DPIA bij aanvraag om zwarte lijsten te delen met andere sectoren
AP geeft duidelijkheid over zwarte lijsten delen met andere sectoren.
Veel ondernemers krijgen te maken met criminaliteit. Vaak ook blijken dezelfde criminelen actief te zijn in meerdere sectoren. Ondernemers willen daarom soms gegevens van mogelijke criminelen met elkaar delen, ook buiten de eigen sector. Maar dat mag in de meeste gevallen niet. Om ondernemers duidelijkheid te geven, heeft de AP een handreiking opgesteld voor cross-sectorale zwarte lijsten.
Zwarte lijst bijhouden en delen
Het bijhouden van een zwarte lijst met (mogelijke) dieven, fraudeurs of overlastgevers is aan privacyregels gebonden. En het delen van die gegevens met andere organisaties mag zeker niet zonder meer. Al helemaal niet als het strafrechtelijke gegevens betreft, zoals over een winkeldiefstal. Feitelijk ontstaat er dan een politiedatabase, die vrij toegankelijk is voor ondernemers. Dit soort zwarte lijsten is alleen toegestaan als de privacywetgeving goed in acht is genomen.
Cross-sectorale zwarte lijst
Voor het delen van een zwarte lijst met andere sectoren (cross-sectorale zwarte lijst) zijn de regels nog strenger. Het uitgangspunt is dat dit niet mag. Tenzij wordt voldaan aan de zeer hoge eisen uit de Algemene Verordening Gegevensbescherming (AVG). Daarmee is het dus alleen in zeer uitzonderlijke gevallen toegestaan.
Wat staat er minimaal in het protocol van een cross-sectorale zwarte lijst?
Wilt u als ondernemer een cross-sectorale zwarte lijst aanleggen? Dan moet u een protocol opstellen. In het protocol omschrijft u hoe u de persoonsgegevens gaat verwerken en hoe deze voorgenomen gegevensverwerking voldoet aan de eisen uit de AVG. Voor een vergunningaanvraag is het vereist om een protocol (plus een DPIA en het ingevulde aanvraagformulier) mee te sturen.