Zwarte lijsten: wat is er mogelijk?

De Autoriteit Persoonsgegevens (AP) heeft recentelijk een handreiking gepubliceerd over het gebruik van zwarte lijsten. De AP geeft onder meer aan wanneer lijsten buiten de eigen sector gedeeld mogen worden – en vooral ook wanneer niet.

We weten natuurlijk al langer dat het organisaties niet zomaar is toegestaan om een interne zwarte lijst op te stellen. Toch willen bedrijven en instellingen dit om begrijpelijke redenen vaak graag wel. Er kan op die manier namelijk intern gewaarschuwd worden voor bepaalde personen.

Interne zwarte lijst

De Algemene Verordening Gegevensbescherming (AVG) biedt ook zeker mogelijkheden om zulke interne lijsten op te stellen. Er gelden weliswaar strikte eisen, maar het is voor organisaties mogelijk om een lijst bij te houden van mensen over ongewenst gedrag. Heel kort samengevat moeten organisaties in zo’n geval in ieder geval aan drie voorwaarden voldoen.

1. Gerechtvaardigd belang

Een organisatie moet een grondslag hebben voor het verwerken van persoonsgegevens op een zwarte lijst. Meestal kan de grondslag worden gevonden in de vorm van een gerechtvaardigd belang. De verwerking moet dan noodzakelijk zijn om het belang te behartigen en er is een afweging gemaakt tussen de belangen van de organisatie en die van de betrokkenen (de personen op de zwarte lijst).

2. Noodzaak

Het moet echt noodzakelijk zijn om de zwarte lijst op te stellen. Dat betekent dat het doel dat een organisatie wil bereiken niet op een andere, minder ingrijpende manier, bereikt kan worden.

3. Zwaarwegende belang

De organisatie moet ook duidelijk maken waarom het bedrijfsbelang zwaarder weegt dan het privacy belang van de betrokkenen. Daarbij moet dan onder meer gekeken worden naar de ernst van de vergrijpen en de gevolgen voor de betrokkenen.

Delen binnen de eigen sector? Vergunning en protocol

Vaak bestaat ook de behoefte deze lijst te delen met andere organisaties. De AVG biedt wel mogelijkheden om zwarte lijsten met andere organisaties binnen een bepaalde sector of binnen een beperkt geografisch gebied te delen, maar er gelden wel aanvullende eisen, en dan vooral wanneer de zwarte lijst strafrechtelijke persoonsgegevens bevat of gegevens over onrechtmatig gedrag. Daarvan zal al snel sprake zijn; het is immers niet voor niets een zwarte lijst.

Indien de lijst strafrechtelijke persoonsgegevens bevat of gegevens over onrechtmatig gedrag, is een voorafgaande vergunning van de AP een vereiste. Ook moet er bij de lijst een protocol worden opgesteld, waarop transparant wordt gemaakt wanneer iemand voor plaatsing op de lijst in aanmerking komt. Voor drie sectoren, namelijk de detailhandel, de horeca en financiële instellingen, heeft de AP een door de brancheorganisatie opgesteld modelprotocol beoordeeld. Wanneer een dergelijk modelprotocol wordt gevolgd, komt een organisatie mogelijk in aanmerking voor een verkorte procedure bij de AP.

Delen buiten de eigen sector? Nadere eisen

In de meest recente handreiking gaat de AP in op de vraag of het delen van een zwarte lijst buiten de sector of buiten het eigen geografisch gebied is toegestaan. De AP geeft aan dat het binnen de AVG “uiterst problematisch” wordt als zwarte lijsten worden gedeeld buiten de eigen sector. De AVG en de Nederlandse Uitvoeringswet AVG bieden daarvoor weinig tot geen juridische mogelijkheden, aldus de AP. De AP geeft aan dat een organisatie die een zwarte lijst deelt met andere organisaties, moet kunnen aantonen dat “het doel de middelen heiligt”. Er moet dan onder meer getoetst worden of het belang van de opsteller van de zwarte lijst (bijvoorbeeld het tegengaan van fraude, winkeldiefstal of agressie) opweegt tegen de gevolgen voor degene op de lijst (dat kan bijvoorbeeld zijn dat diegene geen bankrekening meer kan openen of bepaalde winkels of horeca niet meer binnen mag). De AP benadrukt dat het bij een cross-sectorale gegevensdeling van belang is om te realiseren dat hoe groter de reikwijdte is, hoe ingrijpender de gevolgen voor de betrokkenen kunnen zijn.

De AP geeft als tips aan organisaties die toch cross sectoraal gegevens willen delen onder meer het volgende mee.

1. Zorg voor een duidelijke cross sectorale afbakeningDe AP geeft aan dat het hierbij kan helpen wanneer er sprake is van een sterke samenhang tussen de sectoren waarin de lijst gedeeld gaat worden. Ook moet beoordeeld worden of het voor de hand ligt dat deze sectoren met dezelfde soort overtreders te maken gaan krijgen. Verder moet aan de orde worden gesteld of bepaalde gedragingen min of meer logisch voorkomen in een keten van sectoren, waardoor het onnatuurlijk zou aandoen om elkaar niet te waarschuwen.
2. Zorg voor een duidelijke geografische afbakeningHoe groter het geografisch gebied dat een cross sectorale zwarte lijst beslaat, hoe meer waarborgen noodzakelijk zijn. Als voorbeeld wordt door de AP gegeven dat een huurder van zijn woningcorporatie een collectief woonverbod opgelegd heeft gekregen. Alle woningcorporaties in een bepaalde regio zijn gesloten bij de zwarte lijst. Daardoor kan die huurder voor een periode van vijf jaar die in aanmerking komen voor een sociale huurwoning in die hele regio. De AP licht toe dat dit een disproportionele gegevensverwerking zou zijn, omdat het een te omvangrijk gebied is en de sociale huurder ook niet kan uitwijken naar duurdere huurwoningen.

3. Zorg voor afgebakende fraudevormenIn het protocol moet de doelbinding duidelijk zijn: welke vormen van criminaliteit worden opgenomen op de lijst?

4. Beperk de termijn van de lijstAls het niet noodzakelijk is dat de lijst permanent van aard is, moet bekeken worden of het mogelijk is om korte bewaartermijn naar te hanteren.

5. Realiseer een streng opnamebeleidDe criteria voor plaatsing op de lijst moeten duidelijk zijn.

6. Beperk het aantal deelnemersHelder moet zijn welke partij deelnemer bij de zwarte lijst mag worden en waarom.

Conclusie

Op grond van het voorgaande zal duidelijk zijn dat het niet makkelijk is om een zwarte lijst buiten de eigen sector te delen. De AP geeft echter duidelijk aan dat er wel degelijk mogelijkheden bestaan. De eisen die aan het aanleggen en onderhouden van een zwarte lijst worden gesteld lopen – begrijpelijkerwijs – in zwarte op van de situatie dat de lijst voor intern gebruik is, naar het delen binnen de eigen sector en dan naar het delen buiten de eigen sector.

Heeft u vragen over het opstellen en in stand houden van zwarte lijsten neemt u dan contact op met Kim de Bonth of Femmie Schets.