Zwarte lijsten van huurders: waar moet je op letten?

expertise:

IT & Privacy

nieuwsbrief:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

06 juli 2020

Deze blog is onderdeel van een tweeluik over het gebruik van persoonsgegevens in de vastgoedsector.

Andere woningcorporaties/verhuurders waarschuwen over ongewenst gedrag van huurders? Dat kan via een zwarte lijst. Op een dergelijke lijst staan huurders die bijvoorbeeld in verband worden gebracht met hennepteelt in de woning of wanbetaling. Zwarte lijsten kunnen echter inbreuk maken op de privacy van huurders. Het naleven van de AVG (Algemene verordening gegevensbescherming) is daarom bij deze lijsten van groot belang.

In de vorige blog is een uitspraak van de rechter behandeld waarbij een woningcorporatie een zwarte lijst hanteerde. Naast het feit dat de huurder op last van de rechter de woning moest verlaten vanwege hennepteelt kwam hij voor de duur van 5 jaar op een zwarte lijst te staan. Hierdoor kwam hij gedurende een termijn van 5 jaar niet in aanmerking voor een huurwoning bij de aangesloten woningcorporaties en de gemeente. De zwarte lijst had dus verstrekkende gevolgen voor de betreffende huurder.

Als de gegevens op de zwarte lijst als strafrechtelijke persoonsgegevens worden aangemerkt, biedt de AVG een aanzienlijk hogere bescherming. De lijst zal dan bijvoorbeeld aan de Autoriteit Persoonsgegevens moeten worden voorgelegd ter goedkeuring. Uit de vorige blog blijkt dat door gebruik van coderingen voor de reden van notering op de zwarte lijst er mogelijk geen sprake is van strafrechtelijke persoonsgegevens. Op deze manier kan de voorafgaande goedkeuring van de Autoriteit Persoonsgegevens worden voorkomen. Overigens wordt hierbij opgemerkt dat de Autoriteit Persoonsgegevens een ruimere interpretatie hanteert van het begrip strafrechtelijk persoonsgegeven dan de rechter. Zie bijvoorbeeld Besluit z2018-12010 van de Autoriteit Persoonsgegevens inzake de vergunningsaanvraag voor de Fraudehelpdesk.

In het boek ‘Checklist Privacy AVG – Privacybeleid in 57 checklists’, van het Privacy-team van Banning Advocaten, is een hoofdstuk gewijd aan deze zwarte lijsten. Deze blog bevat een samenvatting daarvan. Voor het gehele boek wordt verwezen naar de website van Berghauser Pont. U kunt uiteraard ook vrijblijvend contact opnemen met Floortje Eijdems van het Privacy-team van Banning Advocaten.

Checklist 50:      Zwarte lijst (of branchewaarschuwingssysteem)

Een zwarte lijst is een registratie van personen die bijvoorbeeld door een woningbouwcorporatie, een brancheorganisatie of belangenvereniging (bijvoorbeeld een lokale winkeliersvereniging) is aangelegd, waartoe de bedrijven in dezelfde bedrijfstak (extern) toegang hebben.

Een zwarte lijst opstellen en gebruiken is niet zomaar toegestaan. Een organisatie die een zwarte lijst wil aanleggen, moet in ieder geval aan drie voorwaarden voldoen. In de basis komen deze voorwaarden neer op een zorgvuldige belangenafweging met inachtneming van de beginselen van proportionaliteit en subsidiariteit, omdat de gevolgen voor de betrokkenen verstrekkend kunnen zijn als zij te lichtvaardig of onnodig lang op een zwarte lijst worden vermeld.

De eerste voorwaarde heeft betrekking op een gerechtvaardigd belang dat er moet zijn voor het gebruik van een zwarte lijst (bijv. fraudebestrijding of het tegengaan van wanbetaling). De zwarte lijst moet daarnaast noodzakelijk zijn. Dit houdt in dat de organisatie het doel niet op een andere manier kan bereiken, die minder ingrijpend is voor de privacy van de betrokkenen. De derde voorwaarde heeft betrekking op een belangenafweging die de organisatie moet maken. De organisatie moet duidelijk kunnen maken waarom het (bedrijfs)belang zwaarder weegt dan het privacybelang. De organisatie moet hierbij kijken naar de ernst van de vergrijpen van de betrokkenen en de gevolgen voor hen van plaatsing op de zwarte lijst.

Algemene aandachtspunten voor zwarte lijsten:

  • Wat is het doel van de zwarte lijst?
  • Zijn de gegevens bestemd voor intern gebruik binnen een rechtspersoon of worden ook gegevens verstrekt aan derden?
  • Heeft de verstrekking (territoriaal) een grensoverschrijdend karakter?
  • Dient het voornemen tot aanleggen van een zwarte lijst ter goedkeuring worden voorgelegd aan de AP (tip: op de site van de AP is een handleiding protocol zwarte lijst te raadplegen)?
  • Wat is de aanleiding voor de zwarte lijst?
  • Zijn minder vergaande alternatieven overwogen?
  • Zijn de criteria voor plaatsing op en verwijdering van de zwarte lijst voldoende onderbouwd?
  • Hoe en op welk moment wordt aan betrokkene meegedeeld dat deze op de zwarte lijst is geplaatst?
  • Op welke wijze kan betrokkene zijn inzage- en correctierecht uitoefenen?
  • Op welke wijze en door wie worden gegevens verstrekt ten behoeve van de zwarte lijst?
  • Wordt de zwarte lijst gebruikt voor geautomatiseerde besluiten (let op verbod art. 22 AVG)?
  • Is de zwarte lijst gebaseerd op concrete incidenten of op profielen (let op het verbod op discriminatie)?
  • Is geborgd dat de gegevens op de zwarte lijst actueel en kloppend zijn (worden niet meer gegevens verwerkt dan strikt noodzakelijk)?
  • Is voorzien in een periodieke audit c.q. controle van de zwarte lijst?
  • Zijn de gevolgen van plaatsing op de zwarte lijst voor de betrokkenen inzichtelijk?
  • Wordt aan betrokkene de reden voor contractweigering meegedeeld?
  • Is een belangenafweging gemaakt tussen het belang van het bedrijf of branche en het belang van de betrokkene die schade oploopt bij plaatsing op de zwarte lijst (proportionaliteit)?
  • Kan het doel niet via een andere weg worden bereikt (subsidiariteit)?
  • Worden er strafrechtelijke gegevens ten behoeve van derden verwerkt (art. 10 AVG jo. art. 1, 32 en 33 UAVG)?
  • Zijn er voldoende maatregelen getroffen voor beveiliging van de zwarte lijst tegen verlies en/of onrechtmatige verwerking?
  • Is er een datalekprotocol?
  • Is voorzien in een geschillenprocedure?


Overige aandachtspunten

  • Er kunnen diverse constructies worden gevolgd: bijvoorbeeld één database met één daartoe aangewezen verwerkingsverantwoordelijke, of de deelnemers worden gezamenlijk verwerkingsverantwoordelijke (eventueel met een verwerker die de database beheert).
  • Op grond van art. 35 AVG is in veel gevallen een DPIA vereist.
  • De AVG bevat geen aparte bepaling over het gebruik van zwarte lijsten.
  • Beschrijvingen van laakbare feiten die zich hebben voorgedaan worden niet noodzakelijkerwijs aangemerkt als strafrechtelijke persoonsgegevens. Zie hiervoor de blog inzake hennepteelt in huurwoningen.
  • In art. 33 lid 4 sub c UAVG is bepaald dat private partijen persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten voor derden mogen verwerken. Maar alleen als zij daarvoor toestemming hebben (in de vorm van een vergunning) van de AP. Als toestemming is verkregen, dan is het gebruik van dergelijke zwarte lijsten (ook onder de AVG) toegestaan (art. 33 lid 4 sub c en lid 5 UAVG). Op de website van de AP zijn verschillende voorbeelden te vinden van zwarte lijsten die door de AP zijn goedgekeurd, waaronder een aantal lijsten over woningverhuur.


Heeft u vragen naar aanleiding van dit artikel, bijvoorbeeld over het delen van gegevens van uw huurders? Neem dan vrijblijvend contact op met 
Floortje Eijdems van het Privacy-team of Marga van Gerwen van de sectie Vastgoed, Bouw & Overheid.