Wijziging Telecommunicatiewet per 1 juli 2026: outbound telemarketing alleen nog met toestemming, klantrelatie sterk beperkt

Per 1 juli 2026 wijzigt artikel 11.7 Telecommunicatiewet. Vanaf die datum wordt outbound telemarketing richting natuurlijke personen verder beperkt. De belangrijkste wijziging is dat commerciële organisaties natuurlijke personen in beginsel alleen nog telefonisch mogen benaderen voor verkoopdoeleinden wanneer daarvoor voorafgaande toestemming is gegeven.

De bestaande mogelijkheid om consumenten en andere natuurlijke personen op basis van een bestaande of voormalige klantrelatie zonder telefonische opt-in te benaderen voor commerciële doeleinden vervalt daarmee grotendeels. Voor reguliere commerciële B2C-organisaties betekent dit dat de huidige praktijk van bellen op basis van een klantrelatie vanaf 1 juli 2026 niet langer volstaat.

Organisaties die outbound telemarketing inzetten, moeten hun toestemmingsprocessen, belbestanden, scripts, callcenterinstructies en compliance-documentatie daarom tijdig aanpassen.

Voor wie gelden de nieuwe regels?

De regels zien op telefonische benadering van natuurlijke personen. Daarbij gaat het niet alleen om consumenten in privéhoedanigheid. Ook ondernemers zonder rechtspersoonlijkheid, zoals zzp’ers, eenmanszaken, vof’s, cv’s en maatschappen, kunnen onder deze bescherming vallen wanneer zij als natuurlijke persoon telefonisch worden benaderd.

B2B-telemarketing richting rechtspersonen, zoals bv’s en nv’s, valt niet op dezelfde manier onder dit opt-in-regime, mits het aanbod daadwerkelijk is gericht aan de rechtspersoon en niet aan een natuurlijke persoon in privé of als onderneming zonder rechtspersoonlijkheid.

Hoofdregel vanaf 1 juli 2026: voorafgaande toestemming

Vanaf 1 juli 2026 geldt voor commerciële outbound telemarketing als hoofdregel dat voorafgaande toestemming nodig is. Toestemming moet voldoen aan de eisen die ook onder de AVG gelden. Dat betekent dat toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn gegeven. De organisatie moet bovendien kunnen aantonen dat geldige toestemming is verkregen.

Een vooraf aangevinkt vakje of een algemene bepaling in algemene voorwaarden is daarvoor onvoldoende. In de praktijk moet kunnen worden aangetoond wie toestemming heeft gegeven, wanneer dat is gebeurd, via welk kanaal, voor welke organisatie en voor welk soort telefonische benadering.

Ook wanneer iemand toestemming heeft gegeven, blijft het recht van verzet relevant. De gebelde persoon moet zich kunnen afmelden voor verdere telefonische benadering. Organisaties moeten dit proces goed registreren en respecteren in hun belbestanden.

Toestemming mag niet telefonisch worden opgehaald

Organisaties kunnen het toestemmingsvereiste niet omzeilen door natuurlijke personen eerst te bellen met de vraag of zij toestemming willen geven voor toekomstige verkooptelefoontjes. Ook zo’n telefoongesprek heeft immers tot doel om commerciële telefonische benadering mogelijk te maken en kwalificeert daarom zelf als een commerciële benadering. Daarvoor is juist voorafgaande toestemming vereist.

Met andere woorden: toestemming voor telemarketing moet zijn verkregen vóórdat telefonisch contact voor commerciële doeleinden plaatsvindt. Het is daarom niet toegestaan om zonder geldige grondslag te bellen uitsluitend om telefonische toestemming voor telemarketing te vragen.

Organisaties zullen toestemming dus via een ander rechtmatig kanaal moeten verzamelen, bijvoorbeeld via een website, klantomgeving, formulier, app, schriftelijk formulier, e-mailcampagne of ander passend medium. Daarbij moet steeds worden beoordeeld of ook dat kanaal zelf rechtmatig wordt gebruikt. Toestemming voor telefonische telemarketing is niet automatisch hetzelfde als toestemming voor e-mailmarketing, en andersom.

De toestemming moet bovendien voldoen aan de AVG-eisen: zij moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven, en de organisatie moet kunnen aantonen wanneer, hoe, door wie en waarvoor toestemming is verleend.

Welke telemarketing op basis van klantrelatie blijft toegestaan?

Na 1 juli 2026 blijft outbound telemarketing op basis van een klantrelatie nog slechts mogelijk voor een beperkte groep uitzonderingscategorieën. Uit de beschikbare toelichtingen en branche-informatie volgt dat het daarbij onder meer gaat om:

1. goede doelen en ideële of charitatieve organisaties;
2. bepaalde loterijen met een maatschappelijk of charitatief doel;
3. uitgevers van dagbladen, weekbladen, tijdschriften en andere periodieken.

Voor deze categorieën kan het onder voorwaarden mogelijk blijven om bestaande relaties of voormalige relaties telefonisch te benaderen zonder voorafgaande opt-in. Voor reguliere commerciële B2C-adverteerders geldt deze uitzondering echter niet. Zij zullen vanaf 1 juli 2026 voor outbound verkooptelefoontjes in beginsel voorafgaande toestemming nodig hebben.

Het is raadzaam om uitzonderingen terughoudend toe te passen. Alleen wanneer een organisatie daadwerkelijk binnen een wettelijke of duidelijk erkende uitzonderingscategorie valt, kan nog op een klantrelatie worden gesteund. In andere gevallen moet worden uitgegaan van het opt-invereiste.

Wanneer is sprake van een klantrelatie?

Tot 1 juli 2026 blijft de huidige klantrelatie-uitzondering nog relevant voor commerciële organisaties. Ook blijft het begrip klantrelatie relevant voor de uitzonderingscategorieën waarvoor de klantrelatie na 1 juli 2026 nog een rol kan spelen.

Onder het huidige telemarketingkader is in beginsel sprake van een klantrelatie wanneer het telefoonnummer is verkregen in het kader van de verkoop van een product of dienst, waarbij een financiële transactie of betalingsverplichting is ontstaan. Een vrijblijvende interesse-inschrijving, deelname aan een gratis actie of het aanvragen van algemene informatie is meestal onvoldoende om een klantrelatie aan te nemen.

Daaruit volgen in elk geval de volgende basiseisen:

1. er moet sprake zijn van daadwerkelijke afname van een product of dienst, of ten minste van een concrete betalingsverplichting;
2. de relatie moet bestaan met de bellende organisatie zelf, niet slechts met een gelieerde partij of ander merk zonder eigen contractuele relatie;
3. het telefonische aanbod moet betrekking hebben op eigen, gelijksoortige producten of diensten;
4. de betrokkene moet bij het verkrijgen van het telefoonnummer de mogelijkheid hebben gehad om bezwaar te maken tegen verkooptelefoontjes;
5. de betrokkene moet zich bij ieder gesprek kunnen verzetten tegen verdere telefonische benadering.

Ook een voormalige klantrelatie is niet onbeperkt bruikbaar. De ACM hanteert als uitgangspunt dat iemand nu klant is of in de afgelopen drie jaar klant is geweest. Voor goede doelen en bepaalde ideële of charitatieve organisaties kan de invulling van de relatie ruimer zijn, bijvoorbeeld bij donateurs, vrijwilligers of deelnemers aan activiteiten, mits aan de daarvoor geldende voorwaarden wordt voldaan.

Service calls blijven mogelijk, maar mogen geen verkapte salescalls worden

Niet ieder outbound telefoongesprek is telemarketing. Een service call die uitsluitend is gericht op dienstverlening, uitvoering van de overeenkomst of afhandeling van een concrete klantvraag, valt in beginsel niet onder het verbod op commerciële telemarketing.

Denk bijvoorbeeld aan een telefoongesprek over een lopende bestelling, een technische storing, een afspraak, een klacht of een noodzakelijke wijziging in de dienstverlening. Zulke gesprekken kunnen ook na 1 juli 2026 plaatsvinden zonder commerciële opt-in, zolang het gesprek daadwerkelijk een servicekarakter heeft.

Dat verandert zodra het gesprek mede wordt gebruikt om producten of diensten aan te bieden, te verlengen, uit te breiden of te verkopen. Een servicegesprek waarin alsnog een commercieel aanbod wordt gedaan, kan daardoor alsnog als telemarketing worden aangemerkt.

Organisaties moeten service calls en salescalls daarom inhoudelijk en procesmatig strikt scheiden. Dat vraagt onder meer om duidelijke scripts, instructies aan medewerkers en callcenters, en controles op de daadwerkelijke gespreksinhoud.

Telefonisch marktonderzoek

Telefonisch markt- en verkiezingsonderzoek valt niet zonder meer onder het telemarketingverbod. Voorwaarde is wel dat daadwerkelijk sprake is van onderzoek en niet van een verkapte commerciële benadering.

Een onderzoeksgesprek verliest zijn neutrale karakter wanneer het wordt gebruikt om leads te kwalificeren, koopinteresse te peilen met het oog op verkoop, of deelnemers later commercieel op te volgen. In dat geval kan het gesprek alsnog als telemarketing worden aangemerkt.

Bij telefonisch onderzoek moet bovendien transparant worden gecommuniceerd. De gebelde persoon moet kunnen begrijpen wie de opdrachtgever is en wat het doel van het onderzoek is. Organisaties die onderzoek combineren met marketingdoeleinden lopen een verhoogd compliance-risico en moeten vooraf goed beoordelen of toestemming nodig is.

Verschil met e-mail en sms

De wijziging per 1 juli 2026 ziet specifiek op telefonische telemarketing. Dat betekent niet dat alle directmarketingkanalen automatisch hetzelfde regime krijgen.

Voor elektronische berichten, zoals e-mail, sms en vergelijkbare elektronische communicatie, blijft het afzonderlijke regime voor elektronische direct marketing gelden. Daarvoor bestaat onder voorwaarden nog steeds een zogenoemde soft opt-in voor eigen, gelijksoortige producten of diensten aan bestaande klanten. Die soft opt-in voor elektronische berichten moet niet worden verward met de klantrelatie-uitzondering voor telefonische telemarketing, die per 1 juli 2026 voor reguliere commerciële telemarketing grotendeels vervalt.

Organisaties moeten hun kanaalkeuzes daarom afzonderlijk beoordelen. Toestemming voor e-mailmarketing is niet automatisch toestemming voor telefonische verkoop, en andersom.

Callcenters, leadgenerators en ketenverantwoordelijkheid

Veel organisaties besteden outbound telemarketing uit aan callcenters, tussenpersonen of leadgenerators. Dat verandert niets aan de verantwoordelijkheid van de adverteerder. De organisatie namens wie wordt gebeld, moet kunnen aantonen dat de benadering rechtmatig is.

Dat betekent dat adverteerders duidelijke afspraken moeten maken over:

1. de herkomst van leads en telefoonnummers;
2. de wijze waarop toestemming is verkregen en vastgelegd;
3. het gebruik van actuele bel-me-niet- en verzetregistraties;
4. de inhoud van scripts;
5. monitoring, rapportage en auditmogelijkheden;
6. de afhandeling van klachten en intrekkingen van toestemming.

Wanneer een callcenter of leadgenerator onrechtmatig belt, kan ook de opdrachtgever daarop worden aangesproken. Contractuele afspraken zijn daarom belangrijk, maar niet voldoende. Er moet ook feitelijke controle plaatsvinden.

Aanpassing van de Code Telemarketing

De wijziging van artikel 11.7 Telecommunicatiewet maakt een herziening van de Code Telemarketing waarschijnlijk noodzakelijk. De huidige Code Telemarketing is nog gebaseerd op een situatie waarin telemarketing onder voorwaarden mogelijk is op basis van een klantrelatie. Voor reguliere commerciële outbound telemarketing is dat na 1 juli 2026 niet langer het wettelijke uitgangspunt.

Het ligt voor de hand dat de Code Telemarketing wordt aangepast aan het nieuwe wettelijke kader. Daarbij zal onderscheid moeten worden gemaakt tussen:

1. commerciële outbound telemarketing waarvoor voorafgaande toestemming nodig is;
2. uitzonderingscategorieën waarin een klantrelatie nog wel een rol kan spelen;
3. service calls zonder verkoopdoel;
4. zuiver markt- en verkiezingsonderzoek;
5. praktische eisen aan scripts, nummerherkenning, afmeldingen en dossiervorming.

Totdat de Code is aangepast, blijft de Telecommunicatiewet leidend. Voor zover de Code ruimer lijkt dan het gewijzigde wettelijke regime, gaat de wet voor.

Praktische gevolgen voor organisaties

Organisaties die outbound telemarketing inzetten, doen er verstandig aan om vóór 1 juli 2026 hun processen opnieuw te beoordelen. Daarbij zijn in elk geval de volgende acties relevant:

1. breng in kaart welke belcampagnes plaatsvinden en op welke grondslag wordt gebeld;
2. onderscheid servicegesprekken, commerciële salescalls en marktonderzoek;
3. controleer of bestaande toestemmingen voldoen aan de AVG-eisen;
4. leg toestemming aantoonbaar vast, inclusief datum, bron, kanaal en reikwijdte;
5. verzamel toestemming voor telefonische telemarketing niet via een ongevraagd telefoongesprek, maar via een ander rechtmatig kanaal, zoals een website, formulier, klantomgeving, app, schriftelijk formulier of e-mailcampagne;
6. verwijder of blokkeer telefoonnummers waarvoor geen geldige grondslag bestaat;
7. pas scripts en callcenterinstructies aan;
8. borg dat verzet en intrekking van toestemming direct worden verwerkt;
9. maak afspraken met callcenters en leadgenerators over compliance, monitoring en aansprakelijkheid;
10. actualiseer privacyverklaringen, interne procedures en verwerkingsregisters;
11. monitor klachten en signalen van ongewenste benadering.

Conclusie

Per 1 juli 2026 wordt outbound telemarketing richting natuurlijke personen aanzienlijk strenger gereguleerd. Voor reguliere commerciële organisaties vervalt de mogelijkheid om bestaande of voormalige klanten zonder voorafgaande telefonische opt-in te bellen voor verkoopdoeleinden grotendeels.

De kern van het nieuwe regime is eenvoudig: commerciële telefonische benadering mag in beginsel alleen nog met voorafgaande, aantoonbare toestemming. Alleen voor beperkte uitzonderingscategorieën blijft de klantrelatie onder voorwaarden relevant.

Organisaties kunnen toestemming voor telefonische telemarketing niet alsnog telefonisch ophalen via een ongevraagd gesprek. Een telefoongesprek dat bedoeld is om toestemming voor toekomstige commerciële telefoontjes te verkrijgen, is zelf al een commerciële benadering waarvoor voorafgaande toestemming nodig is. Toestemming moet daarom via een ander rechtmatig kanaal worden verzameld.

Organisaties die telemarketing gebruiken, moeten tijdig overstappen van een klantrelatie-gebaseerde werkwijze naar een toestemmingsgebaseerd model. Daarbij is niet alleen de juridische grondslag van belang, maar ook de praktische uitvoering: actuele belbestanden, duidelijke scripts, goede afmeldprocessen, controle op callcenters, rechtmatige toestemmingswerving via andere kanalen en volledige dossiervorming.

publicatie: 19 juni 2026

Datagedreven marketing en statistisch onderzoek onder de loep: hoe de AP de grenzen van klantdata en AI markeert

Publicatiedatum 2 februari 2026

De Autoriteit Persoonsgegevens (AP) positioneert zich de komende jaren als maatschappelijk regisseur in een sterk gedigitaliseerde samenleving, met een duidelijke toezichtstrategie die grote impact heeft op marketing en statistisch onderzoek.

​Kern van de AP-toezichtstrategie

De AP bewaakt het grondrecht op bescherming van persoonsgegevens en kijkt daarbij verder dan alleen de letter van de wet. Een toepassing wordt problematisch als die fundamentele waarden zoals non-discriminatie, autonomie, transparantie en veiligheid van persoonsgegevens aantast, óók als er nog geen specifieke regels bestaan.

​De AP werkt probleemgestuurd: zij grijpt in waar de risico’s en schade voor groepen burgers groot zijn en kiest daarbij het middel dat het meest effectief is, van voorlichting tot boetes. In alle gevallen staat het voorkomen en verminderen van schadelijke situaties met persoonsgegevens centraal.

Strategische focus 2026–2028

Voor 2026–2028 heeft de AP drie prioriteiten vastgesteld die richting geven aan toezicht, onderzoek en communicatie.

Massasurveillance in private en publieke domein: denk aan grootschalige online tracking, cameratoezicht en volgtechnieken die mensen continu in beeld brengen, wat hun persoonlijke autonomie onder druk zet.

Snelle ontwikkeling en inzet van AI: AI kan leiden tot discriminatie, desinformatie en verlies van autonomie; daarom werkt de AP aan kaders, een visie op generatieve AI en uitleg over rechten zoals het recht op uitleg.

Weerbare en betrouwbare digitale diensten: de AP wil de veiligheid en continuïteit van digitale diensten vergroten, afhankelijkheid van grote technologiebedrijven beperken en bewustwording over cyberveiligheid versterken.

Deze prioriteiten gelden voor alle activiteiten van de AP en worden concreet uitgewerkt in jaarplannen, projecten en interventies.

Implicaties voor marketing

Marketingactiviteiten zijn steeds vaker datagedreven en raken direct aan deze prioriteiten. Dit vraagt om bewuste keuzes in dataverzameling, profiling en personalisatie.

Massasurveillance: intensieve online tracking, retargeting en cross-device-profielen kunnen in de buurt komen van systematische observatie van gedrag, zeker bij grote platforms of campagnes met hoge schaal. Marketeers zullen scherper moeten onderbouwen welke data écht nodig zijn en hoe tracking wordt beperkt.

​AI in marketing: inzet van AI voor segmentatie, scoring en gepersonaliseerde content moet rekening houden met discriminatierisico’s en uitlegbaarheid. Organisaties zullen transparanter moeten zijn over het gebruik van algoritmen en consumenten duidelijk informeren over geautomatiseerde besluitvorming.

​Digitale weerbaarheid: marketingafdelingen werken met talloze tooling-ecosystemen (CRM, CDP, advertisingplatforms, cloud-diensten); de AP benadrukt dat continuïteit, security en afhankelijkheid van derde landen een strategisch onderwerp zijn, geen ICT-detail.

Dit alles maakt privacy en ethiek tot onderscheidende elementen in merkpositionering: organisaties die aantoonbaar zorgvuldig en transparant met data omgaan, bouwen vertrouwen op in een markt waar toezicht en bewustwording toenemen.

​Implicaties voor statistisch onderzoek

Ook statistisch onderzoek – intern klantonderzoek, marktonderzoek of impactmetingen – valt onder deze toezichtstrategie, zeker waar persoonsgegevens of (herleidbare) datasets worden gebruikt.

Probleemgestuurd toezicht: de AP richt zich vooral op grootschalige systemen of onderzoeken met grote maatschappelijke impact. Dat betekent dat statistisch onderzoek met kwetsbare groepen, gevoelige kenmerken of koppeling van diverse databronnen extra kritisch bekeken kan worden.

​AI en algoritmen in onderzoek: geautomatiseerde analysemethoden, voorspelmodellen en profilering vragen om aandacht voor bias en fairness. De AP werkt aan guidance over ethisch gebruik van AI, inclusief discriminatie, bias en fairness in algoritmische systemen, wat direct relevant is voor statistici en data-analisten.

​Meetinstrumentarium: de AP ontwikkelt een meetkader dat niet alleen kijkt naar output, maar vooral naar outcome van toezicht. Dat onderstreept het belang van onderzoek dat niet alleen cijfers levert, maar ook inzicht in daadwerkelijke effecten op burgers en hun rechten.

​Voor onderzoekers betekent dit dat methodologische keuzes (steekproeven, aggregatieniveaus, anonimisering, modelkeuze) expliciet gekoppeld moeten worden aan privacybescherming en het vermijden van onbedoelde discriminatie.

Handhaving en communicatie als signaal naar de markt

De AP beschikt over een breed instrumentarium: gesprekken, voorlichting, richtsnoeren, toezichtbezoeken, en – als het nodig is – boetes. De ernst en urgentie van een probleem bepalen welk instrument wordt ingezet en waar capaciteit naartoe gaat.

​Die handhavingskeuzes hebben een sterk signaal-effect richting markt en onderzoekswereld: thema’s die de AP agendeert (zoals AI in het sociaal domein, deurbelcamera’s, digitale leermiddelen, cloud-afhankelijkheid) worden daarmee ook prioriteiten voor compliance, marketingstrategie en onderzoeksagenda’s. Organisaties die in hun marketing en statistisch onderzoek aansluiten op deze agenda – met transparante datapraktijken, verantwoorde inzet van AI en aandacht voor rechten van mensen – lopen minder risico op ingrijpen én versterken hun geloofwaardigheid.

______________________________________

Eerdere publicaties

Mag een webwinkel een klant verplichten om een account aan te maken bij online aankopen?

Update: 2 januari 2026

Webwinkels mogen klanten in de meeste gevallen niet dwingen een account aan te maken als zij online iets willen kopen. De European Data Protection Board (EDPB) heeft nieuwe aanbevelingen gepubliceerd waarin gastafrekenen expliciet als voorkeursoptie wordt neergezet en verplichte accounts worden beperkt tot uitzonderingssituaties.  

Wat verandert er voor webshops?

De EDPB maakt duidelijk dat een gewoon online aankoopproces in principe zonder klantaccount moet kunnen verlopen. Een webshop mag dus niet langer standaard eisen dat een klant een profiel aanmaakt om af te rekenen, alleen maar omdat dit “handig” is voor marketing, loyaliteitsprogramma’s of klantanalyse.

In plaats daarvan moet een gastafrekenoptie duidelijk en volwaardig beschikbaar zijn. Extra functies, zoals het opslaan van bestelhistorie of persoonlijke aanbiedingen, mogen wel via een vrijwillig account, maar dan echt als keuze – niet als voorwaarde om überhaupt te kunnen kopen.

Waarom is verplicht accountaanmaken een probleem?

Een verplicht account leidt bijna altijd tot extra gegevensverwerking: gebruikersnamen, wachtwoorden, profielen, marketingvoorkeuren en soms aanvullende data zoals geboortedatum of interesses. De EDPB concludeert dat dit vaak verder gaat dan nodig is voor een eenmalige aankoop en daarmee botst met de AVG‑beginselen van dataminimalisatie en privacy by design.

Bovendien kunnen verplichte accounts gepaard gaan met misleidende ontwerpkeuzes, zoals het verbergen van gastafrekenen of het sturen richting extra tracking en profilering. De EDPB plaatst dit nadrukkelijk in het bredere debat over “dark patterns” en digitale eerlijkheid: de gebruiker moet een echte, vrije keuze hebben.

Wanneer mag een account níet verplicht worden?

Volgens de aanbevelingen is een verplicht account in de volgende situaties in de regel niet toegestaan:

Eenmalige aankopen van producten of diensten, zoals een losse bestelling bij een webshop.

Orderstatus volgen, retourneren of garantie afwikkelen; dit kan via bestelnummer, e‑mail en betalingsbewijs, zonder login.

Toegang tot digitale facturen of eerdere bestellingen kan optioneel via een account, maar moet niet nodig zijn om de oorspronkelijke aankoop of klantenrechten te kunnen uitoefenen.

In al deze gevallen vindt de EDPB dat de gegevens die strikt nodig zijn voor betaling, levering en klantenservice ook binnen een gastafrekenproces kunnen worden verwerkt.

Wanneer mag een account wél verplicht zijn?

Er zijn situaties waarin een account volgens de EDPB wél noodzakelijk kan zijn voor de dienstverlening:

Doorlopende abonnementsdiensten, zoals streamingplatformen of periodieke leveringen, waar een account nodig is voor toegang, beheer van het abonnement en facturering.

Besloten ledenomgevingen of exclusieve communities, waarbij het lidmaatschap en de login de kern van de dienst vormen (bijvoorbeeld een online leeromgeving of vereniging).

Cruciaal is dat het account in deze gevallen echt nodig is voor de uitvoering van de overeenkomst, niet slechts “handig” voor de aanbieder. De aanbieder moet dit goed kunnen onderbouwen en transparant uitleggen welke gegevens waarvoor worden verwerkt.

Wat moeten organisaties nu doen?

Voor webshops betekent dit dat het checkoutproces herzien moet worden: gastafrekenen standaard aanbieden, het aanmaken van een account duidelijk als vrijwillige optie presenteren en overbodige dataverwerking schrappen. Alleen als een dienst objectief niet goed werkt zonder account – zoals bij echte abonnementsmodellen of strikt afgebakende ledenplatformen – kan een verplichte login nog worden verdedigd, en dan alleen met een solide juridische onderbouwing onder de AVG.

Persbericht EDPB:

EDPB gives recommendations to make online shopping more respectful of users’ privacy, discusses the Digital Omnibus proposal and appoints new Deputy Chair | European Data Protection Board

Pseudonimisering en statistisch onderzoek: lessen uit de SRB-uitspraak

1. Introductie: waarom dit belangrijk is
Onderzoeksorganisaties in zowel het bedrijfsleven als de publieke sector werken dagelijks met persoonsgegevens: van enquêteresultaten tot grote databestanden van klanten of burgers. Vaak wordt er gewerkt met pseudoniemen (bijvoorbeeld klantnummers in plaats van namen), zodat onderzoekers zelf de personen niet kennen.

Maar de vraag blijft: valt dit soort data onder de AVG? En wat betekent dit voor de manier waarop wij statistisch onderzoek uitvoeren?

Het Hof van Justitie van de EU heeft hierover duidelijkheid gegeven in de SRB-uitspraak van 4 september 2025 (zaak C-413/23 P, EDPS/SRB). Deze uitspraak laat zien hoe we pseudonimisering moeten begrijpen, en welke verplichtingen blijven gelden.

2. Wat zegt de AVG over onderzoek?
De Algemene Verordening Gegevensbescherming (AVG) heeft een apart regime voor statistische en onderzoeksdoeleinden.

• Artikel 89 AVG bepaalt dat onderzoek mag met persoonsgegevens, mits er passende waarborgen zijn, zoals pseudonimisering of andere technieken die het risico voor betrokkenen verkleinen.
• Overweging 162 AVG benadrukt dat persoonsgegevens die zó geanonimiseerd zijn dat ze niet meer naar een individu te herleiden zijn, niet langer onder de AVG vallen.

Kortom: pseudonimisering helpt, maar haalt de gegevens meestal niet uit de AVG.

3. De SRB-zaak in gewone taal
De Single Resolution Board (SRB) moest beoordelen of beleggers en schuldeisers van een bank recht hadden op compensatie.

• SRB verzamelde reacties (meningen, standpunten) van duizenden mensen.
• Die reacties werden gepseudonimiseerd: gekoppeld aan codes, maar zonder naam/adres.
• Deze reacties stuurde SRB door naar Deloitte, die ze moest analyseren.

Enkele betrokkenen klaagden bij de Europese toezichthouder (EDPS) omdat zij vonden dat hun persoonsgegevens waren gedeeld zonder dat dit goed was meegedeeld.

Het Hof zei: Voor SRB (de verantwoordelijke) bleven dit persoonsgegevens, omdat die altijd de sleutel had. Voor Deloitte (de verwerker) konden de gegevens door technische maatregelen praktisch niet worden herleid. Toch bleef de informatieplicht gelden op het moment van verzamelen.

4. Wat betekent dit voor statistisch onderzoek?
De uitspraak bevestigt en verduidelijkt de regels uit de AVG:

• Pseudonimisering is niet hetzelfde als anonimiseren. Ook al ziet een onderzoeksorganisatie alleen klantnummers, de opdrachtgever kan de data herleiden. Het blijft dus persoonsgegevensverwerking.
• Statistisch onderzoek (artikel 89 + overweging 162 AVG) veronderstelt dat de resultaten niet tot individuen terug te leiden zijn. Zodra dat wel kan, is het geen uitsluitend statistisch doel meer.
• Informatieplicht: deelnemers aan onderzoek moeten al bij het verzamelen weten wie de ontvangers zijn en wat er met hun data gebeurt.

5. Voorbeelden uit de praktijk
Case A: Onderzoeksbureau krijgt pseudonieme data
Een organisatie levert een bestand met klantnummers en antwoorden aan een onderzoeksbureau. Het bureau kan de personen niet identificeren, omdat de sleutel bij de opdrachtgever blijft.

• AVG-status: nog steeds persoonsgegevens (want de opdrachtgever kan koppelen).
• Onderzoekskader (artikel 89 AVG): toegestaan, mits goede afspraken over sleutelbeheer.
Case B: Onderzoeksbureau levert antwoorden mét klantnummer terug
Een onderzoeksorganisatie stuurt een bestand met antwoorden terug aan de opdrachtgever, mét de klantnummers die de opdrachtgever kan herleiden.

• AVG-status: direct herleidbare persoonsgegevens voor de opdrachtgever.
• Niet ‘uitsluitend statistisch’: het gaat om herleidbare klantinzichten, niet om geaggregeerde statistiek.
• Gevolg: valt niet meer onder artikel 89/overweging 162 AVG → gewone AVG-regels gelden (grondslag, rechten betrokkenen).
Case C: Rapportage op groepsniveau
Het onderzoeksbureau levert alleen tabellen en gemiddelden terug. Niemand kan individuen herkennen.

• AVG-status: anonieme data.
• Gevolg: valt buiten de AVG.
• Zuiver statistisch onderzoek conform artikel 89 + overweging 162 AVG.

6. Conclusie en aanbevelingen
De SRB-uitspraak maakt duidelijk dat pseudonimisering geen vrijbrief is. Voor statistisch onderzoek onder artikel 89 jo. overweging 162 geldt:

• Opdrachtgevers (verwerkingsverantwoordelijken): blijven altijd verantwoordelijk. Ook gepseudonimiseerde data zijn persoonsgegevens zolang u de sleutel hebt.
• Onderzoeksorganisaties (verwerkers): werken vaak met niet-herleidbare data, maar juridisch is het nog steeds persoonsgegevensverwerking.
• Praktijkregel: alleen resultaten op groepsniveau zonder herleidbaarheid zijn echt ‘statistisch’ in de zin van de AVG.

Aanbevelingen voor de sector
1. Maak afspraken over sleutelbeheer: onderzoeksbureaus mogen geen toegang hebben tot identificatiesleutels.
2. Wees duidelijk naar respondenten: vermeld al bij de start wie de ontvangers zijn en wat er met hun data gebeurt.
3. Rapporteer geaggregeerd: lever geen individuele resultaten terug tenzij het doel méér is dan statistiek (en dus een andere grondslag vereist).
4. Gebruik pseudonimisering als waarborg, niet als excuus: het verlaagt risico’s, maar haalt data meestal niet uit de AVG.

Voetnoten
1. Artikel 89 AVG: verwerking ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, mits passende waarborgen.
2. Overweging 162 AVG: anonieme gegevens vallen buiten de AVG; gepseudonimiseerde gegevens blijven persoonsgegevens zolang herleiding mogelijk is.
3. Hof van Justitie, arrest 4 september 2025, EDPS tegen SRB, zaak C-413/23 P.

Actueel

Reclamefolders in Rotterdam: wat marketeers moeten weten na het arrest van juli 2025

Op 8 juli 2025 deed het Gerechtshof Den Haag uitspraak in een zaak die grote gevolgen heeft voor verspreiders van ongeadresseerd reclamedrukwerk in Rotterdam. Waar gaat dit over, en wat betekent dit voor marketeers die folders, flyers of direct mail willen inzetten?

Van opt-out naar opt-in

Tot 2020 konden Rotterdammers ongeadresseerde reclamefolders weigeren met een NEE/NEE- of NEE/JA-sticker. Wie geen sticker had, kreeg standaard alles in de bus (het bekende opt-out systeem).

Sinds 2020 geldt in Rotterdam het omgekeerde: alleen huishoudens met een JA/JA-sticker mogen ongeadresseerde reclame ontvangen. Dit wordt een opt-in systeem genoemd. Doel: papierafval en verspilling verminderen.

Volgens de gemeente levert dit een forse milieuwinst op: jaarlijks ruim 5,5 miljoen kilo minder papier (?).

De twist: ‘Aan de bewoners van…’

Organisatie zoals bedrijven en Goede Doelen sturen reclame met de aanhef

‘Aan de bewoners van [adres]’. Er stond dus wél een adres op, maar geen naam.

De vraag was: valt dit onder geadresseerde post (en dus toegestaan), of toch onder ongeadresseerde reclame (en dus verboden zonder JA/JA-sticker)?

De rechter in eerste aanleg oordeelde dat de gemeente dit mocht zien als ongeadresseerd. Postfilter, Kiesjefolders en PostNL gingen in hoger beroep.

Het arrest van juli 2025

Het Gerechtshof Den Haag bevestigde de eerdere lijn: ook poststukken met alleen een adres, maar zonder naam, gelden als ongeadresseerde reclame.

Dat betekent concreet:
– Reclamedrukwerk met ‘aan de bewoners van’ wordt in Rotterdam behandeld als folderreclame.
– Bezorging mag dus alleen bij brievenbussen met een JA/JA-sticker.
– Het maakt niet uit dat er wel een straat en huisnummer op staan: zonder naam is het ‘ongeadresseerd’.

Wat mag nog wel?

– Gepersonaliseerde direct mail (met naam én adres) mag altijd worden bezorgd, tenzij iemand zich heeft afgemeld via Postfilter.nl.
– Folders via selectieve systemen mogen ook, mits er sprake is van een persoonlijke aanmelding.
– Huis-aan-huisbladen en informatie van buurtorganisaties vallen niet onder dit verbod.

Waarom is dit belangrijk voor marketeers?

De uitspraak dwingt tot scherpere keuzes in folderstrategieën:
– Klassieke ongeadresseerde folders bereiken alleen nog huishoudens met een JA/JA-sticker.
– Folders met het gebruik van ‘aan de bewoners van’ in Rotterdam vallen ook onder de regel van JA/JA sticker.

Maar dit is een Rotterdams verhaal. De verdere gevolgen voor de reclame praktijk zullen moeten blijken. Bovendien is dit niet alleen een Rotterdams verhaal..

Checklist voor marketeers in Rotterdam

• ✅ JA/JA-sticker verplicht: Ongeadresseerde folders mogen alleen daar worden bezorgd.
• ✅ ‘aan de bewoners van’: Dit telt juridisch als ongeadresseerd, dus verboden zonder sticker.
• ✅ Direct mail met naam en adres: Mag altijd, tenzij iemand zich heeft afgemeld via Postfilter.nl.
• ✅ Controleer Postfilter.nl: Voorkom overtredingen en irritatie door afmeldingen te respecteren.

Link naar de gehele uitspraak:

ECLI:NL:GHDHA:2025:1273, Gerechtshof Den Haag, 200.337.686/01

Actueel

Herziene Code Reclame via E-mail: vanaf 15 augustus 2025 van kracht

Op 15 augustus 2025 treedt de vernieuwde Code Reclame via E-mail in werking. Deze code is onderdeel van de Nederlandse Reclame Code en geldt voor het versturen van ongevraagde commerciële e-mails. De regels uit 2012 zijn gemoderniseerd, zodat ze beter passen bij de huidige techniek, privacyverwachtingen en zelfregulering in de marketingsector.

De aanpassingen sluiten ook beter aan op andere marketingcodes, zoals de Code Telemarketing.

Belangrijkste veranderingen

1. Duidelijk onderscheid tussen reclame en serviceberichten
   Serviceberichten (zoals leveringsupdates of factuurbevestigingen) vallen buiten de code. Reclame gaat om het aanprijzen van producten, diensten of ideeën.
2. Bewijs van toestemming of klantrelatie verplicht
   Je moet kunnen aantonen hoe je het e-mailadres hebt verkregen en dat je toestemming hebt of een bestaande klantrelatie.
3. Strakkere regels voor verzamelen van e-mailadressen
   De ontvanger moet vooraf duidelijk weten wie zijn gegevens gebruikt, voor welk doel en of gegevens worden gedeeld met derden.
4. Afmeldmogelijkheid in iedere e-mail
   De afmeldlink moet zichtbaar, eenvoudig en kosteloos zijn. Verzoeken moeten binnen 7 dagen verwerkt worden.
5. Technische eisen en herkenbaarheid
   E-mails moeten duidelijk herkenbaar zijn als reclame, de afzender moet goed vindbaar zijn, en er gelden maxima voor bijlagegrootte.

Waarom deze herziening?

De update speelt in op:

• Nieuwe technische mogelijkheden en beveiligingseisen in e-mailmarketing
• Kritischer wordende consumenten die meer controle willen over hun inbox
• Uniformiteit met andere marketingcodes, zodat regels duidelijker en makkelijker toepasbaar zijn

Checklist: voldoet de e-mailcampagne aan de nieuwe code?

✅ Type bericht checken — Is het reclame of een servicebericht?
✅ Toestemming of klantrelatie aantoonbaar — Kun je bewijzen hoe je het e-mailadres hebt verkregen?
✅ Duidelijke informatie bij inschrijving — Weet de ontvanger wie je bent en waarvoor je de e-mail gebruikt?
✅ Afmeldlink zichtbaar en werkend — In elke mail, zonder onnodige stappen of inlog.
✅ Verwerking afmeldingen binnen 7 dagen — Communiceer als er vertraging optreedt.
✅ Herkenbare afzender — Naam/label in het Van-veld, werkend reply-adres.
✅ Technische limieten — Bijlagen max. 500 KB of via downloadlink met bestandsinfo.

🔎 Meer weten?
De volledige Code Reclame via E-mail 2025 staat op reclamecode.nl.

Recent

Gerechtvaardigd belang en direct marketing

Het Europese Hof van Justitie heeft recent een belangrijke uitspraak gedaan over de vraag of persoonsgegevens voor commerciële doeleinden (direct marketing) door verengingen, goede doelen en bedrijven kunnen worden verwerkt op basis van een ‘gerechtvaardigd belang’. Deze uitspraak is niet van toepassing op overheidsinstanties omdat in de Avg is bepaald dat overheidsinstanties voor de uitvoering van haar taken geen beroep kan doen op een gerechtvaardigd belang,

Waar ging het om?

In 2018 had de KNLTB (Tennisbond) de persoonsgegevens van haar leden verkocht aan commerciële partners (sponsors) voor direct marketingdoeleinden, zonder expliciete toestemming van de betrokken leden. De AP legde een boete op, omdat ze van mening was dat er geen gerechtvaardigd belang bestond om deze gegevens zonder toestemming te verstrekken aan derden (sponsors).

De KNLTB voerde aan dat direct marketing een gerechtvaardigd belang kan zijn, mits dit zorgvuldig gebeurt. Echter, de Nederlandse rechter stelde in 2021 de AP in het gelijk en oordeelde dat de privacy van de leden in dit geval zwaarder woog dan het commerciële belang van de KNLTB. Het gerechtvaardigd belang kon hier niet als rechtsgrondslag worden gebruikt voor het doorgeven van de gegevens. De KNLTN ging tegen deze uitspraak in beroep. In deze procedure is aan het Europese Hof van Justitie de vraag voorgelegd of het gerechtvaardigd belang bij direct marketing  van toepassing is.

Het Europese Hof heeft beslist dat de interpretatie van de Autoriteit Persoonsgegevens niet juist is.

Het verwerken van persoonsgegevens, zoals het verstrekken aan een derde, voor direct marketing doeleinden is niet verboden in de Avg/GDPR volgens het Europese Hof van Justitie. Maar het Europese Hof voegt wel toe dat wanneer een Verwerkingsverantwoordelijke (zoals een vereniging, maar ook goede doel of bedrijf) zich beroept op de grondslag ‘gerechtvaardigd belang’ om persoonsgegevens te verwerken voor direct marketing doeleinden dat:

1. het bestaan van een gerechtvaardigd belang wordt aangetoond, en
2. de verwerking strikt noodzakelijk moet zijn om dat gerechtvaardigd belang te bereiken, en
3. de rechten en vrijheden van personen mogen niet zwaarder wegen dan het belang van de Verwerkingsverantwoordelijke of de derde aan wie de persoonsgegevens worden verstrekt.

Onder deze voorwaarden is het mogelijk om persoonsgegevens te verwerken voor direct marketing op basis van ‘het gerechtvaardigd belang’.

Deze uitspraak heeft geen directe consequenties voor statistisch onderzoek, maar wel voor organisaties die persoonsgegevens verwerken voor direct marketing doeleinden.

Hieronder de link naar de uitspraak:

https://curia.europa.eu/juris/document/document.jsf?text=&docid=290688&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=4049079

Website Privacy.nl van Singewald Consultants Group BV

Privacy.nl wordt onderhouden door Singewald Consultants Group. Op Privacy.nl wordt aandacht geschonken aan:

• De bedrijfsactiviteiten van Singewald Consultants Group;
• Toepasselijke wetgeving en zelfregulering op het werkveld van Singewald Consultants Group:
  • Avg en Uavg,  Telecommunicatiewet over het gebruik van telefoon en elektronische adresgegevens voor commerciële doeleinden en statistisch onderzoek en AI;
• Stappen/compliance handreiking Avg/Uavg.

Algemene beschrijving van de activiteiten Singewald Consultants Group  BV

Singewald Consultants Group adviseert op het gebied van (complexe) juridische en management-vraagstukken binnen:

• Data & Insights (statistisch onderzoek) / marktonderzoek sector;
• Direct/database marketing, ongeadresseerd reclamedrukwerk (NEE|NEE sticker, NEE|JA sticker en JA-sticker) direct mail, telemarketing, e-mailmarketing (gebruik van elektronische contactgegevens);
• E-commerce en verkoop op afstand;
• (oneerlijke) handelspraktijken;
• AI Governance en Compliance;
• De overgang en gebruik van persoonsgegevens bij gehele of gedeeltelijke bedrijfsovernames (Due Diligence);
• Sales Promotion, de toepassing van de Code promotionele kansspelen.

Voor een meer gedetailleerde beschrijving van de dienstverlening zie: Bedrijfsprofiel.