Geef effe je vingerafdruk, dat is handig voor de loonadministratie

Stel je voor dat je elke ochtend je vingerafdruk moest achterlaten op school, studie of werk om te bewijzen dat je wel daadwerkelijk bent op komen dagen. Klinkt dystopisch hm?

Ha ha, nee hoor: het is al totaal normaal.

Bedrijven zoals Tempo-Team, Intertoys, Etos, en vele anderen, gebruiken diensten van zogenoemde 'identiteitsmanagers' – Easy Secure, Dyflexis – die systemen leveren waarbij werknemers hun vinger in een kastje leggen. Zo weten ze precies wanneer hun personeel op de werkvloer aanwezig is. Handig voor de administratie! Het is minder fraudegevoelig dan bijvoorbeeld een pasje, of een conciërge bij de deur met een lijstje.

Omdát het natuurlijk nogal dystopisch aandoet, werden er onlangs Kamervragen over gesteld. “Vindt u het wenselijk dat er zo op grote schaal vingerafdrukken door particuliere bedrijven verzameld worden? Zo ja, zijn er volgens u voldoende waarborgen zodat deze data veilig opgeslagen moeten worden?” vroegen SP-Kamerleden Jasper van Dijk en Mahir Alkaya aan de verantwoordelijk minister Wiebes. Hij zal volgende week antwoord geven, maar wij zochten het alvast uit.

Want instinctief lijkt hun vraag totaal terecht. Is het niet erg drastisch om mensen hun vingerafdruk te vragen voor zoiets alledaags als in- en uitklokken? Ik vraag het aan advocaat Simone Dirven van Kessels Advocaten die zich specialiseert in privacy en dataprotectie. Zij zegt dat het vragen van biometrische gegevens vanaf mei, voor de meeste bedrijven, in strijd is met de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet die op 25 mei overal in Europa in werking treedt.

“Er zijn minder ingrijpende manieren om de toegang te verlenen aan werknemers, zoals het scannen van een pasje of het combineren van een pasje met identificatieplicht. Het vragen van biometrische gegevens is in de meeste gevallen helemaal niet nodig,” vertelt Dirven. Daarom zal het volgens haar voor veel bedrijven lastig worden om Europese toezichthouders uit te leggen wat de noodzaak van dit systeem is. Er zit een duidelijk verschil tussen een bedrijf dat gevaarlijke stoffen of belangrijke documenten bewaart, zoals een kerncentrale of de geheime dienst, en bijvoorbeeld een lokale supermarkt.

Tempo-Team is een van de bedrijven die binnenkort moet nadenken over het gebruik van hun kloksysteem. Zij hebben de vingerscan een paar jaar geleden ingevoerd om “24/7 inzicht te hebben in de bezetting op de werkvloer en deze snel te kunnen bijsturen,” vermeldt de website. Als ik woordvoerder Joost Heeroma via de mail vraag of zij werknemers verplicht stellen van dit systeem gebruik te maken, geeft hij aan dat werknemers een toegangscode mogen gebruiken wanneer zij hun gegevens niet willen verstrekken.

Maar ik vraag mij af hoe het überhaupt zo ver heeft kunnen komen dat een uitzendbureau gebruik wil maken van een biometrisch kloksysteem. Als een werknemer elke dag te laat op werk komt, dan lijkt een functioneringsgesprek mij bevorderlijker dan een of ander controlesysteem geïnspireerd op scifi-films als Gattaca. “Wij zien niet in waar de manier van registratie een link heeft met de werksfeer bij een organisatie,” zegt Heeroma me in de mail. Dit wordt bevestigd door het positieve ontvangst van een werknemer: “Ideaal, want je vinger vergeet je nooit.”

Ook Etos maakt gebruik van de vingerscan, lees ik op de website van Dyflexis, een van de personeelsmanagers. Als ik via de mail vraag waarom de drogisterij heeft gekozen voor dit kloksysteem, ontvang ik een verwarrende reactie: “Bij Etos maken we daar geen of nauwelijks gebruik van, dus ik kan je helaas niet verder helpen.” Als ik vraag wat ze bedoelen met “nauwelijks gebruik maken van bijzondere, persoonlijke gegevens”, word ik direct gebeld.

“Op welke website heb je dit eigenlijk precies gevonden?” Terwijl ze naar de websites zoekt die ik noem, reageert de persvoorlichter redelijk snel: “Oh, ja ik zie het inderdaad. Wij gebruiken dit systeem bij één van onze winkels. Dat is in ieder geval wat ik heb kunnen achterhalen. Maar ik kan je hier dus niet echt mee helpen.”

Het gemak waarmee werkgevers om zulke persoonlijke informatie vragen is opvallend. Volgens Heeroma van Tempo-Team mogen werknemers bovendien ook gewoon een pasje meenemen. En dat de persvoorlichter van Etos niet op de hoogte lijkt over het gebruik van dit systeem baart mij zorgen.

Als ik contact opneem met werknemersvakbond FNV, blijkt dat zij klachten hebben ontvangen van werknemers van zeven verschillende bedrijven, en dat het klachtenaantal iedere maand oploopt. “Het kan best zijn dat een bedrijf niet bewust is van de bezwaren, doordat werknemers niet snel ‘nee’ durven te zeggen tegen hun werkgevers. Een werknemer wil tenslotte niet graag in conflict komen met zijn of haar baas. Maar uit cijfers blijkt dat veel werknemers gewoon niet zitten te wachten op een inbreuk op hun privacy,” vertelt vakbondsvertegenwoordiger Erik van de Haar aan de telefoon.

Als ik de privacybezwaren voorleg aan Heeroma van Tempo-Team, legt hij uit dat alle vingerafdrukken zijn versleuteld in niet-herleidbare codes. De gegevens worden via een versleuteling en hash verzonden naar de leverancier van het systeem. Die hash (dat is een serienummer dat – op basis van de inhoud van een bestand – wordt berekend door een computer) wordt dan weer gekoppeld aan een nummer dat uniek is voor een medewerker. Frank Oprel van Dyflexis, leverancier van dit systeem, vult dit aan: “Die hash is gebaseerd op enkele kenmerken van de vingerafdruk. Het algoritme dat deze hash aanmaakt, kan enkel verifiëren of bepaalde kenmerken bij een persoon horen, maar nooit een vingerafdruk van een persoon reproduceren.”

Door deze uitleg lijkt het alsof de inbreuk op privacy ‘wel meevalt’. De biometrische gegevens van werknemers worden tenslotte nergens opgeslagen. Professor Bart Jacobs, gespecialiseerd in computerbeveiliging, bevestigt dit via de mail: “Het is in principe mogelijk om een hash te produceren waaruit de vingerafdruk niet meer gereconstrueerd kan worden. De uitdaging is om hier altijd dezelfde waarde uit te laten komen, bijvoorbeeld ook als de vingers enigszins beschadigd zijn door een sneetje of zwaar werk.” Dit betekent dat een matching van de gegevens niet perfect is, omdat er altijd een ‘foutmarge’ in het systeem moet zijn. Als ik dit aan de leverancier vraag, zegt hij: “De vingerscan is ingesteld met een zekere foutmarge. Als er onvoldoende herkenningspunten zijn, dan zal de medewerker niet herkent worden. Wij raden daarom altijd aan om twee vingers te scannen.”

Dit antwoord is zowel geruststellend als verwarrend. Aan de ene kant lijken de vingerscans dus geen biometrische gegevens op te slaan die herleidbaar zijn naar personen. Aan de andere kant begrijp ik niet goed wat de meerwaarde is in het nieuwe systeem. De ‘koppige’ werknemers krijgen een pasje aangeboden wanneer zij hun gegevens niet willen delen, en er zit een foutmarge in het systeem omdat vingers beschadigen.

Je zou kunnen zeggen: wat maakt het uit? Niet iedere technologische vooruitgang is meteen gevaarlijk. “Wellicht dat er commotie is ontstaan, omdat er onduidelijkheid heerst over het systeem,” zegt Oprel. Daar heeft hij waarschijnlijk gelijk in. Maar het gemak waarmee bedrijven overstappen op een biometrisch kloksysteem omdat het de loonadministratie wat makkelijker maakt, legt een dieper probleem bloot. Wie gaat het controleren, en waarom?

Het is goed dat er vanuit Europa door de nieuwe wet nu meer toezicht komt, maar het zijn bedrijven die in eerste instantie bepalen waar onze data terecht komt. Die verantwoordelijkheid besteden ze uit aan identiteitsmanagers zoals Dyflexis en Easy Secure. De overheid moet dit hele proces monitoren. Dat kost tijd en geld, terwijl het verbeteren van de loonadministratie of het verminderen van fraudegevoeligheid ook kan worden opgelost zonder gebruik te maken van biometrische gegevens. Ontsla je werknemer bijvoorbeeld gewoon als hij of zij steeds te laat is. Daar zijn echt geen biometrische gegevens voor nodig.