In één zin. Direct marketing in Nederland staat onder dubbel toezicht: AVG (AP) regelt grondslag en data, Telecommunicatiewet (ACM) regelt het kanaal — en sinds de wijziging Tw per 1 juli 2021 geldt strikt opt-in voor telemarketing aan consumenten, waardoor het Bel-me-niet Register zijn rol heeft verloren.
Belangrijkste punten
- Per 1 juli 2021: opt-in vereist voor telemarketing aan consumenten.
- E-mail/SMS marketing: altijd opt-in tenzij bestaande-klant-uitzondering.
- Bel-me-niet Register opgeheven (was opt-out, nu opt-in default).
- Bestaande klanten mogen aangeboden worden voor soortgelijke producten met opt-out.
- ACM-boetes: tot 900 K EUR per overtreding.
- B2B marketing: lichtere regels maar wel AVG.
“De betrokkene heeft te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor direct marketing.” (art. 21 lid 2 AVG)
1. Veelvoorkomende fouten direct marketing
- Cold calling consumenten na 1 juli 2021 zonder opt-in (Tw-overtreding, ACM-boete).
- E-mail aan ingekochte adressen zonder herkomst-toestemming.
- Soft opt-in toegepast op nieuwe productcategorie buiten “soortgelijk”.
- Opt-out alleen via callcenter, niet per e-mail/web.
- Suppressielijst niet gedeeld tussen merken binnen concern.
- Custom Audience-upload zonder informatieplicht aan klanten.
- Retargeting-pixel actief vóór toestemming cookies.
- Bewijs toestemming niet bewaard (consent records ontbreken).
2. Wettelijk kader marketing
- AVG art. 6 (grondslag), art. 21 (bezwaar tegen marketing).
- Tw art. 11.7 (e-mail/SMS) en 11.7a (cookies).
- Tw art. 11.5 (telemarketing).
- Wet handhaving consumentenbescherming (ACM).
- ePrivacy Verordening (in onderhandeling).
2. Telemarketing aan consumenten
Per 1 juli 2021: opt-in vereist (wijziging Tw). Geen aanroep mogelijk zonder voorafgaande toestemming. Bel-me-niet Register is hierdoor de facto vervangen door opt-in default.
Uitzondering: bestaande klantrelatie voor soortgelijke producten. Definitie bestaande klant: heeft eerder gekocht binnen redelijk recente periode (interpretatie ACM: doorgaans 2-5 jaar afhankelijk van product).
Opt-out moet bij elk gesprek geboden worden.
3. Telemarketing B2B
B2B niet onder opt-in regime. Maar:
- Tw art. 11.5 lid 4: rechtspersonen moeten opt-out kunnen registreren (Bel-me-niet Zakelijk Register, opgeheven 2021).
- AVG geldt voor persoonsgegevens contactpersonen (naam, zakelijk telefoon).
- Gerechtvaardigd belang als grondslag, mits proportioneel.
- ACM-handhaving op overlast B2B-bellijsten (2024).
4. E-mail en SMS marketing (Tw 11.7)
Hoofdregel: opt-in toestemming vereist.
Uitzondering bestaande klantrelatie (Tw 11.7 lid 3):
- Gegevens verkregen bij verkoop product/dienst.
- Zelfde soort producten/diensten aanbieden.
- Opt-out aangeboden bij verkrijging EN bij elke marketing-uiting.
- Geen toestemming nodig, wel opt-out elke keer.
Toepassing: nieuwsbrief naar klanten OK met opt-out; naar leads alleen met opt-in.
5. Postmailing en folders
Geen specifieke Tw-regel — alleen AVG. Grondslag: gerechtvaardigd belang. Opt-out via:
- Sticker “Nee-Ja” / “Nee-Nee” (geen wettelijke status, wel gangbaar).
- Postfilter (postfilter.nl, freemkb).
- Eigen unsubscribe in brieven.
Adresgegevens uit publieke bronnen of bestaande relatie. Geen aankoop van adressen bij ongereguleerde lijstaanbieders.
6. Double opt-in best practice
Voor e-mail nieuwsbrief:
- Inschrijfformulier (geen voorgevinkte vakjes).
- Bevestigings-e-mail naar adres.
- Klik op bevestigingslink = double opt-in.
Bewaar bewijs: tijdstip, IP, formuliertekst, bevestiging timestamp. Bij ACM- of AP-controle: bewijslast op verzender.
| Marketingkanaal | Hoofdregel | Bestaande klant |
|---|---|---|
| Telefoon consument | Opt-in (sinds 2021) | Geen uitzondering, opt-in |
| Telefoon zakelijk | Geen opt-in | Opt-out mogelijk |
| Opt-in | Opt-out bij soortgelijk product | |
| SMS | Opt-in | Opt-out bij soortgelijk product |
| Post | Opt-out | Opt-out |
| Push-notificatie | Opt-in (browser/app) | Opt-out |
| Direct mail social media | Opt-in (toestemming pixel) | Opt-out |
Voor webshops komen al deze kanalen samen met cookies en retargeting — zie de AVG-gids voor e-commerce en webshops.
7. Lijsten en data-aankoop
Aankoop adressen van datamakelaars is hoog risico:
- Herkomst-toestemming onmogelijk te verifiëren.
- De Autoriteit Persoonsgegevens heeft datahandel als handhavingsprioriteit 2026.
- Verwerkingsverantwoordelijke = aankoper, dus zelf grondslagrisico.
- Beste praktijk: vermijden tenzij solide herkomst.
Adressen uit KvK voor zakelijke mailing: technisch toegestaan maar AP en ACM kritisch op kwaliteit + opt-out.
8. Profilering en gepersonaliseerde marketing
Personalisatie op gedrag, locatie, interesses:
- Toestemming voor tracking (cookies, pixels) — zie de eisen in de gids AVG-toestemming voor cookies.
- Gerechtvaardigd belang voor segmentatie eigen klantbestand.
- Bij geautomatiseerde beslissingen met effect (kortingsalgoritme): art. 22-waarborgen.
- DPIA bij grootschalige profilering.
9. Social media advertenties
- Eigen lijst uploaden (Custom Audience): doorgifte gegevens aan Facebook/Google. DPA + grondslag transparantie noodzakelijk.
- Lookalike audiences: derivatie op basis Custom Audience. Toestemming Custom Audience moet dit dekken.
- Retargeting via pixel: cookies-toestemming bezoekers.
- Doorgifte VS: Facebook/Google DPF-gecertificeerd, grondslag aanwezig sinds juli 2023.
Gezamenlijk verantwoordelijke (art. 26) tussen adverteerder en platform (HvJ EU Fashion ID 2019).
10. Recht op bezwaar (art. 21)
Betrokkene kan altijd bezwaar maken tegen marketing — onvoorwaardelijk en zonder verklaring (art. 21 lid 2-3). Bij bezwaar onmiddellijk stoppen, registreren in suppressielijst (permanent). Suppressielijst bevat e-mailadres, telefoonnummer, postadres en uitsluit-datum. Vraagt de betrokkene daarnaast om volledige verwijdering van zijn gegevens, dan geldt het recht op vergetelheid van artikel 17.
11. ePrivacy Verordening: toekomstig kader
De ePrivacy Verordening (in onderhandeling sinds 2017) moet ePrivacy-richtlijn 2002/58 vervangen. Verwachte impact op marketing:
- Strikter consent voor tracking technologieën buiten cookies (fingerprinting, beacons).
- Soft opt-in voor e-mail bestaande klanten blijft, mogelijk strikter omschreven.
- Telemarketing-regels geharmoniseerd EU-breed.
- Cookies-vrijstelling voor strikt technische analytics mogelijk.
Politieke status 2026: vastgelopen in trialoog. Verwacht 2027-2028 voor finaal compromis. Tot dan blijft Tw + AVG het kader voor Nederland.
12. Sancties marketingovertredingen
| Wet | Toezichthouder | Max boete |
|---|---|---|
| Tw 11.5 (telefoon) | ACM | 900 K EUR per overtreding |
| Tw 11.7 (e-mail/SMS) | ACM | 900 K EUR per overtreding |
| Tw 11.7a (cookies) | AP/ACM | 900 K of 20 M AVG |
| AVG marketing | AP | 20 M EUR / 4% omzet |
ACM-boetes 2024-2025: 8 grote boetes voor telemarketing zonder opt-in (varieerden 250-750 K EUR).
12. ACM-handhavingscases marketing
| Verantwoordelijke | Jaar | Bedrag | Inbreuk |
|---|---|---|---|
| Eneco | 2024 | 750 K EUR | Telemarketing zonder opt-in |
| Pretium Telecom | 2023 | 500 K EUR | Cold calling |
| Talpa (Veronica) | 2024 | 450 K EUR | Misleidende inschrijving |
| KPN | 2023 | 350 K EUR | E-mail marketing zonder opt-in |
| Boutique online | 2025 | 275 K EUR | Cookies + e-mail cumulatief |
| TomTom | 2025 | 275 K EUR | Locatie-marketing zonder grondslag |
Sectorpatroon: telecom, energie en media zijn ACM-handhavingsspeerpunt. AP-boetes (Achmea 240 K, ING 290 K) richten zich vooral op profilering en datacombinatie. Voor AP boetes 2025 en AVG Art. 5 beginselen over doelbinding.
13. Tools en automatisering marketing-AVG
| Tool | Functie | AVG-aspect |
|---|---|---|
| Mailchimp / Klaviyo | DPA + opt-in flow | |
| HubSpot / Salesforce | CRM + marketing | DPA + suppressielijst |
| Cookiebot / Usercentrics | CMP | Tw 11.7a + bewijs |
| Postfilter (NL) | Postsuppressie | Vrijwillig advies |
| OneTrust DSAR | Rechtenbeheer | Art. 15-21 workflow |
| Segment / Tealium | CDP | Centrale opt-out |
DPA’s verplicht (art. 28). Bij VS-cloud: DPF-status verifiëren of SCC’s + TIA. Zie Verwerkersovereenkomst template.
14. Compliance-checklist marketing
- Inventariseer kanalen en lijsten.
- Documenteer grondslag per kanaal/segment.
- Implementeer opt-in workflows (double opt-in).
- Suppressielijst (permanent niet-benaderen).
- Opt-out in elke uiting.
- Bewaar bewijs toestemming.
- DPIA bij grootschalige profilering.
- DPA met marketing-tools (Mailchimp, HubSpot etc).
- Periodieke schoning lijst (inactieven uitschrijven).
- Training marketingteam.
FAQ
Mag ik mijn klanten zonder toestemming bellen?
Nee, sinds 1 juli 2021. Telemarketing aan consumenten vereist opt-in toestemming. Uitzondering bestaande klantrelatie geldt niet voor telefonie. Voor zakelijke nummers (B2B) lichter regime maar wel zorgvuldigheid.
Mag ik nieuwsbrief sturen aan klanten?
Ja, op grond van Tw 11.7 lid 3 (bestaande klant + soortgelijk product + opt-out elke keer). Geen aparte toestemming nodig. Voor nieuwe leads of cross-sell andere productcategorie: wel opt-in.
Wat is double opt-in?
Bezoeker schrijft zich in (eerste opt-in), ontvangt bevestigings-e-mail, klikt op bevestigingslink (tweede opt-in). Bewijst echte toewijding en geldigheid e-mailadres. Standaard best practice voor nieuwsbrieven.
Mag ik adressen kopen voor mailing?
Risicovol. Herkomst-toestemming vaak niet aantoonbaar. AP heeft datahandel als handhavingsprioriteit 2026 benoemd. Beter eigen lijstopbouw via opt-in formulieren, content marketing, events.
Wat is een suppressielijst?
Permanente uitsluitlijst van personen die bezwaar maakten of zich uitschreven. Houd e-mailadres, telefoon, postadres + datum bij. Voorkom dat nieuwe lijsten weer dezelfde personen aanschrijven — AVG-overtreding bij hercontact.
Mag ik retargeting via Facebook Pixel gebruiken?
Ja, mits volledige toestemming bezoekers voor pixel-cookies (Tw 11.7a). DPA met Meta (Facebook is verantwoordelijke voor eigen verwerking + gezamenlijk verantwoordelijke voor Custom Audience-functies — Fashion ID-arrest HvJ EU 2019). Doorgifte VS: Meta is DPF-gecertificeerd sinds 2023. CMP moet bij weigering daadwerkelijk geen pixel laden.
Wat is een Custom Audience?
Eigen klantlijst uploaden naar Facebook/Google voor gerichte advertenties. Doorgifte gegevens aan platform. Vereisten: toestemming klanten voor deze deling (informeer in privacyverklaring), DPA met platform, opt-out respecteren. Lookalike audiences (algoritmische derivatie) bouwen voort op Custom Audience — zelfde toestemming nodig.
Welke gegevens mag ik bewaren in mijn marketinglijst?
E-mailadres + voornaam minimaal. Aanvullend: aankoophistorie, segmentatie-tags, opt-in datum/IP, opt-out datum. Geen bijzondere gegevens (gezondheid, religie) zonder uitdrukkelijke art. 9-grondslag. Bewaartermijn: tot opt-out (suppressielijst permanent). Inactieve leden (>2 jaar geen interactie) heroverwegen.
Zie ook: AVG in de detailhandel, AVG voor verenigingen en stichtingen en AVG voor zzp’ers.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial