AVG-conforme prospecting

B2B-prospecting die overeind blijft onder artikel 6(1)(f).

De AVG laat cold B2B-mail toe onder gerechtvaardigd belang, maar alleen als je de belangenafweging, de bron per contact en de onderdrukking die een refresh overleeft kunt overleggen. De regels verschillen tussen NL, UK en DE. Deze gids loopt door wat elk vraagt en waar de meeste Amerikaans gevormde stacks omvallen. Praktisch, geschreven door operators, gelezen door juristen - geen juridisch advies.

Probeer gratis Lees wat de AVG echt vraagt

Je kwam hier waarschijnlijk omdat

Je DPO vroeg onder welke artikel 6-grond je verstuurt en je kon niet aan de LIA wijzen.
Een prospect mailde terug met 'hoe komen jullie aan mijn gegevens en op welke grond?'
Je huidige tool draait vanuit de VS en je krijgt er geen Schrems II-antwoord doorheen.
Een AP-brief is precies het soort risico waar je CFO sinds dit jaar op stuurt.

Klopt iets daarvan, dan is de rest van deze pagina voor jou.

Gratis trial, zonder creditcard

Draai eerst tien echte prospects door de Europese stack.

Tien prospectpakketten end-to-end opgebouwd onder dezelfde compliance-houding als het betaalde product: bron per contact, duurzame onderdrukking, geen gedragsdata, geen contract. We vragen na afloop één kort feedbackgesprek.

Probeer gratis

Wat de AVG werkelijk vereist

Vijf dingen die moeten kloppen bij rechtmatige B2B-cold-outreach.

Een samenvatting in gewone taal, geen juridisch oordeel. Lees het als de ondergrens, en laat je DPO of jurist je specifieke motion nakijken voor je over de grens opschaalt.

Artikel 6 lid 1 sub f: gerechtvaardigd belang, op papier voor je verstuurt.

B2B-cold-mail in Europa draait op gerechtvaardigd belang onder artikel 6(1)(f) AVG, niet op toestemming. Overweging 47 noemt direct marketing met zoveel woorden als mogelijk gerechtvaardigd belang. De voorwaarde is dat je je redenering kunt laten zien, hem afweegt tegen het belang van de prospect, en de uitkomst documenteert. Dat document heet een Legitimate Interest Assessment, in NL-context vaak afgekort tot LIA of belangenafweging. Drie kolommen: doel, noodzaak, balans. Kun je hem niet overleggen als de AP belt, dan heb je geen rechtsgrond. Dan heb je een vermoeden.

ePrivacy boven op de AVG: Telecommunicatiewet 11.7, UK PECR Reg. 22, DE UWG §7.

De AVG is de bodem, ePrivacy is het plafond. De Nederlandse Telecommunicatiewet artikel 11.7 staat ongevraagde B2B-mail toe naar een rechtspersoon op een zakelijk adres, mits je jezelf identificeert en in elk bericht een werkende opt-out aanbiedt. UK PECR Reg. 22 dekt alleen individual subscribers, dus cold mail naar een Ltd of LLP op corporate-adres valt erbuiten (ZZP'ers en de meeste partnerships niet - check de ICO). Duitsland is de strenge: UWG §7(2) Nr. 3 vraagt in beginsel voorafgaande toestemming bij natuurlijke personen, ook bij een zakelijk adres dat aan één naam hangt. Dezelfde verordening, drie verschillende defaults.

Bronherkomst per contact, niet per database.

Mailt een prospect terug met de vraag waar je zijn gegevens vandaan hebt, dan is 'een B2B-database' geen antwoord dat de Autoriteit Persoonsgegevens accepteert. Elk record heeft een herleidbare bronlijn nodig: een publiek KVK-uittreksel, een genoemde branchegids, een geregistreerde datapartner met een eigen artikel 6-grond. 'Onze verrijkingsleverancier' werkt alleen als je ook de verwerkersovereenkomst hebt liggen, de SCC's voor de transfers naar derde landen, en de Schrems II-impactassessment die daarbij hoort. De audit-trail hoort bij het contact, niet in een vendor-portaal waar je bij de volgende contractronde geen toegang meer toe hebt.

Onderdrukking die een refresh overleeft.

Artikel 21 geeft de prospect een absoluut recht van bezwaar tegen direct marketing. De praktijk die dat afdwingt is je suppression list, en die moet doorlopen over senders, sequences en de volgende kwartaalrefresh van je dataprovider. De klassieke fout: iemand schrijft zich uit in maart, de provider hersynchroniseert de rij in juni, en in juli zit dezelfde persoon opnieuw in een sequence onder een nieuwe afzender. Voor de AP is dat dezelfde overtreding als het negeren van de eerste afmelding.

Dataminimalisatie en de gedragsdata-valkuil.

Bewaar wat je nodig hebt voor een contactbeslissing. Verder niets. Browsegedrag uit ingelogde sessies, lookalike-audiences gebouwd op cookie-grafen en shadow-profielen verrijkt via third-party trackers vallen door artikel 5 lid 1 sub c, los van wat een Amerikaans gebouwde tool ervan zegt. Ze trekken bovendien vaak een DPIA-plicht onder artikel 35 met zich mee, omdat grootschalige gedragsprofilering op de AP-lijst staat. Hoe simpeler de data, hoe makkelijker de grond.

Waar je het zelf kunt nalezen

De primaire bronnen, voor het geval je liever niet op een blogpost van een leverancier vertrouwt:

- AVG artikel 6(1)(f) en overweging 47 over gerechtvaardigd belang als grond voor direct marketing.
- Autoriteit Persoonsgegevens richtsnoeren en gepubliceerde handhavingsbesluiten (Clearview AI, OLVG, Booking.com).
- Telecommunicatiewet artikel 11.7 voor de NL-uitzondering op B2B-mail.
- ICO Direct Marketing Code en PECR Reg. 22 over het corporate subscriber-onderscheid.
- UWG §7 en BGH-jurisprudentie over ongevraagde B2B-mail in Duitsland.
- EDPB Recommendations 01/2020 over aanvullende maatregelen na Schrems II.

Waar de meeste tools de mist in gaan

Vier failure modes die een toezichthouder zou opmerken.

Geen daarvan is theoretisch. Elke is in de afgelopen vijf jaar in een gepubliceerd besluit van AP, ICO of BfDI langsgekomen, en elke is iets wat een koper redelijkerwijs moet kunnen verdedigen.

Massaal scrapen van LinkedIn (en het 'wij verrijken alleen, jij scrapet'-feigenblad).

Op schaal LinkedIn-profielen scrapen voor B2B-lijsten valt niet automatisch onder gerechtvaardigd belang en wordt door de AVG niet gezegend. De gebruiksvoorwaarden van LinkedIn verbieden het expliciet (zie de hiQ Labs-rechtspraak in de VS) en de AP heeft ongevraagde scraping van profielen consequent als onrechtmatige verwerking behandeld - de Clearview AI-boete is daar het scherpste voorbeeld van. Tools die jou de contacten geven en de exportknop laten indrukken, schuiven de verantwoordelijkheid jouw kant op. Jij staat in de klacht.

Gedragsdata uit cookies en pixels die nooit transparant zijn gemaakt.

Sommige Amerikaans gevormde verrijkingstools naaien stilletjes browsedata in via partner-cookienetwerken, retargeting-pixels of 'identity graphs' waar niemand aan de prospectkant ooit toestemming voor heeft gegeven. Dat is een Overweging 47-probleem (de prospect kan de verwerking niet 'redelijkerwijs verwachten') en een artikel 35-probleem voor de DPIA. Belooft een tool je signalen als 'heeft de pricingpagina van je concurrent bezocht', stop dan en vraag waar de cookie is gezet. Het antwoord overleeft een AP-onderzoek zelden.

Single-source databases zonder gedocumenteerde bronlijn.

Kan een leverancier niet vertellen welke bron een specifiek contact heeft geleverd, wanneer het voor het laatst is geverifieerd, en op welke grond de bron het oorspronkelijk heeft verzameld, dan kan diezelfde leverancier het de toezichthouder ook niet vertellen. De keten van rechtsgrond loopt vanaf de eerste verzameling - niet vanaf het moment dat jij de export koopt. 'Onze proprietary database' is een marketingregel, geen rechtsgrond. De AP-zaken rond OLVG en Booking.com draaiden op documentatie, niet op intentie.

Internationale doorgiftes die een Schrems II-toets niet doorstaan.

Verwerkt de tool persoonsgegevens uit de EU op Amerikaanse infrastructuur, dan ben jij verwerkingsverantwoordelijke van een internationale doorgifte. Standard Contractual Clauses zijn nodig, niet voldoende. Schrems II vraagt om een Transfer Impact Assessment plus aanvullende maatregelen waar Amerikaans surveillance-recht (FISA 702, EO 12333) reëel risico oplevert. Het Data Privacy Framework opent een route voor DPF-gecertificeerde Amerikaanse ontvangers, maar je moet de certificering per verwerker controleren. 'EU-region hosting' op een Amerikaans bestuurd platform lost het transferprobleem niet op.

Wanneer deze aanpak werkt (en wanneer niet)

Cold B2B-mail onder gerechtvaardigd belang is een verdedigbare motion, met grenzen.

Werkt als

- Je verstuurt naar een duidelijk professionele rol bij een aanwijsbare rechtspersoon, op een zakelijk adres.
- Je bericht is materieel relevant voor die rol en je waardepropositie is in gewone taal te onderbouwen.
- Je kunt de LIA, de bron per contact en de onderdrukking op verzoek overleggen.
- Je motion blijft binnen NL, UK (corporate subscribers) of vergelijkbare ePrivacy-vriendelijke jurisdicties.

Werkt niet als

- Je in Duitsland verstuurt zonder voorafgaande toestemming (UWG §7(2) Nr. 3 maakt cold mail aan natuurlijke personen B2B een probleem).
- Je contacten ZZP'ers, freelancers of partnerships zijn - die behandelen ICO en AP als individual subscribers.
- Je verrijkt met gedragsdata, intentscores uit cookies of geschraapte LinkedIn-activiteit.
- Je motion consumer-adjacent is (kleine B2C2B) waar de ontvanger als privépersoon optreedt.

Eerlijke tegenspraak

Hooklyne is niet de juiste keuze als je compliance-houding al volwassen is en je bottleneck het volume aan contacten is, niet de verdedigbaarheid van je grondslag. Heb je een DPO die een Cognism-contract heeft afgetekend, draai je een Lusha-extensie op de machines van je reps en bouwde je een eigen suppression-laag in je CDP, dan heb je dataniveau al ingekocht. Cognism is in de breedte de completere Europese contactdataspeler op schaal. Wij verdienen ons geld als het team klein is, de juridische blootstelling asymmetrisch is, en je liever tien verdedigbare prospects hebt dan tienduizend brittle.

Hoe Hooklyne hiervoor is gebouwd

Compliance-houding, geen compliance-pakket.

In Nederland gebouwd, op Europese infrastructuur gehost, met een Nederlandse rechtspersoon als verwerkingsverantwoordelijke en een verwerkersovereenkomst die je vóór ondertekening krijgt. We scrapen geen LinkedIn, we retargeten geen cookies en we nemen geen gedragsdata uit ingelogde sessies in. Elk contact komt uit een publiek register zoals KVK of Companies House, een branchegids of een geregistreerde datapartner onder zijn eigen artikel 6-grond - en de bron reist mee met het record, niet in een vendor-portaal.

Drie stukken die je in een audit moet kunnen overleggen, leven bij het contact zelf en niet in een aparte compliance-kluis: bron-URL of register-citaat, datum laatste verificatie en het LIA-sjabloon dat de campagnemotion dekt. Onderdrukking is duurzaam over senders, sequences en kwartaalrefreshes - meldt iemand zich af in maart, dan blijft de rij onderdrukt als de provider in juni opnieuw synchroniseert. De handhavingspraktijk van de AP rond Booking.com en OLVG draaide om de vraag of documentatie op verzoek leverbaar was. De onze is dat.

Waar transfers tóch een derde land raken, zijn de SCC's de versie van 2021, ligt de TIA klaar en zijn de aanvullende maatregelen onder Schrems II per verwerker opgesomd. Het simpelste antwoord voor de meeste NL- en UK-afzenders is dat de data de EU helemaal niet verlaat - en dat is hier de default. Sta je voor de keuze tussen een Amerikaans gevormde tool met een DPF-certificaat en een Europees gebouwde zonder transfer, dan is de tweede strikt minder papierwerk.

Eenvoudige prijzen.

Eén transparant credit-systeem waarin elke actie hetzelfde kost, ongeacht je abonnement. Wissel van plan of zeg op wanneer je wilt.

Start

vanaf€39/mnd

100credits / mnd

Eén rep. Test en valideer je outbound. Self-serve.

Meest gekozen

Growth

vanaf€129/mnd

400credits / mnd

1-2 reps. Volledige pipeline. Setup call inbegrepen.

Scale

vanaf€239/mnd

800credits / mnd

Klein salesteam. Volume outbound. Tot 5 reps.

Bekijk alle prijzen Vraag toegang aan

Gerelateerde gidsen

Is cold e-mail legaal? Gerechtvaardigd belang onder de AVG B2B vs B2C onder de AVG E-maillijsten kopen en de AVG

Veelgestelde vragen

Vragen over AVG-prospecting, beantwoord.

Mag B2B-cold-mail eigenlijk in NL, UK en DE?

Drie verschillende antwoorden onder dezelfde AVG. NL: ja, onder de Telecommunicatiewet artikel 11.7, naar een rechtspersoon op een zakelijk adres met identificatie en een werkende opt-out. UK: ja naar corporate subscribers onder PECR Reg. 22 (Ltd, LLP, overheid), nee naar de meeste ZZP'ers en partnerships, die de ICO als individual subscribers behandelt. DE: in beginsel niet zonder voorafgaande toestemming onder UWG §7(2) Nr. 3, ook B2B - de BGH heeft ongevraagde zakelijke mail consequent als oneerlijke handelspraktijk behandeld. Je verzendhouding hoort bij de jurisdictie van de ontvanger te passen, niet bij die van jou.

Wat is een belangenafweging (LIA) en heb ik die echt nodig?

De LIA is het document waarin je vastlegt waarom jouw direct marketing een gerechtvaardigd belang is onder artikel 6(1)(f), waarom de verwerking noodzakelijk is om dat belang te bereiken, en waarom de rechten en vrijheden van de prospect daar niet zwaarder doorheen wegen. Drie kolommen, één pagina is genoeg. Je hebt hem nodig omdat artikel 5 lid 2 AVG je verantwoording vraagt over de grond die je inroept - 'we hebben er informeel over gesproken' is geen verantwoording. Maak er één per campagnetype, bewaar hem bij je verwerkingsregister, en herzie hem als je motion verandert.

Wat is het verschil tussen AVG en GDPR?

AVG is GDPR. De Algemene Verordening Gegevensbescherming is de Nederlandse benaming van de Verordening. Nederland heeft daarnaast de Uitvoeringswet AVG (UAVG), die de open clausules invult: strafrechtelijke gegevens, BSN, leeftijdsgrens bij toestemming van kinderen. De materiële verplichtingen voor een Nederlandse B2B-afzender zijn hetzelfde, of je het AVG of GDPR noemt.

Welke administratie moet ik in de praktijk bijhouden?

Minimaal: bron en aanmaakdatum per contact, datum en grondslag van de laatste verificatie, elk verstuurd bericht, elk bezwaar of uitschrijving, je LIA per campagnetype, de verwerkersovereenkomst met elke verwerker, en je transferdocumentatie waar data naar de VS of een ander derde land gaat. Dat is artikel 30 AVG in praktische vorm. De meeste handhavingsbesluiten draaien om of je dit in dagen kunt overleggen, niet om of de onderliggende verwerking sympathiek was.

Vraagt de AVG een DPIA voor prospecting?

Standaard niet voor reguliere B2B-mail aan benoemde rollen bij benoemde bedrijven. Een DPIA onder artikel 35 wordt verplicht als de verwerking 'waarschijnlijk een hoog risico' oplevert - typisch grootschalige gedragsprofilering, geautomatiseerde besluiten met juridisch effect, of gevoelige gegevens. Blijft je motion bij 'zakelijk contact, zakelijk bericht, zakelijke opt-out', dan is de LIA voldoende. Trekt je tool browsedata in, bouwt hij intentscores op cookies, of verwerkt hij op een schaal die op de AP-lijst staat, draai dan de DPIA. De AP publiceert die lijst.

Hoe raken internationale transfers een Amerikaans gebouwde prospectingtool?

Stevig. Schrems II zette Privacy Shield buiten werking en verplicht een Transfer Impact Assessment zodra EU-persoonsgegevens onder FISA 702-bereik op Amerikaanse infrastructuur landen. SCC's blijven nodig als contractuele basis. Het Data Privacy Framework opent opnieuw een route voor DPF-gecertificeerde ontvangers, maar je moet de certificering per verwerker controleren en accepteren dat het kader actief juridisch wordt aangevochten. Europees gebouwd en Europees gehost is simpelweg minder papierwerk: kleiner aanvalsoppervlak, schoner antwoord als de prospect of de AP belt.

Wat als een prospect vraagt waar je zijn gegevens vandaan hebt?

Dan geef je een specifieke bron en datum, geen leveranciersnaam. Bij Hooklyne zit bij elk contact in een prospectpakket de bron-URL of een register-citaat - een publieke KVK-pagina, een vermelding bij Companies House, een geregistreerde datapartner onder zijn eigen grond. Het antwoord plak je in minder dan een minuut terug en het voldoet aan het informatierecht uit artikel 13 en 14.

Is dit juridisch advies?

Nee. Dit is praktische operatorhulp op basis van hoe AVG, GDPR, ePrivacy en de gepubliceerde handhavingspraktijk van de AP werken. Voor je een verzendmotion opschaalt - vooral over de grens met UK en DE - laat een DPO of gespecialiseerd jurist je LIA, je verwerkersovereenkomsten en je transferdocumentatie nakijken. De kosten van die check zijn klein vergeleken met één boete onder artikel 83.

Wat als Hooklyne niet voor jullie werkt?

Is je motion NL- of UK-B2B met een klein team, dan geeft de trial in twee weken antwoord - tien prospects, volledige bronherkomst, jouw echte ICP. Komen de antwoorden niet, dan houd je de data, het LIA-sjabloon en de broncitaten en stop je. Is je motion een Duitsland-zware outboundmachine met al draaiende toestemmingsfunnels, dan is een Europees gebouwde gids-en-pakket-tool waarschijnlijk niet wat het verschil maakt; een Duits-specialistische datapartner met toestemming wel. Liever zeggen we dat vooraf dan dat we je een seat verkopen.

Deze pagina is een gids in gewone taal, geen juridisch advies. Nationale regels voegen lagen toe en je specifieke motion verdient een DPO- of juristen-check voor je over de grens opschaalt.