Steeds meer organisaties willen zwarte lijsten gebruiken en onderling delen om bijvoorbeeld fraude en wangedrag te bestrijden. Met het gebruik en delen van zwarte lijsten worden (veelal gevoelige) persoonsgegevens verwerkt. In deze bijdrage bespreken wij enkele relevante privacyaspecten bij het gebruik en delen van zwarte lijsten.

Organisaties kunnen gebruik maken van zwarte lijsten om te voorkomen dat diensten worden verleend en/of goederen worden verkocht aan klanten (natuurlijke personen) die bijvoorbeeld (herhaaldelijk) fraude plegen, rekeningen niet betalen, agressief zijn tegen personeel en schade toebrengen aan eigendommen van de organisatie. Het opnemen van personen op een zwarte lijst is een verwerking van persoonsgegevens, veelal van strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag.

Op de verwerking van persoonsgegevens is de Wet bescherming persoonsgegevens (de Wbp) van toepassing. Vanaf 25 mei 2018 wordt de Wbp vervangen door de Algemene Verordening Gegevensbescherming (de AVGB).

Gerechtvaardigd belang en noodzakelijkheid
Organisaties moeten één of meer gerechtvaardigde belangen hebben bij het gebruik van een zwarte lijst, zoals het bestrijden van fraude en wangedrag, of agressie tegen personeel. Daarnaast dient de verwerking noodzakelijk te zijn voor de behartiging van de gerechtvaardigde belangen van de organisatie. Dit betekent dat indien de organisatie voorgenoemde doelen op een minder vergaande manier kan bereiken, de verwerking achterwege dient te blijven. In het algemeen zal het noodzakelijkheidsvereiste niet in de weg staan aan de verwerking van klantengegevens in verband met het bijhouden van een zwarte lijst.

Ten slotte dienen de bedrijfsbelangen zwaarder te wegen dan het privacybelang van de betrokkenen (de personen op wie de gegevens betrekking hebben). Bij deze afweging zijn onder andere van belang:

  • de aard van de verwerkte persoonsgegevens, in het bijzonder wanneer persoonsgegevens betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten;
  • de mogelijke gevolgen voor de organisatie zonder de zwarte lijst;
  • de gevolgen voor de betrokkenen indien deze op de zwarte lijst wordt geplaatst;
  • hoe lang de betrokkenen op de lijst blijven staan; en
  • of de zwarte lijst gedeeld wordt met derden, bijvoorbeeld binnen een branche of winkeliersvereniging (zie hieronder).

Indien de belangen van de organisatie zwaarder wegen dan de privacybelangen van de betrokkenen, mag de organisatie een zwarte lijst bijhouden. In het licht van de AVGB doen organisaties er verstandig aan bovenstaande afweging intern vast te leggen om achteraf te kunnen aantonen waarom haar belangen zwaarder wegen dan die van de betrokkenen.

Delen van een zwarte lijst
Omdat een zwarte lijst veelal strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag bevat is het delen hiervan, bijvoorbeeld binnen een branche of winkeliersvereniging, niet zonder meer toegestaan. Organisaties die een zwarte lijst willen delen, moeten onder de Wbp vooraf goedkeuring vragen aan de Autoriteit Persoonsgegevens (“AP”). Gelet op de beleidsneutrale implementatie van de AVGB en de conceptuitvoeringswet lijkt dit vooralsnog niet te veranderen.

De goedkeuring van de AP is niet zomaar verkregen. Als onderdeel van het voorafgaand onderzoek door de AP moet een protocol worden opgesteld waarin wordt omschreven hoe er met de persoonsgegevens wordt omgegaan (waaronder de criteria op basis waarvan betrokkenen op de lijst worden geplaatst, de getroffen waarborgen, hoe lang de gegevens worden bewaard en hoe de betrokkenen worden geïnformeerd).

Voor de detailhandel en de horeca heeft de AP modelprotocollen goedgekeurd. Indien deze modelprotocollen worden gebruikt, stelt de AP in beginsel geen nader onderzoek in.

Meldplicht
Onder de Wbp moet het bijhouden van een zwarte lijst voorafgaand aan de verwerking worden gemeld aan de AP. Onder de AVGB komt deze meldplicht te vervallen. In plaats daarvan zijn organisaties verplicht een gedetailleerd register van verwerkingen bij te houden.

Informatieplicht
Net als onder de Wbp moeten de klanten op de hoogte worden gesteld van de verwerking in het kader van de zwarte lijst. De informatieverplichtingen van organisaties worden uitgebreid onder de AVGB. Organisaties zullen de klanten in ieder geval op de hoogte moeten stellen van (i) de doeleinden en rechtsgrond van de verwerking, (ii) de eventuele doorgifte van de zwarte lijst aan een land buiten de EU, (iii) de bewaartermijn van de persoonsgegevens en (iv) diens rechten.

Sanctionering
Het in strijd handelen met of het niet-naleven van bovenstaande verplichtingen kan leiden tot boetes ter hoogte van EUR 20.000.000 of, indien dit hoger is, 4% van de jaarlijkse wereldwijde omzet.

Over de auteurs:

Barry Breedijk of Dentons Boekel

Barry Breedijk of Dentons Boekel

Barry Breedijk advises on (cross-border) privacy and cyber security matters including data protection compliance, international data transfer solutions, compliance with local privacy, and litigates in intellectual property cases. Furthermore, he advises clients on commercial contracts, including license agreements, supply agreements and franchise agreements.

 

 

 

 

 

Celine van Es of Dentons Boekel

Celine van Es of Dentons Boekel

Celine van Es is a lawyer in the Commercial Law practice group of our Amsterdam office. She works on a broad range of commercial matters, with a focus on intellectual property and IT/privacy issues.