Handleiding protocol bij zwarte lijsten
 

Wilt u een zwarte lijst aanleggen en deze delen met derden (bijvoorbeeld binnen uw bedrijfstak), dan moet u omschrijven hoe u de persoonsgegevens gaat verwerken. Dit doet u bijvoorbeeld in een protocol. In het protocol moet u aangeven hoe uw voorgenomen gegevensverwerking voldoet aan de eisen uit de Wet bescherming persoonsgegevens (Wbp). Als hulpmiddel bij het opstellen van uw protocol kunt u deze handleiding gebruiken, waarin u de formele en inhoudelijk eisen vindt waaraan een protocol moet voldoen.

Formele eisen protocol zwarte lijst

  • Het protocol moet af en volledig zijn voordat u de zwarte lijst kunt melden bij het College bescherming persoonsgegevens (CBP). Dat geldt ook voor alle bijlagen, zoals klachtenprocedure, formulieren, machtigingen en bewerkersovereenkomsten.
  • Het protocol dient voorzien te zijn van een lijst met definities, inhoudsopgave, paginanummering en versienummer met datum.
  • Stuurt u gedurende het voorafgaand onderzoek een gewijzigde versie van het protocol naar het CBP, dan moet u duidelijk aangeven welke onderdelen zijn gewijzigd ten opzichte van de vorige versie. Dit doet u bijvoorbeeld met de optie ‘wijzigingen bijhouden’.

Voldoet uw protocol niet aan deze formele eisen, dan neemt het CBP uw melding niet in behandeling. Is er een voorafgaand onderzoek nodig, dan heeft dat tot gevolg dat het CBP dit onderzoek niet kan starten en u niet met de zwarte lijst mag beginnen.

Inhoudelijke eisen protocol zwarte lijst

Algemeen

  • Het protocol vormt een uitwerking van de Wet bescherming persoonsgegevens (Wbp). Het protocol is echter geen letterlijke herhaling van de waarborgen en eisen die in de Wbp zijn opgenomen, maar een concrete uitwerking hiervan voor uw specifieke verwerking van persoonsgegevens.
  • Het protocol is begrijpelijk voor iedereen die met de zwarte lijst in aanraking komt: verantwoordelijken, deelnemers en betrokkenen.
  • De verwerking van persoonsgegevens waarop het protocol zich richt, heeft een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel. Bijvoorbeeld het terugdringen van fraude binnen een bepaalde sector.
  • In het protocol staat duidelijk omschreven wat de noodzaak is voor de verwerking van persoonsgegevens om dit doel te bereiken. Deze noodzaak kan bijvoorbeeld blijken uit gegevens over de aard en omvang van de fraude.
  • Het protocol bevat afwegingen over de proportionaliteit. Dit betekent dat u in het protocol uiteenzet hoe de inbreuk op de persoonlijke levenssfeer zich verhoudt tot de beoogde gegevensverwerking en het na te streven doel.
  • Het protocol bevat afwegingen over de subsidiariteit. Dit houdt in dat u in het protocol opneemt waarom u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de betrokkenen. U moet hierbij onderbouwen dat bestaande maatregelen niet meer voldoen om uw doel te bereiken.
  • In het protocol zijn de rollen van de verschillende partijen duidelijk omschreven: wie is/zijn de (hoofd)verantwoordelijke(n), bewerker(s), deelnemer(s) en betrokkene(n).
  • Als de politie en/of het Openbaar Ministerie een rol spelen bij de in het protocol omschreven gegevensverwerking, dan moet u dit uitdrukkelijk in het protocol vermelden (zie artikel 20 Wet politiegegevens).

Opname van betrokkenen op de zwarte lijst

In het protocol neemt u de volgende punten op:

  • Op basis van welke gedragingen u betrokkenen op de zwarte lijst plaatst. Deze criteria moeten eenduidig en concreet zijn. Dit betekent dat vooraf voor betrokkenen duidelijk moet zijn op grond van welke gedragingen zij op de zwarte lijst terecht kunnen komen. Daarnaast moet achteraf te toetsen zijn of de plaatsing op de zwarte lijst rechtmatig is.
  • Onderschrijving van de hoofdregel dat u altijd aangifte doet voordat u een betrokkene op de zwarte lijst plaatst omdat u diegene van een strafbaar feit verdenkt. Kunt u door bijzondere omstandigheden geen aangifte doen, dan moet u dit motiveren. In dat geval moet u in het protocol aanvullende waarborgen voor de betrokkenen opnemen, die objectief, eenduidig en toetsbaar zijn.
  • Een beschrijving van hoe u een verdenking aantoont en documenteert. U mag een betrokkene namelijk alléén op de zwarte lijst plaatsen wegens een verdenking van een strafbaar feit als er sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld.
  • De criteria aan de hand waarvan u een betrokkene op de zwarte lijst plaatst wegens onrechtmatig of hinderlijk gedrag. U mag dit namelijk alléén doen als dit gedrag kan worden aangemerkt als maatschappelijk onbetamelijk. De criteria die u hanteert om te bepalen of hiervan sprake is, moeten eenduidig en concreet zijn en beschreven in bijvoorbeeld huisregels.
  • Een beschrijving van de proportionaliteits- en subsidiariteitsafweging die u maakt voordat u iemand op de zwarte lijst plaatst. U moet de afweging per individueel geval maken, waarbij u rekening houdt met verzachtende dan wel verzwarende omstandigheden, zoals de minderjarigheid van een betrokkene, een eventuele geestelijke stoornis of ‘first offender’ tegenover recidive.
  • De criteria aan de hand waarvan u bepaalt in hoeverre u een betrokkene de toegang ontzegt tot bepaalde producten, diensten of voorzieningen, ofwel dat u hieraan aanvullende voorwaarden stelt. Welke alternatieven resteren hierbij voor de betrokkene?

Waarborgen voor de verwerking van persoonsgegevens

In het protocol beschrijft u:

  • De waarborgen die u instelt om te voorkomen dat u meer persoonsgegevens verwerkt dan noodzakelijk.
  • Hoe u ervoor zorgt dat u slechts persoonsgegevens verwerkt voor zover die – gelet op uw doel – toereikend, ter zake dienend en niet bovenmatig zijn.
  • De (categorieën van) gegevens die u op de zwarte lijst registreert.
  • De wijze waarop u deze gegevens verkrijgt.
  • De manier waarop u als verantwoordelijke verifieert of de gegevens juist en nauwkeurig zijn.
  • Hoe de geregistreerde persoonsgegevens tussen de verschillende deelnemers worden uitgewisseld.
  • De technische en organisatorische maatregelen die u treft tegen verlies, diefstal en ander onrechtmatig gebruik van de persoonsgegevens.
  • De eisen en voorwaarden waaraan een bedrijf, organisatie of instelling moet voldoen om deel te kunnen nemen aan de zwarte lijst.
  • De geheimhoudingsplicht voor degenen die toegang hebben tot de geregistreerde persoonsgegevens.
  • De eis dat een wijziging van het protocol wordt gemeld bij het CBP.
Waarborgen voor betrokkenen

In het protocol beschrijft u:

  • Hoe u betrokkenen informeert over het bestaan en de gevolgen van de zwarte lijst. Daarnaast beschrijft u de wijze waarop u de betrokkenen informeert over de deelnemende organisaties aan de zwarte lijst.
  • De wijze en het moment waarop u de betrokkenen informeert over de registratie van hun persoonsgegevens, de redenen voor registratie en de gevolgen van de registratie.
  • In welke gevallen u een betrokkene van de zwarte lijst verwijdert.
  • De maximale bewaartermijn van de persoonsgegevens. Persoonsgegevens mogen in geen geval langer bewaard worden dan noodzakelijk is voor het realiseren van het doel waarvoor zij worden verwerkt.
  • Het recht van betrokkenen op inzage en correctie (verbetering, aanvulling, verwijdering, afscherming) van hun persoonsgegevens en de wijze waarop zij deze rechten kunnen uitoefenen. Hierbij dient u de wettelijke termijnen in acht te nemen.
  • Een onafhankelijke geschillen- en klachtenprocedure voorzien van de nodige waarborgen, zoals behandeling binnen een redelijke termijn en de mogelijkheid voor betrokkene om zich te laten bijstaan. Betrokkenen dienen kosteloos van de procedure gebruik te kunnen maken.

Wanneer uw protocol niet voldoet aan deze inhoudelijke eisen, krijgt u van het CBP eenmalig de kans het protocol aan te passen. Voldoet het protocol vervolgens nog steeds niet, dan kan het CBP uw zwarte lijst niet goedkeuren. 

zoek
Zoeken
Ik wil snel naarSnel naar
header