Met een ‘zwarte lijst’ ongewenste personen buiten de deur houden
22 april 2021 / in Nieuws / door Prasanna Kali
Zwarte lijsten kunnen nuttig zijn om te bepalen of je zaken wilt doen met bepaalde personen. Indien je vaak te maken krijgt met diefstal, ernstige overlast of oplichting kan het opstellen en raadplegen van een zwarte lijst veel voordelen met zich meebrengen. Denk aan winkelcentra die (gezamenlijk) gebruikmaken van een zwarte lijst om te bepalen of bepaalde personen hun winkel mogen betreden. Niet elke organisatie mag zomaar een zwarte lijst opstellen en raadplegen. Wanneer mag je het wel en wie mag een zwarte lijst gebruiken? In dit artikel gaan we hier nader op in.
Gebruik zwarte lijsten
Zwarte lijsten bevatten (vaak strafrechtelijke) persoonsgegevens. Personen die diefstal of fraude plegen of ernstige overlast veroorzaken kunnen bijvoorbeeld op een zwarte lijst terechtkomen. Indien je iemand op een zwarte lijst plaatst dien je die persoon hierover te informeren. Door het raadplegen van de zwarte lijst voorkom je herhaling van het aangaan van verbintenissen met de betreffende personen. Een private organisatie moet voor het opstellen van een zwarte lijst voldoen aan een aantal eisen:
Gerechtvaardigd belang
Je moet een grondslag hebben voor het verwerken van persoonsgegevens op een zwarte lijst. In dit geval kan dat de grondslag gerechtvaardigd belang zijn. Dit kan echter alleen als je aan alle voorwaarden voor de grondslag gerechtvaardigd belang voldoet. Er is bijvoorbeeld geen sprake van een gerechtvaardigd belang als sprake is van verwerking op grond van een commercieel belang, maar wel als sprake is van fraudebestrijding.
Noodzaak verwerking persoonsgegevens
Het opstellen van een zwarte lijst moet noodzakelijk zijn. Verwerking is noodzakelijk indien er geen minder ingrijpende mogelijkheid is voor de privacy van betrokkenen. Als het bijvoorbeeld mogelijk is om op je website in te stellen dat bepaalde klanten zich niet kunnen registreren, is het opstellen van een zwarte lijst dus niet noodzakelijk.
Zwaarwegend belang
Je moet duidelijk kunnen maken waarom je bedrijfsbelang zwaarder weegt dan het privacybelang van betrokkenen. Kijk daarvoor naar de ernst van de vergrijpen en de gevolgen voor de betrokkenen. Zo is het belang van een winkeleigenaar belangrijker dan de privacybelangen van personen die herhaaldelijk winkeldiefstal plegen.
Veilige omgeving
Een zwarte lijst dient in een veilige omgeving te worden vastgelegd. Het delen van informatie in een WhatsAppgroep is hier bijvoorbeeld geen goede plek voor, aangezien de opslag moet voldoen aan de AVG wat betreft de beveiliging en andere privacywaarborgen.
Je dient zelf te bepalen of je voldoet aan deze eisen. Een zwarte lijst mag persoonsgegevens van strafrechtelijke aard en/of onrechtmatig of hinderlijk gedrag bevatten. Het advies is echter om niet meer informatie dan noodzakelijk te plaatsen op de lijst. Namen of inloggegevens zijn in beginsel voldoende.
Onderling delen van de zwarte lijst
Indien je voldoet aan de bovenstaande eisen kun je een zwarte lijst binnen jouw organisatie opstellen en gebruiken. Het kan nuttig zijn om deze lijst te delen binnen een bedrijfstak. Je kunt denken aan een zwarte lijst van gasten die overlast veroorzaken in hotels of winkels. Deze lijst kan dan gedeeld worden met andere hotels of andere winkels van een winkelcentrum, zodat zij ook gewaarschuwd zijn.
Het delen kan gezien de gevoeligheid van de informatie ingrijpend zijn voor de betrokkene, waardoor er strenge eisen voor het delen van de zwarte lijst zijn gesteld. Welke eisen precies gelden, hangt af van welke gegevens er op de lijst staan.
Zwarte lijst zonder strafrechtelijke gegevens
De volgende eisen gelden als je een zwarte lijst wilt delen waarop géén strafrechtelijke gegevens staan en ook géén gegevens over onrechtmatig gedrag:
- Je moet een zwaarwegend belang hebben dat een dergelijk grote inbreuk op de privacy rechtvaardigt. Zo kunnen fraudebestrijding of ander onrechtmatig gedrag tegengaan zwaarwegende belangen zijn.
- Je moet de criteria voor plaatsing op de zwarte lijst aanscherpen en transparant maken voor diegenen die op de lijst komen of staan. Dit betekent dat deze personen moeten begrijpen hoe je met hun persoonsgegevens omgaat en welke waarborgen je treft om deze gegevens te beschermen. Dat kun je doen in je protocol.
Zwarte lijst met strafrechtelijke gegevens
De volgende eisen gelden als je een zwarte lijst wilt delen waarop strafrechtelijke gegevens staan en/of gegevens over onrechtmatig gedrag:
- Er moet een zwaarwegend, algemeen belang zijn dat een dergelijk grote inbreuk op de privacy rechtvaardigt. Het gaat dan niet alleen om je eigen belang en dat van de organisatie(s) met wie je de zwarte lijst deelt, maar ook om een maatschappelijk belang.
- Je moet de criteria voor plaatsing op de zwarte lijst aanscherpen en transparant maken voor de personen die op de lijst staan.
- Je moet een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Zonder vergunning mag je de zwarte lijst niet delen. Voorbeelden van deze vergunningplicht zijn financiële instellingen die een lijst van frauderende klanten met elkaar delen.
Casus
In een arrest door het Gerechtshof Arnhem-Leeuwarden is het Hof van mening dat een verhuurder aan andere woningcorporaties middels een code kenbaar mocht maken dat een woning is ontruimd wegens hennepteelt, zondervergunning van de AP.[1] Anders dan de rechtbank komt het Hof tot het oordeel dat geen sprake is van een strafrechtelijk persoonsgegeven. Zij overweegt onder meer dat een dergelijke code die wordt doorgegeven tussen woningcorporaties op zichzelf geen strafrechtelijk gegeven is. Daarvoor zijn bijkomende feiten en/of omstandigheden nodig. Zonder dat kan uit de aanduiding ‘hennep’ – waarmee civielrechtelijk ongeoorloofde hennepteelt is bedoeld – niet volgen dat (ook) sprake is van strafrechtelijk verwijtbaar handelen. Uit artikel 10 van de AVG lijkt te volgen dat strafrechtelijke gegevens voornamelijk veroordelingen zijn, maar in de memorie van toelichting op artikel 31 AVG blijkt dat gegronde verdenkingen hier ook onder vallen. Het Hof legt artikel 10 AVG strikt uit. Er is volgens het Hof dus minder snel sprake van een strafrechtelijk persoonsgegeven dan in de uitleg van de AP, die het houdt op ‘mogelijk gegronde verdenkingen [wat] wil zeggen dat er concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd’.
[1] Gerechtshof Arnhem-Leeuwarden 28 april 2020, ECLI:NL:GHARL:2020:3374.
Vergunning bij de AP aanvragen
Een vergunning van de AP is nodig om persoonsgegevens van strafrechtelijke aard te mogen verwerken ten behoeve van anderen (behoudens uitzonderingen; zie art. 33, lid 5, AVG). Dit geldt dus ook voor het met andere verwerkingsverantwoordelijken delen van zwarte lijsten met strafrechtelijke persoonsgegevens. Voordat je een aanvraag kunt doen bij de AP, dien je eerst een data protection impact assessment (DPIA) uit te voeren en een protocol op te stellen. De AP zal toetsen of de zwarte lijst voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (art. 4, lid 4, sub c en lid 5 UAVG). Ook houdt de AP bij welke vergunningen zijn goedgekeurd.
In de DPIA breng je de privacyrisico’s voor de betrokkenen in kaart en de maatregelen die je neemt om die risico’s te beperken. Als uit jouw DPIA blijkt dat er géén hoog privacyrisico resteert voor betrokkenen, kun je een vergunning aanvragen zonder voorafgaand overleg met de AP. Mocht er wel een hoog risico resteren, dan kun je een vergunning aanvragen na raadpleging van de AP.
In een protocol moet je omschrijven hoe je de persoonsgegevens gaat verwerken en hoe deze gegevensverwerking zal voldoen aan de eisen uit de AVG.
De AP heeft voor de detailhandel en de horeca een door de brancheorganisatie opgesteld modelprotocol. Indien je dit modelprotocol volgt, kom je wellicht in aanmerking voor een kortere procedure bij de AP.
De vergunningplicht is niet van toepassing op (art. 32 en art. 33 UAVG):
- particuliere recherchebureaus, concerns en overheidsorganisaties,
- organisaties die belast zijn met de toepassing van het strafrecht,
- organisaties die strafrechtelijke gegevens hebben verkregen op grond van de Wet politiegegevens (Wpg) of de Wet justitiële en strafvorderlijke gegevens (Wjsg), en
- organisaties die toestemming hebben gekregen van betrokkenen.
De Wet bescherming persoonsgegevens, de voorganger van de AVG, had andere regels met betrekking tot zwarte lijsten. Mocht de AP jouw zwarte lijst hebben goedgekeurd vóór 25 mei 2018, dan is dat besluit van goedkeuring automatisch omgezet in een vergunning. Dit is uiteraard niet het geval als er een geldigheidsduur is verbonden aan het besluit. Als die termijn is verlopen moet je de AP vragen om verlenging van de geldigheid.
Raadplegen bestaande zwarte lijsten
Indien je een bestaande (gezamenlijke) zwarte lijst wilt raadplegen, is het van belang om een vergunning aan te vragen. Dit geldt ook als de AP al een vergunning heeft afgegeven aan andere deelnemers aan de zwarte lijst, aangezien je zelf namelijk verantwoordelijk bent voor je verwerking. Je kunt wellicht sneller een vergunning ontvangen als je een modelprotocol overneemt.
Advies
Het is voor het gebruik van zwarte lijsten dus belangrijk om vast te stellen welke belangen een grote rol spelen. Het opstellen van een zwarte lijst in een private organisatie mag als sprake is van een gerechtvaardigd belang, noodzakelijkheid, zwaarwegend belang en een veilige omgeving.
Deze lijsten zijn voor intern gebruik. Je mag niet meer gegevens dan noodzakelijk op de zwarte lijst plaatsen. Mocht je de lijst willen delen met andere organisaties, dan is er onderscheid tussen lijsten met strafrechtelijke gegevens en lijsten zonder deze gegevens:
- Zwarte lijsten met strafrechtelijke gegevens vereisen een vergunning door de AP. De toekenning van een vergunning vergt op zijn beurt weer een DPIA en een protocol. De horeca en detailhandel kunnen mogelijk aanspraak maken op een kortere procedure door gebruikmaking van modelprotocollen. Voor het raadplegen van een bestaande zwarte lijst is ook een vergunning nodig.
- Zwarte lijsten zonder strafrechtelijke gegevens vereisen een zwaarwegend belang, verscherpte criteria voor plaatsing op de zwarte lijst en transparantie voor de betrokkene.
Door deze stappen te volgen is een zwarte lijst in jouw geval mogelijk ook rechtmatig in te stellen. Deze voorwaarden zijn ook op jouw organisatie van toepassing als je wil aansluiten bij andere organisaties die al een zwarte lijst hanteren.
Neem contact op met een van de adviseurs van Lex Digitalis om je te begeleiden bij het uitvoeren van de noodzakelijke DPIA, het opstellen van het protocol voor de zwarte lijst, het nemen van de vereiste maatregelen en de vergunningaanvraag bij de AP.