Artikel 9 AVG

AVG artikel 9, Bijzondere persoonsgegevens AVG, Artikel 9 GDPR, Gevoelige persoonsgegevens AVG, Bijzondere categorieën persoonsgegevens

Wat is Artikel 9 AVG?

```html

Artikel 9 AVG regelt de verwerking van bijzondere persoonsgegevens binnen de Europese privacywetgeving. Deze gegevens zijn extra gevoelig en mogen alleen onder strikte voorwaarden worden verzameld en gebruikt. Denk aan gezondheidsgegevens, religieuze overtuigingen, biometrische data en informatie over iemands seksuele gerichtheid. Voor MKB-ondernemers die met personeelszaken, zorg of lidmaatschappen werken, bepaalt dit artikel welke informatie je wel en niet mag vastleggen.

Welke gegevens vallen onder Artikel 9 AVG?

Het artikel noemt expliciet negen categorieën bijzondere persoonsgegevens. Ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, en lidmaatschap van een vakbond horen erbij. Ook genetische gegevens, biometrische gegevens die een persoon uniek identificeren, gezondheidsgegevens en gegevens over iemands seksuele gedrag of gerichtheid vallen eronder. Deze lijst is limitatief, wat betekent dat andere gegevens buiten dit artikel vallen. In de praktijk zien we vaak verwarring bij werkgevers die denken dat alle personeelsgegevens bijzonder zijn. Dat klopt niet: een bankrekeningnummer of telefoonnummer valt onder de algemene regels van de AVG, niet onder Artikel 9. De grens ligt bij de gevoeligheid: kan het gegeven leiden tot discriminatie of stigmatisering? Dan is de kans groot dat het onder Artikel 9 valt.

Wanneer mag je bijzondere persoonsgegevens verwerken?

De hoofdregel is simpel: het verwerken van deze gegevens is verboden. Artikel 9 kent echter tien uitzonderingen die verwerking alsnog toestaan. De belangrijkste voor MKB-bedrijven zijn: expliciete toestemming van de betrokkene, noodzaak voor arbeidsrecht (bijvoorbeeld ziekteverzuim registreren), of een wettelijke verplichting. Ook gegevens die de betrokkene zelf openbaar heeft gemaakt, mag je onder voorwaarden gebruiken. Let op: toestemming alleen is vaak niet genoeg. Je moet kunnen aantonen dat de verwerking noodzakelijk is én proportioneel. Een sportschool die vraagt naar religieuze overtuiging om een trainingsschema op te stellen, kan die noodzaak niet hard maken. Een zorginstelling die medicijngebruik vastlegt voor een behandelplan wel. De Autoriteit Persoonsgegevens publiceert regelmatig voorbeelden van toegestane en verboden verwerkingen.

Hoe Artikel 9 AVG de bedrijfsvoering beïnvloedt

Voor bedrijven met personeel of klanten betekent dit artikel concrete keuzes in systemen en processen. Een HR-systeem dat automatisch ziekteverzuim registreert, moet technisch en organisatorisch beveiligd zijn volgens de eisen uit de AVG. Denk aan toegangsbeperking, versleuteling en logboeken die bijhouden wie wanneer inzicht had. Bij het ontwikkelen van een website of webapplicatie moet je vanaf het ontwerp rekening houden met deze restricties. Sla geen onnodige gegevens op, beperk toegang tot alleen die medewerkers die het nodig hebben, en documenteer waarom je bepaalde data verzamelt. In onze trajecten met MKB-klanten merken we dat vooral de combinatie van een webshop en een klantenportaal risico's oplevert: een bestelgeschiedenis van supplementen of medicijnen kan al gezondheidsgegevens impliceren, ook al vraag je die niet expliciet.

```

Toepassingen

```html

In de praktijk kom je Artikel 9 AVG tegen zodra je met gevoelige informatie werkt. Dat kan variëren van een online intake-formulier voor een fysiotherapeut tot personeelsdossiers met gezondheidsgegevens. Voor veel MKB-ondernemers is het niet direct duidelijk wanneer deze strengere regels van toepassing zijn. Hieronder lees je concrete situaties waarin je met bijzondere persoonsgegevens te maken krijgt en welke grondslag je dan nodig hebt.

Gezondheidsgegevens in intake- en contactformulieren

Een fysiotherapeut, tandarts of psycholoog verzamelt via een website vaak gezondheidsinformatie in een intakeformulier. Denk aan klachten, medicijngebruik of eerdere behandelingen. Zodra je deze gegevens opslaat, verwerk je bijzondere persoonsgegevens. Je hebt dan een expliciete toestemming nodig of je baseert je op de uitzondering voor medisch onderzoek of behandeling. In de praktijk betekent dit dat je een aparte checkbox moet plaatsen waarin de patiënt toestemming geeft voor het verwerken van gezondheidsgegevens, los van algemene voorwaarden. Ook moet je aantonen dat de gegevens beveiligd worden opgeslagen, bijvoorbeeld via een SSL-certificaat en versleutelde database. Veel webdesign-bureaus vergeten deze stap, waardoor de website al bij lancering niet AVG-proof is.

Personeelsdossiers met bijzondere categorieën

Als werkgever verzamel je soms gegevens over vakbondslidmaatschap, religie of gezondheid van medewerkers. Denk aan ziekteverzuim, re-integratie-trajecten of verlofaanvragen voor religieuze feestdagen. Deze gegevens vallen onder Artikel 9 AVG en mogen alleen worden verwerkt als er een wettelijke verplichting is, zoals de Wet verbetering poortwachter, of als de werknemer expliciet toestemming heeft gegeven. In een personeelssysteem moet je daarom aparte toegangsrechten instellen zodat alleen HR-medewerkers bij deze gegevens kunnen. Een veelgemaakte fout is dat leidinggevenden standaard toegang krijgen tot volledige personeelsdossiers, inclusief medische informatie. Dat is niet toegestaan zonder duidelijke noodzaak en toestemming. Bij een maatwerk web-applicatie voor HR kun je deze rechten granulairder instellen.

Ledenregistratie bij verenigingen en stichtingen

Een sportvereniging, kerkgenootschap of politieke partij verwerkt vaak gegevens over godsdienst, levensovertuiging of gezondheid van leden. Bij een voetbalclub registreer je bijvoorbeeld blessures of medische beperkingen. Bij een kerkelijke organisatie leg je per definitie religieuze overtuiging vast. Artikel 9 AVG biedt hier een uitzondering: verenigingen met een levensbeschouwelijk of politiek doel mogen deze gegevens verwerken zonder expliciete toestemming, mits het om hun eigen leden gaat en de gegevens niet naar buiten worden gebracht. Toch moet je als vereniging wel een verwerkingsregister bijhouden en de gegevens beveiligen. Een lidmaatschapssysteem dat draait op een gedeelde Excel-sheet in Dropbox voldoet niet aan de beveiligingseisen. Kies voor een ledenadministratie met rolgebaseerde toegang en logging, of schakel een AVG-proof CRM in.

Wanneer Artikel 9 AVG de juiste keuze is en wanneer niet

Je hebt Artikel 9 AVG nodig zodra je gegevens verwerkt die onder de negen bijzondere categorieën vallen. Denk aan een online vragenlijst waarin je vraagt naar etniciteit, gezondheid of seksuele gerichtheid. Als je deze vraag kunt vermijden, doe dat dan. Vraag bijvoorbeeld alleen naar relevante functionele beperkingen in plaats van een volledig medisch dossier. Heb je de gegevens echt nodig, zorg dan voor een expliciete toestemming en een heldere grondslag. Artikel 9 AVG is niet van toepassing op algemene contactgegevens, aankoopgeschiedenis of surfgedrag. Voor die gegevens volstaan de standaardregels uit de AVG. Twijfel je of een gegeven bijzonder is? Raadpleeg dan de uitleg van de Autoriteit Persoonsgegevens.

```

Wil je dit toepassen in jouw bedrijf? Monkey Vision helpt MKB-ondernemers met webdesign, SEO en slimme digitale oplossingen. Plan een vrijblijvende kennismaking en ontdek wat er voor jou mogelijk is.

Plan een kennismaking

Over de auteur

Monkey Vision

Monkey Vision is een full-service digitaal bureau in Nijmegen, gespecialiseerd in webdesign, SEO en AI-automatisering voor het MKB. De kennisbank is samengesteld door ons team van online-strategen en doorlopend bijgehouden op basis van actuele inzichten.

Publicatiedatum: 26-04-2026
Laatste update: 28-06-2026