebruiken, ziet Thole. “Neem cameratoezicht. Werkgevers bedoelen dat oorspronkelijk om de veiligheid van het gebouw, de spullen en de werknemers te waarborgen, maar je ziet het ook wel gebeuren een werknemer opeens wordt aangesproken, bijvoorbeeld omdat deze op de beelden met zijn benen op het bureau zat. Er is dan sprake van het verwerken van persoonsgegevens voor een nieuw doeleinde, zonder dat de werknemer daarover vooraf is geïnformeerd. Dat kan hij als schending van zijn privacy ervaren.” Stel dat u de vingerscan toch voor een nieuw doeleinde wil gebruiken, dan moet de werkgever bij elk nieuw gebruiksdoel opnieuw alle belangen afwegen. Bijvoorbeeld of het nieuwe doel wel verenigbaar is met het oorspronkelijke doel en of de werkgever daartoe wel een gerechtvaardigd belang heeft. En dat vraagt om regelmatige evaluatiemomenten wanneer de vingerscan eenmaal is ingevoerd: wordt het nog steeds gebruikt voor het oorspronkelijke doel? Wie kan er allemaal bij de gegevens en hoe lang worden de gegevens bewaard?
3. Leg het plan voor aan de ondernemingsraad
Meestal is een dergelijke beslissing een plan van het hoger management en hebben werknemers hier niet veel over te zeggen. Maar heeft de organisatie meer dan vijftig medewerkers, dan moet het plan op voorhand ter instemming worden voorgelegd aan de ondernemingsraad.
Grotere organisaties hebben hier vaak een voorsprong. Daar heeft HR vaak al eerder een privacydocument opgesteld waarin zaken over het monitoren van werknemers is vastgelegd, zoals het social media gebruik en het cameratoezicht. Thole: “Dan is het goed om te kijken: wat bestaat er al aan documenten, welke zaken omtrent privacy moeten worden aangepast en waar is nader overleg nodig.” Bij aanpassingen waardoor de werknemers nog verder kunnen worden gecontroleerd, of die betrekking hebben op de verwerking van hun persoonsgegevens, is namelijk opnieuw de instemming van de OR nodig.
4. Informeer medewerkers
Alle nieuwe technologie roept vragen op. Ook bij de vingerscan willen medewerkers dus weten: wat doet zo’n systeem en wat betekent dat voor mijn positie? Informeer het personeel dus over het systeem. Denk dan vooral aan arbeidsrechtelijk consequenties: wat betekent dit voor de arbeidspositie van de werknemer en welke maatregelen kunnen tegen de werknemer worden genomen.
5. Train personeel in het gebruik van de vingerscan
Omdat de vingerscan privacygevoelige gegevens van medewerkers opslaat, moet het personeel dat er mee werkt goed worden getraind op het juridische component ervan. In de praktijk ligt het middel veelal in handen van de facilitaire afdeling, ook IT kan hierbij betrokken zijn. “Zij moeten zich realiseren wat voor impact hun werk kan hebben”, zegt Thole. “Op basis van de informatie van de vingerscan kan iemand worden aangesproken op zijn gedrag, met alle gevolgen van dien. Omdat het persoonsgegevens betreft, moet daar zorgvuldig mee om worden gegaan.” Een goede training op het beveiligen van de gegevens is dus een must. Daarbij moeten ook de richtlijnen van de privacytoezichthouder in acht worden genomen. Het is dus verstandig om ook afspraken te maken over wie er bij de gegevens mogen en welke bevoegdheden deze personen krijgen. Dat dient in protocollen te worden vastgelegd.
6. Meld het systeem
Wanneer de organisatie werkt met privacygevoelige gegevens, zoals bij de vingerscan, moet de verwerking van de persoonsgegevens in principe worden gemeld bij het College Bescherming Persoonsgegevens (CBP), of een interne Functionaris voor Gegevensbescherming (FG). Het CBP, de privacywaakhond, heeft de verwerking van persoonsgegevens op de werkvloer dit jaar extra hoog op zijn agenda staan. Door een aanstaande wetswijziging zal de boetebevoegdheid van het CBP bovendien worden uitgebreid en kan het werkgevers strikt genomen tot 810.000 euro of 10 procent van hun jaaromzet gaan kosten wanneer zij hun verplichtingen op het gebied van privacy niet nakomen. “Ook werknemers en ondernemingsraden worden steeds kritischer”, zegt Thole. “Je moet de reputatieschade bij een privacyschending niet onderschatten. Steeds meer organisaties realiseren zich dat. Het is daarom verstandig om vooraf goed te kijken wat privacy technisch gezien vereist is, en daarbij zo nodig extern juridisch advies in te winnen.”
Bron: PW de Gids