Zwarte lijsten maken en delen: wanneer mag het (niet)?

De Autoriteit Persoonsgegevens (AP) heeft op 15 juli 2021 een handreiking gepubliceerd voor het delen van ‘zwarte lijsten’ tussen verschillende bedrijfssectoren. Dit worden ‘cross-sectorale’ zwarte lijsten genoemd. Naar aanleiding daarvan geven wij hieronder een kort overzicht van de voorwaarden die gelden voor het bijhouden van een zwarte lijst, en het delen hiervan binnen én buiten de sector.

Waarom een zwarte lijst?

In verschillende sectoren bestaat bij ondernemers de behoefte om een zogeheten ‘zwarte lijst’ bij te houden en om die uit te wisselen met andere ondernemers. Op die lijst staan bijvoorbeeld personen die veroordeeld zijn voor diefstal. Een zwarte lijst bevat dus persoonsgegevens; en in sommige gevallen zelfs bijzondere persoonsgegevens zoals strafrechtelijke gegevens. De AVG verbindt daarom strenge voorwaarden aan het opstellen én delen van zwarte lijsten.

De AVG verbindt strenge voorwaarden aan het opstellen én delen van zwarte lijsten.

Bijhouden van een zwarte lijst

Als organisatie moet je voldoen aan drie voorwaarden voor het opstellen en gebruiken van een zwarte lijst:

  1. Er moet een grondslag zijn voor de verwerking van persoonsgegevens. Voor het bijhouden van een zwarte lijst, ligt de grondslag ‘gerechtvaardigd belang’ voor de hand. Hoe je dat moet toetsen, heeft de AP nader toegelicht.
  2. Het moet noodzakelijk zijn om een zwarte lijst te gebruiken. Met andere woorden: het mag niet mogelijk zijn om het doel -bijvoorbeeld het tegengaan van winkeldiefstal- op een andere, minder ingrijpende manier te bereiken.
  3. Het belang van de organisatie moet zwaarder wegen dan het belang van de mensen over wie het gaat.

Delen van een zwarte lijst binnen of buiten de sector

Als de lijst niet alleen intern wordt gebruikt maar ook met andere organisaties wordt gedeeld, gelden aanvullende eisen. Zo moet de organisatie in een protocol gedetailleerd vastleggen hoe met de persoonsgegevens wordt omgegaan.

Om een lijst te mogen delen die geen strafrechtelijke gegevens bevat, moet aan de volgende eisen zijn voldaan:

  • Het belang van de organisatie bij het delen van de lijst, moet zwaarder wegen dan de inbreuk op de privacy van de mensen om wie het gaat.
  • Het moet duidelijk zijn wat de criteria zijn om iemand op de zwarte lijst te plaatsen. Deze criteria moeten strenger zijn dan wanneer de lijst enkel intern wordt gebruikt.

Om een lijst te mogen delen die (ook) strafrechtelijke gegevens en/of gegevens over een door de rechter opgelegd verbod vanwege hinderlijk of onrechtmatig gedrag bevat, gelden twee extra eisen:

  • Er moet een zwaarwegend algemeen belang zijn bij het delen. Het belang van de betrokken organisaties én het maatschappelijk belang moet opwegen tegen de inbreuk op de privacy van de personen op de lijst.
  • Er moet een vergunning worden aangevraagd bij de AP. Zonder vergunning, mag de zwarte lijst niet worden gedeeld.
    • Een overzicht van door de AP afgewezen en verleende vergunningen is hier opgenomen.

Het uitgangspunt is dat het delen van een zwarte lijst met organisaties van buiten de sector alleen in uitzonderlijke gevallen is toegestaan.

Handreiking van de AP

Het uitgangspunt is dat het delen van een zwarte lijst met organisaties van buiten de sector alleen in uitzonderlijke gevallen is toegestaan. Aan het protocol (zie hierboven) voor een cross-sectorale zwarte lijst worden daarom hoge eisen gesteld.

In de recent gepubliceerde handreiking bespreekt de AP zes onderwerpen die in ieder geval moeten worden uitgewerkt:

  1. Cross-sectorale afbakening. Het protocol moet motiveren dat het voor de hand ligt dat dezelfde ‘criminelen’ actief zijn in zowel de eigen sector als de sector waarmee wordt gedeeld, of dat sprake is van een keten. De AP geeft het voorbeeld van de witwasser die eerst de notaris, dan de bank en vervolgens een makelaar bezoekt. Uitwisseling van gegevens tussen deze drie sectoren is dan mogelijk gelegitimeerd.
  2. Geografische afbakening. Het protocol moet toelichten waarom is gekozen voor een specifieke regio of gebied. Het is waarschijnlijk niet nodig dat een lokaal opererende makelaar zijn zwarte lijst met alle notarissen in heel Nederland deelt.
  3. Doelbinding. In het protocol moet duidelijk worden beschreven welke gegevens worden vastgelegd om het doel van de lijst te bereiken. De AP geeft een aantal vragen waarover de opsteller moet nadenken, waaronder: Welke vormen van criminaliteit worden wel en niet geregistreerd? En wanneer mag de lijst worden geraadpleegd?
  4. Tijdelijke aard. Het protocol moet uitleggen hoe lang de bewaartermijnen zijn en of sprake is van een permanente of tijdelijke zwarte lijst. Een zwarte lijst die slechts een korte periode wordt gebruikt of zeer regelmatig wordt opgeschoond, is daarbij te verkiezen boven een permanente zwarte lijst.
  5. Streng opnamebeleid. Het protocol moet uitgebreid toelichten welke gedragingen ertoe leiden dat iemand op de lijst wordt opgenomen.
  6. Beperking aantal deelnemers. In het protocol moet worden beschreven met wie de lijst kan worden gedeeld. Om hoe meer partijen het gaat, hoe groter de inbreuk is. Als het gaat om winkeldiefstal in een winkelcentrum, is het wellicht niet nodig om de lijst óók te delen met eigenaren van restaurants of cafés die in het winkelcentrum gevestigd zijn.

Hoewel de handreiking ziet op cross-sectorale zwarte lijsten, kunnen organisaties hier natuurlijk wel bij aansluiten bij het opstellen van een protocol voor een zwarte lijst die enkel binnen de sector wordt gedeeld.

Kortom: het gebruik van een zwarte lijst is aan strenge regels gebonden.

Kortom: het gebruik van een zwarte lijst is aan strenge regels gebonden. Organisaties die zich hiervan bedienen, doen er goed aan om na te gaan of zij wel aan alle voorwaarden voldoen. Uiteraard denken onze privacyrechtspecialisten hierin graag met u mee.