ADMINISTRATIE - 29.09.2017

Die klant moet op de zwarte lijst!

We horen steeds vaker dat bedrijven last hebben van ‘hufterige’ klanten, gasten of relaties. De directie wil daar voor eens en altijd een einde aan maken en wil dat u een zwarte lijst opstelt. Op die manier weten alle medewerkers met wie zij (geen) zaken mogen doen. Kunt u ‘zomaar’ aan dat verzoek voldoen? Waar moet u rekening mee houden en wat mag u op zo’n lijst zetten?

Privacy versus bedrijfsbelang

Privacy. Als een naam op een zwarte lijst terechtkomt, kan de privacy van de desbetreffende persoon geschaad worden. Nu kunt u zeggen: ‘Eigen schuld’.

Opletten geblazen. Een zwarte lijst is echter niet zonder risico. Als de privacy wordt geschaad zonder dat er een goede afweging is gemaakt tussen het bedrijfsbelang en de privacy van de klant, kan het bedrijf te maken krijgen met hoge boetes van de Autoriteit Persoonsgegevens (AP). Bedrijven mogen enkel een zwarte lijst aanleggen als er aan drie voorwaarden is voldaan:

  1. Gerechtvaardigd belang. Om een zwarte lijst op te stellen moet er een zogenaamd ‘gerechtvaardigd belang’ zijn. Denk aan het signaleren van mensen die overlast veroorzaken als klant of het identificeren van klanten die frauderen of de rekening niet betalen.
  2. Noodzaak verwerking persoonsgegevens. De zwarte lijst moet noodzakelijk zijn. Dat betekent dat het bedrijfsbelang niet bereikt kan worden door minder ingrijpende maatregelen te nemen. Kortom: er moet een noodzaak zijn om de privacy van degenen op de zwarte lijst te schaden.
  3. Belangenafweging. Het moet duidelijk zijn waarom het bedrijfsbelang zwaarder moet wegen dan het privacybelang van de klant. Zo moet gekeken worden naar de ernst van de vergrijpen en de gevolgen van de plaatsing op de zwarte lijst. Tip. Zorg dat u deze belangenafweging kunt onderbouwen.

Vastleggen in een protocol

Hoe, wat en waarom ... Als alle belangen tegen elkaar zijn afgezet en de directie besluit een zwarte lijst op te gaan stellen, is het van belang dat wordt vastgelegd hoe u zo’n zwarte lijst gaat maken en hoe de belangenafweging is uitgevoerd. Zo’n protocol lijkt wellicht overdreven, maar als de zwarte lijst later gedeeld gaat worden met andere bedrijven, bijvoorbeeld aan bedrijven uit de branche of een ondernemersclub uit de regio, verplicht de Autoriteit Persoonsgegevens (de AP) bedrijven zo’n protocol te hebben.

Waar moet een protocol aan voldoen?

Concrete uitwerking. Het protocol moet een concrete uitwerking zijn van wat het bedrijf gaat doen: welke persoonsgegevens worden op welke wijze verzameld en waar worden die gegevens opgeslagen. De waarborgen die de Wet bescherming persoonsgegevens biedt, moeten worden opgenomen.

Begrijpelijk. Het protocol moet voor iedereen die met de zwarte lijst in aanraking komt, begrijpelijk zijn. Begrijpt degene die binnen de organisatie verantwoordelijk is voor het aanleggen van de zwarte lijst wat hij moet doen? Als de lijst gedeeld gaat worden, snappen de andere deelnemers dan hoe de lijst is samengesteld? Kunnen degene die op de lijst staan (de betrokkenen) duidelijk zien wat er met hun gegevens gebeurt? Etc.

Doel. Het moet duidelijk zijn wat het doel van de lijst is, bijvoorbeeld het terugbrengen van fraude of de veiligheid van de medewerkers.

Noodzaak en proportionaliteit. De noodzaak van de zwarte lijst moet duidelijk zijn opgenomen in het protocol. Waarom is de zwarte lijst nodig om het doel te verwezenlijken en is dit de minst ingrijpende manier om dat doel te bereiken?

Rollen. Het moet duidelijk zijn wie wat gaat doen, wie de hoofdverantwoordelijke voor de lijst is, wie de deelnemers zijn en welke betrokkenen er zijn. Als ook de politie of het Openbaar Ministerie een rol speelt binnen de zwarte lijst, moet dat expliciet in het protocol vermeld worden.

Protocol voor plaatsing op de lijst

Criteria. In het protocol moet duidelijk zijn opgenomen op basis van welke gedragingen klanten of relaties op de lijst geplaatst worden. Tip. Zorg voor eenduidige en concrete criteria. Zo kan ook achteraf getoetst worden of de betrokkene rechtmatig op de lijst is geplaatst.

Wat en hoe? Het protocol moet duidelijkheid geven over de criteria waaraan moet worden voldaan om iemand de toegang te ontzeggen tot bepaalde producten, diensten of voorzieningen.Heeft hij nog wel alternatieven? Als hij nergens anders voedsel kan kopen, mag die toegang dan worden afgesneden?

Aangifte. Als iemand op de lijst wordt geplaatst omdat hij verdacht wordt van een strafbaar feit, moet in uw protocol staan dat er dan ook aangifte moet worden gedaan. Als er geen aangifte wordt gedaan, moet dat in dat geval gemotiveerd worden.

Informatie. Het protocol moet duidelijk aangeven hoe personen die op de zwarte lijst staan, geïnformeerd worden, wanneer en hoe zij van een zwarte lijst verwijderd worden en hoelang gegevens bewaard worden.

Download de volgende hulpmiddelen van http://tipsenadvies-administrateur.nl/download (FM 01.06.10).

• Handleiding protocol zwarte lijst

• Checklist zwarte lijst

Gebruik deze handleiding en checklist om ervoor te zorgen dat uw protocol aan de vereisten voldoet.

Delen van de zwarte lijst met anderen

Intern. U kunt ervoor kiezen om uw zwarte lijst uitsluitend voor intern gebruik te houden. Strikt genomen heeft u dan geen protocol nodig. Wij adviseren echter om toch een protocol op te stellen. Zo zit u veilig als de AP u onverhoopt toch komt controleren of als er iets fout gaat en uw zwarte lijst op straat komt te liggen. U moet dan kunnen aantonen dat u zorgvuldig bent omgegaan met de privacy van de betrokkenen. Kunt u dat niet, dan riskeert u niet alleen boetes van de AP, maar ook claims van de betrokkenen.

Delen. Als u eenmaal uw zwarte lijst heeft, kan het praktisch zijn om die te delen met uw branchegenoten. Immers, als mensen zich bij u misdragen, doen ze dat misschien ook wel bij uw collega’s. Let op. Als de zwarte lijst met anderen wordt gedeeld, moet deze lijst geregistreerd worden bij de AP. Een protocol is dan verplicht en wordt ook getoetst. Ook voor het delen van de zwarte lijst is een belangenafweging noodzakelijk.

Al een zwarte lijst beschikbaar?

Anderen gingen u voor. Allerlei sectoren, zoals de horeca, sport, winkels en woninghuur werken al met een zwarte lijst. Wilt u zien of er binnen de branche al een zwarte lijst beschikbaar is, dan kunt u die vinden bij de Autoriteit Persoonsgegevens. Tip. Zoek op https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/register-zwarte-lijsten of er in uw branche of beroepsgroep al een zwarte lijst is geregistreerd.

Geregistreerd en goedgekeurd. Deze zwarte lijsten zijn geregistreerd bij de AP en ook goedgekeurd door de AP. Tip. Dit is ook mooi vergelijkingsmateriaal: hoe richten anderen de lijst en het protocol in.

ons advies
    • Stel niet ‘zomaar’ een zwarte lijst op, ook al heeft u relaties waar u liever geen zaken (meer) mee doet. De Autoriteit Persoonsgegevens vindt dat het te ver gaat om deze personen op een zwarte lijst te zetten U loopt het risico op hoge boetes en wellicht schadevergoedingen.
    • Zorg voor een goede, steekhoudende, afweging van de bedrijfsbelangen en de privacy van uw relatie, als u een zwarte lijst opstelt.
    • Leg uw overwegingen en afwegingen goed vast.
    • Denk na over hoe de zwarte lijst binnen uw organisatie gebruikt moet worden en controleer of uw personeel er zo mee omgaat.
    • Een zwarte lijst schendt de privacy van de klanten die op de lijst staan. Relaties krijgen toch een stempel opgedrukt. Als die stempel te ingrijpend is, is het verstandig om na te denken hoe u uw doel op een andere wijze kan bereiken.
    • Maak een protocol. Dit is verplicht als de lijst wordt gedeeld met andere bedrijven en is altijd praktisch.
    • Het kan de moeite lonen te onderzoeken of er voor de sector al een zwarte lijst is, zodat u niet zelf aan het werk hoeft. Gebruik daarvoor de kennis van de AP.

U mag een zwarte lijst maken, maar daarvoor is het noodzakelijk dat er een gerechtvaardigd bedrijfsbelang is en dat er een goede afweging is gemaakt tussen het bedrijfsbelang en de privacy van de relatie. Leg alles goed vast in een protocol. Neem daarin ook op wie er verantwoordelijk is, waar betrokken relaties kunnen protesteren, etc. Gebruik de handleiding van het AP.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01