AP legt spelregels uit om zwarte lijsten te delen

Voorzittershamer ligt op een opengeslagen wetsbundel

Het delen van een zwarte lijst met daarop de gegevens van dieven, fraudeurs of overlastgevers met andere ondernemers, is alleen bij hoge uitzondering toegestaan. De privacy van degenen op de lijst is namelijk in het geding en kan vergaande, onbedoelde gevolgen hebben. Om ondernemers meer duidelijkheid te geven, heeft de Autoriteit Persoonsgegevens een handreiking opgesteld voor cross-sectorale zwarte lijsten.

Deze Handreiking cross-sectorale gegevensdeling tussen private partijen is op de website van de toezichthouder te vinden.

Zwarte lijst opstellen en delen in beginsel verboden

Ondernemers in Nederland worden regelmatig geconfronteerd met criminaliteit. Denk aan winkeldieven die hun slag slaan, vandalen die winkelruiten ingooien of bezoekers die de eigenaar of het personeel bedreigen met geweld. In veel gevallen lijdt dit tot omzetverlies, materiële en immateriële schade. Bovendien zijn de daders vaak actief bij andere ondernemers in de omgeving of in andere sectoren. De neiging om een zwarte lijst op te stellen met daarop alle beschikbare gegevens van de daders, klinkt verleidelijk.

Wellicht gebeurt dit met de beste intenties, bijvoorbeeld om andere ondernemers te waarschuwen of herhaling te voorkomen. Toch is het cross-sectoraal delen van gegevens op een zwarte lijst tussen private partijen niet toegestaan. De Algemene Verordening Gegevensbescherming (AVG) en Uitvoeringswet AVG (UAVG) zeggen dat dit alleen in uitzonderlijke gevallen is toegestaan.

Het basisbeginsel is dat de Europese privacywetgeving burgers hiermee wil beschermen. Wat als iemand ten onrechte op een zwarte lijst belandt? Bestaat er een mogelijkheid om er weer van af te komen? Bovendien verzamel je met een zwarte lijst dusdanig veel gegevens dat je in feite een soort van politiedatabase creëert. Tot slot kan vermelding op en het delen van zo’n zwarte lijst verregaande consequenties hebben. Wat als je hierdoor nergens meer aan de bak komt? Geen hypotheek of lening kan afsluiten? Of geen woning kan huren?

Een zwarte lijst is een zwaar middel

Hoe groter de reikwijdte, hoe ingrijpender de gevolgen voor de betrokkene kan zijn. Daarom stellen de AVG en UAVG strenge regels aan het opstellen en delen van cross-sectorale zwarte lijsten. Volgens de Autoriteit Persoonsgegevens heeft de private sector behoefte aan meer tekst en uitleg over dit onderwerp. Om ondernemers tegemoet te komen, heeft de toezichthouder een handreiking opgesteld.

Het opstellen van een zwarte lijst is een zwaar middel. Er staan vaak strafrechtelijke gegevens of gegevens over ongewenst gedrag op. Bijvoorbeeld dat iemand veroordeeld is voor winkeldiefstal, getankt heeft zonder te betalen of ernstige overlast heeft veroorzaakt. Bedrijven en organisaties mogen daarom niet zomaar een zwarte lijst opstellen. Ze moeten voldoen aan drie voorwaarden: ze moeten een gerechtvaardigd belang hebben, de verwerking van persoonsgegevens moet noodzakelijk zijn en er moet sprake zijn van een zwaarwegend belang dat zwaarder weegt dat het privacybelang van betrokkenen.

Deze vier zwarte lijsten zijn er

De wet- en regelgeving maakt verder onderscheid tussen diverse soorten zwarte lijsten. Allereerst is er een interne zwarte lijst, die organisaties help om fraude te bestrijden binnen de eigen gelederen. Een sectorale zwarte lijst biedt enige ruimte om een zwarte lijst te delen met bedrijven die binnen dezelfde sector actief zijn. Cross-sectorale zwarte lijsten zijn lijsten die ondernemers met partijen buiten hun eigen sector willen delen. Als er een vergunning noodzakelijk is van de toezichthouder om een zwarte lijst te delen, binnen of buiten de sector, spreken we van een vergunningplichtige zwarte lijst.

Weinig tot geen juridische regels voor cross-sectorale zwarte lijsten

In praktijk worden reeds allerlei soorten zwarte lijsten gebruikt. Zo kan de gemeente een collectief winkelverbod opleggen aan mensen die structureel overlast veroorzaken. Winkeliers mogen klanten dan de toegang tot zijn winkel weigeren. Om de veiligheid van het uitgaansleven te vergroten, kan een collectieve horecaontzegging worden opgelegd. Bij financiële instellingen als banken, hypotheekverstrekkers en verzekeraars bestaat er een incidentenwaarschuwingssysteem. Zij mogen informatie over mensen die veroordeeld zijn voor betaalfraude, internetoplichting of witwassen uitwisselen met andere kredietverstrekkers.

Voor cross-sectorale gegevensdeling of cross-sectorale zwarte lijsten geldt dat er binnen Nederland weinig tot geen juridische regels zijn om tussen sectoren gegevens te delen tussen private partijen. Dat komt omdat de wetgever bij het opstellen van de UAVG enkel oog had voor gegevensuitwisseling binnen een bepaalde branche of een afgebakend geografisch gebied.

Het belang van een goede proportionaliteitsafweging

De basis voor iedere zwarte lijst is dat er een proportionaliteitsafweging plaatsvindt. “De organisatie die een zwarte lijst deelt met andere organisaties, moet kunnen aantonen dat ‘het doel de middelen heiligt’. Dus: of het belang van de opsteller van de zwarte lijst opweegt tegen de gevolgen voor degene op de lijst”, schrijft de Autoriteit Persoonsgegevens in de handreiking.

Voor cross-sectorale gegevensdeling is deze proportionaliteitsafweging nog relevanter, omdat de reikwijdte en dus de consequenties voor de betrokkenen groter zijn. “Naarmate de reikwijdte van een systeem groter is, zullen daarom de waarborgen voor betrokkenen zwaarder moeten zijn. Anders zal het systeem in het geheel niet door de toetsing komen.” Het beperken van de reikwijdte kan als oplossing dienen.

Aan deze voorwaarden moet een protocol voldoen

Wie een cross-sectorale zwarte lijst wil aanleggen om te delen met ondernemers uit andere sectoren, moet een protocol opstellen. Daarin staat hoe persoonsgegevens worden verwerkt en hoe deze gegevensverwerking aan de AVG voldoet. Daarnaast moet er een Data Protection Impact Assessment of DPIA uitgevoerd worden. Dat is een onderzoek waarbij een onafhankelijke partij in kaart brengt hoe een bedrijf of organisatie omgaat met het verwerken van persoonsgegevens.

In de handreiking noemt de Autoriteit Persoonsgegevens zes punten waar ondernemers aan moeten denken die een cross-sectorale zwarte lijst willen initiëren.

  1. Zorg voor een duidelijke cross-sectorale afbakening: het moet niet zo zijn dat als iemand tankt zonder te betalen of zich van zijn slechte kant laat zien bij een bakker, ineens geen lening meer kan afsluiten. Je zult moeten aantonen dat een misdrijf in sector A ook impact heeft op sector B (denk aan een crimineel die bij een notaris, bank en makelaar langsgaat om zijn geld wit te wassen).
  2. Zorg voor een duidelijke geografische afbakening: hoe groter het geografisch gebied dat een cross-sectorale zwarte lijst beslaat, hoe meer waarborgen het protocol dient te bevatten. Een te groot geografisch gebied is bovendien niet toegestaan.
  3. Zorg voor afgebakende fraudevormen: maak duidelijk op welke vorm of vormen van criminaliteit de zwarte lijst van toepassing is, welke gegevens daarbij worden verwerkt en of het nodig is dat deze data met alle sectoren wordt gedeeld. Als je je richt op identiteitsfraude, focus je aandacht dan hier op en niet op andere (gelieerde) fraudevormen.
  4. Zorg voor de tijdelijkheid van de zwarte lijst of zeer korte bewaartermijnen: is een probleem tijdelijk van aard? Dan kun je je afvragen of cross-sectorale gegevensdeling wel noodzakelijk is.
  5. Realiseer een streng opnamebeleid: formuleer en hanteer duidelijke criteria waardoor iemand op een cross-sectorale zwarte lijst terecht kan komen.
  6. Beperk het aantal deelnemers: houd goed voor ogen welke (private) partijen deelnemen aan de cross-sectorale zwarte lijst. Als er te veel deelnemers zijn opgenomen, is dat een indicatie dat de cross-sectorale zwarte lijst niet is toegestaan.
Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen