Een zwarte lijst opstellen en gebruiken mag niet zomaar. Een organisatie die een zwarte lijst wil aanleggen, moet in ieder geval aan 3 voorwaarden voldoen:

  1. Gerechtvaardigd belang
    De organisatie moet een zogeheten gerechtvaardigd belang hebben bij het gebruik van een zwarte lijst. Bijvoorbeeld wangedrag of fraude bestrijden.
  2. Noodzaak verwerking persoonsgegevens
    De zwarte lijst moet noodzakelijk zijn. Dit houdt in dat de organisatie het doel niet op een andere manier kan bereiken, die minder ingrijpend is voor de privacy van de betrokkenen, degenen die op de zwarte lijst staan.
  3. Afweging belangen
    De organisatie moet duidelijk kunnen maken waarom het (bedrijfs)belang zwaarder weegt dan het privacybelang. De organisatie moet hierbij kijken naar de ernst van de vergrijpen van de betrokkenen en de gevolgen voor hen van plaatsing op de zwarte lijst.

Voorbeelden zwarte lijsten

Een zwarte lijst kan alleen voor intern gebruik bestemd zijn. Bijvoorbeeld als een winkelier een zwarte lijst aanlegt van klanten die zijn veroordeeld voor winkeldiefstal.

Maar organisaties kunnen een zwarte lijst ook delen, zoals binnen een bepaalde branche. Voorbeelden hiervan zijn: een zwarte lijst binnen de hotelbranche van gasten die overlast veroorzaken en een zwarte lijst binnen financiƫle instellingen van frauderende klanten en medewerkers.

Register zwarte lijsten

Een organisatie die een zwarte lijst wil delen met daarop strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag, moet vooraf goedkeuring vragen aan de Autoriteit Persoonsgegevens (de AP). Dat staat in de Uitvoeringswet AVG. De AP houdt een register bij van goedgekeurde zwarte lijsten.

Uitgebreide informatie over zwarte lijsten vind je op de website van de AP.