Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HEMA stopt met vingerafdruksysteem voor personeel

HEMA stopt vanaf 1 januari volgend jaar met het gebruik van vingerafdrukscanners voor medewerkers. Die worden nu ingezet bij de kassa en om in te klokken. Volgens de winkelketen is het gebruik van zulke vingerafdrukken echter tegen de privacywet.

Dat laat het bedrijf weten aan NU.nl. HEMA-medewerkers moeten in sommige filialen een vingerafdruk gebruiken om het kassasysteem te bedienen en om in- en uit te klokken voor hun dienst. Het is niet bekend om hoeveel filialen het daarbij gaat; een woordvoerder kon dat niet direct tegen Tweakers zeggen. De winkelketen was aanvankelijk van plan het systeem in alle HEMA-winkels toe te passen, maar ziet daar nu vanaf. Ook worden de bestaande systemen uit de winkels verwijderd. Medewerkers kunnen tot die tijd in plaats van een vingerafdruk ook een pincode gebruiken.

HEMA zegt dat het bedrijf de beslissing maakt vanwege een eerdere gerechtelijke uitspraak over vingerafdrukken bij winkelpersoneel. Het gaat daarbij om een zaak rondom een Tilburgse schoenwinkel. Die wilde een vingerafdruksysteem introduceren, maar een werknemer wilde daar niet aan meewerken. De rechter oordeelde toen dat de winkel onder de privacywet een werknemer niet kan verplichten een vingerafdruk af te staan. Onder de AVG is biometrie een 'bijzonder persoonsgegeven' dat aan strenge eisen moet voldoen voor het kan worden verzameld.

"We willen zeker weten dat we niet de privacywet overtreden. Daarom hebben we besloten het systeem terug te draaien", zegt een woordvoerder van de winkelketen. "In de toekomst blijven we bekijken welke nieuwe technologieën we kunnen gebruiken en aan welke voorwaarden die moeten voldoen."

Door Tijs Hofmans

Redacteur privacy & security

28-11-2019 • 18:14

197 Linkedin Google+

Reacties (197)

Wijzig sortering
Ik vind het nogal vreemd dat het de normaalste zaak vd wereld is dat je je smartphone (evt vd zaak) ontgrendeld met je vingerafdruk, maar dat een kassa ontgrendelen ineens een schandaal is?
Je smartphone ontgrendelen met biometrische gegevens is nog altijd een keuze. Veel bedrijven vereisen een vorm van authenticatie om je telefoon te ontgrendelen maar dat kan ook door middel van een passcode als je geen biometrische gegevens wil afstaan.

Ook begrijp ik niet waarom de rechter meent dat een vingerafdruk een 'bijzonder persoonsgegeven' is. Zie ook mijn reactie/vraag hieronder.
Verder is privacy een hot topic, maar dat brengt ook t risico met zich mee dat dingen buiten proportioneel gebracht of geïnterpreteerd worden.
Een werkgever die om niet noodzakelijke biometrische data vraagt of zelfs vereist is wel degelijk een buiten proportionele privacy kwestie. Inloggen op een kassa of inklokken doen wel decennia lang zonder die gegevens en kan dus prima zonder.

[Reactie gewijzigd door puddingbuks88 op 1 december 2019 15:38]

Dat vind ik altijd zo'n dooddoener. Elkaar berichtjes sturen deden we ook decennia lang dmv pen en papier en postbodes.

Overigens ben ik helemaal geen voorstander van vingerafdrukken (zie de link naar hackaday).
Maar, for argument's sake. Wat is nou het grote probleem van je vingerafdruk gebruiken op je werk? Ik zie t nml niet.
Het is niet zo dat anderen mijn vingerafdruk kunnen "downloaden" uit die kassa en er iets anders mee zouden kunnen?
Overigens ben ik helemaal geen voorstander van vingerafdrukken (zie de link naar hackaday).
Maar, for argument's sake. Wat is nou het grote probleem van je vingerafdruk gebruiken op je werk? Ik zie t nml niet.
Het is afhankelijk van de context; voor toegang tot een datacenter, waar je integriteit wil afdwingen, kan dat zeker een handig hulpmiddel zijn (omdat het redelijk makkelijk te achterhalen is wie die harde schijf uit een server van een ander jatte, omdat die server in hetzelfde rack zit, bijvoorbeeld).

Voor het ontgrendelen van een kassa is dat in de basis niet nodig, genoeg andere kassa's waarbij dat niet hoeft, immers. Tel daarbij op dat er steeds meer met PIN of creditcard betaald wordt, waardoor er ook fysiek steeds minder in de kassa terecht klomt. In de tijd dat er wel veel meer met cash betaald werd dan met PIN, kon de HEMA de medewerkers opeens wel vertrouwen...
Het is niet zo dat anderen mijn vingerafdruk kunnen "downloaden" uit die kassa en er iets anders mee zouden kunnen?
Het gaat erom dat je een persoonsgegeven moet afstaan terwijl het (in de basis) niet nodig is. Dat jij er geen moeite mee hebt, betekend niet dat het dan geen probleem kan zijn of dat het dan zelfs niet illegaal kan zijn. Discutabel is dit in elk geval wel en daarom onderneemt Hema actie, om verdere rompslomp (en bijvoorbeeld boetes van de Autoriteit Persoonsgegevens) te voorkomen.

[Reactie gewijzigd door CH4OS op 2 december 2019 00:29]

Vingerafdruk scanners gebruiken een algoritme waarin een aantal punten ongeveer met elkaar overeen moeten komen. Het is dus nooit een exacte match. Het kan zelfs zo zijn, bij "slechte" scanners dat er dusdanig weinig punten worden gebruikt dat jouw vingerafdruk gematched wordt met die van iemand anders.
Daarnaast is het dus ook mogelijk om een vingerafdruk na te maken, goed genoeg om zo'n scanner te foppen.
Oftewel, vingerafdrukken zijn niet veilig. Ze zijn wel handig, dus voor bv een kassa prima als het doel is om toegang van derden te belemmeren.

En ja, de AP heeft biometrie tot bijzondere persoonsgegevens verklaard heb ik inmiddels geleerd en voor opslag van dat type heb je dus een geldige reden nodig. Dat is de huidige wetgeving.
Maar wetgeving is er omdat dat nodig is, en niet andersom. Dus, nog een keer. Wat maakt het ontgrendelen van een kassa middels een vingerafdruk nou zo'n privacy gevoelig probleem? Wat als je dat setje punten weet te bemachtigen? Misschien kun je daarvan weer een vingerafdruk genereren die dan zo'n zelfde setje punten oplevert en dan heb je in theorie toegang tot systemen die een vergelijkbaar ingestelde vingerafdruk scanner bevatten. Vrij onwaarschijnlijk lijkt me? Daarnaast laat je je echte vingerafdruk overal achter. Dus veilig is t sowieso niet.
Maar wetgeving is er omdat dat nodig is, en niet andersom. Dus, nog een keer. Wat maakt het ontgrendelen van een kassa middels een vingerafdruk nou zo'n privacy gevoelig probleem?
Je geeft het antwoord zelf al in het begin van jouw tweede paragraaf. Je weet het dus al, waarom zou ik jou dan alsnog van een antwoord voorzien? :?
Daarnaast laat je je echte vingerafdruk overal achter. Dus veilig is t sowieso niet.
Dat is toch ook helemaal het punt niet? :? Het punt is dat je elke keer bijzondere persoonsgegevens moet afstaan voordat je als kassière je werk kunt doen. Dat de Hema dat zoveel mogelijk wilt is prima, maar dat betekend niet dat het bij wet is toegestaan. Dat was het al niet voordat de AVG / GDPR kam en de AVG / GDPR heeft daar alleen verduidelijkingen in aangebracht, waardoor het alleen maar extra zichtbaar is, dat het niet OK is.

Gebruiken / opslaan van biometrie gegevens om de kassa te kunnen/mogen bedienen is in elk geval onvoldoende onderbouwd.
Overigens is de Hema ook verplicht geweest een (D)PIA uit te voeren, geen idee of ze die gedaan hadden, maar gezien ze dit nu opeens terugdraaien, lijkt me dat onwaarschijnlijk, want dan had het van te voren al duidelijk geweest bij hen... Het zou mij dan ook zeker niet verbazen als ze uiteindelijk zelf alsnog die PIA gedaan hebben en daaruit zelf geconcludeerd hebben dat het toch niet zo'n goed idee was. ;) Zijn ze niet de eerste mee.

[Reactie gewijzigd door CH4OS op 3 december 2019 00:43]

[...]
Je geeft het antwoord zelf al in het begin van jouw tweede paragraaf. Je weet het dus al, waarom zou ik jou dan alsnog van een antwoord voorzien? :?
Wat dan? Ik probeer te begrijpen waarom deze wet zo opgesteld is dat mijn vingerafdruk zwaarder weegt dan normale persoonsgegevens, zoals mijn naam, adres en foto. Terwijl fraude daarmee waarschijnlijker is dan mn vingerafdruk.
Ook begrijp ik niet waarom de rechter meent dat een vingerafdruk een 'bijzonder persoonsgegeven' is.
Je ziet niet hoe een vingerafdruk kan leiden naar 1 persoon omdat een vingerafdruk uniek is? :?

[Reactie gewijzigd door CH4OS op 2 december 2019 00:31]

Ik vind het nogal vreemd dat het de normaalste zaak vd wereld is dat je je smartphone (evt vd zaak) ontgrendeld met je vingerafdruk, maar dat een kassa ontgrendelen ineens een schandaal is?
Je ziet de context verkeerd; bij het een moest je een persoonsgegeven gebruiken om je werk te kunnen doen terwijl dat niet hoeft (genoeg andere kassa's immers waarbij dat niet nodig is, dus schijnbaar is het geen vereiste) versus het gebruiken van jouw persoonlijke mobiel (al dan niet zakelijk aangeschaft) om anderen onwenselijk buiten de deur te houden.
Voor beveiliging is het gebruik van vingerafdrukken niet verboden.
https://autoriteitpersoon...n/identificatie/biometrie
Zie onderaan die pagina.

Verder is de verwerking van biometrische gegevens in principe niet toegestaan. Bijvoorbeeld voor in- en uitklokken niet.

Verder heb je met algemene privacy regels te maken. Bijvoorbeeld de proportionaliteit. Als je een doel ook kunt bereiken met minder inbreuk op de privacy, dan is de (blijkbaar onnodige) verwerking van persoonsgegevens niet toegestaan.
Voor je pas skimmen zit er een verzegeling op de pinautomaat en als deze verbroken is dan zijn ze goed de klos.

Ik vond het ook altijd apart dat je voor een sollicitatie al al je persoonsgegevens inclusief afkomst, adres etc. moet geven al is dat in die fase nog helemaal niet van belang.
Dat hoeft niet dat kan.
Heel die kut cookie wet haalt niets uit, en zorgt alleen maar voor irritatie.
Dat doen ze express, om je te doen geloven dat het slecht voor jou is. In werkelijkheid maakt die cookie-wet heel veel uit. Daarom blokkeren een aantal Amerikaanse media nu alles in Europa. Want voldoen aan die regels snijdt in hun inkomsten bronnen.
Die irritatie is er omdat de ontwikkelaars van de site het niet eens zijn met waar de cookiewet voor staat.
dus proberen zie op zoveel mogelijk manieren te saboteren en zeggen dan "... maar cookiewet"...

Het is net zoiets dat alle taxi chauffeurs expres 20km per uur zouden gaan rijden omdat ze het niet eens zijn met een snelheids beperking in steden van 50kmpu, En als je dan zegt dat 20 wel een erg conservatieve snelheid is dan zeggen ze "...maar snelheidsbeperking"....
Zonder te vermelden dat 50 ook helemaal geen bezwaar is. Zo zijn er ook in de cookiewet mogelijkheden om het goed te doen. Echter dan kan de data eruit niet meer gemined/verkocht worden.
Iedereen klikt op ok; volg me maar - wat voegt t dan nog toe?
niet iedereen... en cookies kunnen ook actief gefilterd worden indien nodig.
(uMatrix...).
Ik niet, ik kies altijd de optie om geen tracking e.d. te hebben.

JIJ klikt altijd op ok. Misschien dat JIJ het niet belangrijk vindt allemaal. Prima. Klik JIJ dan maar op ok.

IK vind het wel belangrijk. En IK hoor bij die iedereen van je. En dus lieg je. Want daar IK bij iedereen hoorde en IK niet alleen maar op ok klik, klopt het niet wat JIJ zonet beweerde.

IK heb ook rechten. En dat scherm zorgt ervoor dat IK kan kiezen of mijn recht op privacy gerespecteerd wordt of niet. IK zal er ook voor strijden dat het zo blijft. Want het gaat over MIJN recht op privacy. Wat een mensenrecht is, trouwens.

ps. Wat jouw mening over mijn privacy is interesseert me trouwens totaal, helemaal en volledig volstrekt niets. Wat jouw mening over je eigen privacy is interesseert me matig tot niets. Dat er wetten zijn die mijn privacy garanderen is een feit. Dat we ons allemaal aan de wet moeten houden ook.
Menig website functioneert gewoon niet zonder te accepteren
Dat is dan illegaal van die website, want dat gaat in tegen de cookiewetgeving.
Dan "dag website" en op naar de volgende.

Het is toch absurd dat we dit zo voorgeschoteld krijgen?

Wil je mij als bezoeker? Dan is een cookiewall waar ik niet omheen kan zonder te accepteren iets wat je niet moet doen.
Een pasje kun je vervangen/onklaar maken. Probeer dit maar eens met een vinger. Waarom zou jouw vingerafdruk verbonden moeten zijn met toegang tot een kassa of iets dergelijks?

Ik weet ook niet wie je bent, jouw profiel zegt NickyVDP, ik hoop dat dit jou verder helpt. ;)
Een vingerafdruk kan je toch uit het systeem halen / andere profieltypes aan toewijzen? :?
Een vingerafdruk is een unieke # code. Die code stelen heb je niet zo heel veel aan. Zal daarnaast ook nog wel verder encrypted worden.
En als het profiel ergens anders hergebruikt wordt op een manier die niet zo handig is voor jou..
Veel succes met het veranderen van je vingerafdruk... <-- Dit is het probleem.
Ik zie het probleem nog steeds niet.
Hoe vaak komt het voor dat je pasje misbruikt wordt?
Is een vingerafdruk werkelijk veiliger? Voor wie? Zeker niet voor de werknemer
Als je vinger afdruk gestolen is ben je helemaal de sigaar.
voor de werkgever is het makkelijk omdat geen pasjes meer hoeven uit te geven/administreren
goedkoper

[Reactie gewijzigd door lighting_ op 29 november 2019 10:50]

Wij gebruiken de vingerafdruk voor toegang tot het pand en ook het inpandige datacenter.
Het is geen manier om medewerkers te 'volgen', ik mag gewoon met een andere collega naar binnen lopen als ik dat wil. (of op de bel drukken en de receptie laten openen)
Het is vooral een stuk gemak, je vingerafdruk heb je altijd bij je, tevens word er alleen een hash van de afdruk opgeslagen.
Plus winkels gebruiken dit ook.
Ja het is maar hoe je er in staat, lijkt mij volkomen normaal dat een persoonsgebonden identificatie wordt toegepast bij werknemers. Privacy? die heb je thuis.
Mediamarkt Gebruikt ook een vingerafdruk systeem over bijna elke winkel in Nederland en waarschijnlijk daarbuiten ook nog!
Maar het is en blijft een volgsysteem en daar zijn ook persoonsgegevens aangebonden.
Geen andere dan ze toch van je moeten een mogen hebben om je in dienst te hebben. En volgen binnen het bedrijf of bedrijfsmiddelen zoals auto's... Tsja, jammer dat het nodig is maar daarmee overtreed je toch niet echt iemands privacy...
Om het gelijk nieuws te noemen vind ik overdreven. Je probeert dan eerder eigen rechter te spelen door een publieke schandpaal te maken en dat is imo niet Tweakers waardig.
Dat kan dan weer onderwerp van verdere discussie zijn. Ik wilde enkel de verschillende argumenten laten zien die hier spelen of er voor een dergelijk systeem enige meerwaarde aanwezig is.
Plus natuurlijk het verschil of een gehele vingerafdruk opgeslagen wordt of enkel een hash.
Het naakte lichaam staat heel hoog in de top van meest streng beschermde privégegevens. Als iemand je verteld heeft dat het legaal was om camera's op te hangen in kleedkamers van werknemers, klanten, leden, enz., dan denk ik dat diegene zich ernstig vergist heeft. Ook niet met instemming.
Het punt is niet het wel of niet moeten volgen maar het middel dat daarbij in gebruik is. De wetgever legt plichten op over volgen maar ook wat daarbij ook in acht moet worden genomen. Er is niets vooringenomen aan om tijdregistratie als volgen te zien of gebruik van biometrie in combinatie met tijdregistratie verder aan de kaak te stellen na een rechtelijke uitspraak dat het te ver gaat voor het doel.
In Nederland is biometrisch authentiseren toegestaan. Volgens de wetgever het enige middel om fraude te voorkomen.

Bronnen kun je zo vinden op internet.
Door wetgeving en jurispudentie op een hele versimpelde manier te benaderen kan je alles wel op een hoop gaan gooien met doelen en bedoelingen. Maar zo werkt de wet niet. Van mening zijn dat een versimpelde uitleg wel kan volstaan is geen goede basis om verdere aannames te doen en komt niet in de buurt van passend logisch redeneren. Net zo min als een benadering zij doen het ook dus ik kan het ook wel doen een logische benadering is na overversimpeling van doelstellingen.

Het is geen logische rederingen dat als een middel is toegestaan het dus voor iedereen is toegestaan en onder alle omstandigheden is toegestaan. Dat jij het recht hebt om een bijl te bezitten wil ook niet zeggen dat je die bijl altijd bij je mag hebben of gebruiken zoals jij dat maar wenst. Zo ook met biometrische gegevens. Zij gebruiken het voor eenduidig authentiseren dus mag ik het ook is geen gepaste benadering.
Daar mag een rechter uitspraak over doen.

Uit de huidige uitspraak blijkt duidelijk dat deze werkgever geen goede argumentatie had.
Het is flauwekul om te stellen kijk maar op internet of de wetgever stelt dus het kan. Zeker als je hele delen van regels en voorbehoud weg laat en ook uitspraken van de rechtelijke macht maar even niet mee telt.

Voor de wetgeving werkt het niet zo dat als je iets op internet kan terug vinden of iets heel simplistisch gaat benaderen je dus kan concluderen dat je iets wel of niet mag. Dit soort oververimpliceerde benadering is geen logisch redeneren maar eerder een gemakzuchtige benadering.

De wetgever stelt ook dat je een bijzonder persoonsgegeven alleen mag gebruiken als er echt geen alternatief is en die alternatieven onderzocht moeten zijn. Dat is ook geen tegenspraak, dat zijn bijkomende eisen. En er is vanuit de rechtelijke macht eerder al een uitspraak gedaan dat de biometrische gevens voor het doel van tijdregistreren een te zwaar middel waren omdat er ook kon worden volstaan met alternatieven.
Ja, dat is toegestaan (zoals ik dus al zei met 'het mag dus overal wel gebruikt worden'), maar wel alleen als je dus zorgvuldig met de data om gaat, je moet wel volledig conform AVG werken anders mag het natuurlijk niet.
Laten we het dan eens anders benaderen: wat maakt het gelijk of verschillend? De wetgever stelt dat je per geval een afweging moet maken. Het is dus te simpel om te stellen dat het een en het ander gelijk zijn of verschillen zonder inhoudelijk de details te kennen. En dan is het geen oplossing om maar alles gelijk te beschouwen. Gezien de wetgever ook stelt dat het gebruik van biometrische gegevens maar in zeer uitzonderlijke gevallen toegepast mag worden kan niet volgehouden worden dat overal maar gebruikt mag worden. Laat staan dat je het dan zelfs kan verplichten.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True