Zwarte lijsten in de e-commerce

In dit artikel:

Klik&Koop, een webwinkel in elektronica, overweegt om een zwarte lijst in te voeren met persoonsgegevens van klanten die niet betalen of misbruik maken van retourprocedures. Dit om toekomstige schade te voorkomen. Volgens de privacy officer valt zo’n zwarte lijst onder de Algemene Verordening Gegevensbescherming (AVG) en moet het gebruik voldoen aan strikte voorwaarden zoals een gerechtvaardigd belang, proportionaliteit en het informeren van betrokkenen, om boetes van de Autoriteit Persoonsgegevens (AP) te voorkomen.

Er bestaan drie typen zwarte lijsten: intern gebruikt binnen de eigen organisatie, gedeeld binnen dezelfde sector, en cross-sectorale lijsten. Intern gebruik is toegestaan als aan basisvoorwaarden wordt voldaan, bijvoorbeeld dat sprake is van daadwerkelijke fraude en als laatste redmiddel. Bij het delen binnen dezelfde sector moeten de criteria en bewaartermijnen helder zijn, en is het delen van strafrechtelijke gegevens alleen toegestaan met een zeldzame vergunning van de AP. Cross-sectorale lijstdeling is nog strenger gereguleerd en wordt zelden toegestaan, vooral omdat dit grote privacy-inbreuken kan veroorzaken, zoals het belemmeren van deelname aan andere diensten.

Organisaties moeten goed afwegen wanneer en hoe ze zwarte lijsten toepassen, rekening houdend met de ernst van het gedrag en de privacybelangen van betrokkenen. Zorgvuldige naleving van deze regels helpt juridisch risico’s vermijden en beschermt de rechten van consumenten. Aileen Howard, legal counsel bij ICTRecht, benadrukt het belang van helderheid over de status en voorwaarden van zwarte lijsten om problemen met privacywetgeving te voorkomen.