Gemeenten en de WPG audit

Vrijwel elke gemeente heeft buitengewoon opsporingsambtenaren (boa’s) in dienst of onder contract. De bescherming van persoonsgegevens bij strafbare feiten is niet in de Algemene Verordening Gegevensbescherming (AVG) geregeld, maar in de Wet politiegegevens (WPG) aangevuld met het besluit Politiegegevens (BPG).  Gemeenten moeten daardoor niet alleen voldoen aan de AVG, maar ook aan de WPG.

De WPG stelt strengere eisen dan de AVG aan de beveiliging van persoonsgegevens. Dat komt omdat de bevoegdheden van boa’s verder reiken dan de gebruikelijke overheidssystemen. De daarmee samenhangende processen en systemen en procedures, zoals toegangsrechten, autorisaties, data classificatie, risico-inschatting, registratie en logging, meldplicht en documentatieplicht dienen ingeregeld te worden.

Deze processen moeten middels jaarlijkse interne audits worden gecontroleerd. Eens in de vier jaar, voor het eerst over de periode tot 31-12-2021, moet een externe auditor / RE een auditverslag uitbrengen, zowel aan de gemeente als aan de Autoriteit Persoonsgegevens. De eerste externe audit dient uiterlijk op 31 december 2022 afgerond te zijn. Indien niet aan alle normen is voldaan, dient de gemeente een verbeterplan op te stellen en dit verbeterplan te laten toetsen.

Het is erg belangrijk dat de interne audits en de externe audit goed op elkaar aansluiten. Dat maakt niet alleen de audits efficiënter, maar zorgt er ook voor dat geen onverwachte tegenvallers opduiken. At Risk Advies BV ondersteunt gemeenten bij het inrichten van deze processen en het uitvoeren van de externe audit.

Boete voor bedrijf voor verwerken van vingerafdrukken werknemers

Werknemers van een bedrijf hebben hun vingerafdrukken moeten laten scannen voor aanwezigheids- en tijdsregistratie. De Autoriteit Persoonsgegevens (AP) heeft na onderzoek geconcludeerd dat het bedrijf geen vingerafdrukken van medewerkers had mogen verwerken. Het bedrijf kan zich namelijk niet beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens. Het bedrijf krijgt hiervoor een boete van 725.000 euro.

Bijzondere persoonsgegevens

Biometrische gegevens, zoals een vingerafdruk, zijn bijzondere persoonsgegevens. Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.

Monique Verdier, vicevoorzitter van de AP: ‘Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand.’

Geen uitzondering op verbod

Voor het gebruik van vingerafdrukken zouden in dit geval 2 uitzonderingen op het verbod mogelijk kunnen zijn: als de betrokkenen om uitdrukkelijke toestemming wordt gevraagd of als het gebruik van biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

De AP heeft geconcludeerd dat dit bedrijf zich niet kan beroepen op 1 van deze 2 uitzonderingen voor het afnemen, opslaan en gebruiken van de vingerafdrukken van medewerkers.

Beveiliging

Een werkgever kan een medewerker vragen een vingerafdruk te geven voor bijvoorbeeld toegangscontrole. Soms is een medewerker verplicht zijn vingerafdruk af te staan, soms niet. Dat hangt ervan af of de verwerking van de vingerafdruk noodzakelijk is voor authenticatie of beveiliging.

Een werkgever moet afwegen of gebouwen en informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken. Die noodzaak zal er vaak niet zijn, omdat er goede alternatieven zijn.

Toestemming

Vraagt een werkgever om toestemming aan medewerkers om hun vingerafdruk te verwerken? Dat mag in principe niet. Medewerkers zijn afhankelijk van hun werkgever, dus vaak niet in een positie om te kunnen weigeren.

De privacywet stelt strenge eisen aan het vragen van uitdrukkelijke toestemming. De toestemming moet ondubbelzinnig, specifiek, geïnformeerd én vrij zijn.

Dit bedrijf heeft niet aangetoond dat de medewerkers uitdrukkelijke toestemming hebben verleend. Medewerkers hebben daarnaast het vastleggen van hun vingerafdruk als een verplichting ervaren.