Vingerafdrukken gebruiken voor tijdregistratie is onder de huidige interpretatie van de GDPR in veel gevallen niet (meer) toegestaan, zeker in België en veel andere EU-lidstaten. Hier is waarom:
Waarom het niet GDPR-compliant is
1. Biometrische gegevens zijn “speciale categorie”
Onder art. 9 GDPR gelden vingerafdrukken als biometrische gegevens — een vorm van “speciale categorie van persoonsgegevens” die speciale bescherming vereist .
Lees ook artikels:
- “Belgian Data Protection Authority fines employer €45,000 for unlawful biometric data processing”
- “Processing of biometric data – Recommendation of the Belgian DPA”
2. Geen valide toestemming mogelijk in werkcontext
Consumentonvrijheid is essentieel. In een werkgever-werknemerrelatie is vrije, geïnformeerde en ondubbelzinnige toestemming meestal niet haalbaar — het machtsonevenwicht maakt dat werknemers zich geforceerd voelen om te accepteren.
- In de besproken Belgische zaak (beslissing 6 september 2024) concludeerde de DPA dat:
- de informatievoorziening ontoereikend was;
- werknemers geen echte keuze hadden (consent was verplicht en zonder alternatief);
- er geen DPIA (Data Protection Impact Assessment) was uitgevoerd;
- alternatieven bestonden zoals badges, codes, kaarten.
Lees ook artikels:
- “Fingerprinting in the workplace: legal aspects of biometric time recording”
- “Using fingerprints for time recording may violate GDPR “
3. Gegevensminimalisatie & proportionaliteit geschonden
Er waren minder ingrijpende, even effectieve alternatieven beschikbaar. Het gebruik van vingerafdrukken werd dus beschouwd als onnodig en disproportioneel.
Lees ook: “Biometric Time Tracking: Why Fingerprint Scanning Requires Employee Consent”
4. Strikte regelgeving en boetes
In de besproken Belgische zaak kreeg de werkgever een boete van €45.000 van de DPA voor de schendingen – een duidelijk signaal dat dit serieus wordt genomen.
5. Autonome opslag is uitzondering (thuisgebruik)
De DPA erkent wel een uitzondering, maar alleen als biometrie lokaal gebeurt, beheerd door de persoon zelf (zoals op je eigen smartphone), buiten elke externe toegang. Dit valt onder de ‘domestic exception’ en is in veel werkcontexten niet toepasbaar.
Voorbeelden uit andere landen
In het VK werd Serco Leisure door de ICO (Information Commissioner’s Office) verplicht te stoppen met vingerafdruk- en gezichtsherkenningstechnologie voor personeelsregistratie – opnieuw door het ontbreken van noodzaak, proportionele inbreuk en alternatieven The Guardian.
Artikel: “Serco ordered to stop using facial recognition technology to monitor staff”
In Nederland sloeg de autoriteit opnieuw toe met forse boetes (tot €725.000) voor biometrisch ongeoorloofd gebruik — zelfs als het doel fraudebeheersing was, was dat geen rechtvaardiging als minder privacy-invasieve middelen beschikbaar waren Taylor WessingReddit.
Artikels:
- “Processing employee fingerprint data”
- “Dutch Company Appeals GDPR Fine for Collecting Employee Fingerprints”
Conclusie
Ja, vingerafdruk-gebaseerde tijdregistratie is doorgaans niet (meer) GDPR-compliant in een werkcontext binnen de EU. Je hebt harde juridische precedentcases, duidelijke richtlijnen van de DPA, en zelfs handhavingsacties (boetes) die dit onderbouwen.
Wat wel GDPR-compliant zou kunnen zijn:
- Alternatieven gebruiken: elektronisch badge-systeem, PIN-codes, RFID-kaarten, mobiele inlog of geofencing voor veldwerk heydata.euIus Laboris.
- DPIA uitvoeren: bij hoge privacyrisico’s als biometrie gebruikt moet worden.
- Heldere informatie: expliciet, transparant en begrijpelijk aan werknemers.
- Vrije optie aanbieden: keuzevrijheid om niet mee te doen zonder repercussies.