Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HEMA stopt met vingerafdruksysteem voor personeel

HEMA stopt vanaf 1 januari volgend jaar met het gebruik van vingerafdrukscanners voor medewerkers. Die worden nu ingezet bij de kassa en om in te klokken. Volgens de winkelketen is het gebruik van zulke vingerafdrukken echter tegen de privacywet.

Dat laat het bedrijf weten aan NU.nl. HEMA-medewerkers moeten in sommige filialen een vingerafdruk gebruiken om het kassasysteem te bedienen en om in- en uit te klokken voor hun dienst. Het is niet bekend om hoeveel filialen het daarbij gaat; een woordvoerder kon dat niet direct tegen Tweakers zeggen. De winkelketen was aanvankelijk van plan het systeem in alle HEMA-winkels toe te passen, maar ziet daar nu vanaf. Ook worden de bestaande systemen uit de winkels verwijderd. Medewerkers kunnen tot die tijd in plaats van een vingerafdruk ook een pincode gebruiken.

HEMA zegt dat het bedrijf de beslissing maakt vanwege een eerdere gerechtelijke uitspraak over vingerafdrukken bij winkelpersoneel. Het gaat daarbij om een zaak rondom een Tilburgse schoenwinkel. Die wilde een vingerafdruksysteem introduceren, maar een werknemer wilde daar niet aan meewerken. De rechter oordeelde toen dat de winkel onder de privacywet een werknemer niet kan verplichten een vingerafdruk af te staan. Onder de AVG is biometrie een 'bijzonder persoonsgegeven' dat aan strenge eisen moet voldoen voor het kan worden verzameld.

"We willen zeker weten dat we niet de privacywet overtreden. Daarom hebben we besloten het systeem terug te draaien", zegt een woordvoerder van de winkelketen. "In de toekomst blijven we bekijken welke nieuwe technologieën we kunnen gebruiken en aan welke voorwaarden die moeten voldoen."

Door Tijs Hofmans

Redacteur privacy & security

28-11-2019 • 18:14

197 Linkedin Google+

Reacties (197)

Wijzig sortering
Als je bij een bedrijf werkt dat ook dergelijke systemen gebruikt dan hoor ik het graag van je! Ik wil altijd graag meer weten over bedrijven die werknemers volgen.
Ik vind het nogal vreemd dat het de normaalste zaak vd wereld is dat je je smartphone (evt vd zaak) ontgrendeld met je vingerafdruk, maar dat een kassa ontgrendelen ineens een schandaal is?

Ook begrijp ik niet waarom de rechter meent dat een vingerafdruk een 'bijzonder persoonsgegeven' is. Zie ook mijn reactie/vraag hieronder.

Daarnaast laat je je vingerafdruk overal achter en is het zo'n beetje het meest slechte alternatief voor een password. Zie:
https://hackaday.com/2015...gerprints-secure-nothing/

Verder is privacy een hot topic, maar dat brengt ook t risico met zich mee dat dingen buiten proportioneel gebracht of geïnterpreteerd worden.
Het gaat hier om het opslaan van persoonlijke gegevens (in dit geval dus een vingerafdruk) in een database voor een doel waar dat eigenlijk niet voor noodzakelijk is.

Een vingerafdruk is wel iets gevoeliger informatie dan enkel een personeelsnummer / geboortedatum etc.
Je vingerafdruk is zo goed als uniek, je kan er ook je mobiel mee ontgrendelen, dus ik snap wel dat hier kritisch naar gekeken wordt.
Als je bij een bedrijf werkt dat ook dergelijke systemen gebruikt dan hoor ik het graag van je! Ik wil altijd graag meer weten over bedrijven die werknemers volgen.
Ik ben monteur geweest van o.a Hema en de kassa systemen bij ze (cowhils). Je mag me een DM doen. Ik kan tot in detail vertellen wat er gebeurd met deze gegevens.

Edit: Hema is overigens niet het enige bedrijf dat gebruik gemaakt van het kassa systeem Cowhils en de technologie voor vingerprints. Bedrijven als Xenos, Blokker, Zeeman, Miss etam, MS mode en Big bazar (en nog een paar) gebruiken exact het zelfde. Als de privacywet zegt dit niet mag, dan zullen deze bedrijven op korte termijn ook moeten stoppen, gezien het ook daar verplicht is en hun HK verplicht gebruik te maken vingerafdruk scanners voor het inloggen op kassasystemen.

Andere bedrijven waarmee ik gewerkt heb verplichten medewerkers ook op andere manieren gebruik te maken van vingerprint zoals bij het inkloksysteem.

[Reactie gewijzigd door Luchtbakker op 28 november 2019 20:14]

Het probleem is dat wij daar dan maar op moeten vertrouwen. Het enige wat wij weten is dat we onze vingerafdruk geven.
Bij mijn vorig bedrijf verkochten wij toegangscontrole systemen voor o.a. Chemtura, Unilever, ASML, Etos, Intratuin en Leenbakker filialen.
De complete vinger werd ingescand en opgeslagen op een webserver die benaderbaar was en afhankelijk van de setting moesten minimaal 10 van de 20 lijnen matchen. Het kwam wel eens voor dat er dan een persoon toegang kreeg omdat het systeem dacht dat het een persoon was die een zelfde soort lijnen had en een hoger toegangsprofiel had.
Als ze de wet overtreden wel.
Mooi. Wist je dat Tweakers de wet overtreed door nog steeds een cookie wall te voeren? De AP is in zijn laatste uitspraak stellig dat dit niet toegestaan is.

Ik heb je in een eerder artikel rechtstreeks gementioned en om een reactie gevraagd, die is nooit gekomen.

Mogen we nu een nieuws artikel verwachten: "Tweakers trekt zich niets aan van privacy wet", of geld dit alleen voor andere bedrijven?
Volgens mij is dit geen politie zaak maar een zaak van de AP. Ik vind het ook veel te ver gaan om van een publieke werknemer te verwachten om een dergelijke vijandige aktie tegen de eigen werkgever te starten. Bescherming of niet, de relatie is onherstelbaar beschadigd.

Dat is het allemaal niet waard omdat naar mijn mening de uitkomst al zo goed als vaststaat: ja, Tweakers breekt de wet volgens de AP uitspraak, maar de AP uitspraak dat cookie walls niet mogen is onuitvoerbaar. De uitspraak hangt nog in de lucht en niemand doet er iets mee. Omdat dat niet kan. Als je eenvoudig tracking kunt weigeren en alsnog gewoon toegang hebt, helpt dit het business model van vele grote sites om zeep. Los van wat je persoonlijk vind van tracking, ik ben er van overtuigd dat de uitspraak niet gehandhaafd wordt. Het zal desnoods tot het hoogste hof uitgevochten worden, dus er zal jaren niets gebeuren op dit vlak.

Dus daar hoef je baan niet voor op het spel te zetten. Intern aankaarten is netjes, en er ooit over publiceren zou integer zijn.
Dat de politiek iets aan gaat pakken begint vaak met goede journalistiek. Hier vragen over stellen is het werk van een journalist en dus van Tijs.
Als bedrijven werknemers verplichten een vingerafdruk af te geven, is dat tegen de wet. Dat is geen veronderstelling, dat is een feit met aantoonbare jurisprudentie.

De volgende stap is dan: uitzoeken hoe het zit. Vragen bij de bedrijven waarom ze dit doen. Hoe het technisch werkt. Of ik hun DPIA mag zien. Wat hun mening erover is. Als blijkt dat in die antwoorden iets niet klopt (i.e. een bedrijf heeft er niet over nagedacht en is dus onwettig bezig) dan is het nieuws.

Dat lijkt mij de essentie van journalistiek onderzoek.
De belangrijkste vraag is of persoonsgegevens en bijzondere gegevens echt nodig zijn bij het doel. Wat voortkomt uit de wetgeving die er op gericht is dat persoonsgegevens in de eerste plaats beschermd dienen te worden tegen ongewenst en onnodig verwerken door derden.

Hoe persoonsgegevens opgeslagen worden is aan de orde als er verwerking voor het doel mag plaatsvinden. Daarbij gaat op dat er van verwerking al spraken is op het moment van het inlezen van de gegevens en niet pas ergens bij de toepassing van een of ander algoritme. Zonder verwerking ook geen risco op misbruik en geen ongewenste verwerking.

Ik kan me voorstellen dat er tal van gemak kan zitten aan het verwerken van persoonsgegevens, maar in de afgelopen jaren is ook tal van malen duidelijk geworden dat de verwerker het gemak wel heel ruim heeft genomen boven de belangen van de eigenaren van de persoonsgegevens. Mede daardoor is de wetgeving zwaar aangescherpt. Om duidelijk te maken dat je als verwerken maar beperkt mogelijkheid en zeggenschap hebt om te verwerken op basis van andermans persoonsgegevens. Ook maakt het duidelijk dat de vrijheid niet begint op het moment dat het je goed uit komt bij een verwerking, zoals een moment dat je er wel een algoritme op los laat of door simpelweg te stellen dat het niet meer herleidbaar zou zijn. Verwerking een goed idee vinden omdat je het risico op misbruik bij je toepassing klein acht is ook niet in de geest van de wet.

In veel gevallen lijkt een gang naar de rechter helemaal niet nodig omdat een portie gezond verstand bij de uitgangspunten van de wetgever al veel houvast geeft. Ook in deze zaak was te overzien dat biometrische/bijzondere persoonsgegevens verplichten een te zwaar middel zou zijn voor het doel van tijdregistratie. Als het doel met simpelere gegevens bereikt kan worden is het geen keuzemogelijkheid. Dat was zelfs al in een eerdere uitspraak nogmaals duidelijk gemaakt. En als je dan toch excuus zoekt moet je ook de minder ver gaande alternatieven voldoende onderzocht hebben.

[Reactie gewijzigd door kodak op 28 november 2019 21:58]

Het mag wel volgens GDPR.

Het probleem is dat je bepaalde procedures moet volgen en moet samenwerken met de DPA.
Die procedures zijn nog niet goed uitgewerkt en veranderen vaak. In België gelden ook andere regels tussen Brussel, Vlaanderen en Wallonië.

De negatieve adviezen van rechters en DPA zijn vaak het gevolg van slecht voorbereide bedrijven, of bedrijven die niet goed samenwerken met de DPA.
Wat in mijn ogen niet enkel aan de bedrijven ligt, mijn ervaring met de autoriteiten in België is om van te huilen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True