E-mailmarketing zonder toestemming is in Nederland niet alleen onprofessioneel—het is illegaal. De Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet leggen strikte regels op voor wie je mag contacteren, hoe je hun data mag opslaan, en welke authenticatiestandaarden je e-mail moet doorstaan. Niet naleven leidt tot boetes van de Autoriteit Consument & Markt (ACM).
AVG en Telecommunicatiewet: het wettelijk kader
De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse implementatie van de GDPR en geldt voor iedereen die e-mailadressen verwerkt. Het regelt hoe je toestemming moet verzamelen, hoe lang je data mag opslaan, en welke rechten je ontvangers hebben.
Aanvullend geldt de Telecommunicatiewet, artikel 11.7, die specifiek het spamverbod regelt. Dit artikel stelt dat commerciële e-mails alleen naar personen mogen die vooraf uitdrukkelijk toestemming hebben gegeven. Dit is strenger dan veel andere landen.
De Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP) controleren naleving. Boetes kunnen in de tienduizenden euro's lopen per overtreding.
Opt-in: uitdrukkelijke toestemming verplicht
In Nederland geldt opt-in: je mag geen commerciële e-mail sturen zonder vooraf uitdrukkelijke toestemming van de ontvanger. Dit is anders dan veel andere landen waar opt-out volstaat (je mag sturen totdat iemand zich afmeldt).
Wat telt als uitdrukkelijke toestemming?
- Een apart, duidelijk aanvinkvakje—niet vooraf aangevinkt
- Goede beschrijving wat de ontvanger ontvangt (bijv. "wekelijks tips per e-mail")
- Gedateerde, gedocumenteerde keuze (bewaren voor audit)
- Niet gecombineerd met andere voorwaarden (sandboxing)
Een e-mailadres toevoegen aan je lijst omdat iemand je website bezocht, of omdat het adres in een openbare database staat, telt niet als toestemming. Zelfs als ze ooit aan jou hebben gemaild, moet je hun toestemming verifiëren.
Soft opt-in voor bestaande klanten
Er is één uitzondering: bestaande klanten. Als iemand al van jouw bedrijf iets heeft gekocht of een dienst afneemt, mag je hem of haar mailen over dezelfde of vergelijkbareproducten—zonder dat ze opnieuw toestemming hoeven geven. Dit heet soft opt-in.
Voorzichtigheid is geboden:
- Het product/dienst moet echt vergelijkbaar zijn (bijv. een vorige laptopkoop → e-mail over laptops, niet schoenen)
- In elk e-mail moet een duidelijke, makkelijke afmeldlink (RFC 8058)
- De ontvanger moet direct kunnen zeggen "stuur mij deze e-mails niet meer"
- Documenteer de vorige relatie voor controledoeleinden
Soft opt-in is handig voor B2C bedrijven, maar niet voor cold outreach. Voor nieuwe contacten is harde opt-in verplicht.
Wat moet verplicht in elk e-mail?
Ongeacht opt-in of soft opt-in: elk e-mail moet de volgende elementen bevatten:
- Duidelijke afzenderidentificatie: Wie stuur je dit? Bedrijfsnaam, niet "No-Reply" of een onherkenbare code.
- Contactgegevens: Fysiek adres, telefoonnummer, of e-mailadres waar iemand kan mailen met vragen.
- One-click unsubscribe (RFC 8058): Sinds 2024 eisen Google en Yahoo een enkele klik om zich af te melden. Een link naar een afmeldpagina met extra formulier volstaat niet meer.
- Transparantie over verwerking: Waarom krijgen ze dit e-mail? Hoe lang bewaar je hun data?
SPF, DKIM en DMARC: authenticatie verplicht
Sinds februari 2024 eisen Google en Yahoo SMTP-authenticatie van alle bulkverzenders. Dit zijn niet zozeer juridische vereisten onder AVG, maar wel praktische eisen om in de inbox te belanden in plaats van spam.
Drie standaarden zijn essentieel:
- SPF (Sender Policy Framework): Je plakken in je DNS een record dat zegt "alleen deze servers mogen e-mails sturen namens mijn domein".
- DKIM (DomainKeys Identified Mail): Elke e-mail krijgt een cryptografische handtekening. Ontvangende mail-servers controleren of die klopt—dus niemand kan jouw e-mail namaken.
- DMARC (Domain-based Message Authentication, Reporting and Conformance):Je stelt een policy in: wat moet Gmail/Outlook doen als SPF/DKIM falen? Meestal p=none (monitoring), p=quarantine (spam), of p=reject (blokkeren).
Google en Yahoo verwachten ook een spam rate van minder dan 0,3%. Als je veel één-klikkers afmeldt of veel spam-reports krijgt, zetten ze je IP op de blocklist.
Niet-naleving: ACM-boetes en reputatieschade
Wat gebeurt er als je deze regels niet volgt?
- ACM-boetes: Duizenden tot tienduizenden euro's per overtreding. ACM kan campagnes onderzoeken en stopzetten.
- ISP-blokkering: Gmail, Outlook en andere aanbieders zetten jouw e-mails direct in de spam—zelfs voor ontvangers die toestemming hebben gegeven.
- Zwarte lijsten: Je IP-adres komt op internationale spam-lijsten (Spamhaus, Barracuda enz.). Dan raken alle je e-mails kwijt.
- Reputatieschade: Als klanten ontdekken dat je hun gegevens zonder toestemming hebt gebruikt, verliezen ze vertrouwen. Reviews worden negatief, juridische vervolgstappen kunnen volgen.
Kort gezegd: compliance is goedkoper dan de gevolgen van niet-naleving.