Privacywetgeving

AVG en direct marketing: regels Nederland 2026

AVG direct marketing: opt-in telemarketing 2021, e-mail, post, Bel-me-niet, ACM-handhaving. Praktische gids Nederland 2026.

Also available in:Italiano

In één zin. Direct marketing in Nederland staat onder dubbel toezicht: AVG (AP) regelt grondslag en data, Telecommunicatiewet (ACM) regelt het kanaal — en sinds de wijziging Tw per 1 juli 2021 geldt strikt opt-in voor telemarketing aan consumenten, waardoor het Bel-me-niet Register zijn rol heeft verloren.

Belangrijkste punten

  • Per 1 juli 2021: opt-in vereist voor telemarketing aan consumenten.
  • E-mail/SMS marketing: altijd opt-in tenzij bestaande-klant-uitzondering.
  • Bel-me-niet Register opgeheven (was opt-out, nu opt-in default).
  • Bestaande klanten mogen aangeboden worden voor soortgelijke producten met opt-out.
  • ACM-boetes: tot 900 K EUR per overtreding.
  • B2B marketing: lichtere regels maar wel AVG.

“De betrokkene heeft te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor direct marketing.” (art. 21 lid 2 AVG)

1. Veelvoorkomende fouten direct marketing

  • Cold calling consumenten na 1 juli 2021 zonder opt-in (Tw-overtreding, ACM-boete).
  • E-mail aan ingekochte adressen zonder herkomst-toestemming.
  • Soft opt-in toegepast op nieuwe productcategorie buiten “soortgelijk”.
  • Opt-out alleen via callcenter, niet per e-mail/web.
  • Suppressielijst niet gedeeld tussen merken binnen concern.
  • Custom Audience-upload zonder informatieplicht aan klanten.
  • Retargeting-pixel actief vóór toestemming cookies.
  • Bewijs toestemming niet bewaard (consent records ontbreken).

2. Wettelijk kader marketing

2. Telemarketing aan consumenten

Per 1 juli 2021: opt-in vereist (wijziging Tw). Geen aanroep mogelijk zonder voorafgaande toestemming. Bel-me-niet Register is hierdoor de facto vervangen door opt-in default.

Uitzondering: bestaande klantrelatie voor soortgelijke producten. Definitie bestaande klant: heeft eerder gekocht binnen redelijk recente periode (interpretatie ACM: doorgaans 2-5 jaar afhankelijk van product).

Opt-out moet bij elk gesprek geboden worden.

3. Telemarketing B2B

B2B niet onder opt-in regime. Maar:

  • Tw art. 11.5 lid 4: rechtspersonen moeten opt-out kunnen registreren (Bel-me-niet Zakelijk Register, opgeheven 2021).
  • AVG geldt voor persoonsgegevens contactpersonen (naam, zakelijk telefoon).
  • Gerechtvaardigd belang als grondslag, mits proportioneel.
  • ACM-handhaving op overlast B2B-bellijsten (2024).

4. E-mail en SMS marketing (Tw 11.7)

Hoofdregel: opt-in toestemming vereist.

Uitzondering bestaande klantrelatie (Tw 11.7 lid 3):

  • Gegevens verkregen bij verkoop product/dienst.
  • Zelfde soort producten/diensten aanbieden.
  • Opt-out aangeboden bij verkrijging EN bij elke marketing-uiting.
  • Geen toestemming nodig, wel opt-out elke keer.

Toepassing: nieuwsbrief naar klanten OK met opt-out; naar leads alleen met opt-in.

5. Postmailing en folders

Geen specifieke Tw-regel — alleen AVG. Grondslag: gerechtvaardigd belang. Opt-out via:

  • Sticker “Nee-Ja” / “Nee-Nee” (geen wettelijke status, wel gangbaar).
  • Postfilter (postfilter.nl, freemkb).
  • Eigen unsubscribe in brieven.

Adresgegevens uit publieke bronnen of bestaande relatie. Geen aankoop van adressen bij ongereguleerde lijstaanbieders.

6. Double opt-in best practice

Voor e-mail nieuwsbrief:

  1. Inschrijfformulier (geen voorgevinkte vakjes).
  2. Bevestigings-e-mail naar adres.
  3. Klik op bevestigingslink = double opt-in.

Bewaar bewijs: tijdstip, IP, formuliertekst, bevestiging timestamp. Bij ACM- of AP-controle: bewijslast op verzender.

Marketingkanaal Hoofdregel Bestaande klant
Telefoon consument Opt-in (sinds 2021) Geen uitzondering, opt-in
Telefoon zakelijk Geen opt-in Opt-out mogelijk
E-mail Opt-in Opt-out bij soortgelijk product
SMS Opt-in Opt-out bij soortgelijk product
Post Opt-out Opt-out
Push-notificatie Opt-in (browser/app) Opt-out
Direct mail social media Opt-in (toestemming pixel) Opt-out

Voor webshops komen al deze kanalen samen met cookies en retargeting — zie de AVG-gids voor e-commerce en webshops.

7. Lijsten en data-aankoop

Aankoop adressen van datamakelaars is hoog risico:

  • Herkomst-toestemming onmogelijk te verifiëren.
  • De Autoriteit Persoonsgegevens heeft datahandel als handhavingsprioriteit 2026.
  • Verwerkingsverantwoordelijke = aankoper, dus zelf grondslagrisico.
  • Beste praktijk: vermijden tenzij solide herkomst.

Adressen uit KvK voor zakelijke mailing: technisch toegestaan maar AP en ACM kritisch op kwaliteit + opt-out.

8. Profilering en gepersonaliseerde marketing

Personalisatie op gedrag, locatie, interesses:

  • Toestemming voor tracking (cookies, pixels) — zie de eisen in de gids AVG-toestemming voor cookies.
  • Gerechtvaardigd belang voor segmentatie eigen klantbestand.
  • Bij geautomatiseerde beslissingen met effect (kortingsalgoritme): art. 22-waarborgen.
  • DPIA bij grootschalige profilering.

9. Social media advertenties

  • Eigen lijst uploaden (Custom Audience): doorgifte gegevens aan Facebook/Google. DPA + grondslag transparantie noodzakelijk.
  • Lookalike audiences: derivatie op basis Custom Audience. Toestemming Custom Audience moet dit dekken.
  • Retargeting via pixel: cookies-toestemming bezoekers.
  • Doorgifte VS: Facebook/Google DPF-gecertificeerd, grondslag aanwezig sinds juli 2023.

Gezamenlijk verantwoordelijke (art. 26) tussen adverteerder en platform (HvJ EU Fashion ID 2019).

10. Recht op bezwaar (art. 21)

Betrokkene kan altijd bezwaar maken tegen marketing — onvoorwaardelijk en zonder verklaring (art. 21 lid 2-3). Bij bezwaar onmiddellijk stoppen, registreren in suppressielijst (permanent). Suppressielijst bevat e-mailadres, telefoonnummer, postadres en uitsluit-datum. Vraagt de betrokkene daarnaast om volledige verwijdering van zijn gegevens, dan geldt het recht op vergetelheid van artikel 17.

11. ePrivacy Verordening: toekomstig kader

De ePrivacy Verordening (in onderhandeling sinds 2017) moet ePrivacy-richtlijn 2002/58 vervangen. Verwachte impact op marketing:

  • Strikter consent voor tracking technologieën buiten cookies (fingerprinting, beacons).
  • Soft opt-in voor e-mail bestaande klanten blijft, mogelijk strikter omschreven.
  • Telemarketing-regels geharmoniseerd EU-breed.
  • Cookies-vrijstelling voor strikt technische analytics mogelijk.

Politieke status 2026: vastgelopen in trialoog. Verwacht 2027-2028 voor finaal compromis. Tot dan blijft Tw + AVG het kader voor Nederland.

12. Sancties marketingovertredingen

Wet Toezichthouder Max boete
Tw 11.5 (telefoon) ACM 900 K EUR per overtreding
Tw 11.7 (e-mail/SMS) ACM 900 K EUR per overtreding
Tw 11.7a (cookies) AP/ACM 900 K of 20 M AVG
AVG marketing AP 20 M EUR / 4% omzet

ACM-boetes 2024-2025: 8 grote boetes voor telemarketing zonder opt-in (varieerden 250-750 K EUR).

12. ACM-handhavingscases marketing

Verantwoordelijke Jaar Bedrag Inbreuk
Eneco 2024 750 K EUR Telemarketing zonder opt-in
Pretium Telecom 2023 500 K EUR Cold calling
Talpa (Veronica) 2024 450 K EUR Misleidende inschrijving
KPN 2023 350 K EUR E-mail marketing zonder opt-in
Boutique online 2025 275 K EUR Cookies + e-mail cumulatief
TomTom 2025 275 K EUR Locatie-marketing zonder grondslag

Sectorpatroon: telecom, energie en media zijn ACM-handhavingsspeerpunt. AP-boetes (Achmea 240 K, ING 290 K) richten zich vooral op profilering en datacombinatie. Voor AP boetes 2025 en AVG Art. 5 beginselen over doelbinding.

13. Tools en automatisering marketing-AVG

Tool Functie AVG-aspect
Mailchimp / Klaviyo E-mail DPA + opt-in flow
HubSpot / Salesforce CRM + marketing DPA + suppressielijst
Cookiebot / Usercentrics CMP Tw 11.7a + bewijs
Postfilter (NL) Postsuppressie Vrijwillig advies
OneTrust DSAR Rechtenbeheer Art. 15-21 workflow
Segment / Tealium CDP Centrale opt-out

DPA’s verplicht (art. 28). Bij VS-cloud: DPF-status verifiëren of SCC’s + TIA. Zie Verwerkersovereenkomst template.

14. Compliance-checklist marketing

  1. Inventariseer kanalen en lijsten.
  2. Documenteer grondslag per kanaal/segment.
  3. Implementeer opt-in workflows (double opt-in).
  4. Suppressielijst (permanent niet-benaderen).
  5. Opt-out in elke uiting.
  6. Bewaar bewijs toestemming.
  7. DPIA bij grootschalige profilering.
  8. DPA met marketing-tools (Mailchimp, HubSpot etc).
  9. Periodieke schoning lijst (inactieven uitschrijven).
  10. Training marketingteam.

FAQ

Mag ik mijn klanten zonder toestemming bellen?

Nee, sinds 1 juli 2021. Telemarketing aan consumenten vereist opt-in toestemming. Uitzondering bestaande klantrelatie geldt niet voor telefonie. Voor zakelijke nummers (B2B) lichter regime maar wel zorgvuldigheid.

Mag ik nieuwsbrief sturen aan klanten?

Ja, op grond van Tw 11.7 lid 3 (bestaande klant + soortgelijk product + opt-out elke keer). Geen aparte toestemming nodig. Voor nieuwe leads of cross-sell andere productcategorie: wel opt-in.

Wat is double opt-in?

Bezoeker schrijft zich in (eerste opt-in), ontvangt bevestigings-e-mail, klikt op bevestigingslink (tweede opt-in). Bewijst echte toewijding en geldigheid e-mailadres. Standaard best practice voor nieuwsbrieven.

Mag ik adressen kopen voor mailing?

Risicovol. Herkomst-toestemming vaak niet aantoonbaar. AP heeft datahandel als handhavingsprioriteit 2026 benoemd. Beter eigen lijstopbouw via opt-in formulieren, content marketing, events.

Wat is een suppressielijst?

Permanente uitsluitlijst van personen die bezwaar maakten of zich uitschreven. Houd e-mailadres, telefoon, postadres + datum bij. Voorkom dat nieuwe lijsten weer dezelfde personen aanschrijven — AVG-overtreding bij hercontact.

Mag ik retargeting via Facebook Pixel gebruiken?

Ja, mits volledige toestemming bezoekers voor pixel-cookies (Tw 11.7a). DPA met Meta (Facebook is verantwoordelijke voor eigen verwerking + gezamenlijk verantwoordelijke voor Custom Audience-functies — Fashion ID-arrest HvJ EU 2019). Doorgifte VS: Meta is DPF-gecertificeerd sinds 2023. CMP moet bij weigering daadwerkelijk geen pixel laden.

Wat is een Custom Audience?

Eigen klantlijst uploaden naar Facebook/Google voor gerichte advertenties. Doorgifte gegevens aan platform. Vereisten: toestemming klanten voor deze deling (informeer in privacyverklaring), DPA met platform, opt-out respecteren. Lookalike audiences (algoritmische derivatie) bouwen voort op Custom Audience — zelfde toestemming nodig.

Welke gegevens mag ik bewaren in mijn marketinglijst?

E-mailadres + voornaam minimaal. Aanvullend: aankoophistorie, segmentatie-tags, opt-in datum/IP, opt-out datum. Geen bijzondere gegevens (gezondheid, religie) zonder uitdrukkelijke art. 9-grondslag. Bewaartermijn: tot opt-out (suppressielijst permanent). Inactieve leden (>2 jaar geen interactie) heroverwegen.

Zie ook: AVG in de detailhandel, AVG voor verenigingen en stichtingen en AVG voor zzp’ers.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →