Laatst zei een klant als geintje dat hij mij bijtijds zou betalen omdat hij niet bij mij op een zwarte lijst wilde komen. Om vervolgens te roepen: O nee, dat mag natuurlijk niet van de AVG, een zwarte lijst bijhouden. Mag dat: een zwarte lijst aanleggen?
Het opstellen van een interne lijst en het delen van een zwarte lijst
Om de vraag te kunnen beantwoorden moet een onderscheid gemaakt worden tussen het opstellen van een zwarte lijst door een private organisatie en het delen van een lijst. Bij dat delen is er weer een onderscheid tussen het delen binnen één bedrijfstak of tussen verschillende sectoren. Bij delen binnen één bedrijfstak is bijvoorbeeld sprake bij het delen van een lijst met personen die zonder te betalen hebben doorgereden na het tanken van brandstof of van personen die een winkelverbod hebben. Voor het delen gelden strengere regels dan voor het opstellen van een interne zwarte lijst.
Eisen aan het opstellen van een zwarte lijst
Bij een zwarte lijst die je intern gebruikt, zul je misschien denken dat het wel los loopt, hij blijft toch intern? Toch is het verstandig aan de privacy voorwaarden te voldoen, zodat als het bestaan van de lijst rond gaat zoemen, je geen risico loopt.
Noodzakelijk voor het verwerken van persoonsgegevens, dus ook bij het opstellen van een zwarte lijst is om een grondslag te hebben. In dit geval kun je de grondslag Gerechtvaardigd Belang gebruiken. Daarbij moet je wel voldoen aan de eisen die aan het gebruik van de grondslag Gerechtvaardigd Belang gesteld worden. Het is aan te raden om in dit geval ook een Legitimate Intrest Assessment te doen. De Engelse toezichthouder, het ICO heeft daarvoor een bruikbaar model opgesteld.
Eisen aan het delen van een zwarte lijst
Mag dat: een zwarte lijst aanleggen? Ja, onder bepaalde voorwaarden is dat dus toegestaan. Maar vervolgens zo’n lijst delen, mag dat ook?
Als er behoeft bestaat aan het delen van een zwarte lijst worden er door de Autoriteit Persoonsgegevens zwaardere eisen gesteld. Daarbij wordt onderscheid gemaakt tussen het delen van een zwarte lijst binnen één sector of intersectoraal, dus tussen verschillende bedrijfstakken.
Om met dat laatste te beginnen: dit is in principe niet toegestaan. In uitzonderlijke gevallen mag het wel maar moet aan strenge eisen worden voldaan. De AP heeft daarvoor een handreiking opgesteld.
Bij het delen van een zwarte lijst binnen een sector wordt weer onderscheiden in een lijst met of zonder strafrechtelijke gegevens.
Bij een lijst zonder strafrechtelijke gegevens of gegevens over onrechtmatig gedrag gelden de volgende eisen:
- Je moet een zwaarwegend belang hebben
- Je moet de criteria aanscherpen en transparant maken in een protocol
Als je een lijst wilt delen waarvoor het criterium wel strafrechtelijke gegevens of onrechtmatig gedrag is, en dat zal bijna altijd het geval zijn, moet je daarvoor een vergunning bij de AP aanvragen. De AP toetst dan of de zwarte lijst voldoet aan de AVG en UAVG.
Daarbij gelden dan de volgende twee extra eisen ten opzichte van een lijst zonder deze gegevens:
- Het belang moet niet alleen zwaarwegend zijn maar ook een maatschappelijk karakter hebben. Alleen het belang voor jou als aanvrager voldoet niet, er moet een breder belang zijn.
- Je moet zoals gezegd een vergunning aanvragen bij de AP
(Model) Protocol en Register van Vergunning
Je hebt dus een protocol nodig om een vergunning te krijgen van de AP. In dat protocol geef je aan hoe de voorgenomen verwerking voldoet aan de wetgeving. Het protocol is een praktische verklaring van de algemene normen uit de AVG en UAVG.
Voor 2 sectoren waar zwarte lijsten veel voorkomen, de detailhandel en de horeca, heeft de AP een model protocol en model-DPIA beoordeeld.
Als een vergunning is verleend is dit terug te vinden in het Register vergunningen dat de AP bijhoudt. Hierin staan zowel verleende als geweigerde vergunningen.
Wat als je wilt deelnemen aan een zwarte lijst met strafrechtelijke gegevens?
Mag dat: een zwarte lijst aanleggen? Ja onder bepaalde voorwaarden mag dat en mag deze ook gedeeld worden. Maar wat als je weet dat zo’n lijst bestaat en je wilt daar aan deelnemen?
Omdat dit voor jou een nieuwe verwerking is, zul je zelf een vergunning moeten aanvragen bij de AP. Voor de sectoren waarvoor de AP het protocol en de model DPIA heeft beoordeeld, is er een centrale coördinatie. Als je deel wilt nemen aan een zwarte lijst voor een winkelverbod kun je contact opnemen met het Centrum voor Criminaliteitspreventie en Veiligheid. Voor de Horeca neem je contact op met Koninklijke Horeca Nederland.
Hulp nodig?
Hulp nodig bij het AVG compliant opstellen van een zwarte lijst of het delen hiervan binnen een sector? Neem contact op of plan meteen een afspraak.