e-mailmarketing en GDPR headerbeeld

E-mailmarketing & GDPR: wat mag wel en wat niet in België en Nederland

DoorJarne Froyen

Dit artikel is een praktische gids voor Belgische ondernemers, KMO’s en marketeers die met e-mailcampagnes aan de slag gaan. We leggen helder uit wat mag en niet mag onder de GDPR/AVG, zonder juridisch advies te geven. Voor de exacte wetteksten verwijzen we naar officiële instanties zoals de Gegevensbeschermingsautoriteit (GBA) in België en de Autoriteit Persoonsgegevens (AP) in Nederland.

Waarom GDPR cruciaal is bij e-mailmarketing

E-mailadressen, namen en voorkeuren zijn persoonsgegevens. Daardoor valt e-mailmarketing rechtstreeks onder de GDPR. Sinds 2018 gelden er strikte regels. Wie zich er niet aan houdt, riskeert klachten, boetes en reputatieschade. Bovendien straft ook de mailbox zelf onzorgvuldigheid af: mails zonder duidelijke toestemming belanden sneller in spam.

De kernregel: toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. In België gelden daarbij nog bijkomende regels vanuit de Wet elektronische communicatie en de richtlijnen van de GBA. In Nederland is dat de Telecommunicatiewet.

Aan welke GDPR-voorwaarden moet je voldoen?

1. Toestemming (opt-in)

  • Ontvangers moeten zelf een keuze maken, bijvoorbeeld door een niet-vooringevinkte checkbox.
  • Je moet duidelijk aangeven waarvoor men toestemming geeft.
  • Toestemming moet apart staan van algemene voorwaarden.
  • Je moet kunnen bewijzen wanneer en hoe iemand toestemming gaf.
  • Ontvangers moeten zich op elk moment makkelijk kunnen uitschrijven.

2. Afmeldmogelijkheid en transparantie

  • Elke mail bevat een duidelijke en werkende afmeldlink.
  • Uitschrijven moet eenvoudig zijn, zonder extra drempels.
  • Vermeld altijd wie de verzender is en verwijs naar je privacyverklaring.

3. Soft opt-in bij bestaande klanten

  • Je mag e-mails sturen naar bestaande klanten als:
    • het e-mailadres rechtstreeks verkregen werd bij een aankoop,
    • de boodschap gaat over verwante producten of diensten,
    • de klant bij inschrijving de kans kreeg zich te verzetten tegen marketing.
  • Hou het relevant en bied steeds een duidelijke uitschrijfmogelijkheid.

4. Data minimaliseren en beveiligen

  • Vraag enkel gegevens die je echt nodig hebt.
  • Bepaal en documenteer bewaartermijnen.
  • Beveilig je databank met wachtwoorden, toegangscontrole en versleuteling.
  • Houd bij wie toegang heeft en hoe data verwerkt wordt.

Deze voorwaarden gelden op alle vormen van e-mailmarketing, zowel automations als handmatig verstuurde mails. Ook een persoonlijk bericht naar een adres zoals voornaam.naam@bedrijf.be valt onder de GDPR, aangezien dit een persoonsgegeven is. Voor commerciële boodschappen heb je dus in principe toestemming nodig, tenzij er sprake is van een bestaande klantrelatie (soft opt-in) of een duidelijk zakelijk contact. Denk bijvoorbeeld aan iemand die je gegevens gaf tijdens een evenement, na een offerteaanvraag of in een eerdere samenwerking.

Generieke adressen zoals info@ of sales@ mag je wél contacteren zonder voorafgaande toestemming, zolang de inhoud relevant en transparant is.

Wat mag dus niet?

  • Vooraf aangevinkte vakjes gebruiken voor opt-in.
  • Lijsten kopen of huren.
  • Adressen uit openbare bronnen plukken zonder toestemming.
  • Toestemming verbergen in algemene voorwaarden.
  • Een aankoop koppelen aan verplichte inschrijving.
  • Niet communiceren over hoe je data gebruikt.

België en Nederland: overeenkomsten en verschillen

Aspect

België

Nederland

Aanvullende wetgeving

Wet elektronische communicatie

Telecommunicatiewet (artikel 11.7)

Soft opt-in

Toegestaan bij bestaande klanten voor verwante producten, mits opt-out

Zelfde principe: bestaande klanten, verwante producten, opt-out verplicht

B2B-adressen

Generieke adressen (bv. info@bedrijf.be) meestal toegestaan

Vergelijkbare regel voor zakelijke adressen

Toezichthouder

Gegevensbeschermingsautoriteit (GBA)

Autoriteit Persoonsgegevens (AP)

Aangezien het over Europese wetgeving gaat, zijn de basisprincipes in beide landen gelijk. Het verschil zit in de nationale accenten. In België bracht de GBA in 2025 nog vernieuwde richtlijnen uit, met extra aandacht voor profiling en bewaartermijnen.

Checklist: GDPR-proof e-mailen

  • Actieve Opt-in.
  • Duidelijke uitleg bij inschrijving.
  • Werkende afmeldlink in elke mail.
  • Geen gekochte lijsten.
  • Geen persoonlijke adressen zonder toestemming.
  • Transparante privacyverklaring.
  • Geen overbodige data verzamelen.
  • Sterke beveiliging van data.

Veelgestelde vragen (FAQ)

Mag ik bestaande klanten zonder toestemming mailen?

Ja, via de soft opt-in, zolang het over verwante producten gaat en er een opt-out bij inschrijving was.

Is dubbele opt-in verplicht?

Niet wettelijk verplicht, maar sterk aangeraden. Zo bewijs je eenvoudiger dat er toestemming is.

Hoe lang mag ik persoonsgegevens bewaren?

Niet langer dan nodig voor het doel waarvoor ze verzameld werden. Documenteer je keuze en verwijder oude data.

Mag ik zakelijke e-mailadressen gebruiken?

Ja, generieke adressen zijn toegestaan. Persoonlijke zakelijke adressen (voornaam.achternaam@bedrijf.be) vallen onder GDPR.

Kan ik e-mailen op basis van gerechtvaardigd belang?

In theorie mag dit soms, in de praktijk is het risicovol. Toestemming is de veiligste keuze.

Wat zijn de gevolgen van niet naleven?

Boetes, klachten bij de GBA of AP, reputatieschade en een grotere kans dat mails in spam belanden.

Hoe bewijs ik toestemming?

Log alle data van inschrijvingen, zoals datum, naam, e-mailadres, IP-adres en eventuele bevestiging via dubbele opt-in.

Geldt GDPR ook voor handmatig verstuurde mails?

Ja. GDPR geldt op alle vormen van e-mailmarketing, ook als je een bericht manueel verstuurt naar een adres zoals voornaam.naam@bedrijf.be. Dat is een persoonsgegeven en dus heb je in principe toestemming nodig. Uitzonderingen zijn er bij bestaande klantrelaties (soft opt-in) of wanneer er een duidelijk zakelijk contact is, bijvoorbeeld na een event of een offerteaanvraag. Generieke adressen zoals info@bedrijf.be mag je wél gebruiken, zolang je bericht relevant en transparant is.

In de praktijk: GDPR-proof e-mailing voor Boflex in Hasselt

Een concreet voorbeeld van hoe GDPR en e-mailmarketing perfect samengaan, zien we bij onze klant Boflex in Hasselt. Boflex wilde graag aan e-mailmarketing gaan doen, maar het aankopen van e-maillijsten is verboden. Cold mailing mag enkel naar algemene info-adressen, die vaak weinig waardevol zijn.

Daarom besloten we om in 2025 een klantenmailing op te starten via de soft opt-in-regel. Dat betekent: enkel bestaande klanten die eerder rechtstreeks bij Boflex aankochten, ontvingen de mailing.

De aanpak was eenvoudig maar doeltreffend:

  • Nieuws en updates over het bedrijf.
  • Een product in de kijker om inspiratie te bieden.
  • Klantgerichte acties als bedanking voor hun vertrouwen.

Het resultaat mocht er zijn. Bijna 50% van alle verkopen dit jaar kwam van bestaande klanten, terwijl dit aandeel in vorige jaren veel lager lag. De mailing zorgde dus niet alleen voor extra omzet, maar ook voor sterkere klantenbinding.

Deze case toont dat compliant e-mailmarketing niet beperkend hoeft te zijn. Integendeel: door transparant en gericht te communiceren, bouw je meer waardevolle relaties op en haal je tastbare resultaten.

Conclusie:

GDPR kan soms een enorm ingewikkelde opgave lijken. In de praktijk is het echter het opvolgen van enkele vuistregels om veilig met data om te gaan. Oké, e-mailmarketing is daardoor wat lastiger dan vroeger. Maar door je strategie slim op te bouwen en goed om te gaan met online data kun je écht scoren met e-mailmarketing. Zowel naar nieuwe als naar bestaande klanten.

👉 Wil je bedrijfsmails uitsturen die niet alleen creatief en doeltreffend, maar ook GDPR-conform zijn? Aarzel niet om ons te contacteren of maak meteen een afspraak voor een eerste kennismaking.

Plan een gratis adviesgesprek

Neem meteen contact op