15 maart 2023

De zwarte lijst onder de GDPR: wat mag en wat mag niet?

Categorie: Privacyrecht

Sinds 2018 is de Algemene Verordening Gegevensbescherming (in het Engels ook wel General Data Protection Regulation, GDPR) in werking getreden. Vanaf dat moment geldt in de gehele Europese Unie (EU) dezelfde privacywetgeving. De Wet Bescherming Persoonsgegevens (Wbp) geldt vanaf dat moment niet meer. Dit brengt dan ook de nodige veranderingen met zich mee. Bedrijven krijgen meer verantwoordelijkheden en lopen het risico bij niet-naleving van hun verplichtingen uit de GDPR om bestuurlijke boete opgelegd te krijgen tot EUR 20.000.000,-.

De zwarte lijst

Een zwarte lijst is – kortweg – een lijst die door een organisatie kan worden bijgehouden waarop personen vermeld staan met wie de organisatie geen zaken wil doen. Dit zijn dan mensen die bijvoorbeeld strafbare feiten gepleegd hebben of overlast veroorzaken of hebben veroorzaakt. Er kan dan bijvoorbeeld worden gedacht aan een ‘no fly list’ van een vliegtuigmaatschappij.

Het gebruik van een zwarte lijst

De zwarte lijst mag en kan in beginsel alleen voor intern gebruik bestemd zijn. Te denken valt dan aan een vliegtuigmaatschappij die een zwarte lijst bijhoudt voor passagiers die voor overlast gezorgd hebben. Ook kan er gedacht worden aan een winkelier die een zwarte lijst aanlegt van klanten die bijvoorbeeld zijn veroordeeld voor winkeldiefstal.

Er bestaan ook zwarte lijsten die gedeeld worden binnen bepaalde bedrijfstakken. Onder de GDPR mogen dergelijke lijsten onder voorwaarden worden uitgewisseld met branchegenoten. Een branchewaarschuwingssysteem is daarvan een voorbeeld. Zo bestaat er een dergelijke lijst binnen de hotelbranche van gasten die overlast veroorzaken en binnen financiële instellingen van frauderende klanten en medewerkers. Voor een dergelijk systeem dient een vergunning te worden aangevraagd bij de Autoriteit Persoonsgegevens (AP). De vergunning kan slechts worden verstrekt indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig geschaad wordt. Daarnaast kan de AP aan de vergunning voorschriften verbinden.

Voorwaarden om een zwarte lijst te gebruiken

Het is binnen de GDPR niet zonder meer toegestaan om een zwarte lijst op te stellen en te gebruiken, ook niet voor intern gebruik. Uit de GDPR volgt dat er aan een drietal voorwaarden moet worden voldaan. De zwarte lijst is onder de GDPR slechts toegestaan op het moment dat er (1) een ‘gerechtvaardigd belang’ is. Goede voorbeelden van een gerechtvaardigd belang zijn wangedrag of bestrijding van fraude. Ook moet er (2) een ‘noodzaak’ bestaan tot het verwerken van persoonsgegevens. De zwarte lijst moet noodzakelijk zijn. De organisatie, zoals de vliegtuigmaatschappij, moet zich ervan vergewissen dat er geen andere, minder ingrijpende maatregel is voor de privacy van de betrokkene (de persoon die op de zwarte lijst staat). Vervolgens moet de organisatie (3) duidelijk kunnen maken waarom het ‘bedrijfsbelang zwaarder weegt’ dan het privacybelang van de betrokkene. Hierbij dient dan te worden gedacht aan de ernst van het vergrijp van de betrokkene en het gevolg voor de betrokkene voor het staan op de zwarte lijst.

Onder de GDPR hoeft het gebruik van een interne zwarte lijst – anders dan onder de Wbp – niet meer te worden gemeld bij de AP.

Hoe kan een betrokkene van een zwarte lijst afkomen?

Zodra een betrokkene op een zwarte lijst wordt gezet, dient de verwerker (de organisatie) dit te laten weten aan de betrokkene. Hierop is een tweetal uitzonderingen. Zo hoeft de organisatie niet te laten weten dat de betrokkene op een zwarte lijst staat als de betrokkene al weet heeft van het feit dat de organisatie zijn persoonsgegevens verwerkt. De organisatie hoeft het de betrokkene ook niet mede te delen als dat noodzakelijk is om strafbare feiten te voorkomen, dan wel op te sporen. Zijn deze uitzonderingen niet van toepassing, dan dient de organisatie aan de betrokkene mede te delen de naam en het adres van de organisatie, het doel waarvoor de organisatie de gegevens verzamelt, hoe de gegevens worden gebruikt en hoe lang deze gegevens op de zwarte lijst blijven staan.

De betrokkene kan zijn persoonsgegevens ingevolge de GDPR inzien, en als daartoe aanleiding bestaat, laten corrigeren of verwijderen. Indien de persoonsgegevens niet correct zijn of niet relevant voor het doel van de zwarte lijst, dan kan er worden gevraagd om een correctie of verwijdering van die gegevens.

Privacydesk advocaten van Blenheim Advocaten

Vraagt u zich af of uw organisatie een zwarte lijst mag aanleggen? Moet uw (branche)organisatie een vergunning aanvragen voor het bijhouden van een zwarte lijst? Heeft u andere vragen over de GDPR? Al uw vragen kunt u stellen aan een advocaat van de privacydesk van Blenheim Advocaten.