Opt-in voor e-mailmarketing: AVG-correct opzetten

Wanneer moet je een opt-in voor e-mailmarketing opzetten?

Iedere organisatie die commerciële e-mails stuurt aan particulieren of zakelijke contacten zonder vooraf een bestaande klantrelatie te hebben, is verplicht om een geldige opt-in te kunnen aantonen. Dit geldt ook als je een nieuwsbrief verstuurt, een promotieaanbieding deelt of een evenement aankondigend bericht verstuurt. De verplichting vloeit voort uit artikel 11.7 van de Telecommunicatiewet en de AVG. Er is geen minimale drempel qua bedrijfsgrootte: ook een eenmanszaak of een stichting met een e-maillijst van twintig adressen valt onder deze regels. De opt-in moet je hebben vóórdat je het eerste commerciële bericht verstuurt — niet achteraf.

Er geldt één belangrijke uitzondering: de zogenaamde 'soft opt-in'. Als iemand al klant bij je is, zijn e-mailadres heeft achtergelaten bij een aankoop én je uitsluitend vergelijkbare producten of diensten promoot, mag je deze persoon benaderen zonder nieuwe toestemming. Wel moet je bij elke e-mail een duidelijke afmeldmogelijkheid bieden. Voor zakelijke ontvangers (B2B) gelden iets soepelere regels, maar ook daar is transparantie over de afzender en een opt-outmogelijkheid verplicht. Twijfel je of jouw situatie onder de uitzondering valt? Raadpleeg de informatie op de officiële ACM-pagina.

Wat heb je nodig vooraf?

Voordat je de opt-in technisch inricht, moet je een aantal zaken op orde hebben. Ten eerste heb je een actuele privacyverklaring nodig die beschrijft waarvoor je het e-mailadres gebruikt, hoe lang je het bewaart en welke rechten de betrokkene heeft. Ten tweede heb je een werkend aanmeldformulier nodig dat voldoet aan de AVG-eisen: geen vooraf aangevinkte vakjes, een heldere omschrijving van wat iemand ontvangt en een verwijzing naar je privacyverklaring. Ten derde heb je een systeem nodig om de toestemming te registreren, inclusief het tijdstip, het IP-adres en de gebruikte formulierversie.

De voorbereiding kost tijd, omdat meerdere elementen tegelijk klaar moeten zijn. Je privacyverklaring laten opstellen of controleren door een jurist of privacy-adviseur duurt doorgaans één tot twee weken. Het technisch inrichten van het aanmeldformulier en het koppelen aan een e-mailmarketingsysteem dat toestemmingsdata logt, neemt afhankelijk van je technische kennis één tot vijf werkdagen in beslag. Zorg ook dat je bestaande contactenlijst is gesegmenteerd: weet je van elk adres of er een geldige toestemming of een geldige klantrelatie aan ten grondslag ligt? Het opschonen van een bestaande lijst vraagt soms weken extra.

Stappenplan: zo doe je het

Stap 1 — Stel je privacyverklaring op of actualiseer deze. Zorg dat er expliciet in staat waarvoor je e-mailadressen verzamelt, welke verwerker jouw e-maildienst is, hoe lang je gegevens bewaart en hoe iemand bezwaar kan maken of zich kan afmelden. Publiceer de verklaring op een vaste URL op je website zodat je er altijd naar kunt verwijzen vanuit je formulier.

Stap 2 — Maak een aanmeldformulier met een expliciete toestemmingsverklaring. Gebruik een los selectievakje (niet vooraf aangevinkt) met een duidelijke tekst, bijvoorbeeld: 'Ik ga akkoord met het ontvangen van de nieuwsbrief en heb de privacyverklaring gelezen.' Vermeld wat de ontvanger precies ontvangt en hoe vaak. Koppel het vakje aan de link naar je privacyverklaring.

Stap 3 — Activeer double opt-in. Nadat iemand het formulier invult, stuur je automatisch een bevestigingsmail. Pas na klikken op de bevestigingslink wordt het adres actief in je lijst. Double opt-in is niet wettelijk verplicht, maar de ACM beschouwt het als beste bewijs van bewuste toestemming en het vermindert het risico op klachten en boetes sterk.

Stap 4 — Log alle toestemmingsgegevens aantoonbaar. Sla per inschrijving op: datum en tijdstip, IP-adres, welke formulierversie werd getoond en de tekst van de toestemmingsverklaring op dat moment. Bewaar deze data minimaal zolang je het e-mailadres actief gebruikt plus één jaar daarna. Controleer of jouw e-mailmarketingsysteem deze logging standaard ondersteunt of dat je een aanvullende oplossing nodig hebt.

Stap 5 — Schoon bestaande lijsten op en documenteer de rechtsgrond per contact. Ga na of elk bestaand e-mailadres in je database gedekt is door een geldige opt-in, een soft opt-in of een andere wettelijke grondslag. Verwijder adressen zonder aantoonbare grondslag vóórdat je de volgende campagne verstuurt. Raadpleeg voor de volledige vereisten de officiële ACM-pagina over spam en direct marketing: https://www.acm.nl/nl/onderwerpen/marketing-en-reclame/spam-en-direct-marketing.

Kosten en doorlooptijd

De directe kosten voor het opzetten van een AVG-correcte opt-in zijn afhankelijk van je startpositie. Het laten opstellen of reviewen van een privacyverklaring door een gespecialiseerde jurist of privacy-adviseur kost in 2026 doorgaans tussen de 300 en 800 euro, afhankelijk van de complexiteit van je gegevensverwerking. Het technisch bouwen of aanpassen van een aanmeldformulier met automatische logging doet een webbouwer in één tot drie uur, wat bij een uurtarief van 80 tot 120 euro neerkomt op 80 tot 360 euro. Veel e-mailmarketingtools bieden ingebouwde opt-in- en loggingfunctionaliteit als onderdeel van hun standaardabonnement.

De totale doorlooptijd bedraagt voor de meeste MKB-ondernemers twee tot vier weken. De privacyverklaring is het onderdeel dat het langst duurt als je externe hulp inschakelt. Het formulier en de double opt-in-automatisering zijn technisch in enkele dagen te realiseren. Het opschonen van een bestaande contactenlijst is de meest tijdrovende stap bij bedrijven met grote of verouderde databases. Plan dit ruim in zodat je niet in de verleiding komt om een campagne te versturen voordat de opt-in-infrastructuur volledig op orde is.

Veelgemaakte fouten

De meest voorkomende fout is het gebruik van een vooraf aangevinkt toestemmingsvakje. Dit is expliciet verboden onder de AVG: toestemming moet actief en bewust worden gegeven. Een tweede veelgemaakte fout is het koppelen van de toestemming aan algemene voorwaarden in plaats van aan een aparte, specifieke verklaring. Toestemming moet enkelvoudig zijn: iemand stemt in met e-mailmarketing en niet tegelijkertijd met vijf andere verwerkingsdoeleinden. Een derde fout is het niet vastleggen van bewijs van toestemming. Zonder logging kun je bij een ACM-controle of klacht niet aantonen dat de opt-in geldig was. Ten slotte verzuimen veel ondernemers om afmeldingen direct te verwerken: de wet verplicht je om iemand die zich afmeldt onmiddellijk uit je actieve lijst te verwijderen, niet pas bij de volgende campagne.

Wat na afloop?

Na het opzetten van je opt-in-systeem ben je er niet. Je moet de toestemmingsdata bewaren zolang je het betreffende e-mailadres gebruikt én gedurende een jaar daarna, zodat je bij controle bewijs kunt leveren. Controleer minimaal één keer per jaar of je privacyverklaring nog actueel is en of de tekst op je aanmeldformulier nog klopt met wat je feitelijk verstuurt. Voer bij iedere wijziging in je nieuwsbriefaanbod een nieuwe toestemmingscheck uit. Stel ook een intern proces in voor het verwerken van afmeldverzoeken en verzoeken tot inzage of verwijdering van persoonsgegevens, want die rechten gelden ook voor e-mailabonnees.