Bijhouden van zwarte lijsten: wat verandert onder de AVG?

Organisaties houden voor een verscheidenheid van onderwerpen, zoals betalingsachterstanden, fraude of (ander) onwenselijk gedrag, zogenaamde ‘zwarte lijsten’ bij met namen van personen. De organisatie sluit als gevolg van opname in een zwarte lijst een persoon uit van zijn of haar dienst of omgeving en probeert een herhaling van zetten te voorkomen. Het bijhouden van dergelijke lijsten kan daarmee grote impact hebben op personen en is dan ook niet zonder meer toegestaan. Hieronder nemen wij u kort mee in de (on)mogelijkheden voor het bijhouden van een dergelijke lijst.

De term ‘zwarte lijst’ volgt niet rechtstreeks uit wetgeving, maar wordt gebruikt voor tal van lijsten die bestaan uit informatie over personen die in het verleden hebben gefraudeerd of misbruik hebben gemaakt van een bepaalde situatie. Met het bijhouden van een dergelijke lijst wordt gepoogd te voorkomen dat wederom een verbintenis met deze personen wordt aangegaan. Voorbeelden van zwarte lijsten zijn de Zwarte lijst financiële instellingen en het Collectief Horecaverbod Apeldoorn

Voorwaarden

Volgens de Autoriteit Persoonsgegevens (AP) moeten organisaties die een zwarte lijst willen aanleggen in ieder geval aan drie voorwaarden voldoen:

• Ten eerste, moet de organisatie een gerechtvaardigd belang hebben bij het gebruik van een zwarte lijst, bijvoorbeeld fraudebestrijding of het voorkomen van misbruik van (win)acties.
• Ten tweede, moet de de zwarte lijst noodzakelijk Dat betekent dat het doel niet op een andere, minder ingrijpende manier voor de privacy van de betrokkenen, kan worden bereikt.
• Ten slotte, moet een afweging van belangen worden gemaakt. De organisatie moet duidelijk kunnen maken waarom haar belang, bijvoorbeeld financieel belang, zwaarder weegt dan het privacybelang. De AP geeft aan dat hierbij moet worden gekeken naar de ernst van de vergrijpen van de betrokkenen en de gevolgen voor hen van plaatsing op de zwarte lijst.

Voorafgaande toets

De Uitvoeringswet Algemene Verordening Gegevensbescherming (Uavg) bepaalt dat de verantwoordelijke een voorafgaand onderzoek van de Autoriteit Persoonsgegevens moeten vragen indien zij “voornemens is ten behoeve van derden strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken.” Dat betekent dus dat de toezichthouder toestemming moet geven voor het gebruik van een zwarte lijst indien:

• de lijst strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag bevat; en
• de lijst is bedoeld voor extern gebruik, dat wil zeggen wordt bijgehouden met of voor derde partijen.

Indien een zwarte lijst met strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag voor intern gebruik is bedoeld, hoeft de verantwoordelijke geen voorafgaand onderzoek aan te vragen.

Onderdeel van het voorafgaand onderzoek is het opstellen van een protocol waarin de verantwoordelijke beschrijft hoe hij zoveel mogelijk de privacy van betrokkenen beschermt in het kader van de zwarte lijst.

Verandering AVG

Een verandering die de AVG teweegbrengt ten opzichte van de Wet bescherming persoonsgegevens is dat zwarte lijsten waarvoor geen voorafgaand onderzoek noodzakelijk is, niet gemeld hoeven te worden bij de AP.

Al met al is is het in principe dus toegestaan om een zwarte lijst bij te houden. Zodra de lijst wordt gedeeld met personen en/of organisaties buiten de eigen organisatie én de lijst bevat strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag, moet de organisatie een protocol opstellen en voorafgaand onderzoek laten verrichten door de Autoriteit Persoonsgegevens.

Mocht u hulp nodig hebben bij het bepalen of uw organisatie aan de voorwaarden voldoet, neem dan gerust contact met ons op.