Woningcorporaties en zwarte lijsten: mag dat zomaar?

Verschillende organisaties maken gebruik van zwarte lijsten om elkaar te waarschuwen voor personen die overlast geven. Zo ook woningbouwcorporaties. Maar mag dat zomaar? Is de privacy van deze personen dan niet in het geding? 

Wat is een zwarte lijst? 

Woningbouwcorporaties kunnen er baat bij hebben om voormalig huurders, die strafrechtelijk, onrechtmatig of hinderlijk gedrag in hun huurwoning hebben vertoond, gedurende een bepaalde periode als huurder te weigeren. Op de zwarte lijst worden voormalig huurders vermeld, die bijvoorbeeld een hennepkwekerij hebben geëxploiteerd in een huurwoning of ernstige schade hebben toegebracht aan de huurwoning. Door middel van een zwarte lijst, die toegankelijk is voor alle woningbouwcorporaties in een bepaalde regio, kunnen woningbouwcorporaties zich kortom effectief beschermen tegen wangedrag van voormalig huurders.

Gerechtvaardigd, zwaarwegend belang

De keuze om een huurder op de zwarte lijst te plaatsen heeft een grote impact op zijn recht op huisvesting, want deze persoon kan immers gedurende een aantal jaren bij woningbouwcorporaties in een bepaalde regio geen woonruimte huren. Daarnaast is het recht op privéleven in het geding, omdat (gevoelige) persoonsgegevens van voormalig huurders worden opgeslagen en gedeeld met andere organisaties, zonder dat deze persoon daar toestemming voor heeft gegeven. Daarom mag een zwarte lijst alleen worden opgesteld als de organisatie daarvoor een gerechtvaardigd en zwaarwegend belang heeft.

Bij een woningbouwcorporatie bestaat dit belang bijvoorbeeld uit het voorkomen van financiële schade en het verbeteren van het woongenot van de overige huurders. Er wordt immers inbreuk gemaakt op het woongenot van anderen als de buren een hennepkwekerij exploiteren of anderszins overlast veroorzaken. Het doel van de zwarte lijst is dus onder andere om te voorkomen dat overlastgevende huurders een nieuw huurcontract sluiten bij een andere woningbouwcorporatie om daar hun overlastgevende activiteiten weer voort kunnen zetten.

Vergunning nodig?

Het delen van een zwarte lijst is alleen toegestaan onder toezicht van de overheid. Dit betekent dat een vergunning moet worden aangevraagd bij de Autoriteit Persoonsgegevens (‘AP’). Onder de oude Wet Bescherming Persoonsgegevens (‘Wbp’) die per 25 mei 2018 is vervallen, moest een voorafgaand onderzoek worden aangevraagd, waarbij de AP beoordeelde of een zwarte lijst mocht worden gedeeld.

  1. Heeft de AP voor het delen van de zwarte lijst eerder al een rechtmatigheidsbesluit afgegeven?

Dan is deze met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (‘AVG’) van rechtswege omgezet in een vergunning van de AP. Dit was bijvoorbeeld het geval bij de Stichting Woonruimte Verdeling Regio Utrecht (SWRU). Lees hier het besluit van de AP dat de woningbouwverenigingen die bij deze stichting zijn aangesloten een zwarte lijst met elkaar mogen delen.

2. Heeft de AP onder de Wbp geen rechtmatigheidsbesluit afgegeven, dan moet bij de AP een vergunning worden aangevraagd voor het delen van de zwarte lijst.

Eisen vergunning

Bij de vergunningsaanvraag toetst de AP of de organisatie met het bijhouden van de zwarte lijst voldoet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG) en de daarop gebaseerde Uitvoeringswet AVG:

  •           Vóórdat een organisatie een vergunning kan aanvragen, moet een Data Protection Impact Assessment (‘DPIA’) worden uitgevoerd. Kortgezegd brengt een organisatie in een DPIA in kaart welke privacy risico’s het bijhouden van een zwarte lijst met zich meebrengt voor de betrokkenen en welke maatregelen er worden genomen om deze risico’s te beperken.
  •           Bij de aanvraag van een vergunning moet de uitkomst van de DPIA worden meegestuurd.
  •           Daarnaast moet er een korte beschrijving van de gegevensverwerking worden gegeven. Als de zwarte lijst gebruikt wordt door meerdere woningbouwcorporaties, moet ook worden aangegeven wie de centrale verwerkingsverantwoordelijke is en hoe de onderlinge verhoudingen zijn geregeld tussen organisaties die deelnemen aan het delen van de zwarte lijst.
  •           Tot slot moet er een “protocol” worden opgesteld waarin onder meer door de woningbouwcorporatie wordt aangegeven hoe de persoonsgegevens verwerkt worden en hoe aan de plichten uit de AVG wordt voldaan. Dit protocol is een belangrijk document voor de verkrijging van een vergunning. In een volgend blog zal verder worden ingegaan op de vraag hoe zo’n protocol er uit moet zien.

Meer weten?

Wilt u meer weten over de vergunningaanvraag? Wilt u advies over het uitvoeren van een DPIA? Of heeft u andere vragen over zwarte lijsten? Neem dan contact op met Tom de Wit of Lisa Molenaars.