Personeelsidentificatie

Vele bedrijven maken gebruik van personeelsidentificatie om de fysieke toegang tot het bedrijf of tot specifieke zones in het bedrijf te controleren en/of te verhinderen. Een andere toepassing van personeelsidentificatie is het beveiligen van gevoelige informatie op computers zoals specifieke bestanden (bijvoorbeeld medische bestanden) met biometrische methoden.

Personeelsidentificatie

Ook het publiceren van naam en foto van de werknemer op de website of het intranet van een bedrijf is een vorm van personeelsidentificatie. Deze toepassingen geven geregeld aanleiding tot vragen bij de Autoriteit over wat al dan niet mag. Als derde toepassing van personeelsidentificatie wordt er dieper ingegaan op het publiceren van namen en andere persoonsgegevens van werknemers op een intranet of op een website.

Personeelsbadge

Het gebruik van een personeelsbadge beperkt zich niet steeds tot het louter identificeren van het personeelslid of het beheer van de fysieke toegang tot (delen) van het bedrijfsgebouw. In sommige gevallen wordt de personeelsbadge ook aangewend als controlesysteem op de arbeidstijd via elektronische tijdsregistratie.

Mag de werkgever de personeelsbadge stiekem gebruiken als controlesysteem op de arbeidstijd?

Als de werkgever zijn personeel een badge laat gebruiken om toegang te hebben tot de lokalen van het bedrijf en die badge ook wil gebruiken als controlesysteem  om hun aankomst- en vertrekuren te registreren, dan moet hij dat aan zijn werknemers laten weten.

Immers, wanneer de werkgever dit niet doet, overtreedt hij de Privacywet want de de werknemers weten niet dat hun toegangsbadge ook dienst doet als prikkaart. Volgens die wet moet het doel van de badge voor iedereen klaar en duidelijk zijn (het zogenaamde transparantiebeginsel van de Privacywet). Is dit niet het geval dan kan dit  leiden tot betwistingen over de al dan niet aanwezigheid van de werknemer op de werkvloer: de werknemer die de eigen kaart niet heeft gebruikt omdat hij net achter een collega (die zijn kaart wel gebruikte) mee door de toegangspoort kon stappen, wordt door het systeem niet als “aanwezig” geregistreerd, aangezien hij niet heeft geprikt met de eigen badge.

Biometrische toepassingen op de werkvloer

Een biometrische toepassing op de werkvloer is bijvoorbeeld de registratie van aankomst- en vertrekuren van personeelsleden op de werkvloer aan de hand van een handpalmverificatie.

Biometrische gegevens zijn persoonsgegevens omdat ze slaan op geïdentificeerde of identificeerbare personen. Bij de installatie van een biometrisch controlesysteem op de werkvloer moet de werkgever daarom de bepalingen van de Privacywet naleven.

Om te oordelen over de wettelijkheid van biometrische controles op de werkplaats moet specifiek gekeken worden waarom gebruik wordt gemaakt van handpalmverificatie. Vanuit het antwoord op deze vraag moet vervolgens worden nagegaan of dat niet overdreven is en er geen andere, privacy-vriendelijkere manieren bestaan om het doel van biometrische controle te bereiken.

Een werkgever kan dus slechts een biometrisch controlesysteem inrichten als hij daar ernstige redenen voor heeft, zoals bijvoorbeeld het verhinderen van fraude of als ze bijvoorbeeld te maken hebben met de bijzondere activiteiten die op deze plek worden uitgeoefend (onderzoek en ontwikkeling, …), of met de veiligheid van de site (gevaarlijke activiteiten), of met het gevoelig karakter van de verwerkte informatie door bepaalde informatieverwerkende systemen.

Om bijvoorbeeld de toegang te beveiligen tot zeer gevoelige locaties met een verhoogde behoefte aan veiligheid (bv. een bepaalde afdeling van een SEVESO-bedrijf, een bepaalde afdeling van een militair complex, …) of om toegang te krijgen tot zeer gevoelige informatie in een bepaalde databank, zijn biometrische toepassingen zoals vingerafdrukverificatie, handpalmverificatie al redelijker om te vermijden dat onbevoegde personen zich toegang zouden verschaffen tot deze gevoelige locaties of informaties.

De Autoriteit heeft voor het verwerken van biometrische gegevens in het algemeen het  advies nr. 17/2008 van 9 april 2008 uit eigen beweging uitgebracht over het verwerken van biometrische gegevens in het raam van authenticatie van personen.

Het advies van de Autoriteit, stelt dat een biometrische verwerking problemen geeft als er bijvoorbeeld sprake is van het gebruik van biometrische kenmerken die sporen nalaten (vingerafdrukken), als er afbeeldingen worden gebruikt in plaats van templates of als er sprake is van centrale opslag van de afdrukken in een databank. De eenvoudige registratie op een drager waarover enkel de betrokkene zelf beschikt, zoals een badge of een chipkaart, is immers voldoende.

De biometrische gegevens zouden bij voorkeur moeten opgeslagen worden op een beveiligde verwijderbare drager, zoals een chipkaart die bewaard wordt door de werknemer of in het toestel waarin de biometrische sensor geplaatst is - bijvoorbeeld aan de ingang van het gebouw - en dat beveiligd is. Het gecentraliseerd opslaan van biometrische gegevens verhoogt immers het risico op een later hergebruik van de gegevens voor andere, niet toegestane doeleinden. Het klopt dat de opslag in een databank het biometrisch systeem gebruiksvriendelijker maakt maar dit weegt niet op tegen het privacyrisico. Bovendien verhoogt het feit dat de werknemer zijn biometrische gegevens bij zich draagt, zijn controle over zijn biometrische gegevens.

Enkele concrete voorbeelden van personeelsidentificatie

Publiceren van persoonlijke gegevens  van de werknemer op de website

Dat de werkgever de identificatie- en contactgegevens van het voltallige personeel op een open toegankelijke website wenst te plaatsen, roept bij vele werknemers vragen op. Privacy betekent immers ook dat het aantal personen dat deze persoonsgegevens kan zien, zo beperkt mogelijk wordt gehouden. Het is alleen verantwoord als dit kadert binnen bepaalde bedrijfsbehoeften.

Het is overmatig om op een website die voor iedereen toegankelijk is,  gegevens te plaatsen van personeel dat niet in contact komt met de klant (zij die dus ‘onzichtbaar’ zijn voor de buitenwereld omdat ze in de backoffice van de werkgever werken).

Maar in principe mogen de gegevens van de personeelsleden die vaak in contact komen met de klant of met het publiek, dus wel op een open website gepubliceerd worden. Denk bijvoorbeeld aan de woordvoerder van een organisatie. De online publicatie van zijn gegevens tast wel zijn privacy aan maar is toch relevant omdat ze nodig is voor het soort werk dat hij uitvoert.

In de openbare sector geldt een openbaarheidswetgeving. Wil dit zeggen dat een werkgever uit deze sector, wegens de verplichting om transparantie na te streven, dan toch persoonsgegevens van werknemers op het internet moet plaatsen?

De overheidsdiensten zijn inderdaad wettelijk verplicht om het publiek te informeren over de grote lijnen van hun beleid en informatie te verspreiden over de diensten die zij verlenen. Die verplichting wordt immers opgelegd in de wet.

Maar ook al heeft de overheid een plicht tot transparantie, toch mag ze geen toegang verlenen tot alle inlichtingen over haar ambtenaren.

Het toegangsrecht van de burger tot die informatie zal verzoenbaar moeten zijn met het recht van de individuele ambtenaar op de bescherming van zijn persoonlijke levenssfeer.

Een foto van een wijkagent in de brochure of website van de politiezone

Men kan stellen dat de publicatie van de foto van de wijkagent in feite noodzakelijk en gerechtvaardigd is voor de goede werking van de diensten van een lokale politiezone. Die publicatie draagt bij aan de vooropgestelde transparantie van de politiediensten en ligt in de lijn van de wettelijke definitie inzake wijkwerking.

De foto wordt gepubliceerd zodat de wijkagent die in rechtstreeks contact staat (verzoeningspogingen, informatie vertrekken,...) met de wijkbewoners, gekend is. In dunbevolkte gebieden is de wijkagent voor de meeste wijkbewoners een gekend figuur, maar in grote steden is dat veel minder het geval. Ook nieuwe inwoners kennen de wijkagent niet. Toch heeft de wijkagent een recht op verzet vooraleer de foto gepubliceerd wordt. Hij moet hiervoor een redelijke termijn krijgen. Voorwaarde voor een gegrond verzet is dat hij zwaarwegende en gerechtvaardigde redenen heeft die verband houden met zijn bijzondere situatie. Bijvoorbeeld de criminaliteitscijfers van de betrokken politiezone of de risico’s die de betrokken agent blijkbaar loopt,... Als de korpsoverste niet wil ingaan op dit recht op verzet, moet hij zijn beslissing motiveren.

Verder moet volgens de Privacywet de verantwoordelijke voor de verwerking - hier de korpsoverste van de wijkagent - waken over de proportionaliteit van de verwerking. Dit wil zeggen dat hij er voor moet zorgen dat de gegevens die over wijkagenten worden verwerkt, zoals bijvoorbeeld de publicatie van een foto op het internet, toereikend, ter zake dienend en niet overmatig mogen zijn. Of dit het geval is, wordt steeds beoordeeld op basis van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt.

Daarom moet de korpsoverste rekening houden met de verspreidingswijze van de foto’s. De papieren publicatie wordt best uitsluitend verspreid in de wijk waar de agent werkzaam is. De foto mag online alleen toegankelijk zijn via de officiële portaalsite van de politiezone waartoe de wijkagent behoort. Daarbij moet de verantwoordelijke voor de verwerking (hier de korpsoverste) ervoor zorgen dat de informatie alleen toegankelijk is voor het doelpubliek zodat buitenstaanders die informatie niet kunnen misbruiken voor kwaad opzet, bijvoorbeeld wraakacties. Zo kan diegene die zijn wijkagent wil kennen via de
website van de lokale overheid, worden gevraagd om de wijk waar hij woont te vermelden, bijvoorbeeld door zijn straatnaam te selecteren.

De korpsoverste moet dus verhinderen dat zoekmachines  de afbeelding van de betrokken agent tonen, vooral als die gelinkt is aan zijn naam. Ook moet hij  alle technische middelen aanwenden zodat het onmogelijk is een kopie van de afbeelding op te slaan in een bestand of af te drukken op een printer.

Zodra de wijkagent een andere aanstelling krijgt of zich terecht heeft verzet tegen die publicatie, moet zijn foto worden verwijderd.

Verplicht dragen van een badge met foto en/of naam

Het evenredig karakter of de proportionaliteit van het verplicht dragen van een badge met foto en naam, wordt geval per geval beoordeeld.  Het is bijvoorbeeld niet overdreven dat personen die regelmatig in contact staan met het publiek (taxichauffeurs, personen belast met klantenrelaties, loketbedienden van een administratie) een badge dragen, maar dat is het dan weer wel voor personen die in diensten werken die voor het publiek gesloten zijn. Dat personen die een gezagsfunctie uitoefenen en inbreuken kunnen vaststellen (politiefunctionarissen, beëdigde ambtenaren van een publieke vervoersmaatschappij,…), verplicht worden om een identificatiebadge te dragen, is eveneens redelijk als dit de burger de mogelijkheid biedt te verifiëren of de persoon die zijn gezag over hem uitoefent daadwerkelijk diegene is die hij beweert te zijn.

Hoe meer persoonsgegevens op de identificatiebadge staan, hoe groter de indringing in de privacy van de betrokken persoon. Er moet dus zoveel mogelijk worden vermeden om tegelijkertijd de naam en de foto op de badge te vermelden.

Daarom raden wij aan dat de werkgever met zijn personeel of hun vertegenwoordiger(s) overlegt welke gegevens op de identificatiebadge moeten staan en of het nodig is de badge op een zichtbare manier te dragen of dat ze alleen op verzoek moet worden voorgelegd. Tenzij dit laatste bij wet verplicht is. Hierbij moet steeds de meest privacyvriendelijke oplossing gekozen worden. Bijvoorbeeld, het doel is:

  • de identificatie van de persoon zelf: enkel de naam volstaat,
  • kunnen nagaan of personen die in de gebouwen van een grote onderneming/administratie rondlopen, daartoe gemachtigd zijn: enkel een foto volstaat.

Soms is een badge met foto en naam gerechtvaardigd, bijvoorbeeld wanneer bepaalde lokalen omwille van de veiligheid enkel toegankelijk zijn voor sommige personen, bijvoorbeeld in ambassades, ministerie van landsverdediging, luchthaven,…

Tot slot mag een werkgever de foto van de werknemer die genomen werd voor de aanmaak van een identificatiebadge niet gebruiken voor een publicatie op een intranetsite of in een brochure die door de werkgever wordt uitgegeven, zonder dat de werknemer voor dit andere doeleinde zijn uitdrukkelijk akkoord heeft gegeven. Dit moet gebeuren op het ogenblik dat de badge werd aangemaakt of op het ogenblik van publicatie op intranet of in een brochure. Het finaliteitsbeginsel houdt immers in dat de gegevens niet mogen verwerkt worden voor andere doelen.

Een naamplaatje op het uniform van politieagenten

Als het dragen van een naamplaatje door de wet wordt opgelegd, is dit aanvaardbaar. De Politiewet verplicht de politieagenten om een naamplaatje te dragen. Zo zegt de Politiewet dat alle politieambtenaren en politieagenten in functie in alle omstandigheden moeten kunnen worden geïdentificeerd, dat kan met een naamplaatje of een interventienummer al naargelang de omstandigheden. Het is de Korpsoverste die daarover beslist.