Als je B2B-outbound doet in Nederland, heb je de discussie waarschijnlijk al een keer gehad. Iemand in het team las iets over de AVG. Een LinkedIn-reactie vroeg hoe je aan iemands mailadres kwam. En opeens twijfelt iedereen voor elke verzending.
Het korte antwoord: ja, B2B koude e-mail is legaal in Nederland. Het iets langere antwoord: het hangt af van wat je stuurt, aan wie, en hoe je aan je data komt.
Deze post beschrijft wat de wet werkelijk zegt, wat de Autoriteit Persoonsgegevens over handhaving heeft gepubliceerd, en wat een compliante koude mail onderscheidt van een die wél risico oplevert.
De wettelijke grondslag: rechtmatig belang
De AVG vereist geen toestemming voor elk gebruik van persoonsgegevens. Ze vereist een rechtmatige grondslag. Voor B2B koude e-mail is de meest gebruikte grondslag rechtmatig belang (artikel 6(1)(f) AVG).
Rechtmatig belang bestaat uit drie onderdelen:
- Doeltoets - je hebt een legitieme commerciële reden om contact op te nemen (jouw product is relevant voor de rol van deze persoon)
- Noodzakelijkheidstoets - e-mail is een redelijke manier om dat doel na te streven
- Afweging - jouw belang is niet onevenredig ten opzichte van het privacybelang van de ontvanger
Voor B2B outreach naar een professional op een zakelijk mailadres slaagt deze toets doorgaans wanneer jouw product werkelijk relevant is voor hun werk. De afweging valt anders uit bij consumentenberichten, waarbij er geen zakelijke context is.
De Autoriteit Persoonsgegevens heeft hierover gepubliceerd. Ze verbieden B2B koude e-mail niet. Ze vereisen dat die gericht, duidelijk toegeschreven en makkelijk te stoppen is.
Wat de Telecommunicatiewet toevoegt
Nederland implementeert de EU-ePrivacyrichtlijn via de Telecommunicatiewet (artikel 11.7). Die staat naast, maar is gerelateerd aan, de AVG.
Voor B2C-mail: opt-in-toestemming is vereist. Je mag een consument niet koud e-mailen zonder voorafgaande toestemming.
Voor B2B-mail naar zakelijke adressen: opt-out volstaat. Je mag sturen zonder voorafgaande toestemming, maar je moet:
- Jezelf duidelijk identificeren als afzender
- Een geldig antwoordadres meesturen
- Een opt-outmogelijkheid bieden
- Geen misleidende onderwerpregels of afzendernamen gebruiken
- Niemand mailen die eerder heeft uitgeschreven
Dit is hetzelfde kader dat in Duitsland, België en Frankrijk van toepassing is. In de praktijk noemen Nederlandse juristen dit het “B2B opt-out-model.”
Eén nuance is het vermelden waard: ZZP-ers die ingeschreven staan bij de KvK onder hun eigen naam kunnen soms als particulier worden behandeld in plaats van als zakelijk contact. Dat brengt ze dichter bij de B2C-regels. Staat je lijst vol zelfstandigen die hun eigen naam als handelsnaam gebruiken, behandel ze dan als consument.
Wat het risico werkelijk is
De regels kennen is nuttig. Weten wat teams in de fout laat gaan is nuttiger.
Ingekochte, gescrapete lijsten zonder herkomst. Als je dataprovider je niet kan vertellen waar de data vandaan komt, hoe die verzameld is, en welke wettelijke grondslag geldt, hou je data vast die mogelijk geen geldige grondslag heeft. “Gescraped van LinkedIn” is geen wettelijke grondslag. “Afkomstig uit openbare zakelijke bronnen, verrijkt onder rechtmatig belang” is een begin. Maar je moet de afweging kunnen aantonen als de AP ernaar vraagt.
Geen opt-outmechanisme. Elke B2B koude e-mail in Nederland vereist een duidelijke en makkelijke manier om je uit te schrijven. Geen kleine voettekst. Een simpele instructie. “Antwoord op deze mail als je geen berichten meer wilt ontvangen” volstaat. Wat niet volstaat: niets vermelden.
Opt-outverzoeken negeren. Heeft iemand zich uitgeschreven, dan moet die van je verzendlijst af vóór de volgende mail eruit gaat. Niet “we zetten het straks in de CRM.” Meteen. De Telecommunicatiewet behandelt dit als een harde vereiste.
Misleidende onderwerpregels of afzendernamen. Een commerciële mail vermommen als persoonlijk bericht, een afzendernaam gebruiken die niet klopt, of een onderwerpregel schrijven die de inhoud verkeerd weergeeft: verboden onder de Telecommunicatiewet. “Snelle vraag” als onderwerpregel voor een pitch is juridisch grijs en wordt bovendien steeds vaker geflagd door spamfilters.
Massaverzendingen naar ongecontroleerde lijsten. Dezelfde boodschap naar tienduizenden mensen sturen zonder segmentatie of relevantiecheck slaagt waarschijnlijk niet voor de rechtmatige-belang-afweging. De AP heeft duidelijk gesteld dat de relevantie van het bericht voor de ontvanger onderdeel is van wat de grondslag overeind houdt.
Wat de AP werkelijk aanpakt
Het gepubliceerde handhavingsregister van de Autoriteit Persoonsgegevens gaat bij e-mail voornamelijk over:
- Consumentenmarketing zonder toestemming
- Gezondheids-, financiële en politieke berichten aan particulieren
- Datalekken door onbeveiligde marketinglijsten
Gerichte B2B outbound naar zakelijke adressen, met duidelijke afzenderidentificatie en een opt-out, komt niet voor in Nederlandse handhavingsacties.
Dat betekent niet dat de regels niet gelden. Het betekent wel dat een goed gerunde B2B outbound-operatie ruim onder de handhavingsdrempel blijft. De risico’s die wél reëel zijn, zijn praktisch van aard: afleverbaarheid, domeinreputatie, het irriteren van de juiste mensen in een kleine TAM. Geen juridische risico’s.
Compliance en conversie overlappen
Dit wordt het vaakst gemist: de praktijken die je juridisch compliant houden, zijn dezelfde die je reply-rates verbeteren.
Relevantie. De rechtmatige-belang-toets vereist dat je bericht relevant is voor de rol van de ontvanger. Een relevant bericht is ook een bericht dat een reactie verdient. Spray-and-pray slaagt voor geen van beide toetsen.
Duidelijke afzenderidentificatie. De wet vereist dat je jezelf nauwkeurig identificeert. Een mail die duidelijk zegt wie verstuurt, van welk bedrijf, en waarom, presteert ook veel beter op afleverbaarheid en replies dan vage of anonieme afzenders.
Makkelijke opt-out. Iemand een laagdrempelige manier geven om te stoppen maakt je compliant. Het zorgt er ook voor dat alleen mensen die zich niet hebben uitgeschreven op je lijst staan. Dat maakt je engagementcijfers schoner en je domeinreputatie sterker.
Specifieke reden voor contact. De afweging valt gunstiger uit als je mail een echte aanleiding noemt. Een recente aanstelling, een funding-ronde, een contractaankondiging. Dat laat zien dat de benadering gericht en contextueel relevant is, geen bulkmail.
Een koude e-mail die voor de rechtmatige-belang-toets slaagt, ziet er zo uit: een specifieke persoon, bij een specifiek bedrijf, benaderd door een specifieke afzender met een specifieke reden. Die mail presteert ook beter dan een generieke sequentie.
De praktische compliance-checklist
Voor je volgende verzending:
- Kun je de wettelijke grondslag benoemen? Voor B2B koude e-mail is dat doorgaans rechtmatig belang. Weet waarom dat van toepassing is.
- Is het contact zakelijk of particulier? ZZP-ers ingeschreven onder een persoonsnaam vragen meer voorzichtigheid.
- Identificeert de mail jou duidelijk? Naam, bedrijf, geldig antwoordadres.
- Zit er een opt-out in? Een heldere instructie om te antwoorden of te klikken als men geen verdere mails wil.
- Is het bericht relevant voor hun rol? Kun je niet uitleggen waarom juist deze persoon, dan staat je grondslag zwakker.
- Heb je een suppressielijst? Eerdere opt-outs mogen de mail niet ontvangen.
- Weet je waar de data vandaan komt? Voor elk contact op je lijst moet je dit kunnen beantwoorden.
Kun je alle zeven beantwoorden, dan hou je een compliante B2B outbound-operatie. Het juridische risico is laag. De praktische risico’s verdienen meer van je aandacht.
Een noot over datakwaliteit
Waar je data vandaan komt, telt voor zowel compliance als afleverbaarheid. Een contact afkomstig uit een openbaar zakelijk register met duidelijke grondslag staat anders dan een contact gescraped uit een socialmedia-profiel zonder documentatie.
Hooklyne sourcet en verifieert contacten via 21 providers en bewaart de bron per record. Elk contact wordt geleverd met een aantoonbare herkomst, zodat je “waar komt deze data vandaan” kunt beantwoorden zonder te raden. Niet alleen goed voor compliance. Het is ook hoe je de 20 tot 40 procent bounce-rates vermijdt die domeinreputatie beschadigen voordat een campagne op gang komt.
Verwante posts
- Is koude e-mail legaal in Nederland? - de uitgebreide compliancegids over AVG, Telecommunicatiewet en gerechtvaardigd belang
- Gerechtvaardigd belang onder de AVG uitgelegd - hoe je een grondslag opbouwt die een AP-toets doorstaat
- Hoe vind je B2B-prospects in Nederland zonder betaalde tools - de sourcingkant van hetzelfde vraagstuk
- Koopsignalen in B2B en hoe je ze gebruikt - de signaallaag die koude e-mail contextueel relevant maakt
- Hoe Hooklyne werkt - de compliance- en verificatie-infrastructuur achter elk prospect-pakket
Meer lezen
Gids Koude e-mails personaliseren op schaal: wat echt werkt
Hoe je koude e-mails schrijft die echt persoonlijk voelen als je er vijftig per week verstuurt. Het signaal-eerst-framework dat verschil maakt tussen geopend en genegeerd.
Gids B2B-koopsignalen herkennen en gebruiken voordat het raam sluit
Een koopsignaal vertelt je dat een prospect in beweging is. Welke zes signalen het meest oplevert, waarom de meeste teams ze missen, en hoe je op tijd handelt.
Gids Hoe vind je B2B-prospects in Nederland zonder betaalde tools
Praktische gids voor het vinden van Nederlandse B2B-prospects via KvK, LinkedIn en gratis bronnen. Waar elke methode werkt, en waar 'ie ophoudt te schalen.