De illusie van ‘onschuldige’ e-mailmarketing

De meeste micro- en kleine ondernemingen behandelen hun nieuwsbriefstrategie als een bijzaak: even snel in elkaar gezet met een paar klikken en daarna op de automatische piloot gezet. Kan geen kwaad, toch? Je verzamelt geen medische dossiers en bouwt geen AI-modellen. Je stuurt gewoon wat updates.

Die illusie is nu verleden tijd.

In juli 2024 kreeg een bedrijf in Italië een boete van €45.000 van de Autoriteit Persoonsgegevens (Garante) voor het slecht beheren van hun e-mailmarketing. Niet vanwege een datalek. Niet vanwege een surveillanceschandaal. Gewoon… nieuwsbrieven. Uitbesteed, niet gemonitord, en niet in lijn met de basisprincipes van de AVG.

De boodschap aan Nederlandse MKB’ers is helder: digitaal ≠ onzichtbaar. Elke e-mail die je verstuurt valt onder gegevensverwerking. Elk hulpmiddel dat je gebruikt, Mailchimp, HubSpot, freelancers, brengt verplichtingen met zich mee onder Artikel 28 AVG. En elke tekortkoming in documentatie, controle of verantwoording? Is jouw aansprakelijkheid.

Wanneer “Gewoon een Nieuwsbrief” €45.000 kost

De Italiaanse zaak is leerzaam juist omdat hij zo doorsnee is. Het beboete bedrijf had de promotionele mailings uitbesteed aan externe partners. Geen criminele activiteit. Geen hack. Gewoon slechte hygiëne: men controleerde nooit of de verwerkers juridische waarborgen boden, en gaf gebruikersgegevens uit handen zonder enige serieuze controle.

De Garante benoemde twee hoofdpunten van falen:

Geen due diligence bij partners. Het bedrijf selecteerde verwerkers zonder hun AVG-naleving te toetsen of de juiste garanties vast te leggen. Een directe overtreding van Artikel 28 en 83(2)(a). De gebruikte tools kwamen onder andere uit de VS en Spanje. De Amerikaanse partner had geen vertegenwoordiger volgens Artikel 27 AVG benoemd, wat de blootstelling van de verwerkingsverantwoordelijke vergrootte.

Blinde delegatie. Ze besteedden niet alleen het werk, maar ook de verantwoordelijkheid uit, iets wat onder de AVG nooit is toegestaan. Dit leverde een tweede overtreding op onder Artikel 83(2)(b).

De boete? €45.000. De verdediging? “Maar zij zeiden dat het oké was.” Verwacht: afgewezen.

Dit is geen Italiaanse dramatiek. Dit is EU-wetgeving, bindend in Nederland en al in werking.

Double opt-in: niet verplicht, wel onmisbaar

Hoewel de boete draaide om verwerkersbeheer, herhaalde de Garante een cruciaal punt: double opt-in blijft de gouden standaard om toestemming aan te tonen volgens Artikel 7 AVG.

Het is simpel: single opt-in is makkelijk te manipuleren en moeilijk te bewijzen. Iedereen kan een e-mailadres invullen. Alleen bij double opt-in (klik op een bevestigingslink) is er helder bewijs dat de gebruiker bewust heeft ingestemd.

Dit is geen theoretisch risico. Als iemand een klacht indient en jouw systeem kan geen geldige toestemming aantonen, ligt de bewijslast bij jou. Dat is geen risico. Dat is een valkuil.

Geen ontsnapping aan Artikel 28: jij blijft de verwerkingsverantwoordelijke

Uitbesteden vermindert je verantwoordelijkheid niet. Als je een SaaS-tool of een bureau inschakelt voor je nieuwsbrieven, ben jij nog steeds de verwerkingsverantwoordelijke. Dat betekent:

• Jij moet hun AVG-naleving toetsen.
• Jij moet een verwerkersovereenkomst (DPA) ondertekenen vóórdat er gegevens worden uitgewisseld.
• Jij moet duidelijke instructies vastleggen: wat ze wel en niet mogen doen.
• En jij moet controleren of ze zich eraan houden.
• Is je freelancer de afmeldlink vergeten? Jouw verantwoordelijkheid.
• Heeft je SaaS-tool stilletjes de voorwaarden aangepast? Jij had moeten opletten.

Artikel 28 AVG maakt geen onderscheid op basis van hoe klein je mailinglijst is of hoe ‘sympathiek’ je leverancier overkomt. Het draait erom dat jij je werk doet.

Waar het bij Nederlandse MKB’ers vaak fout gaat

De keiharde realiteit: de meeste Nederlandse micro- en kleine ondernemingen zijn nu al in overtreding. Niet omdat ze kwaadaardig zijn, maar omdat ze slordig zijn.

Wat we telkens opnieuw zien:

• Aanmeldformulieren zonder toestemmingsvakje, of met vage teksten (“Blijf op de hoogte!” is géén geldige toestemming).
• Single opt-in systemen zonder logging of audit trail.
• Freelancers die campagnes draaien zonder contract, instructies of toezicht.
• Tools als Sendinblue of HubSpot gebruiken zonder de DPA te lezen of te checken waar de data wordt opgeslagen.
• Geen bewijs van wanneer of hoe iemand zich heeft aangemeld — of afgemeld.

Je hebt geen IT-audit nodig om het probleem te zien. Je hoeft alleen maar te kijken.

De Risicokaart van E-mailmarketing Non-compliance

Compliance = Respect

Even weg van de juridische taal. Als iemand je zijn e-mailadres geeft, vertrouwt die persoon jou. Dat vertrouwen vraagt om structuur, duidelijkheid en grenzen. Dát is waar de AVG echt over gaat.

Dus nee, jouw nieuwsbrief is niet “gewoon een nieuwsbrief.” Het is een actief, traceerbaar proces dat draait om persoonsgegevens, wettelijke verantwoordelijkheid en ethisch omgaan met data. Als je dat verkeerd aanpakt, verlies je meer dan alleen compliance. Je verliest geloofwaardigheid.

Laatste gedachte: Doe het één keer goed

Je hebt geen leger aan juristen nodig om je systeem op orde te brengen. Je moet alleen stoppen met het behandelen alsof het een bijzaak is.

Begin hier:

• Gebruik altijd double opt-in. Geen discussie.
•  Lees de DPA van je leverancier, of stap over naar eentje die er wél een heeft.
•  Ruim je formulieren op: expliciete toestemming, helder doel.
•  Log elk toestemmingsmoment: tijdstip, IP-adres, bron.
•  Beoordeel je partners: zijn ze compliant, of gewoon makkelijk?

Privacy is geen papierwinkel. Het is het bewijs dat je je werk serieus neemt.

Word serieus. Of bereid je voor op boetes.