Is het maken van een zwarte lijst toegestaan en mag je deze zomaar delen met derden?

Je bent ondernemer en om als ondernemer te overleven heb je klanten nodig. Logisch. Maar sommige klanten ben je bij nader inzien toch echt liever kwijt dan rijk. Ze betalen niet, vernielen je winkel, hotel of kroeg of ze bedriegen je waar je bij staat. Maar wat doe je met zo’n vervelende klant? Mag deze klant op een zwarte lijst worden gezet om in de toekomst deze scenario’s te voorkomen? En mag je deze lijst zomaar met eventuele concullega’s delen? Een juridisch lastige kwestie. Maar wij leggen je de regels graag uit!

Wat is een zwarte lijst?

Een zwarte lijst is een lijst die bedoeld is om je personeel of andere bedrijven te waarschuwen voor bepaalde personen. Op zo’n zwarte lijst staan dus namen, maar vaak óók strafrechtelijke gegevens van die persoon zoals ongewenst gedrag, het veroorzaken van ernstige overlast of het plegen van winkeldiefstal. Zo kun jij als ondernemer met behulp van deze lijst bepalen of je een persoon uitsluit van jouw dienst of juist niet. Denk aan het toelaten van mensen in je winkel na het plegen van winkeldiefstal, het hosten van bepaalde hotelgasten na het vernielen van een hotelkamer of het aanbieden van achteraf betalen bij wanbetalers. En heb je geen zin om na te denken dan kun je ook een seizoen Inventing Anna bingen, waarin een fraudeur banken, hotels en restaurants oplicht.

Wanneer mag je een zwarte lijst opstellen?

Dat een zwarte lijst van belang kan zijn voor ondernemers, bedrijven en organisaties is duidelijk. Toch is het gebruik van een zwarte lijst een lastige kwestie op juridisch gebied. Helemaal omdat het nadelige gevolgen kan hebben voor betrokken personen, die wellicht onterecht op een zwarte lijst komen te staan. Door een zwarte lijst op te stellen verwerk je persoonsgegevens en dien je je te houden aan de privacywetgeving. Daarom stelt de Autoriteit Persoonsgegevens (AP) dat bedrijven en organisaties die een zwarte lijst willen aanleggen aan ten minste drie voorwaarden moeten voldoen.

  • Een bedrijf of organisatie heeft een belang om een zwarte lijst op te stellen, zoals fraude of ongewenst gedrag voorkomen. Maar de klant heeft ook een belang om niet op de lijst te staan, die meegenomen moeten worden in de afweging om wel of geen zwarte lijst op te stellen. De eerste voorwaarde stelt dat een organisatie of bedrijf een gerechtvaardigd belang heeft bij het gebruik van een zwarte lijst. Een belang is gerechtvaardigd als het ergens in het recht is opgenomen en wordt erkend/beschermd. Voorbeelden van gerechtvaardigd belang zijn grensoverschrijdend gedrag onderzoeken, iemand aansprakelijk stellen voor schade of oplichting tegengaan. Dit is met name relevant voor bedrijven en organisaties die monopolie hebben over een bepaalde dienst of bepaald product. De klant kan dan namelijk niet naar een andere partij stappen.
  • Als een zwarte lijst niet noodzakelijk is mag je hem niet opstellen. Maar soms is een zwarte lijst ook niet nodig om je doel te bereiken. Als het doel is om een fraudeur te weren van jouw webshop, kun je ook overwegen om alternatieven methoden te gebruiken. Daarom moet er voor het opstellen van een zwarte lijst noodzaak zijn voor de verwerking van persoonsgegevens. Dit wil zeggen dat het doel van de zwarte lijst niet op een minder ingrijpende manier voor de betrokken personen behaald kan worden. Denk bijvoorbeeld aan het inbouwen van een functionaliteit in je webshop waardoor deze klant geen account meer kan aanmaken. Daarmee bespaar je jezelf een hoop tijd en energie en bereik je alsnog hetzelfde doel als een zwarte lijst.
  • De derde voorwaarde die het AP stelt is dat er een afweging van belangen wordt gemaakt. Je moet dus duidelijk kunnen maken waarom het belang van jouw bedrijf/organisatie zwaarder weegt dan die van de betrokken personen. Een veelvoorkomend voorbeeld is het financiële belang van de onderneming ten opzichte van het privacybelang van de klant. De gevolgen van de betrokkenen en de ernst van de vergrijpen moeten hierin meegenomen worden.

Voldoe je aan bovenstaande voorwaarden? Dan mag jij een zwarte lijst aanmaken. Maar let wel op. Voor het delen van zo’n lijst stelt de AP aanvullende eisen waar je je aan moet houden.

Mag je een zwarte lijst delen?

Je mag alleen onder strikte voorwaarden een zwarte lijst opstellen en actief gebruiken. Deze lijst kun je na het officieel melden bij de Autoriteit Persoonsgegevens intern inzetten om zo vervelende scenario’s te voorkomen. Wil je de zwarte lijst delen met andere organisaties? Dan gelden er strengere eisen en heb je een vergunning van de AP nodig. Het gebruik van zo’n gedeelde zwarte lijst vol persoonsgegevens heeft namelijk grote gevolgen op de privacy van de mensen op die betreffende lijst. Aan welke eisen je bij extern gebruik moet voldoen ligt aan de gegevens die op de lijst vermeldt staan:

Een zwarte lijst met en zonder strafrechtelijke gegevens

Bij het maken van een zwarte lijst zonder strafrechtelijke gegevens en zonder gegevens over onrechtmatig gedrag moet je voldoen aan de volgende eisen:

  • Er moet een zodanig zwaarwegend belang zijn dat het de grote inbreuk op privacy rechtvaardigt.
  • De criteria voor eventuele plaatsing op de zwarte lijst moet worden aangescherpt. Daarnaast is het noodzakelijk om de lijst transparant en AVG-proof te maken voor de personen die op de lijst komen of al op de lijst staan. Dit benoem je in een verplicht protocol.

Wil je een zwarte lijst opstellen mét strafrechtelijke gegevens of gegevens over onrechtmatig gedrag? Dan is er een aanvullende eis waaraan jij aan moet voldoen. Aan het delen van zo’n lijst moet naast persoonlijk belang namelijk óók maatschappelijk belang hangen. Daarnaast moet je een vergunning aanvragen om de zwarte lijst te delen met externen. Het aanvragen van een vergunning voor het extern delen van een zwarte lijst loopt altijd via de AP. Hierbij toetst zij of de lijst voldoet aan de Algemene Verordening Gegevensbescherming (AVG) én aan de Uitvoeringswet AVG (UAVG). Heb je (nog) geen vergunning? Dan mag je dus ook (nog) niets delen met andere organisaties!

Wie mag een zwarte lijst inzien?

Niet iedereen kan en mag zomaar een zwarte lijst inzien. Een zwarte lijst mag namelijk alleen maar intern gebruikt worden of extern gedeeld worden met organisaties die aangesloten zijn bij de betreffende zwarte lijst. Denk aan de hotelbranche die een zwarte lijst bijhoudt met hierop gasten die bekend staan om vernieling of overnachten zonder betaling. Besluit jij als organisatie iemand op de zwarte lijst te plaatsen? Dan ben je altijd verplicht dit de persoon in kwestie te laten weten. Onder de AVG heeft iedereen altijd recht om zijn of haar persoonsgegevens in te zien. Dit geldt óók voor zwarte lijsten. Dus sta jij op zo’n zwarte lijst en kloppen je gegevens niet? Dan mag je altijd vragen om een correctie of om volledige verwijdering van de persoonsgegevens.

Boete bij overtreding

Voor het aanleggen of delen van een zwarte lijst zijn er dus strikte eisen en voorwaarden waaraan een bedrijf of organisatie moet voldoen. Wie zich niet aan deze eisen en voorwaarden houdt riskeert een boete die behoorlijk hoog kan oplopen. Een recent voorbeeld is de AP die een boete oplegt aan de Belastingdienst van maar liefst 3,7 miljoen euro. De aanleiding hiervan is de jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening (FSV). Op deze zwarte lijst hield de Belastingdienst signalen van fraude bij, die vaak grote gevolgen had voor mensen die onterecht op de lijst stonden. Zorg daarom altijd dat je eerst goed nadenkt over het aanleggen en gebruiken van een zwarte lijst. Besluit je toch een lijst op te stellen? Zorg er dan voor dat je altijd rekening houdt met de AP en de AVG, want zo’n boete is niet mis!

Let op: afhankelijk van wanneer je dit artikel leest kan deze informatie verouderd zijn. De artikelen op deze website bevatten algemene juridische informatie, maar uitdrukkelijk geen één-op-één advies. Hulp nodig bij jouw specifieke situatie? Neem dan contact met ons op. 

Iris Slabbekoorn

Scroll naar top