E-maillijsten kopen en de AVG

Prospectlijsten kopen mag. De basis-keten moet kloppen.

De AVG verbiedt het kopen van B2B-prospectlijsten niet. Wat het vereist is dat de juridische grondslag ononderbroken loopt van de oorspronkelijke verzameling via de verwerking door de provider naar jouw gebruik. De lijst die je koopt is alleen rechtmatig als hij goed is opgebouwd. De meeste handhavingsacties draaien niet om de vraag of lijsten kopen in principe mag, maar of je als verwerkingsverantwoordelijke documentatie kunt overleggen die aantoont dat de grondslag op elke schakel klopt. Deze gids legt uit hoe die keten eruitziet, wat je van een provider moet eisen en waar de meeste gekochte lijsten falen.

Probeer gratis Lees de basis-ketenvereisten

Je kwam hier waarschijnlijk omdat

Je hebt gehoord dat e-maillijsten kopen illegaal is onder de AVG en je wilt weten of dat klopt.
Je eerder een lijst hebt gekocht en een prospect vroeg waar je zijn gegevens vandaan had, en je geen helder antwoord had.
Je een dataprovider evalueert en wilt weten welke documentatie ze moeten leveren.
Je DPO vraagt of je huidige prospectingdata een traceerbare grondslag heeft en je dat niet zeker weet.

Klopt iets daarvan, dan is de rest van deze pagina voor jou.

Gratis trial, zonder creditcard

Tien prospects met een traceerbare grondslag per contact.

Elk Hooklyne-pakket bevat de broncitaat per contact - KVK-inschrijving, Companies House-record of benoemde datapartner onder zijn eigen artikel 6-grondslag. Op verzoek citeerbaar, gratis te proberen.

Probeer gratis

Wat de basis-keten vereist

Wat een gekochte B2B-lijst rechtmatig maakt onder de AVG.

De rechtmatigheid van jouw gebruik hangt af van de rechtmatigheid van elke stap daarvoor. Dit moet op elke schakel in de keten kloppen.

De oorspronkelijke verzamelaar heeft een rechtmatige grondslag nodig voor de initiële verzameling.

Elk record in een B2B-prospectlijst is ooit ergens vandaan verzameld - een publiek register, een professionele gids, een bedrijfswebsite, een datapartnernetwerk. De entiteit die het heeft verzameld, moet een rechtsgrond hebben gehad onder artikel 6 AVG. Voor publiek beschikbare data uit de KVK, Companies House of branchegidsen is die grondslag typisch de publieke aard van de data en de professionele context. Een provider die je niet kan vertellen wat de oorspronkelijke verzamelbron en grondslag per recordcategorie is, heeft een documentatieprobleem - en dat probleem wordt het jouwe als je de lijst koopt.

De verwerking van de provider vereist een eigen grondslag en artikel 30-vermeldingen.

De dataprovider is zelfstandig verwerkingsverantwoordelijke als hij contactlijsten samenstelt, beheert en verkoopt. Hij heeft zijn eigen artikel 6-grondslag nodig voor de verwerking die hij uitvoert - selecteren, koppelen, verifiëren en overdragen van records - en moet die vastleggen in zijn register van verwerkingsactiviteiten onder artikel 30. Wat je kunt vragen: Kun je je artikel 30-vermeldingen delen voor de verwerkingen die relevant zijn voor dit dataproduct? Is het antwoord 'die hebben we niet' of 'dat is vertrouwelijk,' dan is dat een rode vlag. Een compliant provider kan de categorieën van zijn verwerkingsregister delen zonder commercieel IP prijs te geven.

De overdracht aan jou vereist een verwerkersovereenkomst of een controller-to-controller-overeenkomst.

Als je een B2B-contactlijst koopt, telt de juridische relatie tussen jou en de provider mee. Als de provider data namens jou verwerkt, heb je een verwerkersovereenkomst nodig (artikel 28 AVG). Als jullie beiden onafhankelijk verwerkingsverantwoordelijken zijn van dezelfde records, heb je een controller-to-controller-overeenkomst nodig waarin de respectieve verantwoordelijkheden zijn vastgelegd. Een compliant provider heeft een standaard-verwerkersovereenkomst klaar; als ze dat niet aanbieden, zegt dat iets over hun compliance-volwassenheid.

Doorgiftes naar derde landen vereisen standaardcontractbepalingen en - voor Amerikaanse providers - een transfereffectbeoordeling.

Als de dataprovider data verwerkt op Amerikaanse infrastructuur, neemt jij de transfercompliance-vraag over. Na Schrems II zijn standaardcontractbepalingen (SCP's) de minimale contractuele vereiste, maar ze moeten vergezeld gaan van een transfereffectbeoordeling (TIA) die evalueert of Amerikaans surveillancerecht een reëel risico vormt. Het EU-VS Data Privacy Framework biedt een route voor DPF-gecertificeerde verwerkers, maar je moet de certificeringsstatus per provider verifiëren - het geldt niet automatisch voor sub-verwerkers. 'EU-gehost' op een Amerikaans beheerd platform lost het transferprobleem niet op.

Je gebruik vereist een eigen artikel 6-grondslag - en de bron moet met het record meereizen.

Zelfs als de keten klopt van verzameling tot aankoop, heb je nog steeds je eigen grondslag van gerechtvaardigd belang nodig voor het gebruik dat je maakt. Dat betekent een belangenafweging (LIA) voor je direct marketing-campagne, een suppressielijst die hercontact met uitgeschreven personen voorkomt, en een manier om een transparantieverplichting onder artikel 13/14 te beantwoorden als een prospect vraagt waar je zijn gegevens vandaan hebt. 'Een B2B-dataprovider' is niet voldoende - je moet de specifieke bron en datum kunnen noemen. Als je een lijst koopt, moet elk record de bron meekrijgen, niet alleen een leveranciersnaam.

Waar je het zelf kunt nalezen

De primaire bronnen, voor het geval je liever niet op een blogpost van een leverancier vertrouwt:

- AVG artikel 13 en 14 over transparantie bij data verkregen van een derde.
- AVG artikel 28 over verwerkersovereenkomsten.
- AVG artikel 30 over het register van verwerkingsactiviteiten.
- EDPB Recommendations 01/2020 over aanvullende maatregelen bij internationale doorgiftes.
- Autoriteit Persoonsgegevens richtlijnen over databrokercompliance en lijstenleveranciers.
- ICO-richtlijnen over kopen en verkopen van persoonsgegevens.

Waar de meeste gekochte lijsten falen

Vier failure modes die een toezichthouder of prospect direct boven water krijgt.

Geen van deze vereist een formeel onderzoek om te vinden. Één artikel 14-transparantieverzoek van een prospect legt de meeste ervan bloot bij de eerste reactie.

Geen verwerkersovereenkomst met de provider.

Artikel 28 AVG vereist een schriftelijke overeenkomst als een verwerkingsverantwoordelijke een verwerker inschakelt. Veel B2B-lijstaankopen verlopen via checkout en download zonder formele overeenkomst. De koper gaat ervan uit dat het vinkje bij de algemene voorwaarden het afdekt. Dat doet het niet. Een compliant provider heeft een standaard-verwerkersovereenkomst klaar; als ze die niet aanbieden of niet weten wat je vraagt, zegt dat iets over hun compliance-volwassenheid.

'Onze eigen database' is geen bron.

Als een provider niet kan vertellen waar een specifiek record vandaan komt - publiek register, professionele gids, benoemd partnernetwerk, op toestemming gebaseerde verzameling - dan kun jij ook geen artikel 14-transparantieverzoek beantwoorden. AVG-artikel 14 vereist dat je betrokkenen informeert over de bron van hun gegevens als je die niet zelf hebt verzameld. De handhaving van de AP bij OLVG en Booking.com toonde allebei aan dat 'we gebruiken een gerenommeerde leverancier' geen verweer is.

Een lijst gebruiken na het opgegeven geldigheidsvenster.

De meeste B2B-contactdata heeft een houdbaarheidsdatum. Functies veranderen, bedrijven fuseren, mensen vertrekken. Een goede dataprovider vertelt je wanneer elk record voor het laatst is geverifieerd. Contactdata gebruiken die 18 maanden geleden is geverifieerd in sectoren met hoog verloop levert hoge bouncepercentages op en contacten die mogelijk al suppressie-vermeldingen hebben. Verouderde persoonsgegevens langer bewaren dan nodig is schendt ook het opslagbeperkingsprincipe van AVG-artikel 5 lid 1 sub e.

Kopen zonder te vragen naar het suppressieregister.

Compliant B2B-dataproviders onderhouden suppressielijsten - mensen die bezwaar hebben gemaakt tegen marketing van hun netwerk van klanten. Als een provider er geen bijhoudt, kunnen uitgeschreven personen die op jouw lijst terechtkomen klachten genereren van iemand die het netwerk van de provider al heeft verteld dat ze geen contact willen. Vraag naar het suppressiemechanisme voor je koopt.

Wanneer deze aanpak werkt (en wanneer niet)

Een gekochte lijst is verdedigbaar als de documentatieketen compleet is voor je verstuurt.

Werkt als

- De provider gedocumenteerde bronherkomst per record heeft en die kan delen.
- Een verwerkersovereenkomst of controller-to-controller-overeenkomst van kracht is voor je de data gebruikt.
- Je een eigen LIA hebt voor de campagnemotion, los van de grondslag van de provider.
- De provider een suppressieregister bijhoudt en dat cross-checkt voor je lijst wordt geleverd.

Werkt niet als

- De provider je niet kan vertellen wat de oorspronkelijke verzamelbron of grondslag van de records is.
- Er geen verwerkersovereenkomst of controller-overeenkomst is getekend voor je de data hebt gebruikt.
- De lijst records bevat die de redelijke opslagbeperkingsperiode hebben overschreden.
- Je een artikel 14-transparantieverzoek niet kunt beantwoorden met een specifieke bron.

Eerlijke tegenspraak

De eerlijke positie is dat veel B2B-dataproviders opereren in een documentatie-grijze zone - hun data is oprecht nuttig, hun verzameling is in de praktijk waarschijnlijk legitiem, maar de papierspoor die de AVG vereist wordt niet consistent op contactniveau bijgehouden. Kopen bij een grote, gevestigde EU-provider is lager risico dan kopen bij een onbekende leverancier, maar 'lager risico' is niet 'geen risico.' De AP en ICO hebben bereidheid getoond om kopers verantwoordelijk te houden voor documentatie die ze bij providers hadden moeten eisen. Als je de grondslagketen niet kunt overleggen, zit de blootstelling bij jou.

Hoe Hooklyne hiervoor is gebouwd

Bronherkomst op contactniveau, niet op leveranciersniveau.

Hooklyne verkoopt geen lijsten - het bouwt individuele prospectpakketten. Elk pakket wordt opgebouwd uit bronnen die met het record meereizen: een KVK-inschrijving voor Nederlandse bedrijven, een Companies House-inschrijving voor Britse bedrijven, een benoemde branchegids, of een geregistreerde datapartner met zijn eigen artikel 6-grondslag op bestand. De broncitaat zit in elk pakket dat je ontvangt, zodat het artikel 14-transparantieantwoord klaar is voor de prospect ernaar vraagt.

De verwerkersovereenkomst is beschikbaar voor je ergens onder tekent - niet als vinkje bij de algemene voorwaarden maar als benoemd document dat je met je DPO kunt doornemen. Artikel 30-vermeldingen voor de verwerkingen van Hooklyne worden bijgehouden en zijn op verzoek beschikbaar. Suppressie wordt afgehandeld op pakketniveau en blijft behouden over refreshes. De compliance-architectuur is dezelfde als wat deze gids aanbeveelt dat je van een lijstenleverancier eist.

Voor teams die meerdere providers evalueren: de vragen die deze gids aanbeveelt te stellen - bronherkomst per record, artikel 28-overeenkomst, artikel 30-vermeldingen, suppressieregister, TIA voor providers op Amerikaanse infrastructuur - zijn dezelfde vragen die wij willen dat je ons stelt. Als een provider ze niet wil of kan beantwoorden, is de documentatiekloof een vooruitblik op wat er gebeurt als een toezichthouder of prospect vraagt.

Eenvoudige prijzen.

Eén transparant credit-systeem waarin elke actie hetzelfde kost, ongeacht je abonnement. Wissel van plan of zeg op wanneer je wilt.

Start

vanaf€39/mnd

100credits / mnd

Eén rep. Test en valideer je outbound. Self-serve.

Meest gekozen

Growth

vanaf€129/mnd

400credits / mnd

1-2 reps. Volledige pipeline. Setup call inbegrepen.

Scale

vanaf€239/mnd

800credits / mnd

Klein salesteam. Volume outbound. Tot 5 reps.

Bekijk alle prijzen Vraag toegang aan

Gerelateerde gidsen

AVG-conforme prospecting Gerechtvaardigd belang onder de AVG Is cold e-mail legaal? B2B vs B2C onder de AVG

Veelgestelde vragen

E-maillijsten kopen en de AVG: vragen beantwoord.

Is e-maillijsten kopen illegaal onder de AVG?

Nee. De AVG verbiedt het kopen van B2B-contactlijsten niet. Wat het vereist is dat de juridische grondslagketen op elke stap klopt: de oorspronkelijke verzameling, de verwerking door de provider, de overdracht aan jou en jouw gebruik. Veel gekochte lijsten falen de documentatietest zelfs als de onderliggende data waarschijnlijk legitiem is verzameld - omdat de papierspoor niet op recordniveau wordt bijgehouden.

Welke documentatie moet ik van een dataprovider eisen voor ik koop?

Op zijn minst: de bron per recordcategorie, de datum van laatste verificatie, een verwerkersovereenkomst of controller-to-controller-overeenkomst, hun artikel 30-registervermeldingen voor dit dataproduct, en een suppressiemechanisme of -bestand. Als ze dit niet allemaal kunnen leveren, is de documentatiekloof de jouwe om te managen als een toezichthouder of prospect vraagt.

Wat is het verschil tussen een verwerkersovereenkomst en een controller-to-controller-overeenkomst?

Als de provider data verwerkt namens jou onder jouw instructies, heb je een verwerkersovereenkomst nodig onder artikel 28. Als jij en de provider onafhankelijke verwerkingsverantwoordelijken zijn van dezelfde records, heb je een controller-to-controller-overeenkomst nodig. Voor de meeste lijstaankopen heb je beide nodig: een controller-to-controller-overeenkomst voor de doorlopende relatie, en een verwerkersovereenkomst voor alle dienstverlenende verwerking die de provider uitvoert.

Hoe beantwoord ik 'waar komen jullie aan mijn gegevens?' als de data van een lijst komt?

Met de bron die in het record staat geciteerd, niet de leveranciersnaam. Als je provider bronherkomst op recordniveau levert - 'afkomstig uit KVK-inschrijving, geverifieerd [datum]' of 'afkomstig uit [benoemde gids], [datum]' - kun je dat in een reactie plakken en aan artikel 14 voldoen. Als je alleen de naam van de leverancier hebt, kun je geen specifiek antwoord geven.

Wat gebeurt er als een prospect wissing eist nadat ik zijn data heb gekocht?

Artikel 17 AVG geeft het recht op wissing als data niet langer nodig is, als ze bezwaar hebben gemaakt onder artikel 21 tegen direct marketing, of als de verwerking onrechtmatig was. Voor een prospect die vraagt verwijderd te worden: onderdruk ze direct, noteer datum en grondslag, en zorg dat ze niet opnieuw binnenkomen via een toekomstige dataprovidersync. Bewaar het suppressierecord om heraanvulling te voorkomen.

Is Hooklyne een lijstenleverancier?

Nee. Hooklyne bouwt individuele prospectpakketten - een specifiek contact bij een specifiek bedrijf, met een specifiek koopsignaal en een opgesteld bericht - geen bulkcontactlijsten uit een database. Het onderscheid telt voor compliance: een lijstenleverancier exporteert rijen; Hooklyne bouwt gerichte pakketten voor het specifieke ICP dat je definieert, met broncitaten op contactniveau.

Is dit juridisch advies?

Nee. Praktische uitleg in gewone taal op basis van AVG-tekst, gepubliceerde handhavingsbesluiten van AP en ICO, en EDPB-richtlijnen over gegevensdoorgiftes. Je specifieke leveranciersrelaties verdienen een review door een gekwalificeerde DPO of privacyjurist.

Praktische uitleg in gewone taal, geen juridisch advies. Je specifieke leveranciersrelaties en datomotion verdienen een review door een gekwalificeerde DPO of privacyjurist.