Vergroot contrast

Zwarte lijst

Het doel van een zwarte lijst is om organisaties te waarschuwen voor bepaalde personen. Zo kunnen organisaties beoordelen of zij met die personen zaken willen doen. Bijvoorbeeld of zij die personen in hun winkel willen binnenlaten of in hun hotel willen laten overnachten.

Gegevens op zwarte lijst

Op een zwarte lijst staan vaak strafrechtelijke gegevens of gegevens over ongewenst gedrag. Bijvoorbeeld dat iemand is veroordeeld voor winkeldiefstal of ernstige overlast heeft veroorzaakt.

Een zwarte lijst gebruiken

Private organisaties mogen niet zomaar een zwarte lijst opstellen en gebruiken. Een private organisatie die een zwarte lijst wil aanleggen, moet in ieder geval aan 3 voorwaarden voldoen.

Zwarte lijst delen

Een zwarte lijst kan alleen intern, binnen één organisatie, gebruikt worden. Maar organisaties kunnen een zwarte lijst ook delen, bijvoorbeeld binnen een bedrijfstak. 

Voorbeelden hiervan zijn een zwarte lijst van gasten die overlast veroorzaken (hotelbranche) en een zwarte lijst van frauderende klanten en medewerkers (financiële instellingen).

Voorwaarden zwarte lijst delen

Het gebruik van een gedeelde zwarte lijst heeft grotere gevolgen voor de privacy van de mensen die op de zwarte lijst staan. Daarom gelden strengere eisen voor het delen van een zwarte lijst.

Cross-sectorale zwarte lijst

Voor het delen van een zwarte lijst met andere sectoren (cross-sectorale zwarte lijst) zijn de regels nog strenger. Het uitgangspunt is dat dit niet mag.

Tenzij wordt voldaan aan de zeer hoge eisen uit de Algemene verordening gegevensbescherming (AVG). Daarmee is het dus alleen in zeer uitzonderlijke gevallen toegestaan.

In de Handreiking cross-sectorale gegevensdeling tussen private partijen heeft de AP een beknopt overzicht opgesteld van de belangrijkste AVG-normen waaraan cross-sectorale zwarte lijsten minimaal moeten voldoen.

Register zwarte lijsten

De AP houdt een register bij van zwarte lijsten waarvoor een vergunning is afgegeven.

Op een zwarte lijst staan

Mensen die op een zwarte lijst staan, hebben een aantal rechten. Zoals recht op informatie zodra een organisatie hen op een zwarte lijst plaatst.

Ook kunnen zij vragen om inzage, correctie en verwijdering van hun gegevens op de zwarte lijst. Voor het laten verbeteren of verwijderen van gegevens gelden wel voorwaarden, dit kan niet altijd. 

Nieuws

Alle nieuwsberichten over het onderwerp 'Zwarte lijst'

Alle antwoorden op mijn vragenVragen over een zwarte lijst gebruiken

  • Mag ik een zwarte lijst opstellen en gebruiken?

    Als private organisatie mag u niet zomaar een zwarte lijst opstellen en gebruiken. U moet in ieder geval aan 3 voorwaarden voldoen.

    1.Gerechtvaardigd belang

    U moet een grondslag hebben voor het verwerken van deze persoonsgegevens op de zwarte lijst. In dit geval kan dat de grondslag gerechtvaardigd belang zijn.

    Maar let op: dit kan alleen als u aan alle voorwaarden voor de grondslag gerechtvaardigd belang voldoet.

    2. Noodzaak verwerking persoonsgegevens

    De zwarte lijst moet noodzakelijk zijn. Dit houdt in dat u het doel niet op een andere manier kan bereiken, die minder ingrijpend is voor de privacy van de betrokkenen. Dat zijn de mensen over wie het gaat.

    3. Zwaarwegend belang

    U moet duidelijk kunnen maken waarom uw (bedrijfs)belang zwaarder weegt dan het privacybelang van de betrokkenen. U moet hierbij kijken naar de ernst van de vergrijpen en de gevolgen voor de betrokkenen.

    Zwarte lijst delen

    Let op: plaatst u strafrechtelijke gegevens op uw zwarte lijst en/of gegevens over een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag? En wilt u deze zwarte lijst delen met andere organisaties?

    Dan moet u eerst een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Zonder vergunning mag u de zwarte lijst niet delen.

  • Wat moet ik doen als ik mijn zwarte lijst wil delen met andere organisaties?

    Het gebruik van een gedeelde zwarte lijst heeft grotere gevolgen voor de privacy van de mensen die op de zwarte lijst staan. Daarom gelden strengere eisen voor het delen van een zwarte lijst dan voor een zwarte lijst die alleen voor intern gebruik is.

    Welke eisen precies gelden, hangt ervan af of er op uw zwarte lijst strafrechtelijke gegevens staan en/of gegevens over een door de rechter opgelegd verbod vanwege hinderlijk of onrechtmatig gedrag.

    Zwarte lijst zonder strafrechtelijke gegevens

    Wilt u een zwarte lijst delen waarop géén strafrechtelijke gegevens staan en ook géén gegevens over onrechtmatig gedrag? Dan gelden de volgende eisen:

    • U moet een zwaarwegend belang hebben dat een dergelijk grote inbreuk op de privacy rechtvaardigt.
    • U moet de criteria voor plaatsing op de zwarte lijst aanscherpen. En transparant maken voor diegenen die op de lijst komen of staan. Dit kunt u doen in uw protocol.

    Zwarte lijst met strafrechtelijke gegevens

    Wilt u een zwarte lijst delen waarop strafrechtelijke gegevens staan en/of gegevens over onrechtmatig gedrag? Dan gelden de volgende eisen:

    • Er moet een zwaarwegend, algemeen belang zijn dat een dergelijk grote inbreuk op de privacy rechtvaardigt. Het gaat hierbij niet alleen om uw eigen belang en dat van de organisaties met wie u de zwarte lijst wilt delen, maar ook om een maatschappelijk belang.
    • U moet de criteria voor plaatsing op de zwarte lijst aanscherpen. En transparant maken voor diegenen die op de lijst komen of staan. Dit kunt u doen in uw protocol.
    • U moet een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Zonder vergunning mag de organisatie de zwarte lijst niet delen.

    Aanvragen vergunning

    Bij de vergunningaanvraag toetst de AP of de zwarte lijst voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).

    Let op: voordat de vergunning is verleend, mag u de zwarte lijst nog niet delen. Zie dossier Vergunning aanvragen voor informatie over hoe u een vergunning aanvraagt.

    Modelprotocol

    Voor 2 sectoren, de detailhandel en de horeca, heeft de AP een door de brancheorganisatie opgesteld modelprotocol en een model-DPIA beoordeeld.

    Volgt u dit Modelprotocol collectief winkelverbod of Modelprotocol collectieve horecaontzegging? Dan komt u mogelijk in aanmerking voor een kortere procedure bij de AP.

  • Mag ik als winkelier in een WhatsAppgroep foto’s van dieven delen met andere winkeliers?

    Nee, dat mag niet. Als u gegevens van dieven (zoals foto’s) opslaat en deelt, maakt u gebruik van een zwarte lijst. En dat mag niet zomaar. Bovendien is een WhatsAppgroep niet geschikt om zulke gegevens te delen. Dat komt omdat dit niet voldoet aan de Algemene verordening gegevensbescherming (AVG) wat betreft de beveiliging en andere privacywaarborgen.

    Zwarte lijst

    Een zwarte lijst is een waarschuwingssysteem. Hiermee kunt u collega’s binnen uw organisatie waarschuwen voor bepaalde personen die u niet meer in uw winkel wilt, zoals winkeldieven.

    U mag alleen een zwarte lijst opstellen en gebruiken als u voldoet aan de voorwaarden voor zwarte lijsten.

    Vergunningplichtige zwarte lijst

    U kunt de zwarte lijst ook delen met andere winkeliers. Deelt u daarbij strafrechtelijke gegevens? Dan heeft u een vergunning van de Autoriteit Persoonsgegevens (AP) nodig.

    Modelprotocol collectief winkelverbod

    Wanneer u als winkelier een vergunning wilt aanvragen voor de bovenstaande gegevensverwerking bij de AP, kunt u zich bijvoorbeeld aansluiten bij het modelprotocol collectief winkelverbod van het CCV.

    U hoeft dan niet zelf een protocol op te stellen voor deze (vergunningplichtige) zwarte lijst. En de procedure bij de AP voor uw vergunning kan sneller doorlopen worden.

    Let op: u moet zich dan natuurlijk wel volledig houden aan alle eisen die in het protocol staan.

  • Wat moet ik doen als ik aan een bestaande zwarte lijst wil deelnemen waarbij strafrechtelijke gegevens worden gedeeld met derden?

    U moet dan een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Dit geldt ook als de AP al een vergunning heeft afgegeven aan andere deelnemers aan de zwarte lijst. U bent immers zelf verwerkingsverantwoordelijke voor uw verwerking.

    Modelprotocol

    U kunt mogelijk wel sneller een vergunning ontvangen als u een modelprotocol dat door de AP is beoordeeld een-op-een overneemt.​ 

    Dit geldt bijvoorbeeld voor het overnemen van het Modelprotocol collectief winkelverbod of Modelprotocol collectieve horecaontzegging.

    Register vergunningplichtige zwarte lijsten

    De AP houdt een register bij van zwarte lijsten waarvoor een vergunning is verleend. Of waarvoor de AP voor 25 mei 2018 een rechtmatigheidsbesluit heeft afgegeven ná het met goed gevolg doorlopen van een voorafgaand onderzoek.

    De besluiten zonder geldigheidstermijn zijn per 25 mei 2018 van rechtswege omgezet in een vergunning. Voor de besluiten met een geldigheidstermijn moet, na afloop van deze termijn, een verlenging van de vergunning aangevraagd worden.

  • Hoe werken de modelprotocollen collectief winkelverbod en collectieve horecaontzegging?

    De Autoriteit Persoonsgegevens (AP) heeft met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) en Koninklijke Horeca Nederland (KHN) de modelprotocollen herzien voor respectievelijk een collectief winkelverbod en een collectieve horecaontzegging. De modelprotocollen zijn nu in lijn met de Algemene verordening gegevensbescherming (AVG). 

    Kortere procedure vergunning

    Wilt u als winkelier/ondernemer of horecaondernemer deelnemen aan een collectief winkelverbod of een collectieve horecaontzegging? Dan moet u een vergunning aanvragen bij de AP.

    Het CCV en de lokale afdelingen van de KHN coördineren de vergunningaanvragen in uw winkel- of horecagebied. Op de websites van deze organisaties vindt u daarover meer informatie:

    Volgt u een van de modelprotocollen? Dan kunt u een kortere procedure bij de AP doorlopen als u een vergunning aanvraagt voor het opstellen van een zwarte lijst waarbij u strafrechtelijke gegevens deelt met derden.

    Collectief winkelverbod

    Winkeliers worden regelmatig geconfronteerd met winkeldiefstal, geweldsdelicten en overlast in en om de winkel, zoals verbaal geweld (uitschelden, beledigen) en het lastig vallen van personeel en/of andere klanten.

    Een collectief winkelverbod is een maatregel die wordt opgelegd aan winkelbezoekers die crimineel en/of in ernstige mate overlastgevend gedrag vertonen. 

    Wanneer hiervan sprake is, is nader bepaald/omschreven in het Modelprotocol collectief winkelverbod.

    Collectieve horecaontzegging

    Horecaondernemers worden regelmatig geconfronteerd met overlast van bezoekers, zoals mishandeling, lastig vallen, geweld en het gebruiken of verhandelen van drugs.

    Een collectieve horecaontzegging is een maatregel die wordt opgelegd aan horecabezoekers die in ernstige mate overlast veroorzaken. 

    Wanneer hiervan sprake is, is nader bepaald/omschreven in het Modelprotocol collectieve horecaontzegging.

  • Wat is de functie van een protocol bij een zwarte lijst?

    Wilt u een zwarte lijst aanleggen en deze delen met derden (bijvoorbeeld binnen uw bedrijfstak)? Dan moet u omschrijven hoe u de persoonsgegevens gaat verwerken. Dit doet u in een protocol.

    Hierin geeft u aan hoe uw voorgenomen gegevensverwerking voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG.

    Transparantie voor betrokkenen

    In het protocol maakt u de algemene normen uit de AVG concreter door deze praktisch te vertalen. Zodat de betrokkenen (de mensen die u op de zwarte lijst plaatst) begrijpen hoe u met hun persoonsgegevens omgaat en en welke waarborgen u treft om deze gegevens goed te beschermen.

    Protocol nodig voor vergunning

    U heeft een protocol nodig als u een vergunning wilt aanvragen bij de Autoriteit Persoonsgegevens (AP) voor het delen van een zwarte lijst met derden.

  • Moet ik een vergunning aanvragen voor een zwarte lijst waarbij ik strafrechtelijke gegevens verwerk en deel met derden maar die voor 25 mei 2018 al was goedgekeurd?

    Nee. Heeft de Autoriteit Persoonsgegevens (AP) uw zwarte lijst eerder goedgekeurd via een voorafgaand onderzoek? Dan is het toenmalige besluit van goedkeuring (rechtmatigheidsbesluit) van de AP automatisch omgezet in een vergunning. U hoeft dan dus geen vergunning aan te vragen bij de AP.

    Onder de Wet bescherming persoonsgegevens, die per 25 mei 2018 is vervallen, moest u, als u uw zwarte lijst wilde delen, een voorafgaand onderzoek aanvragen bij de AP voor het delen van strafrechtelijke gegevens met derden.

    Heeft de AP daarvoor in het verleden een rechtmatigheidsbesluit afgegeven, dan is dit vanaf 25 mei 2018 van rechtswege omgezet in een vergunning in de zin van artikel 33, vierde lid onder c van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

    Uitzondering: geldigheidstermijn

    Let op: is aan het rechtmatigheidsbesluit van destijds een geldigheidstermijn verbonden? Dan moet u wél een vergunning aanvragen bij de AP zodra deze termijn (bijna) is verlopen.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen over op een zwarte lijst staan

  • Hoe kom ik te weten of ik op een zwarte lijst sta?

    Zodra een organisatie u op een zwarte lijst plaatst, moet deze organisatie u dat laten weten. U heeft recht op informatie. Maar hierop zijn wel uitzonderingen.

    De organisatie hoeft u bijvoorbeeld niet te laten weten dat u op een zwarte lijst bent geplaatst:

    • als u al weet dat de organisatie uw gegevens voor dat doel verwerkt;
    • als dat noodzakelijk is om strafbare feiten te voorkomen en op te sporen.

    Andere uitzonderingen leest u bij Recht op informatie.

    Informatie over zwarte lijst

    De organisatie moet u in elk geval de volgende informatie geven:

    • de naam en het adres van de organisatie;
    • het doel waarvoor de organisatie uw gegevens verzamelt;
    • hoe de organisatie uw gegevens gebruikt;
    • hoe lang u op de zwarte lijst blijft staan.

    Protocol zwarte lijst

    De Autoriteit Persoonsgegevens (AP) adviseert organisaties met een zwarte lijst om zulke informatie op te nemen in een protocol. Met zo'n protocol kan een organisatie u laten zien hoe de organisatie uw gegevens verwerkt.

    Ook kan de organisatie met het protocol makkelijker aantonen dat de organisatie voldoet aan de privacywet, de AVG.

    Is voor een zwarte lijst een vergunning vereist? Dan is het zelfs verplicht om de informatie over de zwarte lijst in een protocol op te nemen.

  • Wie kan mijn gegevens op een zwarte lijst bekijken?

    Dat hangt ervan af welke organisaties zijn aangesloten bij de zwarte lijst waarop u staat. Een organisatie kan een zwarte lijst alleen zelf gebruiken of deze delen met andere organisaties. Zwarte lijsten delen mag alleen onder strenge voorwaarden. Die kan een organisatie bijvoorbeeld vastleggen in een protocol.

    Een supermarkt bijvoorbeeld kan een zwarte lijst aanleggen van klanten die zijn veroordeeld voor winkeldiefstal en die personen niet meer binnenlaten. De supermarkt gebruikt de zwarte lijst dan alleen zelf en niemand buiten deze supermarkt heeft toegang tot de lijst.

    Maar de supermarkt kan de zwarte lijst ook delen met andere supermarkten, zodat zij ook gewaarschuwd worden voor winkeldieven. In dit geval hebben alle supermarkten die zijn aangesloten bij de zwarte lijst toegang tot die zwarte lijst. 

    De supermarkten mogen hier niet geheimzinnig over doen, maar moeten duidelijk zijn over hoe zij met uw gegevens omgaan. In het protocol bij hun zwarte lijst kunnen zij dit vastleggen.

    Voorbeelden zwarte lijsten

    Voorbeelden van gedeelde zwarte lijsten zijn zwarte lijsten gebruikt door winkeliersverenigingen, horecaondernemingen, hotels en autoverhuurbedrijven.

    Voorwaarden zwarte lijst

    Een zwarte lijst is alleen onder voorwaarden toegestaan. Deelt een organisatie een zwarte lijst met andere organisaties, dan gelden nog strengere eisen.

  • Kan ik mijn persoonsgegevens op een zwarte lijst inzien en/of laten corrigeren of verwijderen?

    Ja, dat kan. U heeft het recht om uw gegevens op een zwarte lijst in te zien. Ook kunt u vragen uw persoonsgegevens te laten corrigeren of verwijderen.

    Inzage

    Wilt u weten welke gegevens van u op een zwarte lijst staan, vraag dan om inzage in uw persoonsgegevens.

    Correctie of verwijdering

    Kloppen uw persoonsgegevens niet? Of vindt u dat ze niet relevant zijn voor het doel van de zwarte lijst? U kunt vragen om uw gegevens te corrigeren of verwijderen.

  • Waar kan ik naartoe met een vraag of klacht over een zwarte lijst?

    Ga met vragen of klachten over uw persoonsgegevens op een zwarte lijst eerst naar de organisatie die de zwarte lijst bijhoudt.

    Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan zijn er vervolgstappen die u kunt zetten.