Klik&Koop, een webwinkel gespecialiseerd in elektronica, kampt steeds vaker met klanten die bestellingen plaatsen zonder te betalen of die misbruik maken van retourprocedures. Om toekomstige problemen te voorkomen, overweegt de organisatie om een zwarte lijst in te voeren met persoonsgegevens van deze personen. Het doel is om hen de toegang tot de website of het bestelproces te weigeren. Welke regels gelden er dan, welke risico’s en verantwoordelijkheden horen daarbij en hoe ga je ermee om?
Tekst: Aileen Howard
De privacy officer van Klik&Koop waarschuwt dat dit soort lijsten onder de strenge regels van de AVG vallen. Er moet een gerechtvaardigd belang zijn, de verwerking moet proportioneel zijn en betrokkenen moeten geïnformeerd worden. Onzorgvuldigheid kan leiden tot sancties van de Autoriteit Persoonsgegevens (AP).
Wanneer mag een organisatie een zwarte lijst gebruiken?
De organisatie moet aan verschillende basisvoorwaarden voldoen:
• gerechtvaardigd belang: er moet sprake zijn van daadwerkelijke strafbare feiten zoals fraude of oplichting. Het mag niet gaan om vermoedens voor toekomstige gebeurtenissen. Dit gedrag moet de organisatie direct schade toebrengen.
• zwaarwegend belang: de organisatie moet aan kunnen tonen dat haar belang zwaarder weegt dan het privacybelang van degene die op de lijst staat. Hoe ernstiger het gedrag, hoe makkelijker het te rechtvaardigen is.
• noodzaak: het gebruik van de lijst moet echt nodig zijn. Kan de organisatie dezelfde doelen bereiken met een minder ingrijpende methode? Dan mag ze geen zwarte lijst gebruiken.
Naast het voldoen aan deze basisvoorwaarden, is het van belang dat de organisatie rekening houdt met de andere principes van de AVG, zoals het informeren van betrokkenen, goede beveiliging van gegevens en een duidelijke bewaartermijn.
Deze basisvoorwaarden gelden voor het gebruik van een zwarte lijst binnen de eigen organisatie, ofwel ‘de interne zwarte lijst’. Naast dit type zijn er nog twee andere typen zwarte lijsten: ‘de gedeelde zwarte lijst binnen dezelfde sector’ en ‘de cross-sectorale zwarte lijst’.
Het intern gebruiken van een zwarte lijst is toegestaan indien aan de bovengenoemde basisvoorwaarden is voldaan. Zo mag Klik&Koop, die regelmatig schade lijdt doordat bepaalde klanten niet betalen, als laatste redmiddel intern een zwarte lijst gebruiken, zolang het bedrijf maar zorgvuldig met persoonsgegevens omgaat.
Delen binnen dezelfde sector
Soms is het handig als organisaties hun zwarte lijsten kunnen delen. Stel een elektronische webshop heeft een klant die regelmatig dure gadgets bestelt maar telkens niet betaalt. Dit levert de organisatie veel schade op. Na onderzoek blijkt dat deze klant bij een andere elektronische webshop dezelfde trucs uithaalt. In dit geval kan het handig zijn om de zwarte lijst met die andere elektronische webshop te delen, zodat deze maatregelen kan nemen om te voorkomen dat deze klant bij hen hetzelfde doet. Dit kan echter wel grotere privacy-gevolgen hebben, dus is het logisch dat de regels dan strenger zijn.
Voor het delen van een zwarte lijst is het van belang om onderscheid te maken tussen een zwarte lijst zonder strafrechtelijke gegevens en een zwarte lijst met strafrechtelijke gegevens.
Het delen van de zwarte lijst zonder strafrechtelijke gegevens
Hierbij moet de organisatie, naast de basisvoorwaarden, aantonen dat er sprake is van een dusdanig belang dat dit een dergelijk grote inbreuk op de privacy van betrokkenen rechtvaardigt. Indien er sprake is van een dergelijk belang, moet de organisatie de criteria voor plaatsing op de zwarte lijst duidelijk omschrijven (met inbegrip van de bewaartermijn van de lijst). Deze criteria moeten kenbaar zijn voor degenen die op de lijst (kunnen) komen te staan. Dit kan in principe elke klant van de organisatie zijn, dus een organisatie doet er goed aan om dit vast te leggen in bijvoorbeeld een openbaar protocol dat voor iedereen toegankelijk is.
Het delen van de zwarte lijst met strafrechtelijke gegevens
Als er strafrechtelijke gegevens zoals fraude of diefstal op de lijst staan, mag een organisatie deze alleen delen als ze hiervoor een vergunning van de AP heeft gekregen. Indien een organisatie aan de bovenstaande voorwaarden heeft voldaan en een AP-vergunning heeft, dan mag ze die zwarte lijst delen binnen haar eigen sector. Echter, de AP geeft zelden zo’n vergunning.
Zwarte lijsten delen met andere sectoren
Wil je als organisatie je zwarte lijst delen met organisaties buiten je eigen sector? Dan is sprake van een cross-sectorale zwarte lijst. Dit mag alleen in zeer uitzonderlijke gevallen, en de AP is hier extra streng op.
Het delen van de zwarte lijst zonder strafrechtelijke gegevens
Voor zwarte lijsten zonder strafrechtelijke gegevens gelden hierbij de strikte voorwaarden uit de Handreiking cross-sectorale zwarte lijsten. De AP vindt het cross-sectoraal delen namelijk zeer problematisch. Het kan immers grote gevolgen hebben voor mensen die op de lijst staan. Denk aan iemand die niet betaalt voor een product bij Klik&Koop en daarna ineens niet meer online een OV-kaart kan kopen.
Het delen van de zwarte lijst met strafrechtelijke gegevens
Bij het cross-sectoraal delen van zwarte lijsten mét strafrechtelijke gegevens wordt het nog moeilijker. Organisaties moeten dan voldoen aan zowel de Handreiking als aan een speciale vergunning van de AP. De kans dat zo’n vergunning verleend wordt, is miniem.
Regels per situatie
Er zijn dus drie verschillende typen zwarte lijsten die gebruikt kunnen worden, alle drie met of zonder strafrechtelijke gegevens:
a. de interne zwarte lijst,
b. de gedeelde zwarte lijst binnen dezelfde sector,
c. de cross-sectorale zwarte lijst.
Voor elk type zwarte lijst gelden specifieke regels, die vooral te maken hebben met hoe zwaar de privacy van de mensen op de lijst weegt ten opzichte van het bedrijfsbelang.
Het is belangrijk dat je als organisatie goed begrijpt in welke situatie je zit en aan welke voorwaarden je precies moet voldoen. Op die manier handel je als organisatie volgens de wet en voorkom je problemen met de privacy van de personen die op jouw zwarte lijst staan.
Aileen Howard is legal counsel bij ICTRecht.
Ik gebruik de black list, met name voor Bol klanten. Wat een rotzooi zit daar tussen! En Bol vindt alles goed, geen compliment voor Bol.
Je reactie op Mary-Ann:
Elk goed e-commerce bedrijf heeft een lijst van klanten waaraan ze niet willen verkopen/leveren. Daar hoeft helemaal niet zo spannend over gedaan te worden. Dat zijn de klanten die je liever kwijt bent. Als ze besteld hebben moet je in principe leveren, immers je bent een overeenkomst aangegaan. Beste is ze te blokkeren daarvoor. Wij maken veel gebruik van IP blokkades. Werkt uitstekend. Als zij op de website komen worden ze automatisch doorgestuurd naar een andere pagina waarop staat dat we storing hebben....ze blijven proberen maar helaas....
Je reactie op Patmaniak: