Feedback

Zoekresultaat - inzien document

ECLI:NL:RBAMS:2019:6005

Instantie
Rechtbank Amsterdam
Datum uitspraak
12-08-2019
Datum publicatie
15-08-2019
Zaaknummer
7728204 CV VERZ 19-9686
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Beschikking
Inhoudsindicatie

Schoenenwinkel Manfield mag een werkneemster niet verplichten een autorisatiesysteem te gebruiken voor het kassasysteem dat werkt op basis van een vingerscan. Dat is namelijk in strijd met Algemene Verordening Gegevensbescherming (AVG).

Vindplaatsen
Rechtspraak.nl
AR-Updates.nl 2019-0887
PS-Updates.nl 2019-1026
NJF 2019/470
JAR 2019/224 met annotatie van Laat, I. de
Prg. 2019/239
Verrijkte uitspraak

Uitspraak

RECHTBANK AMSTERDAM

Afdeling privaatrecht

zaaknummer: 7728204 CV VERZ 19-9686

beschikking van: 12 augustus 2019

func.: 34906

beschikking van de kantonrechter

(n.a.v. gezamenlijk verzoek ex artikel 96 Rv)

I n z a k e

1. de besloten vennootschap Manfield Schoenen B.V.

gevestigd te Tilburg

nader te noemen: Manfield

gemachtigde: mr. M.J.M. Manshande

2. [verzoeker 2]

wonende te [woonplaats]

nader te noemen: [verzoeker 2]

gemachtigde: mr. S. Bergwerff

verzoekers

VERLOOP VAN DE PROCEDURE

Manfield en [verzoeker 2] hebben een gezamenlijk verzoek ingediend. Zij willen duidelijkheid over de vraag of [verzoeker 2] op goede gronden weigert haar vingerafdruk voor een nieuw ingevoerd systeem van vingerscanautorisatie bij Manfield af te staan.

Op 25 juni 2019 is de zaak mondeling ter zitting behandeld. [verzoeker 2] is in persoon verschenen, bijgestaan door de gemachtigde. Manfield is verschenen bij mevrouw [naam 1] en de heer [naam 2] , bijgestaan door de gemachtigde. Partijen hebben hun verzoek toegelicht en vragen van de kantonrechter beantwoord. Na verder debat is een datum voor de beslissing bepaald.

Partijen hebben het geschil voorgelegd aan de kantonrechter op grond van artikel 96 Rv. Artikel 96 Rv geeft niet aan of beslist dient te worden bij vonnis of bij beschikking. Weliswaar staat dat artikel in de tweede titel van Rv, handelende over dagvaardingszaken, maar in de onderhavige zaak hebben partijen het geschil voorgelegd bij wege van een verzoekschrift. Gelet op de partijautonomie die samenhangt met artikel 96 Rv en op het feit dat in dat artikel is bepaald dat de kantonrechter de wijze van procederen vaststelt, zal deze zaak beslist worden bij beschikking.

Feiten

1. Als gesteld en niet (voldoende) weersproken staat het volgende vast.

1.1.

[verzoeker 2] is werkzaam (geweest) als verkoopmedewerkster in het filiaal van Manfield in [plaats] .

1.2.

Manfield heeft onlangs, na een testfase, in alle filialen een vingerscan-autorisatiesysteem voor haar kassasysteem ingevoerd. In dit autorisatiesysteem dient een medewerker zich te identificeren en op het kassasysteem in te loggen door zijn vinger op een scanoppervlak van een apparaat te leggen, welke vervolgens de vingerafdruk uitleest, deze omzet in een code, deze code vergelijkt met een reeds bekende code in het kassasysteem en — indien de code gelijk is — toegang tot het kassasysteem verschaft. Door gebruik van het vingerscanautorisatiesysteem kunnen werknemers van Manfield slechts toegang verkrijgen tot het kassasysteem indien zij hun vingerafdruk scannen. Zonder deze

toegang is het voor de werknemers niet mogelijk om hun kassawerkzaamheden uit te

voeren.

1.3.

De vingerscanautorisatie is ingevoerd ter vervanging van een autorisatiesysteem waarin de werknemers van Manfield een persoonsgebonden cijfercode dienen in te voeren om toegang te krijgen tot het kassasysteem. De vingerscanautorisatiesystemen zijn in de

filialen van Manfield onder begeleiding van een expert geïnstalleerd. De expert heeft de medewerkers uitleg verstrekt over de werking van het systeem en de reden

waarom dit systeem werd geïnstalleerd.

1.4.

[verzoeker 2] heeft zich, anders dan de andere werknemers van Manfield, verzet tegen het gebruiken van haar vingerafdruk voor het vingerscanautorisatiesysteem. Zij stelt dat deze autorisatiemethode inbreuk maakt op haar privacy rechten omdat het om een biometrisch persoonsgegeven gaat en het op grond van artikel 9 lid 1 van de Algemene Verordening Gegevensbescherming (AVG) in beginsel verboden is om bijzondere persoonsgegevens, waaronder biometrische gegevens, te verwerken. De uitzondering van artikel 29 van de Uitvoeringswet AVG (UAVG) te weten dat het verzamelen van biometrische gegevens noodzakelijk kan zijn voor authenticatie- of beveiligingsdoeleinden doet zich volgens haar hier niet voor.

Verzoek

2. Partijen verzoeken de kantonrechter een oordeel te geven over de vraag of het gebruik van een vingerscanautorisatiesysteem zoals ingevoerd door Manfield een ongeoorloofde inbreuk maakt op de privacy van [verzoeker 2] .

Standpunt Manfield

3. Volgens Manfield is er een noodzaak bij het gebruik van een vingerscanautorisatiesysteem. Die noodzaak bestaat ten eerste uit het beveiligen van gevoelige informatie, die via haar kassasysteem toegankelijk is. Het kassasysteem geeft niet alleen inzage in (gevoelige) financiële informatie, maar ook in persoonsgegevens van de werknemers van Manfield. Tevens zijn de persoonsgegevens van klanten inzichtelijk. Gelet op artikel 24 van de AVG heeft Manfield, als verwerkingsverantwoordelijke, de verplichting om passende technische en organisatorische maatregelen te nemen. Nu de techniek niet stil staat, bestaat er voor Manfield ook een verplichting om haar

beveiligingstechniek steeds te vernieuwen. Het tot nu toe bestaande systeem, waarbij een code moest worden ingevoerd, is in het huidige tijdsbeeld, niet langer als passende maatregel te beschouwen voor het beschermen van een kassa/computersysteem die met het internet verbonden is en op een openbaar toegankelijke plaats (m.a.w. in een filiaal van Manfield) staat. Hierdoor bestaat een dubbel gevaar; een derde kan op afstand, via het internet, bijvoorbeeld door middel van een zogenaamd “key-logging program”, de persoonsgebonden code van de medewerker inzien. Daarnaast kan ook een derde die in het

filiaal aanwezig is de ingevoerde code zien als deze wordt ingetoetst door de werknemer.

4. Ook heeft Manfield een bedrijfsbelang bij invoering van het systeem. Manfield is recent geconfronteerd met een aantal gevallen van fraude waar werknemers bij zijn betrokken. Deze fraudegevallen kwamen op meerdere locaties van Manfield, en de aan haar gelieerde vennootschappen, voor. Het betreft dan ook een ernstig,

organisatie breed probleem. In deze fraudegevallen werd er door werknemers

onrechtmatig contant geld uit de kassa weggenomen door middel van gefingeerde

retourboekingen. Bij het onderzoek naar deze gevallen is Manfield te weten gekomen

dat het onder sommige werknemers gebruikelijk was dat zij onder de inlogcode van een

andere werknemer inlogden, al dan niet met het goedvinden van die andere

werknemer, zodat de diefstal van het contante geld niet naar hen zelf te herleiden was.

Hierdoor is niet alleen Manfield zelf in haar belangen geschaad (zij heeft immers veel

kosten moeten maken om de fraude te ontdekken en de betreffende personen

verantwoordelijk te kunnen houden), maar ook de betreffende werknemers die hun

inlogcode al dan niet onbewust aan hun collega’s hebben verstrekt, zijn geconfronteerd

met, zo bleek later, valse beschuldigingen. Deze situatie wordt voorkomen door een

persoonsgebonden, onontvreemdbare autorisatiemethode organisatie breed in te

voeren.

5. Manfield heeft een andere autorisatiemethode overwogen die in mindere mate inbreuk maakt op de privacy van haar werknemers, zoals het inloggen via een fysieke pas. Hiermee wordt het risico van ongeautoriseerde toegang op afstand weliswaar beperkt, maar het risico van ongeautoriseerde toegang in de winkellocatie zelf en van het (ongevraagd) lenen van de pas door collega’s onderling blijft daarmee bestaan.

6. Naar de mening van Manfield is de noodzaak van invoering van een systeem van

vingerscanautorisatie door haar werknemers genoegzaam gebleken. Zij kan hetzelfde niveau van bescherming van haar belangen, de belangen van haar werknemers en van haar klanten niet op een andere, minder ingrijpende, manier bereiken. Daaraan voegt Manfield toe dat het

gebruik van een vingerscanautorisatie in de loop der jaren steeds gebruikelijker is

geworden voor het beveiligen van gegevens. Zo heeft de huidige generatie

smartphones vrijwel altijd de mogelijkheid om een vingerscan te gebruiken om toegang

te krijgen tot de functies van het apparaat. Het gebruik van de vingerscan is onderdeel

van het huidige straatbeeld en wordt in de praktijk al lang niet meer alleen gebruikt

voor het beveiligen van objecten met een hoog beveiligingsrisico, zoals een

kerncentrale, het voorbeeld dat in de Memorie van Toelichting bij artikel 29 UAVG wordt genoemd.

Standpunt [verzoeker 2]

7. [verzoeker 2] stelt zich het standpunt dat met een vingerscanautorisatiesysteem een ongerechtvaardigde inbreuk op haar privacy wordt gemaakt. Bovendien steekt het [verzoeker 2] dat over de invoering op geen enkele wijze met haar en/of andere werknemers is gecommuniceerd, zodat zij op enig moment voor een voldongen feit is gesteld. Naar haar mening is op grond van artikel 9 AVG de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon verboden. Op het verwerkingsverbod is slechts een uitzondering mogelijk indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden of om redenen van zwaarwegend algemeen belang.

8. Volgens [verzoeker 2] zijn vingerafdrukgegevens zeker aan te merken als biometrische gegevens, waarbij zij verwijst naar artikel 4 AVG. De verwerking hiervan is in beginsel uitgesloten. Slechts wanneer eventueel noodzaak zou bestaan, zou Manfield gerechtigd zijn deze biometrische gegevens van haar werknemers te verwerken. Een dergelijke noodzaak is volgens [verzoeker 2] niet aanwezig.

9. [verzoeker 2] verwijst naar de Memorie van Toelichting bij artikel 29 UAVG. Daarin staat, kort samengevat, dat bij identificatie met biometrische gegevens, telkens dient te worden afgewogen of dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden en of de verwerking van biometrische gegevens proportioneel is. In onderhavig geval betekent dit volgens [verzoeker 2] in concreto een beoordeling van de vraag of het doel, in dit geval toegangscontrole, niet op een andere manier kan worden bereikt dan door het gebruik van (een deel van) de vingerafdruk van werknemers. Deze noodzaak is er volgens haar niet, nu er tal van manieren zijn te bedenken die minder ingrijpend zijn voor de privacy van werknemers. Gedacht kan worden aan het gebruik van een toegangspas, werknemerskaart of (cijfer)codes, al dan niet in combinatie met elkaar, zodat desnoods een dubbele waarborg wordt ingebouwd (bijvoorbeeld een noodzakelijke combinatie van toegangspas/werknemerskaart én cijfercode), zodat ongeautoriseerde toegang dan zeker niet te duchten is. Het is volgens haar duidelijk dat er ook andere systemen zijn te bedenken dan met enkel een pas of code, die – in tegenstelling tot vingerscanautorisatie - géén inbreuk maken op de privacy van werknemers. In elk geval blijkt nergens uit dat Manfield zich ter zake deugdelijk heeft laten voorlichten en onderzoek heeft gedaan naar deugdelijke alternatieven.

10. Volgens [verzoeker 2] werkt het vingerscanautorisatiesysteem ook niet optimaal.

Gebleken is dat er diverse collega’s geweest zijn die ingelogd hebben en een andere

naam te zien gekregen hebben. Van een waterdicht systeem kan aldus volgens [verzoeker 2]

niet worden gesproken.

11. Daarnaast is naar het standpunt van [verzoeker 2] in geval van een schoenenwinkel zoals door Manfield geëxploiteerd overduidelijk geen sprake van een situatie die een zeer vergaande strenge beveiliging noodzaakt, zoals dat volgens de Memorie van Toelichting het geval is bij bijvoorbeeld een kerncentrale. Van privacygevoelige informatie is slechts tot op zekere hoogte sprake, nu enkel en alleen sprake is van klant- en werknemersgegevens, hetgeen bij iedere winkelier het geval is. Manfield is volgens haar geen uitzonderlijk geval waar een dergelijke maatregel geboden, laat staan noodzakelijk zou zijn. Eventuele specifieke incidenten maken dat niet anders. Nu Manfield het door haar beoogde doel ook op een andere manier kan bereiken, is er geen sprake van noodzaak en weegt het belang van Manfield niet zwaarder dan dat van haar werknemers, zodat deze verwerking niet alleen niet noodzakelijk, maar ook disproportioneel is. Daarmee is deze maatregel dus niet toegestaan.

12. Met het oog op de eventuele beoordeling van de (dis)proportionaliteit, wijst [verzoeker 2] er volledigheidshalve nog op, dat er in het filiaal van Manfield waarin zij werkzaam is, op geen enkele wijze in welke andere vorm van beveiliging dan ook is voorzien. Er is geen camerabeveiliging, er zijn geen alarmpoortjes bij de ingang (de enige alarmen die

aanwezig zijn, zijn alarmen op enkele tassen) en er zijn geen kluisjes voor het

personeel aanwezig. In dat licht is de noodzaak van het gebruik van een vingerscan als

beveiligingsmiddel te meer onbegrijpelijk.

13. Dat het gebruik van vingerscanautotisatie de laatste jaren steeds gebruikelijker wordt is voor [verzoeker 2] geen argument die deze inbreuk rechtvaardigt, nu dit de inbreuk

onverlet laat. Zelfs al zou het maatschappelijk meer ingeburgerd raken dat individuen

gemakkelijker hun biometrische gegevens prijsgeven en het gebruik van de vingerscan

meer onderdeel zou worden van het straatbeeld, acht [verzoeker 2] dit niet alleen een zeer

kwalijke trend, maar bovendien duidt zij dit eerder als een gebrek aan onwetendheid en

naïviteit dan aan een teken van (bewuste) acceptatie. Verder wijst [verzoeker 2] er nog op,

dat in het kader van de relatie werkgever-werknemer van belang is dat de vrijwilligheid mist waarvan bijvoorbeeld bij het gebruik van smartphones wel sprake is. Bedoelde gebruikers van smartphones kiezen er vrijwillig voor op die manier te autoriseren, maar dat is in een werksituatie als bij [verzoeker 2] niet aan de orde. Bovendien bestaat er in alle gevallen een alternatieve mogelijkheid om geen vingerscan te gebruiken, namelijk door gebruik te maken van een (pin)code.

14. [verzoeker 2] wijst erop dat de Memorie van Toelichting bij artikel 29 UAVG (Kamerstukken II 2017/2018, 34 851, nr. 3), gepubliceerd in december 2017 en dus nog geen anderhalf jaar oud, hoge drempels opwerpt voor wat betreft eventuele toelaatbare uitzonderingen. [verzoeker 2] ziet niet in waarom die zeer terughoudende lijn zou moeten worden verlaten. Daarnaast wijst zij op de recente beantwoording op Kamervragen aan de Staatssecretaris van Sociale Zaken en Werkgelegenheid van 29 maart 2018 (Kamerstukken II 2017/2018, nr. 1618). De staatssecretaris herhaalde hier expliciet het uitgangspunt dat het verzamelen van vingerafdrukken verboden is, tenzij er een beroep op een uitzondering mogelijk is, waarna zij nadruk legde op het voor handen moeten hebben van een alternatief voor de vingerafdruk. [verzoeker 2] acht de maatregelen door Manfield evident in strijd met de bedoeling van de wetgever en ziet deze maatregelen als een uitholling van het onomwonden negatief geformuleerde uitgangspunt van de AVG.

15. Tot slot wijst [verzoeker 2] erop dat eventuele beveiligingsmaatregelen het gebruik van

biometrische gegevens niet rechtvaardigen. Voordat immers aan de beoordeling van de

deugdelijkheid van eventuele beveiligingsmiddelen wordt toegekomen (artikel 32 van

de AVG vereist dat telkens passende beveiligingsmaatregelen worden genomen) dient

immers eerst te worden beoordeeld en afgewogen of verwerking van de gegevens

überhaupt is toegestaan of niet. Het feit dat de gegevens vervolgens mogelijk wel

voldoende passend zijn beveiligd, is irrelevant voor de beoordeling van de vraag of de

betreffende gegevensverwerking op zichzelf toelaatbaar is. [verzoeker 2] kan overigens ook

niet verifiëren of en in hoeverre daadwerkelijk afdoende veiligheidsmaatregelen zijn

genomen die haar privacy voldoende zouden waarborgen, zou het vingerscanautorisatiesysteem rechtsgeldig worden beoordeeld.

16. Ter zitting is door Manfield aan het voorgaande desgevraagd nog toegevoegd dat het systeem van vingerscanautorisatie ook wordt gebruikt voor urenregistratie van de betrokken werknemer en dat er in die zin wel een rechtstreekse koppeling kan worden gemaakt tussen de afgegeven vingerafdruk.

Beoordeling

17. De kantonrechter overweegt dat Europese regelgeving op het gebied van privacy en de daaruit voortvloeiende regelgeving op nationaal niveau het kader vormt waarbinnen de onderhavige zaak dient te worden beoordeeld. Zoals door partijen aangehaald, speelt de op per 25 mei 2016 in werking getreden AVG daarbij een belangrijke rol. Na een implementatieperiode van twee jaar zijn onder meer ondernemingen als Manfield vanaf 25 mei 2018 gehouden de regels van de AVG toe te passen bij de verwerking en bescherming van persoonsgegevens. Nu de bepalingen van de AVG in een Verordening zijn opgenomen, hebben zij rechtstreekse werking. Niettemin is in Nederland (daarnaast) via de UAVG uitvoering gegevens aan bepalingen van de AVG.

18. De vraag is allereerst of een vingerscan/vingerafdruk een persoonsgegeven is in de zin van de AVG. De kantonrechter beantwoordt deze vraag bevestigend. Biometrische gegevens kunnen worden beschouwd als informatie betreffende een natuurlijk persoon, aangezien het gaat om gegevens die door hun aard informatie verstrekken over een bepaalde persoon. Door middel van een biometrisch gegeven als een vingerafdruk is de persoon identificeerbaar en kan hij/zij van een andere persoon worden onderscheiden. In artikel 4 AVG wordt dit bij de definitiebepalingen ook met zoveel woorden bevestigd.

19. Algemeen uitgangspunt is dat, in afwijking van de situatie ten tijde van richtlijn 95/46/EG waarbij biometrische gegevens niet werden aangemerkt als een bijzonder persoonsgegeven, er een verbod geldt voor verwerking van biometrische gegevens. Dit algemene uitgangspunt is neergelegd in artikel 9 lid 1 van de AVG. Meer in het bijzonder is bepaald dat het verboden is om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken. In artikel 9 lid 2 AVG zijn een aantal uitzonderingen opgenomen, waaronder de hier zich niet voordoende situatie dat de betrokkene toestemming geeft tot de betreffende verwerking.

20. Verder is in artikel 9 lid 2 AVG bepaald dat een uitzondering ook aan de orde kan zijn met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt.

21. In artikel 29 van de UAVG wordt invulling gegeven aan de ruimte die artikel 9 lid 2 AVG, zoals hiervoor aangehaald, laat voor het opnemen van een uitzondering op het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken. Dit verbod is niet van toepassing wanneer de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. In de Memorie van Toelichting (Tweede Kamer, 2017-2018, 34851 nr. 3, blz 108 onderaan) wordt blijk gegeven van het inzicht dat in een werknemer-werkgeververhouding er niet snel sprake zal kunnen zijn van toestemming die geheel in vrijheid is gegeven. Daarom wordt voormelde uitzondering mogelijk gemaakt, ook al is de betreffende toestemming niet verkregen. Er gelden blijkens de toelichting wel een aantal randvoorwaarden, welke ook in de onderhavige zaak onderwerp van debat ter zitting zijn geweest:

- er dient een afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor de authenticatie of beveiligingsdoeleinden, waarbij dan het voorbeeld wordt genoemd van toegang die (zeer) beperkt dient te zijn voor personen die daartoe geautoriseerd zijn, bijvoorbeeld bij een kerncentrale.

- de verwerking dient proportioneel te zijn, waarbij het voorbeeld wordt genoemd van de toegang tot een garage van een reparatiebedrijf. In dat geval zal de noodzaak van beveiliging niet zodanig zijn dat werknemers allen met biometrie toegang krijgen. Maar aan de andere kant wordt het voorbeeld genoemd van beveiliging van informatiesystemen die zelf veel persoonsgegevens bevatten en waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.

22. De tussenconclusie is daarom dat als hoofdregel geldt dat verwerking van biometrische gegevens, behoudens gegeven toestemming, is verboden, tenzij wordt voldaan aan de uitzondering van artikel 29 UAVG.

23. Voor zover Manfield heeft aangevoerd dat in het onderhavige geval in het geheel geen sprake is van verwerking van gegevens, nu deze niet worden bewaard of bewerkt, wordt dit verweer verworpen. Ter zitting is naar voren gekomen dat het autorisatiesysteem ook wordt gebruikt voor tijdregistratiedoeleinden. Dat betekent dat er een koppeling in het systeem wordt gemaakt tussen het uitvoeren van de vingerscan en de betrokken persoon. Reeds daarom is er naar het oordeel van de kantonrechter sprake van verwerking van persoonsgegevens in de zin van de AVG.

24. Het beroep van Manfield op het bedrijfsbelang wordt verworpen. Manfield heeft in dit verband verwezen naar een aantal recente gevallen van fraude door het eigen personeel. Met het eerder gebruikte systeem van inlogcodes zou gemakkelijk onder een andere naam kunnen worden ingelogd en is eventuele diefstal niet te herleiden tot de eigenlijke dader. Door een systeem van vingerscanautorisatie wordt een persoonsgebonden, onvervreemdbare, autorisatiemethode ingevoerd, waardoor voormelde praktijk kan worden voorkomen. Uiteraard staat het Manfield vrij op te treden tegen bedoelde vormen van omzetderving, maar haar handelen dient wel in overeenstemming te zijn met de AVG. Naar het oordeel van de kantonrechter is dat niet het geval nu dit type bedrijfsbelang niet is aan te merken als “noodzakelijk voor authenticatie- of beveiligingsdoeleinden” in de zin van in artikel 9 lid 2 AVG. Ook ten aanzien van de proportionaliteit heeft de kantonrechter vraagtekens. [verzoeker 2] heeft onbetwist aangevoerd dat er in het filiaal van Manfield waarin zij werkzaam is, op geen enkele wijze in enige vorm van beveiliging is voorzien. Er is er geen camerabeveiliging, er zijn geen alarmpoortjes bij de ingang en er zijn geen kluisjes voor het

personeel aanwezig.

25. Manfield heeft verder aangevoerd dat de noodzaak van het gebruik van een vingerscanautorisatiesysteem bestaat uit het beveiligen van gevoelige informatie die via haar kassasysteem toegankelijk is; informatie die zowel betrekking heeft op financiën, persoonsgegevens van klanten en persoonsgegevens van werknemers. Daarbij wijst Manfield er verder op dat zij ook vanuit haar verplichting om voormelde gegevens zo veilig mogelijk te verwerken belang heeft bij invoering van het vingerscanautorisatiesysteem. Daardoor wordt ongeoorloofd inloggen door derden van buitenaf en/of het ongeoorloofd “afkijken” van een inlogcode voorkomen.

26. [verzoeker 2] heeft de noodzaak om in verband hiermee een vingerscanautorisatiesysteem in te voeren gemotiveerd bestreden. Alternatieven zoals toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, zijn naar haar oordeel onvoldoende onderzocht. Via een dergelijk systeem is zonodig een “dubbele” waarborg te realiseren die naar haar oordeel geen inbreuk maakt op de privacy. Naar het oordeel van de kantonrechter heeft Manfield dit argument van [verzoeker 2] niet of onvoldoende bestreden en heeft zij evenmin, bijvoorbeeld aan de hand van documenten, onderbouwd waarom, met afweging van voors en tegens van verschillende systemen, zij heeft gekozen voor het vingerscanautorisatiesysteem. Om te kunnen toetsen aan de voorwaarden van noodzakelijkheid en proportionaliteit die artikel 29 UAVG aan het toelaten van een uitzondering op de hoofdregel van het verbod van verwerking van biometrische gegevens stelt, had dat wel op haar weg gelegen.

27. Het voorgaande leidt tot de conclusie dat onder voormelde omstandigheden het gelijk aan de zijde van [verzoeker 2] is. Daarom wordt beslist als na te melden.

28. Partijen zijn blijkens het verzoekschrift overeengekomen dat ongeacht de uitkomst van deze procedure ieder de eigen kosten zal dragen, maar dat het griffierecht ten laste van Manfield komt.

29. Bij een eventuele uitvoerbaar bij voorraadverklaring hebben partijen geen belang, nu zij zijn overeengekomen dat wordt afgezien van een eventueel hoger beroep tegen deze beschikking.

BESLISSING

De kantonrechter:

- is van oordeel dat Manfield aan [verzoeker 2] niet de verplichting tot het gebruik van een vingerscanautorisatiesysteem, zoals hiervoor bedoeld, mag opleggen omdat dit in de gegeven omstandigheden in strijd met de AVG/UAVG moet worden geacht;

- bepaalt dat ieder van partijen de eigen kosten draagt en bepaalt dat Manfield het verschuldigde griffierecht dient te voldoen.

Deze beschikking is gegeven door mr. E.J. van der Molen, kantonrechter, en in het openbaar uitgesproken op 12 augustus 2019 in tegenwoordigheid van de griffier.