Marketing zonder miserie: nieuwe aanbeveling van de Gegevensbeschermingsautoriteit

Direct marketing: het lijkt op zich onschuldig. Een nieuwsbrief hier, een gepersonaliseerd aanbod daar… Wat kan er misgaan? Als je de GDPR (Algemene Verordening Gegevensbescherming) over het hoofd ziet, toch behoorlijk veel.

Op 10 maart 2025 publiceerde de Belgische Gegevensbeschermingsautoriteit (GBA) een nieuwe en uitgebreide aanbeveling over de verwerking van persoonsgegevens in het kader van direct marketing ter openbare raadpleging. Deze aanbeveling 01/2025 zal de vorige versie uit 2020 vervangen en speelt in op juridische, technologische en maatschappelijke evoluties.

In deze blog vatten wij de belangrijkste aandachtspunten samen voor ondernemingen en organisaties die gebruik maken van direct marketingtechnieken.

Wat wordt verstaan onder ‘direct marketing’?

De GBA kiest voor een ruime definitie: elke activiteit die resulteert in rechtstreekse communicatie van promotionele boodschappen aan één of meerdere identificeerbare personen. Dit omvat zowel commerciële als niet-commerciële communicatie, en zowel gewenste als ongewenste boodschappen. Concreet zijn dit bijvoorbeeld e-mails waarin een onderneming een bepaalde dienst of product aanbiedt aan (potentiële) klanten, al dan niet met een korting.

Belangrijke verduidelijking: ook voorbereidende activiteiten zoals profilering of het verzamelen van klantengegevens vallen hieronder. Zelfs communicatie van politieke partijen of non-profitorganisaties komt in aanmerking als direct marketing. Zie bijvoorbeeld de verschillende flyers die je binnenkrijgt van politici en politieke partijen naar aanleiding van verkiezingen.

Rechtsgrond onder de GDPR: toestemming of gerechtvaardigd belang?

De aanbeveling licht opnieuw de twee voornaamste rechtsgronden uit waarop ondernemingen hun direct marketingactiviteiten kunnen steunen:

-       Toestemming: moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. De GBA waarschuwt expliciet voor praktijken zoals vooraf aangevinkte vakjes of onduidelijke privacyverklaringen. Ook het “consent or pay”-model (bijvoorbeeld bij grote online platforms) wordt kritisch besproken.

Meta maakt van dit model bijvoorbeeld gebruik sinds oktober 2023. Gebruikers moeten kiezen tussen het gratis gebruik van de Meta-platformen, waarbij hun gebruikersdata wel wordt gebruikt voor gerichte advertenties. Gebruikers kunnen eveneens kiezen om 9,99 euro per maand te betalen, waardoor hun data hiervoor niet gebruikt wordt en zij geen advertenties te zien krijgen. Deze praktijk is niet expliciet verboden onder de GDPR, maar wordt toch afgeraden. Zie hiervoor onder andere het advies van de European Data Protection Board.

-       Gerechtvaardigd belang: de GBA aanvaardt dat deze rechtsgrond kan worden gebruikt om direct marketing te sturen naar bestaande klanten. Dit is evenwel enkel mogelijk wanneer je kan aantonen dat het belang van de onderneming zwaarder weegt dan het recht op privacy van de ontvanger van direct marketing. Bij prospects (personen die nog geen klant zijn) is dit doorgaans moeilijker te verantwoorden.

De GBA wijst erop dat toestemming en gerechtvaardigd belang niet onderling uitwisselbaar zijn. Dit betekent dus dat je je moet beroepen op ofwel de rechtsgrond van toestemming, ofwel die van gerechtvaardigd belang. Je kan de beide rechtsgronden dus niet zomaar combineren.

Transparantie en rechten van betrokkenen

Ondernemingen dienen betrokkenen op een duidelijke en toegankelijke manier te informeren. Vage bewoordingen in de direct marketingcommunicatie zoals “voor marketingdoeleinden” zijn onvoldoende. Daarnaast moeten betrokkenen op eenvoudige wijze hun recht van bezwaar en het recht om toestemming in te trekken kunnen uitoefenen. In een e-mail moet er dus steeds een ‘unsubscribe’-knop beschikbaar zijn voor de ontvanger. Let hierbij dan ook op dat het bezwaar om e-mails te ontvangen effectief geregistreerd wordt, zodat er in de toekomst niet opnieuw een marketinge-mail wordt verstuurd naar deze persoon. Als deze betrokkene vervolgens een klacht indient bij de GBA, kan dit immers voor heel wat kopzorgen en problemen zorgen.

De aanbeveling van de GBA herinnert eraan dat deze rechten ook gelden bij communicatie naar professionele e-mailadressen, op voorwaarde dat deze naar natuurlijke personen herleidbaar zijn. Dit is bijvoorbeeld het geval wanneer een professioneel e-mailadres eruitziet als naam persoon@onderneming.be.

Praktische aandachtspunten

De GBA geeft in haar aanbeveling ook nog een aantal concrete richtlijnen en illustraties aan de hand van beslissingen van de Geschillenkamer.

Zo moeten bewaartermijnen moeten evenredig zijn. Stuur je nog altijd verjaardagskortingen naar iemand die tien jaar geleden eenmalig iets bij jouw onderneming kocht? Dan moet je misschien toch eens praktisch naar je bewaartermijnen kijken. Zo besliste de GBA dat een bewaartermijn van 18 jaar voor de gegevens van een zwangere vrouw als disproportioneel wordt beschouwd.

Let ook op met de combinatie van promotionele en informatieve inhoud in nieuwsbrieven. Dit kan ervoor zorgen dat de communicatie onder de regels van direct marketing valt. In de NMBS-beslissing van 4 mei 2022oordeelde de GBA bijvoorbeeld dat een nieuwsbrief over de gratis Rail Pass van de NMBS – verstuurd tijdens de coronacrisis – promotionele elementen bevatte en dus als direct-marketingcommunicatie moest worden beschouwd. De e-mail bevatte immers niet alleen praktische info, maar ook aanbevelingen om nieuwe bestemmingen te ontdekken, met links naar NMBS-blogartikelen. Deze kwalificatie werd later ook bevestigd door het Marktenhof.

Profilering en gegevensverzameling door data brokers zijn eveneens uitdrukkelijk opgenomen als verwerkingen die onder direct marketing vallen.

Enkele tips voor compliance

-       Vraag toestemming aan (toekomstige) klanten op een begrijpelijke en duidelijke manier.

-       Beoordeel zorgvuldig of je een beroep doet op toestemming of gerechtvaardigd belang, en documenteer dit.

-       Herbekijk het privacyverklaring en cookiebeleid van jouw onderneming, zeker als je gepersonaliseerde advertenties inzet. Het team van Mr. Franklin kan hierbij steeds helpen.

-       Bied klanten laagdrempelige manieren aan om hun rechten uit te oefenen, waaronder een eenvoudige manier om uit te schrijven of toestemming in te trekken.

Tot slot

De nieuwe aanbeveling van de GBA biedt opnieuw een uitgebreid overzicht van wat er wel en niet mag met direct marketing. Direct marketing en GDPR hoeven geen tegenpolen te zijn: met een beetje gezond verstand, juridische finesse en transparantie kan je nog steeds klanten persoonlijk bereiken zonder hierbij de wet of hun grenzen te schenden.

Ons team kan jouw onderneming steeds helpen om jouw marketingstrategie beter af te stemmen op de GDPR. Je kan ons altijd vrijblijvend contacteren voor meer informatie hieromtrent.