Vooraangevinkte checkbox verboden: AVG-gids voor België

Dat vakje op uw afrekenpagina met de tekst "Ja, stuur mij marketingmails" dat al aangevinkt staat? Het is geen geldige toestemming. Dat is het al niet meer sinds oktober 2019, toen het hoogste rechtscollege van de EU zich over de kwestie uitsprak. Toezichthouders vinden nog steeds vooraangevinkte vakjes op websites in heel Europa.

Een vooraangevinkte checkbox is verboden onder de AVG. Verzamelt u nieuwsbriefinschrijvingen, marketing-opt-ins of enige andere communicatietoestemming via vooraf aangevinkte vakjes, dan verzamelt u toestemming die niet telt. Elke e-mail die u op basis van die toestemming verstuurt, is dus potentieel een AVG-overtreding. Een gratis scan controleert elk formulier op uw site op exact dit probleem.

Dit is wat er gebeurde, waarom het belangrijk is en wat u moet aanpassen.

Het Planet49-arrest uitgelegd

In oktober 2019 deed het Hof van Justitie van de Europese Unie (HvJEU) uitspraak in zaak C-673/17, bekend als de Planet49-zaak. Een Duits online loterijbedrijf genaamd Planet49 organiseerde een promotiespel waarbij gebruikers hun gegevens moesten invullen om deel te nemen. Op het deelnameformulier stond een vooraf aangevinkt vakje waarmee werd ingestemd met reclame van partners via e-mail en sms.

De Duitse rechters legden de zaak voor aan het HvJEU met de vraag of vooraangevinkte vakjes geldige toestemming vormen onder EU-recht.

Het antwoord van het Hof was ondubbelzinnig: nee.

Het HvJEU oordeelde dat toestemming een actieve wilsuiting van de gebruiker vereist. Een vooraf aangevinkt vakje dat de gebruiker moet uitvinken om te weigeren is geen actieve wilsuiting. Het is het tegenovergestelde. Het veronderstelt toestemming, tenzij de persoon actie onderneemt om die in te trekken. Zo werkt toestemming onder de AVG niet.

Dit arrest creëerde geen nieuw recht. Het bevestigde wat artikel 4, punt 11, van de AVG al zei. Toestemming moet een "vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting" zijn. Een vooraf aangevinkt vakje zakt voor de "ondubbelzinnige" toets, want zwijgen of stilzitten is geen toestemming.

Wat telt als actieve toestemming

Na Planet49 is de lijn duidelijk. De gebruiker moet een bewuste handeling verrichten om zich aan te melden. Dat betekent:

• Een leeg vakje dat de gebruiker zelf aanvinkt
• Een duidelijke "abonneer"-knop waar iemand zijn e-mailadres invult en klikt om te bevestigen
• Double opt-in met een bevestigingsmail (de gouden standaard)

Wat niet telt: vooraf aangevinkte vakjes, gebundelde toestemming verstopt in algemene voorwaarden, "door deze site te gebruiken gaat u akkoord met..."-zinnen, of elke opzet waarbij de gebruiker actie moet ondernemen om te weigeren in plaats van om te accepteren.

Waar vooraangevinkte vakjes nog opduiken

U zou denken dat dit overal allang opgelost is. Het Planet49-arrest is meer dan zes jaar oud. Maar vooraangevinkte vakjes komen nog verrassend vaak voor. Hier verstoppen ze zich:

Afrekenpagina's. De meest voorkomende boosdoener. Een vakje zoals "Stuur mij aanbiedingen en updates" staat al aangevinkt tijdens de checkout. De klant is gefocust op de aankoop en merkt het niet op.

Registratieformulieren. Een vooraf aangevinkt vakje meldt gebruikers aan voor marketing terwijl ze bezig zijn met het instellen van hun account.

Contactformulieren. Een vooraf aangevinkt vakje "Stuur mij uw nieuwsbrief" op een contactformulier. De persoon wilde een vraag stellen, niet zich inschrijven voor e-mails.

Boekings- en reserveringsformulieren. Reserveringssystemen van restaurants, afsprakenplanners en hotelboekingspagina's bevatten vaak vooraf aangevinkte marketingtoestemming.

Cookietoestemming gekoppeld aan marketing. Sommige cookiebanners bundelen toestemming voor marketingmails met cookievoorkeuren. Staat het marketingvakje in de banner vooraf aangevinkt, dan is die toestemming ongeldig.

Vooraangevinkt vs. standaard aan in instellingen

Er is een verwant probleem dat bedrijven overvalt. Accountinstellingenpagina's waar marketingvoorkeuren standaard aan staan.

Stel dat een klant een account aanmaakt. Op de instellingenpagina staan e-mailvoorkeuren met schakelaars voor "Promotionele e-mails", "Partneraanbiedingen" en "Productupdates", allemaal ingeschakeld. De klant heeft die instellingenpagina nooit bezocht. Hij heeft nooit gekozen om iets hiervan te ontvangen.

Dit is functioneel hetzelfde als een vooraangevinkt vakje. De standaardwaarde staat op "aan" en de gebruiker moet actie ondernemen om hem uit te zetten. Dezelfde toestemmingsprincipes gelden. De gebruiker koos niet actief voor marketing, dus u heeft geen geldige toestemming.

De oplossing: zet alle marketinggerelateerde voorkeuren standaard op "uit". Laat gebruikers zich aanmelden wanneer ze er klaar voor zijn.

GBA-handhaving en de Belgische context

Gegevensbeschermingsautoriteiten in heel Europa hebben opgetreden tegen overtredingen met vooraangevinkte toestemming. Als Belgisch bedrijf is de GBA uw belangrijkste handhavingsrisico. De GBA-rij in de tabel hieronder is de meest concrete, omdat ze het meest relevant is voor u.

Het patroon is consistent. Toezichthouders behandelen vooraangevinkte vakjes niet als een grijze zone. Het Planet49-arrest heeft dit beslecht. Staan uw vakjes vooraf aangevinkt, dan bent u in overtreding.

Hoe de GBA klachten behandelt en wat u moet vastleggen

Als een bezoeker of concurrent uw vooraangevinkte vakje meldt bij de GBA, gaat de klacht naar de Geschillenkamer. De Geschillenkamer kan waarschuwingen geven, bevelen om de verwerking in overeenstemming te brengen, tijdelijke of definitieve verwerkingsverboden opleggen en administratieve boetes uitspreken. Boetes voor AVG-overtredingen kunnen oplopen tot 20 miljoen EUR of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Voor kleinere bedrijven begint de GBA doorgaans met een corrigerend bevel en een deadline, niet met een onmiddellijke boete. Maar lost u het probleem niet binnen de deadline op, dan escaleert de handhaving. Beslissing 85/2022 tegen Roularta toont dat de Geschillenkamer bereid is tot een boete van 50.000 EUR wanneer eerdere waarschuwingen niet worden opgevolgd.

Belgische bedrijven die toestemming verzamelen in zowel Nederlands als Frans hebben een extra verplichting. Als uw opt-in-tekst of checkboxlabel in één taal verschijnt en de GBA die onduidelijk of misleidend vindt, worden beide taalversies onder de loep genomen. De Belgische verplichting inzake handelspraktijken richting consumenten (FOD Economie) betekent dat uw toestemmingstekst duidelijk moet zijn in de taal die de klant gebruikt. Een Franstalige bezoeker uit Wallonië die een checkboxlabel uitsluitend in het Nederlands ziet, is niet geldig geïnformeerd. Opereert u over de taalgrens heen, test dan uw formulieren in elke taalvariant die u aan gebruikers toont.

Er is ook een consumentenrechtelijke invalshoek. Artikel 22 van de richtlijn consumentenrechten 2011/83/EU verbiedt standaardopties, zoals vooraf aangevinkte vakjes, voor elke extra betaling bovenop de afgesproken prijs. Werd een toeslag aanvaard via een standaardoptie in plaats van uitdrukkelijke toestemming, dan heeft de consument recht op terugbetaling. In België ziet de FOD Economie toe op deze consumentenregels, naast de GBA voor het persoonsgegevensluik.

Registratie is belangrijk. Artikel 7, lid 1, van de AVG verplicht u aan te tonen dat geldige toestemming is verkregen. Voor Belgische bedrijven betekent dit een logboek bijhouden van: de exacte tekst die de gebruiker zag op het moment van toestemming, de timestamp en het IP-adres van de opt-in, en de versie van het formulier dat op dat moment in gebruik was. Vraagt de GBA om bewijs, dan wordt een gat in dat logboek behandeld alsof er helemaal geen toestemming is. Uw e-mailprovider of CRM zou dit automatisch moeten vastleggen. Is dat niet zo, los dat dan eerst op.

Hoe u uw formulieren audit

Loop elk formulier op uw website na dat enige vorm van marketingtoestemming verzamelt. Dit moet u controleren:

1. Open elk formulier in een verse browsersessie. Log niet eerst in. Bekijk het formulier zoals een nieuwe bezoeker het zou zien.

2. Bekijk elk vakje. Staat er een vakje vooraf aangevinkt? Zo ja, los het op. Elk marketingtoestemmingsvakje moet leeg beginnen.

3. Controleer uw afrekenproces. Leg iets in het winkelmandje en doorloop het volledige checkoutproces. Zoek naar nieuwsbrief- of marketing-opt-ins die al geselecteerd staan.

4. Controleer de accountregistratie. Maak een testaccount aan. Staan er communicatievoorkeuren standaard geselecteerd?

5. Controleer uw boekings- of contactformulieren. Vul ze in zoals een klant dat zou doen. Zoek naar verborgen toestemmingsvakjes.

6. Controleer de standaardinstellingen van accounts. Maak een account aan en ga meteen naar de notificatie-instellingen. Staan marketingvoorkeuren op "aan" voordat de gebruiker ze heeft aangeraakt?

7. Controleer uw e-mailprovider. Sommige ESP's hebben instellingen die automatisch contacten toevoegen vanuit uw webformulieren. Zorg dat contacten alleen worden toegevoegd wanneer ze actief hebben ingestemd.

U kunt ook een gratis scan uitvoeren om veelvoorkomende toestemmingsproblemen op uw website op te sporen, inclusief formulieranalyse en cookietoestemmingscontroles.

Waarom bedrijven het toch blijven doen

Sommige bedrijven weten dat vooraangevinkte vakjes problematisch zijn maar blijven ze toch gebruiken. De redenering gaat meestal zo: "Onze conversie voor nieuwsbriefinschrijvingen daalt 80% als we het vakje uitvinken."

Dat klopt waarschijnlijk. Vooraangevinkte vakjes leveren meer inschrijvingen op omdat de meeste mensen niet de moeite nemen om ze uit te vinken. Dat is precies het probleem, en precies waarom ze niet als toestemming tellen.

Daarom is het risico het niet waard:

Die abonnees willen uw e-mails niet. Ze hebben niet gekozen om zich in te schrijven. Open rates zullen laag zijn, uitschrijfpercentages hoog en spamklachten schaden uw e-maildeliverability. U geeft geld uit aan e-mails naar mensen die ze negeren.

Uw hele lijst kan ongeldig worden verklaard. Als een gegevensbeschermingsautoriteit onderzoek doet en vaststelt dat uw toestemmingsmechanisme ongeldig is, kan ze u bevelen de lijst volledig niet meer te gebruiken. Jaren aan verzamelde contacten, weg.

Boetes zijn echt. Ze zijn niet alleen voor grote bedrijven. Kleine bedrijven in heel Europa zijn beboet voor exact dit probleem. Een boete plus de gedwongen verwijdering van uw lijst doet veel meer pijn dan een lagere nieuwsbriefconversie.

Een correcte opt-in bouwt een betere lijst. Mensen die actief kiezen om zich te abonneren zijn degenen die uw e-mails echt lezen, op uw links klikken en uw producten kopen. Een lijst van 500 betrokken abonnees verslaat een lijst van 5.000 mensen die niet wisten dat ze zich hadden ingeschreven.

Dezelfde toestemmingsprincipes die gelden voor cookiebanners gelden ook hier. Actieve, geïnformeerde, vrije toestemming. Geen sluiproutes. Runt u een webshop, dan zijn vooraangevinkte vakjes tijdens de checkout maar een van de vele vereisten. Bekijk onze compliance-checklist voor Belgische webshops voor het volledige plaatje.

Wat u nu moet doen

Vink uw vakjes uit. Allemaal. Elk marketingtoestemmingsvakje op uw website moet in onaangevinkte staat beginnen. Dit is niet optioneel.

Heeft u toestemming verzameld via vooraangevinkte vakjes, overweeg dan een hernieuwde toestemmingscampagne. Stuur uw bestaande lijst een e-mail met de vraag om actief te bevestigen dat ze uw e-mails willen blijven ontvangen. U verliest abonnees, maar u houdt de mensen over die ertoe doen en u staat juridisch op vaste grond.

Voor een diepere blik op het correct regelen van nieuwsbrieftoestemming leest u onze gids over nieuwsbriefaanmelding en de AVG. En vraagt u zich af of uw cookiebanner dezelfde toestemmingsregels volgt, dan is het antwoord ja. De Planet49-zaak geldt voor cookies en marketingtoestemming evenzeer.

Scan uw website gratis om uw formulieren, cookietoestemming en andere complianceproblemen te controleren.

FAQ

Zijn vooraangevinkte checkboxes verboden onder de AVG?

Ja. Het HvJEU oordeelde in de Planet49-zaak (C-673/17) dat vooraf aangevinkte vakjes geen geldige toestemming vormen onder EU-recht. Toestemming moet een actieve, bevestigende handeling van de gebruiker zijn. Een vakje dat aangevinkt begint en dat de gebruiker moet uitvinken om te weigeren is geen geldige toestemming. Dit geldt voor nieuwsbriefinschrijvingen, marketingmails, cookies en elke andere verwerking die toestemming vereist.

Wat gebeurt er als ik vooraangevinkte vakjes heb gebruikt?

Alle toestemming die via vooraf aangevinkte vakjes is verzameld, is ongeldig. U heeft dan geen rechtsgrond om marketingmails naar die contacten te sturen. Herstel uw formulieren onmiddellijk, zodat alle toestemmingsvakjes leeg beginnen. Overweeg voor uw bestaande lijst een hernieuwde toestemmingsmail waarin u abonnees vraagt actief te bevestigen dat ze van u willen blijven horen. Contacten die niet bevestigen, moeten worden verwijderd.

Geldt dit ook voor B2B-e-mails?

De toestemmingsvereisten gelden voor elke verwerking van persoonsgegevens onder de AVG. Verzamelt u e-mailadressen van personen (ook in een zakelijke context) via een formulier met een vooraf aangevinkt marketingvakje, dan is die toestemming ongeldig. Voor B2B-e-mail gelden in sommige landen andere regels rond gerechtvaardigd belang, maar vooraangevinkte vakjes tellen nergens in de EU als geldige toestemming.

Mag ik een vooraangevinkt vakje gebruiken voor transactionele e-mails?

Transactionele e-mails (orderbevestigingen, verzendupdates, wachtwoordresets) vereisen geen marketingtoestemming, omdat ze nodig zijn om een overeenkomst uit te voeren. Hiervoor heeft u helemaal geen vakje nodig. Maar u mag geen marketinginhoud in transactionele e-mails bundelen en beweren dat alles transactioneel is. Bevat uw orderbevestiging onderaan een promotioneel blok, dan heeft dat promotionele deel correcte toestemming nodig.

Hoe verschilt dit van soft opt-in?

Sommige landen (zoals het Verenigd Koninkrijk en Nederland) staan een "soft opt-in" toe waarbij u bestaande klanten zonder expliciete toestemming mag mailen over vergelijkbare producten. Maar soft opt-in heeft strikte voorwaarden: de klant moet iets bij u gekocht hebben, u mag alleen mailen over vergelijkbare producten en u moet in elke e-mail een eenvoudige opt-out aanbieden. Vooraangevinkte vakjes zijn een volledig apart onderwerp. Ze gaan over hoe u toestemming verzamelt, niet over of u die nodig heeft. Zelfs waar soft opt-in geldt, leveren vooraangevinkte vakjes op uw formulieren nog steeds geen geldige toestemming op.

Scan uw website gratis en zie binnen enkele minuten of uw formulieren vooraangevinkte vakjes of andere toestemmingsproblemen bevatten.

Sources

• Verordening (EU) 2016/679, algemene verordening gegevensbescherming (eur-lex.europa.eu)
• HvJEU, zaak C-673/17 Planet49, vooraf aangevinkte toestemmingsvakjes (curia.europa.eu)
• Richtlijn 2002/58/EG, e-privacyrichtlijn (eur-lex.europa.eu)
• Richtlijn 2011/83/EU betreffende consumentenrechten, artikel 22 (eur-lex.europa.eu)
• Gegevensbeschermingsautoriteit, Beslissing 85/2022, Roularta, vooraf aangevinkte cookietoestemming (gegevensbeschermingsautoriteit.be)
• Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ejustice.just.fgov.be)

---

Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.