Zwarte lijst oplichters
Uw organisatie wilt een zwarte lijst bijhouden met oplichters, maar mag dat wel?
Het aanleggen van een zwarte lijst kan zeer nuttig zijn in de strijd tegen wangedrag en fraude. Door middel van een zwarte lijst kunnen organisaties elkaar waarschuwen voor bepaalde klanten. Het zal dan ook niemand verbazen dat de gevolgen voor de personen op de lijst zeer ingrijpend kunnen zijn. Het aanleggen van een zwarte lijst mag dan ook niet zomaar. In dit artikel zal worden uitgelegd onder welke voorwaarden organisaties een zwarte lijst mogen bijhouden en onder welke voorwaarden zij deze mogen delen.
Waarom?
Er zijn allerlei organisaties die er veel belang bij kunnen hebben om een zwarte lijst aan te leggen. Denk bijvoorbeeld aan winkeliers die last ondervinden van winkeldiefstal of aan hoteleigenaren die worden geconfronteerd met gasten die schade hebben toegebracht aan de kamers. Op basis van deze lijst kunnen zij klanten weigeren.
Een zwarte lijst kan alleen voor intern gebruik bestemd zijn, maar kan ook gedeeld worden binnen een bedrijfstak. Op deze manier kunnen organisaties elkaar waarschuwen.
Wanneer?
Het belang van een zwarte lijst voor organisaties is duidelijk, maar de zwarte lijst kan voor de betrokken personen op de lijst zeer vervelende gevolgen hebben. Zeker als de vermelding onterecht is. Denk bijvoorbeeld aan iemand die verhuist naar het adres van een wanbetaler of op de lijst terecht komt omdat diegene terecht over een factuur heeft geklaagd.
Organisaties moeten dus zeer zorgvuldig omgaan met het gebruik van zwarte lijsten. Een zwarte lijst opstellen mag dan ook niet zomaar. Uw organisatie moet daarbij aan drie vereisten voldoen:
- u moet een gerechtvaardigd belang hebben;
- de zwarte lijst moet noodzakelijk zijn; en
- het moet duidelijk zijn dat het belang van uw organisatie zwaarder weegt dan het privacybelang van de betrokkenen.
Bovendien moet elke zwarte lijst waarop strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag worden vermeld en die wordt gedeeld met andere organisaties, worden goedgekeurd door de Autoriteit Persoonsgegevens (“AP”). De AP houdt een register bij van goedgekeurde zwarte lijsten. Ook moeten betrokkenen na kunnen gaan of zij op een zwarte lijst vermeld staan en hebben zij het recht eraf te worden gehaald als de vermelding onterecht is.
Alvorens u uw zwarte lijst aanmeldt bij de AP moet u nauwkeurig omschrijven hoe u de persoonsgegevens gaat verwerken. Dit doet u in een protocol waarin u aangeeft wat de noodzaak is van de zwarte lijst en welke persoonsgegeven u in dit kader gebruikt. De AP heeft hiervoor een handleiding ter beschikking gesteld.
AVG/GDPR
De nieuwe Europese wetgeving is geregeld in de Algemene Verordening Gegevensbescherming (AVG), ook bekend onder de naam General Data Protection Regulation (GDPR). Nederland heeft verdere invulling gegeven aan deze Europese regelgeving in de Uitvoeringswet AVG. De Wet Bescherming Persoonsgegevens (Wbp) wordt ingetrokken per 25 mei 2018.
Ook onder de Uitvoeringswet AVG is het in principe toegestaan om een zwarte lijst bij te houden. Hierbij geldt eveneens dat als de lijst wordt gedeeld met derde organisaties en de lijst strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag vermeldt, de organisatie een protocol moet opstellen en voorafgaand onderzoek moet laten verrichten door de AP.
Tot slot
Vraagt u zich af of en onder welke voorwaarden uw organisatie ook een zwarte lijst mag bijhouden? Kom dan naar de workshop ‘Privacyrecht: de uitwisseling van gegevens in het publieke domein. Wat mag wel en wat mag niet?’ voor tips en adviezen over de inrichting van een zwarte lijst.
Over deze en nog veel meer interessante thema’s gaan onze experts graag met u in gesprek op 21 juni 2018, op het congres Business Ethics & Legal. Kijk voor meer informatie op www.vooruitzien.nu en meld u vrijblijvend aan!