Een lezer mailde me:
Als internetondernemer loop ik al een tijdje tegen het probleem aan dat er via mijn website met regelmaat ‘valse’ bestellingen gedaan worden. Klanten betalen niet, zendingen onder rembours worden nooit afgehaald op het postkantoor, er worden duidelijk foutieve gegevens ingevoerd, en ga zo maar door. Nu heb ik samen met een paar collega-ondernemers het plan om een zwarte lijst op te zetten. We zetten een website op waar we wanbetalers en oplichters kunnen aanmelden, zodat we die van elkaar kunnen zien. Maar mag dat eigenlijk wel? En moeten we de site dan achter een wachtwoord zetten, of mag het ook gewoon openbaar zijn?
Het aanleggen van zwarte lijsten is juridisch een moeilijk punt. Het belang voor winkeliers is duidelijk, maar het kan voor betrokken personen bijzonder vervelende gevolgen hebben. Zeker omdat mensen er onterecht op kunnen belanden. Wat nu als ik verhuis naar een plek waar een wanbetaler woonde? Dan krijg ik niets bij jou besteld. Of ik heb ruzie met een klant over iets ongerelateerds en zet hem op de zwarte lijst.
De Wet Bescherming Persoonsgegevens stelt strenge eisen aan zwarte lijsten. Het College heeft een checklist Zwarte lijsten opgesteld om te kunnen nagaan of een lijst binnen de wet blijft.
Voor een zwarte lijst gelden dezelfde regels als voor andere verwerkingen en registraties van persoonsgegevens. Zo moet vooraf aangekondigd zijn dat deze gegevens verwerkt worden. Een winkel moet dus op een of andere manier kenbaar maken dat men een zwarte lijst beheert. Ook moeten mensen in staat zijn om na te gaan dat zij op deze lijst staan, en hebben zij het recht om eraf gehaald te worden als blijkt dat hun vermelding onterecht was.
Verder moet een bedrijf of belangenorganisatie antwoord geven op de volgende vragen:
- Met welke gedragingen komt iemand op de zwarte lijst?
- Welk belang heeft het bedrijf bij de zwarte lijst?
- Hoe belangrijk is de dienst of het product voor de betrokken personen? Hoe belangrijker, hoe lastiger het is een zwarte lijst te hanteren.
- Is het gebruik van een zwarte lijst proportioneel? Met andere woorden, wegen de belangen van de winkelier op tegen de belangen van de betrokken personen?
- Is er geen andere mogelijkheid om de schade voor de winkelier te beperken (subsidiariteit)?
- Hoe en wanneer wordt iemand gemeld dat hij op de zwarte lijst staat?
- Hoe lang blijf je daarop staan, en wanneer ga je er weer af?
Er zijn nog meer eisen, zie daarvoor de checklist.
Voor de meelezende ondernemers: zou een zwarte lijst die je deelt met collega-bedrijven nuttig zijn in jullie branche?
Arnoud
Ja, een zwarte lijst zou nuttig zijn. Vanmorgen weer 9 rembourspakketten uit de postbus gehaald, die men niet ophaalt bij het postkantoor.
https://www.rpckennemerland.nl heeft een Veelplegersdatabase in samenwerking met de politie samengesteld. 1500 ondernemers hebben hier toegang tot. Je zou hun eens kunnen vragen aan welke voorwaarden zij (moeten) voldoen.
Volgens mij hoef je hier helemaal niet met wat voor lijsten dan ook te werken, maar moet je gewoon zorgen dat je een waterdicht betalingssysteem hebt. Je moet dus geen actie op een bestelling ondernemen totdat je het geld hebt. Met iDeal is dat prima geregeld, verder kun je directe overboekingen toestaan. Betalen onder rembours is gewoon niet meer van deze tijd, als je handig genoeg met internet bent om via een webwinkel iets te bestellen mag je toch ook wel van iemand verwachten dat hij via internet betalingen kan doen? Bovendien moet je je afvragen of het zo is dat het voortdurend dezelfde mensen die de fout in gaan en dus of het wel de moeite loont om die paar mensen eruit te pikken die het een paar keer gedaan hebben. Tot slot, vanuit een algemeen security standpunt gezien, een blacklist is altijd een teken dat er iets mis is met je beveiliging. Als de situatie erom vraagt is het altijd beter om met whitelists te werken, dus bijhouden wie of wat er wel mag, dan aangeven wat er niet mag. Mensen zullen namelijk altijd dingen verzinnen die niet mogen, maar waarvan je niet gezegd hebt dat ze niet mogen. In dit geval zijn dat de mensen die voor het eerst in de fout gaan, die pik je er zo niet uit.
@Maarten: iDeal is wel leuk voor de ondernemer, maar daarmee verschuif je het risico van de leverancier naar de klant. Ik moet als klant betalen voor iets waarvan ik vervolgens maar moet afwachten of ik het geleverd krijg. In feite is betalen via iDeal hetzelfde als 100% aanbetalen.
Fred: dat is wel waar, maar het is veel makkelijke om als klant te zorgen dat je alleen winkelt bij vertrouwde winkels, dan het als winkelier is om alle onbetrouwbare klanten buiten de deur te houden. Bovendien betekent het hebben van iDeal dat er in elk geval een instantie is die iets van contact met de winkelier heeft, dus dat geeft mij wel enigszins een vertrouwd gevoel. Nou moet ik eerlijk zeggen dat ik allereerst vrijwel alleen bij grote winkels shop, en dat het anders vaak om kleine bedragen gaat, zolang je dat aanhoudt is iDeal prima.
Als bouwer van verschillende webshops voor de grotere winkeliers weet ik dat deze gebruik maken van 3rd party services om zwarte lijsten online te raadplegen (via webservices). Experian is een hele grote speler op dit gebied. Maar los van deze lijsten worden ook klanten waar slechte ervaringen mee zijn (geweest) vastgelegd op basis van naam/postcode/huisnummer. Overigens, op basis van het lijstje in dit artikel houden deze winkeliers zich niet (altijd) aan de wet….
Als consument kan je nog steeds niet toetsen of een webshop betrouwbaar is. Ik heb al een paar keer bestellingen gedaan bij dubieze bedrijven. Uit voorzorg ‘Googelde’ ik eerst naar gebruikers ervaringen. Die waren er volop maar bleken achteraf allemaal vals te zijn, hadden ze zelf gedaan om goodwill bij de consument te kweken! Je komt er helaas pas achter als er niet geleverd wordt en op geen enkele manier meer gereageerd wordt. Wel zuur dat je dan je geld gewoon kwijt bent! Het is een vorm van diefstal waar de dief gewoon mee wegkomt! ik pleit voor keurmerk, een betrouwbaarheids garantie
Recent ontstond het idee om met een zwarte lijst met IP adressen te gaan werken. Het zou gaan om IP adressen vanaf waar misbruik gepleegd is richting bepaalde systemen. Hierbij zal door meerdere partijen het misbruik aangegeven moeten worden voor iemand op de zwarte lijst zou komen (om zo de kans op fouten te beperken).
Het gaat dus niet om postcode/straat/huisnummer/naam van iemand.
Door privacytoezichthouders worden IP-adressen ook gezien als persoonsgegevens, omdat ze meestal te koppelen zijn aan een natuurlijk persoon (de gebruiker van de computer vanaf wiens IP-adres de acties worden ondernomen). Daarmee is het wel verplicht de Wbp na te leven maar loop je volgens mij eerder goed omdat je sneller kunt rechtvaardigen dat je vanuit beveiligingsoogpunt deze lijst mag aanleggen en uitwisselen.
Naast hoe je op de lijst komt, moet er ook een mogelijkheid zijn er weer af te komen. Al was het maar omdat IP-adressen nog weleens opnieuw uitgegeven worden en je dan een onschuldige blokkeert.
Hoe zit het als een consument (ik) slechte ervaringen met bedrijven (energieleveranciers, webwinkels, klantenservice etc) wil vermelden op een facebook pagina? Mag dat? Wat mag daarin wel en niet? Gewoon als een vorm van review, en om mensen de gelegenheid te bieden hun frustratie te uiten?