Artikel 9 AVG regelt de verwerking van bijzondere persoonsgegevens binnen de Europese privacywetgeving. Deze gegevens zijn extra gevoelig en mogen alleen onder strikte voorwaarden worden verzameld en gebruikt. Denk aan gezondheidsgegevens, religieuze overtuigingen, biometrische data en informatie over iemands seksuele gerichtheid. Voor MKB-ondernemers die met personeelszaken, zorg of lidmaatschappen werken, bepaalt dit artikel welke informatie je wel en niet mag vastleggen.
Welke gegevens vallen onder Artikel 9 AVG?
Het artikel noemt expliciet negen categorieën bijzondere persoonsgegevens. Ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, en lidmaatschap van een vakbond horen erbij. Ook genetische gegevens, biometrische gegevens die een persoon uniek identificeren, gezondheidsgegevens en gegevens over iemands seksuele gedrag of gerichtheid vallen eronder. Deze lijst is limitatief, wat betekent dat andere gegevens buiten dit artikel vallen. In de praktijk zien we vaak verwarring bij werkgevers die denken dat alle personeelsgegevens bijzonder zijn. Dat klopt niet: een bankrekeningnummer of telefoonnummer valt onder de algemene regels van de AVG, niet onder Artikel 9. De grens ligt bij de gevoeligheid: kan het gegeven leiden tot discriminatie of stigmatisering? Dan is de kans groot dat het onder Artikel 9 valt.
Wanneer mag je bijzondere persoonsgegevens verwerken?
De hoofdregel is simpel: het verwerken van deze gegevens is verboden. Artikel 9 kent echter tien uitzonderingen die verwerking alsnog toestaan. De belangrijkste voor MKB-bedrijven zijn: expliciete toestemming van de betrokkene, noodzaak voor arbeidsrecht (bijvoorbeeld ziekteverzuim registreren), of een wettelijke verplichting. Ook gegevens die de betrokkene zelf openbaar heeft gemaakt, mag je onder voorwaarden gebruiken. Let op: toestemming alleen is vaak niet genoeg. Je moet kunnen aantonen dat de verwerking noodzakelijk is én proportioneel. Een sportschool die vraagt naar religieuze overtuiging om een trainingsschema op te stellen, kan die noodzaak niet hard maken. Een zorginstelling die medicijngebruik vastlegt voor een behandelplan wel. De Autoriteit Persoonsgegevens publiceert regelmatig voorbeelden van toegestane en verboden verwerkingen.
Hoe Artikel 9 AVG de bedrijfsvoering beïnvloedt
Voor bedrijven met personeel of klanten betekent dit artikel concrete keuzes in systemen en processen. Een HR-systeem dat automatisch ziekteverzuim registreert, moet technisch en organisatorisch beveiligd zijn volgens de eisen uit de AVG. Denk aan toegangsbeperking, versleuteling en logboeken die bijhouden wie wanneer inzicht had. Bij het ontwikkelen van een website of webapplicatie moet je vanaf het ontwerp rekening houden met deze restricties. Sla geen onnodige gegevens op, beperk toegang tot alleen die medewerkers die het nodig hebben, en documenteer waarom je bepaalde data verzamelt. In onze trajecten met MKB-klanten merken we dat vooral de combinatie van een webshop en een klantenportaal risico's oplevert: een bestelgeschiedenis van supplementen of medicijnen kan al gezondheidsgegevens impliceren, ook al vraag je die niet expliciet.
```