Een zwarte lijst opstellen

Voorwaarden zwarte lijst

U moet in ieder geval aan deze 3 voorwaarden voldoen:

1. Gerechtvaardigd belang: u moet een grondslag hebben voor het verwerken van de persoonsgegevens op uw zwarte lijst. In dit geval kan dat de grondslag gerechtvaardigd belang zijn. U moet hiervoor wel aan alle voorwaarden voor gerechtvaardigd belang voldoen.
2. Noodzaak: de zwarte lijst moet noodzakelijk zijn. Dit houdt in dat u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de privacy van de betrokkenen.
3. Zwaarwegend belang: u moet duidelijk kunnen maken waarom uw (bedrijfs)belang zwaarder weegt dan het privacybelang van de betrokkenen. U moet hierbij kijken naar de ernst van de vergrijpen en de gevolgen voor de betrokkenen.

Daarnaast moet u voldoen aan de (algemene) voorwaarden uit de Algemene verordening gegevensbescherming (AVG). U moet bijvoorbeeld:

• een bewaartermijn vaststellen;
• de betrokkenen informeren;
• de gegevens op de zwarte lijst goed beveiligen.

Intern gebruik zwarte lijst

Gebruikt u de zwarte lijst alleen binnen uw eigen organisatie? Dan hoeft u verder niets te doen als u voldoet aan de genoemde voorwaarden. 

• Voor een interne zwarte lijst hoeft u geen vergunning aan te vragen. 
• U bent ook niet verplicht om een DPIA uit te voeren.  Het mag natuurlijk wel. Een DPIA kan u helpen om aan de AVG te voldoen.

Bij een interne zwarte lijst is een protocol niet verplicht, maar wel aan te raden. U kunt hiermee aan de betrokkenen laten zien hoe u hun gegevens verwerkt. En welke waarborgen u treft om deze gegevens goed te beschermen. Ook kunt u met het protocol makkelijker aantonen dat u voldoet aan de AVG en de UAVG.

Delen zwarte lijst

Wilt u uw zwarte lijst delen buiten uw organisatie? Zodat andere organisaties ook worden gewaarschuwd voor bepaalde personen? Dan gelden strengere voorwaarden. Zo moet u hiervoor vaak een vergunning aanvragen bij de Autoriteit Persoonsgegevens.

Meer weten? Lees Een zwarte lijst delen.