Wet & regelgeving8 min leestijd

AVG-regels voor e-mailmarketing: wat mag wel en niet

E-mailmarketing zonder toestemming is in Nederland niet alleen onprofessioneel—het is illegaal. De AVG en Telecommunicatiewet leggen strikte regels op. Niet naleven kost boetes.

E-mailmarketing zonder toestemming is in Nederland niet alleen onprofessioneel—het is illegaal. De Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet leggen strikte regels op voor wie je mag contacteren, hoe je hun data mag opslaan, en welke authenticatiestandaarden je e-mail moet doorstaan. Niet naleven leidt tot boetes van de Autoriteit Consument & Markt (ACM).

AVG en Telecommunicatiewet: het wettelijk kader

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse implementatie van de GDPR en geldt voor iedereen die e-mailadressen verwerkt. Het regelt hoe je toestemming moet verzamelen, hoe lang je data mag opslaan, en welke rechten je ontvangers hebben.

Aanvullend geldt de Telecommunicatiewet, artikel 11.7, die specifiek het spamverbod regelt. Dit artikel stelt dat commerciële e-mails alleen naar personen mogen die vooraf uitdrukkelijk toestemming hebben gegeven. Dit is strenger dan veel andere landen.

De Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP) controleren naleving. Boetes kunnen in de tienduizenden euro's lopen per overtreding.

Opt-in: uitdrukkelijke toestemming verplicht

In Nederland geldt opt-in: je mag geen commerciële e-mail sturen zonder vooraf uitdrukkelijke toestemming van de ontvanger. Dit is anders dan veel andere landen waar opt-out volstaat (je mag sturen totdat iemand zich afmeldt).

Wat telt als uitdrukkelijke toestemming?

  • Een apart, duidelijk aanvinkvakje—niet vooraf aangevinkt
  • Goede beschrijving wat de ontvanger ontvangt (bijv. "wekelijks tips per e-mail")
  • Gedateerde, gedocumenteerde keuze (bewaren voor audit)
  • Niet gecombineerd met andere voorwaarden (sandboxing)

Een e-mailadres toevoegen aan je lijst omdat iemand je website bezocht, of omdat het adres in een openbare database staat, telt niet als toestemming. Zelfs als ze ooit aan jou hebben gemaild, moet je hun toestemming verifiëren.

E-mailmarketer (jij)AVG-toestemmingOpt-in of soft opt-inACM/ISP ControleSPF/DKIM/DMARC checksToegestaan → InboxGeen toestemming → Spam/Blokkering
Compliance flow: van toestemming tot authenticatie

Soft opt-in voor bestaande klanten

Er is één uitzondering: bestaande klanten. Als iemand al van jouw bedrijf iets heeft gekocht of een dienst afneemt, mag je hem of haar mailen over dezelfde of vergelijkbareproducten—zonder dat ze opnieuw toestemming hoeven geven. Dit heet soft opt-in.

Voorzichtigheid is geboden:

  • Het product/dienst moet echt vergelijkbaar zijn (bijv. een vorige laptopkoop → e-mail over laptops, niet schoenen)
  • In elk e-mail moet een duidelijke, makkelijke afmeldlink (RFC 8058)
  • De ontvanger moet direct kunnen zeggen "stuur mij deze e-mails niet meer"
  • Documenteer de vorige relatie voor controledoeleinden

Soft opt-in is handig voor B2C bedrijven, maar niet voor cold outreach. Voor nieuwe contacten is harde opt-in verplicht.

Wat moet verplicht in elk e-mail?

Ongeacht opt-in of soft opt-in: elk e-mail moet de volgende elementen bevatten:

  1. Duidelijke afzenderidentificatie: Wie stuur je dit? Bedrijfsnaam, niet "No-Reply" of een onherkenbare code.
  2. Contactgegevens: Fysiek adres, telefoonnummer, of e-mailadres waar iemand kan mailen met vragen.
  3. One-click unsubscribe (RFC 8058): Sinds 2024 eisen Google en Yahoo een enkele klik om zich af te melden. Een link naar een afmeldpagina met extra formulier volstaat niet meer.
  4. Transparantie over verwerking: Waarom krijgen ze dit e-mail? Hoe lang bewaar je hun data?
Tip: valideer je basis regelmatig
Veel marketers vergeten dat toestemming kan worden ingetrokken. Een ontvanger kan zich afmelden, dus check regelmatig wie nog actief is in je lijst. Koppel je basis aan een gratis inbox placement test om tegelijkertijd te zien in welke mappen je e-mails belanden. Deliverability en compliance hangen samen.

SPF, DKIM en DMARC: authenticatie verplicht

Sinds februari 2024 eisen Google en Yahoo SMTP-authenticatie van alle bulkverzenders. Dit zijn niet zozeer juridische vereisten onder AVG, maar wel praktische eisen om in de inbox te belanden in plaats van spam.

Drie standaarden zijn essentieel:

SPFWelke servers mogen e-mails sturen namens jouw domeinDKIMDigitale handtekening: bewijst dat een e-mail niet is gewijzigdDMARCBeleid: wat moet de ontvanger doen als SPF/DKIM falen
SPF, DKIM en DMARC: de drie pilaren van e-mail-authenticatie
  • SPF (Sender Policy Framework): Je plakken in je DNS een record dat zegt "alleen deze servers mogen e-mails sturen namens mijn domein".
  • DKIM (DomainKeys Identified Mail): Elke e-mail krijgt een cryptografische handtekening. Ontvangende mail-servers controleren of die klopt—dus niemand kan jouw e-mail namaken.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance):Je stelt een policy in: wat moet Gmail/Outlook doen als SPF/DKIM falen? Meestal p=none (monitoring), p=quarantine (spam), of p=reject (blokkeren).

Google en Yahoo verwachten ook een spam rate van minder dan 0,3%. Als je veel één-klikkers afmeldt of veel spam-reports krijgt, zetten ze je IP op de blocklist.

Niet-naleving: ACM-boetes en reputatieschade

Wat gebeurt er als je deze regels niet volgt?

  • ACM-boetes: Duizenden tot tienduizenden euro's per overtreding. ACM kan campagnes onderzoeken en stopzetten.
  • ISP-blokkering: Gmail, Outlook en andere aanbieders zetten jouw e-mails direct in de spam—zelfs voor ontvangers die toestemming hebben gegeven.
  • Zwarte lijsten: Je IP-adres komt op internationale spam-lijsten (Spamhaus, Barracuda enz.). Dan raken alle je e-mails kwijt.
  • Reputatieschade: Als klanten ontdekken dat je hun gegevens zonder toestemming hebt gebruikt, verliezen ze vertrouwen. Reviews worden negatief, juridische vervolgstappen kunnen volgen.

Kort gezegd: compliance is goedkoper dan de gevolgen van niet-naleving.

Mag ik e-mails sturen naar adressen die ik van een broker heb gekocht?

Nee, tenzij de broker kan bewijzen dat al die adressen uitdrukkelijke toestemming hebben gegeven. In praktijk hebben ze dat niet. Zelf inzamelen van toestemming is veiliger. Als je van een broker koopt, controleer altijd hun compliance-garanties.

Telt een e-mailbericht als opt-in als iemand op mijn 'Stuur mij updates' knop op mijn website klikt?

Ja, als die knop duidelijk beschrijft wat ze ontvangen, apart is (niet verborgen in voorwaarden), en je opslaat wanneer ze hebben geklikt. Een standaard "Ik ga akkoord met voorwaarden" waar e-mail ergens diep verborgen in staat telt niet.

Hoe lang mag ik e-mailadressen opslaan?

De AVG vereist dat je data "niet langer worden opgeslagen dan nodig is". Voor marketing geldt de praktijknorm: als iemand in lange tijd niet heeft geopend of geklikt, mag je ze verwijderen. Documenteer je keuze. Voor transactionele e-mails (bestellingen etc.) mag het langer zijn.
Gerelateerde artikelen
Found this useful? Share it
AB
Over de auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Controleer je afleverbaarheid bij 20+ providers

Gmail, Outlook, Yahoo, GMX, ProtonMail en meer. Echte inbox-screenshots, SPF/DKIM/DMARC, spamfilter-oordelen. Gratis, zonder registratie.

Start gratis test →

Onbeperkt testen · 20+ seed-mailboxen · Live resultaten · Geen account nodig