Een zwarte lijst opstellen
Wilt u als organisatie een zwarte lijst opstellen? Bijvoorbeeld omdat u geen klanten in uw winkel wil binnenlaten die zijn veroordeeld voor winkeldiefstal? Of om ervoor zorgen dat u geen personeel aanneemt dat eerder heeft gefraudeerd? Dan moet u voldoen aan de voorwaarden uit de privacywetgeving voor een zwarte lijst. U mag niet zomaar gegevens van mensen registreren.
Op deze pagina
Voorwaarden zwarte lijst
U moet in ieder geval aan deze 3 voorwaarden voldoen:
- Gerechtvaardigd belang: u moet een grondslag hebben voor het verwerken van de persoonsgegevens op uw zwarte lijst. In dit geval kan dat de grondslag gerechtvaardigd belang zijn. U moet hiervoor wel aan alle voorwaarden voor gerechtvaardigd belang voldoen.
- Noodzaak: de zwarte lijst moet noodzakelijk zijn. Dit houdt in dat u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de privacy van de betrokkenen.
- Zwaarwegend belang: u moet duidelijk kunnen maken waarom uw (bedrijfs)belang zwaarder weegt dan het privacybelang van de betrokkenen. U moet hierbij kijken naar de ernst van de vergrijpen en de gevolgen voor de betrokkenen.
Daarnaast moet u voldoen aan de (algemene) voorwaarden uit de privacywet AVG. U moet bijvoorbeeld:
- een bewaartermijn vaststellen;
- de betrokkenen informeren;
- de gegevens op de zwarte lijst goed beveiligen.
Intern gebruik zwarte lijst
Gebruikt u de zwarte lijst alleen binnen uw eigen organisatie? Dan hoeft u verder niets te doen als u voldoet aan de genoemde voorwaarden.
- Voor een interne zwarte lijst hoeft u geen vergunning aan te vragen.
- U bent ook niet verplicht om een DPIA uit te voeren. Het mag natuurlijk wel. Een DPIA kan u helpen om aan de AVG te voldoen.
Bij een interne zwarte lijst is een protocol niet verplicht, maar wel aan te raden. U kunt hiermee aan de betrokkenen laten zien hoe u hun gegevens verwerkt. En welke waarborgen u treft om deze gegevens goed te beschermen. Ook kunt u met het protocol makkelijker aantonen dat u voldoet aan de AVG en de UAVG.
Delen zwarte lijst
Wilt u uw zwarte lijst delen buiten uw organisatie? Zodat andere organisaties ook worden gewaarschuwd voor bepaalde personen? Dan gelden strengere voorwaarden. Zo moet u hiervoor vaak een vergunning aanvragen bij de Autoriteit Persoonsgegevens.
Meer weten? Lees Een zwarte lijst delen.