Nieuwsbrief aanmelding AVG: de regels voor België

Elk bedrijf met een nieuwsbrief-aanmeldformulier op zijn website verzamelt persoonsgegevens. Een e-mailadres is een persoonsgegeven onder de AVG/GDPR. De regels gelden dus ook voor u, zelfs als u maar één e-mail per maand naar 50 abonnees stuurt.

Het goede nieuws: dit goed regelen is niet ingewikkeld. Het komt vooral neer op duidelijk zijn over wat u doet en mensen een echte keuze geven. Een gratis AVG-scan controleert uw aanmeldformulier, cookiebanner en privacyverklaring in twee minuten.

Wat de AVG vereist voor nieuwsbrieftoestemming

De AVG stelt vier voorwaarden aan geldige toestemming (artikel 4, punt 11). Ze moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Dat klinkt abstract, dus hier is wat elke voorwaarde betekent voor uw aanmeldformulier.

Vrij betekent dat mensen niet gedwongen of onder druk gezet mogen worden om zich aan te melden. Nieuwsbrieftoestemming koppelen aan een aankoop of verstoppen in algemene voorwaarden telt niet. De aanmelding moet een aparte, vrijwillige handeling zijn.

Specifiek betekent dat u precies moet vertellen waarvoor mensen zich aanmelden. "Blijf op de hoogte" is te vaag. "Ontvang onze maandelijkse e-mail met baktips en aanbiedingen" is specifiek. Als u verschillende soorten e-mails wilt versturen, zeg dat dan.

Geïnformeerd betekent dat mensen weten wie hun gegevens verzamelt en wat u ermee gaat doen. Uw aanmeldformulier heeft een link nodig naar uw privacyverklaring die e-mailmarketing dekt. Geen link naar de privacyverklaring bij het formulier? Dan heeft u een gat.

Ondubbelzinnig betekent dat de persoon een duidelijke handeling moet verrichten om toe te stemmen. Het e-mailadres intypen en op "Aanmelden" klikken telt. Een vooraf aangevinkt vakje telt niet. Het Hof van Justitie van de EU oordeelde in de Planet49-zaak (C-673/17) dat vooraf aangevinkte vakjes geen geldige toestemming opleveren.

Wat uw aanmeldformulier echt nodig heeft

Hier is een praktische checklist voor uw formulier.

Een duidelijke beschrijving van wat abonnees ontvangen. "Schrijf u in voor onze nieuwsbrief" is het absolute minimum. Beter: "Ontvang onze wekelijkse e-mail met tips over website-compliance." Best: vermeld de frequentie en de algemene onderwerpen. Een Vlaamse webshop zou kunnen schrijven: "Ontvang wekelijks productnieuws en onze maandelijkse compliance-herinnering."

Geen vooraf aangevinkte vakjes. Als u een vakje gebruikt voor toestemming, moet het standaard uitgevinkt staan. De abonnee moet het zelf aanvinken. Dit geldt voor elk vakje op uw site dat verwerking van persoonsgegevens inhoudt.

Een link naar uw privacyverklaring. Plaats die vlak naast de verzendknop of het toestemmingsvakje. Bijvoorbeeld "Door u aan te melden gaat u akkoord met onze privacyverklaring" met een werkende link. Controleer of uw privacyverklaring e-mailmarketing echt vermeldt en niet alleen cookies.

Vraag alleen wat u nodig heeft. Als u alleen een e-mailadres nodig heeft om een nieuwsbrief te versturen, verplicht dan geen telefoonnummer, geboortedatum of woonadres. Meer gegevens verzamelen dan nodig schendt het beginsel van gegevensminimalisatie in de AVG (artikel 5, lid 1, onder c).

Geen misleidend design. De verzendknop hoort niet "Ja, ik wil geweldig zijn!" te zeggen terwijl de weigeroptie een piepklein grijs linkje is met "Nee, ik blijf liever slecht geïnformeerd". Deze dark patterns schenden dezelfde toestemmingsprincipes die ook voor cookiebanners gelden.

De taal van uw formulier. Belgische bedrijven die zowel Nederlandstalige als Franstalige klanten bedienen, maken de toestemmingstekst en de link naar de privacyverklaring best beschikbaar in NL en FR. Een Vlaamse bakkerij die ook naar Wallonië verzendt, moet beide taalgemeenschappen dekken.

Double opt-in: niet altijd verplicht, wel altijd slim

Double opt-in betekent dat iemand na het invullen van uw formulier een bevestigingsmail ontvangt. Pas na een klik op de link in die e-mail is de aanmelding echt rond.

In Duitsland is double opt-in feitelijk verplicht. Duitse rechters oordelen consequent dat u zonder double opt-in niet kunt bewijzen dat de toestemming van de echte eigenaar van het e-mailadres kwam. Het Bundesgerichtshof bevestigde deze aanpak en de Duitse toezichthouders handhaven ze.

In België en de meeste andere EU-landen is double opt-in niet strikt wettelijk verplicht. Het wordt wel sterk aanbevolen. De reden: als iemand een verkeerd of vals e-mailadres invult, mailt u uiteindelijk mensen die nooit toestemming gaven. Dat is een AVG-schending die u had kunnen voorkomen.

Double opt-in geeft u ook schonere e-maillijsten en een betere afleverbaarheid. Bekijk onze volledige gids over double opt-in verplicht voor installatie-instructies.

Welk toestemmingsbewijs u moet bewaren

De AVG legt de bewijslast bij u. Als iemand beweert zich nooit te hebben aangemeld, moet u kunnen aantonen dat dit wel gebeurde. Dat betekent: bewijs van toestemming bewaren.

Bewaar voor elke abonnee:

• Het e-mailadres en alle andere verstrekte gegevens
• De datum en het tijdstip van aanmelding
• De exacte tekst waarmee werd ingestemd (een momentopname van uw formuliertekst op dat moment)
• Hoe de aanmelding gebeurde (welke pagina, welk formulier)
• Het IP-adres op het moment van aanmelding
• De datum en het tijdstip van de double opt-in-bevestiging, als u die gebruikt

De meeste e-mailmarketingtools zoals Mailchimp, Brevo en ConvertKit slaan een deel hiervan automatisch op. Controleer wel wat uw tool echt registreert. Als die alleen het e-mailadres en de datum bewaart, moet u dat mogelijk aanvullen met eigen logbestanden.

Bewaar dit bewijs zolang de persoon abonnee is, plus een redelijke periode na uitschrijving. Twee tot drie jaar na uitschrijving is een gangbare praktijk.

Elke e-mail heeft een afmeldoptie nodig

Dit is simpel en gaat toch nog vaak mis. Elke marketingmail die u verstuurt moet een werkende afmeldlink bevatten. Niet weggemoffeld in lettergrootte 8 onderaan een muur van tekst. Zichtbaar en functioneel.

Het afmelden moet met één klik werken. Laat mensen niet inloggen, een formulier invullen of een e-mail sturen om zich af te melden. Grote e-mailproviders hanteren ook eigen afleverbaarheidsstandaarden rond list-unsubscribe-headers, dus drempelloos afmelden is goede praktijk los van de wettelijke verplichting.

Verwerk afmeldverzoeken binnen 48 uur. Idealiter gebeurt het meteen.

Landspecifieke regels om te kennen

De AVG geldt in de hele EU, maar sommige landen voegen via nationale wetten extra vereisten toe. Hier is een samenvatting van de regels die er voor Belgische bedrijven het meest toe doen.

België. Artikel XII.13 van het Wetboek van economisch recht (Wetboek van economisch recht / Code de droit économique) is de geldende regel voor marketingmail in België. Het vereist opt-in-toestemming voordat u commerciële e-mail naar een particulier stuurt. De oudere Wet van 13 juni 2005 betreffende de elektronische communicatie is niet langer het juiste anker voor deze regel.

Aan de gegevensbeschermingskant is de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens de Belgische uitvoering van de AVG. De verdeling is: de Wet van 30 juli 2018 regelt hoe u met persoonsgegevens omgaat, en WER art. XII.13 bepaalt of u überhaupt marketingberichten mag versturen.

Twee instanties handhaven hier. De GBA (Gegevensbeschermingsautoriteit / Autorité de protection des données) behandelt klachten over gegevensbescherming en heeft beslissingen genomen tegen direct marketing zonder geldige toestemmingsbasis onder de AVG. De FOD Economie handhaaft de marktpraktijkregels van het WER. Eén niet-conforme campagne kan klachten bij beide opleveren.

Er bestaat een beperkte soft opt-in-uitzondering voor bestaande klanten: als iemand iets bij u kocht, mag u die persoon mailen over gelijkaardige producten. De klant moet zich wel makkelijk kunnen afmelden en u moet zich in elk bericht duidelijk identificeren. Onze gids over de soft opt-in-uitzondering in België legt de voorwaarden uit.

Belgische bedrijven met klanten in beide taalgemeenschappen bieden de toestemmingstekst en de link naar de privacyverklaring best aan in het Nederlands en het Frans. Dat geldt of uw bedrijf nu in Vlaanderen, Wallonië of Brussel gevestigd is.

Duitsland. De strengste aanpak van Europa. Double opt-in wordt door rechtbanken en toezichthouders verwacht. De Gesetz gegen den unlauteren Wettbewerb (UWG) voegt mededingingsrechtelijke vereisten toe bovenop de AVG. Duitse bedrijven pakken concurrenten geregeld aan voor niet-conforme e-mailmarketing via formele ingebrekestellingen. Sla double opt-in niet over als u Duitse abonnees heeft.

Verenigd Koninkrijk. Sinds de Brexit volgt het VK de UK GDPR plus PECR (Privacy and Electronic Communications Regulations). De regels lijken op de EU-AVG. Toestemming is vereist voor marketingmails. De "soft opt-in"-uitzondering bestaat voor bestaande klanten.

Nederland, Ierland en Scandinavië. Deze landen volgen doorgaans de standaard AVG-aanpak zonder grote toevoegingen. Toestemming vóór verzending, duidelijke afmelding in elke e-mail, degelijk bewijs.

Veelgemaakte fouten op aanmeldformulieren

Dit zijn de problemen die we het vaakst zien bij het controleren van nieuwsbriefformulieren met onze gratis AVG-scanner.

Het verborgen nieuwsbriefvakje. Een vakje weggestopt in een bestel- of contactformulier dat mensen automatisch abonneert. Dit is geen vrije toestemming, want mensen verwachten niet dat een contactformulier hen aanmeldt voor marketingmails.

"Krijg 10% korting" in ruil voor een e-mailadres. Een korting aanbieden voor een nieuwsbriefaanmelding mag. Maar de toestemming moet nog steeds specifiek en geïnformeerd zijn. Vermeng de korting niet met doorlopende marketing. Maak het duidelijk: "Vul uw e-mailadres in voor 10% korting. U ontvangt ook onze wekelijkse nieuwsbrief."

Geen afmeldlink in e-mails. We zien nog steeds marketingmails zonder enige afmeldlink. Dit schendt zowel de AVG als de ePrivacy-regels in elk EU-land.

E-maillijsten kopen. Mensen op gekochte lijsten gaven u nooit toestemming. Hen marketingmails sturen is een duidelijke AVG-schending. Het maakt niet uit dat de verkoper van de lijst beweert dat de adressen "opt-in" zijn.

Abonnees delen met partners. Tenzij uw aanmeldformulier specifiek zegt "we delen uw e-mailadres met partner X voor diens marketing", mag dit niet. Generieke taal over "vertrouwde partners" voldoet niet aan de specificiteitseis.

Zo controleert u uw eigen formulier

Open uw website en bekijk uw nieuwsbriefaanmelding met een frisse blik.

1. Staat er een duidelijke beschrijving van wat u verstuurt en hoe vaak?
2. Zijn er vooraf aangevinkte vakjes?
3. Is uw privacyverklaring gelinkt bij het formulier?
4. Verzamelt u alleen de gegevens die u echt nodig heeft?
5. Geeft het design evenveel gewicht aan aanmelden als aan niet aanmelden?
6. Krijgt de abonnee na aanmelding een bevestigingsmail?
7. Bevat elke marketingmail die u verstuurt een zichtbare afmeldlink?

Heeft u op één van deze vragen "nee" geantwoord, dan heeft u iets om recht te zetten.

Veelgestelde vragen

Heb ik toestemming nodig voor transactionele e-mails zoals orderbevestigingen?

Nee. E-mails die nodig zijn om een overeenkomst uit te voeren (orderbevestigingen, verzendupdates, wachtwoordresets) vereisen geen marketingtoestemming. U mag wel geen marketingcontent in transactionele e-mails binnensmokkelen. Houd ze gescheiden.

Mag ik bestaande klanten mailen zonder aparte nieuwsbrieftoestemming?

In de meeste EU-landen bestaat een "soft opt-in"-uitzondering. Als iemand bij u kocht, mag u die persoon mailen over gelijkaardige producten of diensten. U moet wel een opt-out hebben aangeboden op het moment van de aankoop en elke e-mail moet een afmeldoptie bevatten. In Duitsland werkt deze uitzondering in de praktijk niet.

Wat gebeurt er als ik geen degelijk toestemmingsbewijs heb?

Als een gegevensbeschermingsautoriteit onderzoekt, ligt de bewijslast bij u. Zonder bewijs kunt u geen geldige toestemming aantonen. Boetes hangen af van de toezichthouder en de omvang van de schending, maar ontbrekend toestemmingsbewijs maakt elke verdediging een stuk moeilijker.

Is een popup-nieuwsbriefformulier conform de AVG?

Een popup kan conform zijn als die aan dezelfde vereisten voldoet: duidelijke beschrijving, geen vooraf aangevinkte vakjes, link naar de privacyverklaring en correcte registratie van de toestemming. Het popup-formaat zelf is niet het probleem. Maar agressieve popups die de inhoud blokkeren tot iemand zich abonneert, beginnen op een vorm van dwang te lijken en dat ondermijnt de eis van vrije toestemming.

Gelden deze regels ook voor B2B-nieuwsbrieven?

Ja, met enige nuance. Als u individuele zakelijke contacten mailt, geldt de AVG omdat u persoonsgegevens verwerkt. Sommige landen (zoals het VK en Nederland) hebben soepelere regels voor B2B-mail, maar u heeft nog altijd een rechtsgrond nodig en een afmeldoptie in elke e-mail.

---

Controleer uw website nu. Voer een gratis scan uit om problemen met nieuwsbriefformulieren, ontbrekende privacyverklaringen en andere AVG-problemen op te sporen. Geen account nodig. Klaar in 2 minuten.

---

Bronnen

• Verordening (EU) 2016/679, algemene verordening gegevensbescherming (eur-lex.europa.eu)
• Richtlijn 2002/58/EG, ePrivacy-richtlijn (eur-lex.europa.eu)
• HvJ-EU zaak C-673/17 Planet49, vooraf aangevinkte toestemmingsvakjes (curia.europa.eu)
• Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ejustice.just.fgov.be)
• Wetboek van economisch recht, Boek XII, diensten van de informatiemaatschappij (ejustice.just.fgov.be)
• Gegevensbeschermingsautoriteit, Belgische gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be)
• FOD Economie, Elektronische reclame (economie.fgov.be)

Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.