Zwarte lijst
Het doel van een zwarte lijst is om organisaties te waarschuwen voor bepaalde personen. Zo kunnen organisaties beoordelen of zij met die personen zaken willen doen. Bijvoorbeeld of zij die personen in hun winkel willen binnenlaten of in hun hotel willen laten overnachten.
Gegevens op zwarte lijst
Op een zwarte lijst staan vaak strafrechtelijke gegevens of gegevens over ongewenst gedrag. Bijvoorbeeld dat iemand is veroordeeld voor winkeldiefstal of ernstige overlast heeft veroorzaakt.
Een zwarte lijst gebruiken
Private organisaties mogen niet zomaar een zwarte lijst opstellen en gebruiken. Een private organisatie die een zwarte lijst wil aanleggen, moet in ieder geval aan 3 voorwaarden voldoen.
Zwarte lijst delen
Een zwarte lijst kan alleen intern, binnen één organisatie, gebruikt worden. Maar organisaties kunnen een zwarte lijst ook delen, bijvoorbeeld binnen een bedrijfstak.
Voorbeelden hiervan zijn een zwarte lijst van gasten die overlast veroorzaken (hotelbranche) en een zwarte lijst van frauderende klanten en medewerkers (financiële instellingen).
Voorwaarden zwarte lijst delen
Het gebruik van een gedeelde zwarte lijst heeft grotere gevolgen voor de privacy van de mensen die op de zwarte lijst staan. Daarom gelden strengere eisen voor het delen van een zwarte lijst.
Cross-sectorale zwarte lijst
Voor het delen van een zwarte lijst met andere sectoren (cross-sectorale zwarte lijst) zijn de regels nog strenger. Het uitgangspunt is dat dit niet mag.
Tenzij wordt voldaan aan de zeer hoge eisen uit de Algemene verordening gegevensbescherming (AVG). Daarmee is het dus alleen in zeer uitzonderlijke gevallen toegestaan.
In de Handreiking cross-sectorale gegevensdeling tussen private partijen heeft de AP een beknopt overzicht opgesteld van de belangrijkste AVG-normen waaraan cross-sectorale zwarte lijsten minimaal moeten voldoen.
Register zwarte lijsten
De AP houdt een register bij van zwarte lijsten waarvoor een vergunning is afgegeven.
Op een zwarte lijst staan
Mensen die op een zwarte lijst staan, hebben een aantal rechten. Zoals recht op informatie zodra een organisatie hen op een zwarte lijst plaatst.
Ook kunnen zij vragen om inzage, correctie en verwijdering van hun gegevens op de zwarte lijst. Voor het laten verbeteren of verwijderen van gegevens gelden wel voorwaarden, dit kan niet altijd.
Bekijk binnen het onderwerp Zwarte lijst
Nieuws
-
Persbericht / 12 april 2022Boete Belastingdienst voor zwarte lijst FSV
-
Nieuwsbericht / 12 januari 2022Vergunning Soa Aids Nederland voor platform om sekswerk veiliger te maken
-
Persbericht / 29 oktober 2021Zwarte lijst FSV van Belastingdienst in strijd met de wet
Alle antwoorden op mijn vragenVragen over een zwarte lijst gebruiken
-
Mag ik een zwarte lijst opstellen en gebruiken?
Als private organisatie mag u niet zomaar een zwarte lijst opstellen en gebruiken. U moet in ieder geval aan 3 voorwaarden voldoen.
1.Gerechtvaardigd belang
U moet een grondslag hebben voor het verwerken van deze persoonsgegevens op de zwarte lijst. In dit geval kan dat de grondslag gerechtvaardigd belang zijn.
Maar let op: dit kan alleen als u aan alle voorwaarden voor de grondslag gerechtvaardigd belang voldoet.
2. Noodzaak verwerking persoonsgegevens
De zwarte lijst moet noodzakelijk zijn. Dit houdt in dat u het doel niet op een andere manier kan bereiken, die minder ingrijpend is voor de privacy van de betrokkenen. Dat zijn de mensen over wie het gaat.
3. Zwaarwegend belang
U moet duidelijk kunnen maken waarom uw (bedrijfs)belang zwaarder weegt dan het privacybelang van de betrokkenen. U moet hierbij kijken naar de ernst van de vergrijpen en de gevolgen voor de betrokkenen.
Zwarte lijst delen
Let op: plaatst u strafrechtelijke gegevens op uw zwarte lijst en/of gegevens over een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag? En wilt u deze zwarte lijst delen met andere organisaties?
Dan moet u eerst een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Zonder vergunning mag u de zwarte lijst niet delen.
-
Wat is de functie van een protocol bij een zwarte lijst?
Wilt u een zwarte lijst aanleggen en deze delen met derden (bijvoorbeeld binnen uw bedrijfstak)? Dan moet u omschrijven hoe u de persoonsgegevens gaat verwerken. Dit doet u in een protocol.
Hierin geeft u aan hoe uw voorgenomen gegevensverwerking voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG.
Transparantie voor betrokkenen
In het protocol maakt u de algemene normen uit de AVG concreter door deze praktisch te vertalen. Zodat de betrokkenen (de mensen die u op de zwarte lijst plaatst) begrijpen hoe u met hun persoonsgegevens omgaat en en welke waarborgen u treft om deze gegevens goed te beschermen.
Protocol nodig voor vergunning
U heeft een protocol nodig als u een vergunning wilt aanvragen bij de Autoriteit Persoonsgegevens (AP) voor het delen van een zwarte lijst met derden.
-
Moet ik een vergunning aanvragen voor een zwarte lijst waarbij ik strafrechtelijke gegevens verwerk en deel met derden maar die voor 25 mei 2018 al was goedgekeurd?
Nee. Heeft de Autoriteit Persoonsgegevens (AP) uw zwarte lijst eerder goedgekeurd via een voorafgaand onderzoek? Dan is het toenmalige besluit van goedkeuring (rechtmatigheidsbesluit) van de AP automatisch omgezet in een vergunning. U hoeft dan dus geen vergunning aan te vragen bij de AP.
Onder de Wet bescherming persoonsgegevens, die per 25 mei 2018 is vervallen, moest u, als u uw zwarte lijst wilde delen, een voorafgaand onderzoek aanvragen bij de AP voor het delen van strafrechtelijke gegevens met derden.
Heeft de AP daarvoor in het verleden een rechtmatigheidsbesluit afgegeven, dan is dit vanaf 25 mei 2018 van rechtswege omgezet in een vergunning in de zin van artikel 33, vierde lid onder c van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
Uitzondering: geldigheidstermijn
Let op: is aan het rechtmatigheidsbesluit van destijds een geldigheidstermijn verbonden? Dan moet u wél een vergunning aanvragen bij de AP zodra deze termijn (bijna) is verlopen.
Alle antwoorden op mijn vragenVragen over op een zwarte lijst staan
-
Hoe kom ik te weten of ik op een zwarte lijst sta?
Zodra een organisatie u op een zwarte lijst plaatst, moet deze organisatie u dat laten weten. U heeft recht op informatie. Maar hierop zijn wel uitzonderingen.
De organisatie hoeft u bijvoorbeeld niet te laten weten dat u op een zwarte lijst bent geplaatst:
- als u al weet dat de organisatie uw gegevens voor dat doel verwerkt;
- als dat noodzakelijk is om strafbare feiten te voorkomen en op te sporen.
Andere uitzonderingen leest u bij Recht op informatie.
Informatie over zwarte lijst
De organisatie moet u in elk geval de volgende informatie geven:
- de naam en het adres van de organisatie;
- het doel waarvoor de organisatie uw gegevens verzamelt;
- hoe de organisatie uw gegevens gebruikt;
- hoe lang u op de zwarte lijst blijft staan.
Protocol zwarte lijst
De Autoriteit Persoonsgegevens (AP) adviseert organisaties met een zwarte lijst om zulke informatie op te nemen in een protocol. Met zo'n protocol kan een organisatie u laten zien hoe de organisatie uw gegevens verwerkt.
Ook kan de organisatie met het protocol makkelijker aantonen dat de organisatie voldoet aan de privacywet, de AVG.
Is voor een zwarte lijst een vergunning vereist? Dan is het zelfs verplicht om de informatie over de zwarte lijst in een protocol op te nemen.
-
Wie kan mijn gegevens op een zwarte lijst bekijken?
Dat hangt ervan af welke organisaties zijn aangesloten bij de zwarte lijst waarop u staat. Een organisatie kan een zwarte lijst alleen zelf gebruiken of deze delen met andere organisaties. Zwarte lijsten delen mag alleen onder strenge voorwaarden. Die kan een organisatie bijvoorbeeld vastleggen in een protocol.
Een supermarkt bijvoorbeeld kan een zwarte lijst aanleggen van klanten die zijn veroordeeld voor winkeldiefstal en die personen niet meer binnenlaten. De supermarkt gebruikt de zwarte lijst dan alleen zelf en niemand buiten deze supermarkt heeft toegang tot de lijst.
Maar de supermarkt kan de zwarte lijst ook delen met andere supermarkten, zodat zij ook gewaarschuwd worden voor winkeldieven. In dit geval hebben alle supermarkten die zijn aangesloten bij de zwarte lijst toegang tot die zwarte lijst.
De supermarkten mogen hier niet geheimzinnig over doen, maar moeten duidelijk zijn over hoe zij met uw gegevens omgaan. In het protocol bij hun zwarte lijst kunnen zij dit vastleggen.
Voorbeelden zwarte lijsten
Voorbeelden van gedeelde zwarte lijsten zijn zwarte lijsten gebruikt door winkeliersverenigingen, horecaondernemingen, hotels en autoverhuurbedrijven.
Voorwaarden zwarte lijst
Een zwarte lijst is alleen onder voorwaarden toegestaan. Deelt een organisatie een zwarte lijst met andere organisaties, dan gelden nog strengere eisen.
-
Kan ik mijn persoonsgegevens op een zwarte lijst inzien en/of laten corrigeren of verwijderen?
Ja, dat kan. U heeft het recht om uw gegevens op een zwarte lijst in te zien. Ook kunt u vragen uw persoonsgegevens te laten corrigeren of verwijderen.
Inzage
Wilt u weten welke gegevens van u op een zwarte lijst staan, vraag dan om inzage in uw persoonsgegevens.
Correctie of verwijdering
Kloppen uw persoonsgegevens niet? Of vindt u dat ze niet relevant zijn voor het doel van de zwarte lijst? U kunt vragen om uw gegevens te corrigeren of verwijderen.
-
Waar kan ik naartoe met een vraag of klacht over een zwarte lijst?
Ga met vragen of klachten over uw persoonsgegevens op een zwarte lijst eerst naar de organisatie die de zwarte lijst bijhoudt.
Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan zijn er vervolgstappen die u kunt zetten.
Publicaties
- Rapport / 29 oktober 2021DownloadenPDFOnderzoek Belastingdienst Fraude Signalering Voorziening (FSV)
- Wetgevingsadvies / 3 november 2022DownloadenPDFAdvies Besluit goed verhuurderschap