Nieuwsbrief en de AVG

Laatst bijgewerkt: 29 maart 2026··
E-mailAVG-basisTools

Je wilt een nieuwsbrief starten. Mailchimp-account aanmaken, formulier op je site, eerste mail eruit. Maar ergens in dat proces zit een juridische laag die twee wetten raakt: de AVG en de Telecommunicatiewet. De regels zijn niet ingewikkeld. Maar je moet ze kennen voordat je op "verzenden" klikt.

Hoe je het goed instelt (5 punten)

1. Double opt-in aan. Iemand schrijft zich in, ontvangt een bevestigingsmail, klikt op de link. Pas dan wordt het e-mailadres aan je lijst toegevoegd. Dit bewijst dat de eigenaar van het adres daadwerkelijk heeft ingestemd. Alle gangbare tools (Mailchimp, Brevo, MailerLite) ondersteunen het. Instellen: vijf minuten.

2. Afmeldlink in elke mail. Verplicht. Duidelijk zichtbaar, werkend, een klik. Geen "stuur een mail naar info@..." Afmelden moet net zo makkelijk zijn als aanmelden.

3. Verwerkersovereenkomst met je e-mailtool. Je e-maildienst verwerkt namens jou de adressen van je abonnees. Dat vereist een verwerkersovereenkomst onder de AVG. Mailchimp, Brevo en MailerLite bieden die standaard aan. Check of je die hebt geaccepteerd. Meer hierover lees je in het artikel over verwerkersovereenkomsten.

4. Toestemming registreren. Bewaar per inschrijving: wanneer, via welk formulier, welke pagina, en of de double opt-in is bevestigd. Dat is je bewijs als er een klacht komt.

5. Nieuwsbrief in je privacyverklaring. Welke gegevens je verwerkt (e-mailadres, eventueel naam), op welke grondslag (toestemming), hoe lang bewaard (tot uitschrijving), en hoe men zich afmeldt.

Toestemming: wat het echt betekent

De AVG en de Telecommunicatiewet (art. 11.7) vereisen toestemming voor commerciele e-mails. En "toestemming" is strenger dan de meeste mensen denken.

Vrij. Niet gekoppeld aan een andere handeling. "Schrijf je in voor onze nieuwsbrief om je offerte te ontvangen" is niet vrij. De nieuwsbrief mag geen voorwaarde zijn voor de dienst.

Specifiek. De persoon weet waarvoor. "Blijf op de hoogte" is te vaag. "Ontvang maandelijks tips over privacy en beveiliging" is specifiek genoeg.

Ondubbelzinnig. Een actieve handeling: formulier invullen, vakje aanvinken. Een pre-aangevinkt vakje telt niet. "Door verder te browsen stemt u in" telt niet.

Intrekbaar. En intrekken moet net zo makkelijk zijn als geven. Een klik, geen hindernissen. Geen "weet je het zeker?" pop-ups. Geen "vul je e-mailadres in om je af te melden." Een klik.

Een veelgemaakte fout: een checkbox op je contactformulier die standaard aangevinkt staat met "Ja, ik wil de nieuwsbrief ontvangen." Dat is geen geldige toestemming. De checkbox moet leeg zijn. De bezoeker moet hem zelf aanvinken. Het Europese Hof heeft dit bevestigd in het Planet49-arrest.

Bestaande klanten mailen: de soft opt-in

De Telecommunicatiewet kent een uitzondering die veel ZZP'ers niet kennen: als iemand al klant is, mag je hem mailen over soortgelijke producten of diensten zonder expliciete opt-in. Dit heet "soft opt-in" (art. 11.7 lid 3).

Vijf cumulatieve voorwaarden (alle vijf moeten gelden):

  • Er is een financiele transactie geweest (een verkoop, opdracht, of aankoop)
  • Het e-mailadres is verkregen bij diezelfde transactie, door dezelfde rechtspersoon
  • Je mailt over eigen, soortgelijke producten of diensten
  • Bij het eerste contactmoment heb je de klant gewezen op de mogelijkheid van verzet (opt-out)
  • In elke volgende mail staat een werkende afmeldlink

Concreet: je bent developer en hebt een website gebouwd voor een klant. Je mag die klant mailen over je nieuwe hosting-aanbod of een onderhoudscontract. Je mag hem niet mailen over een cursus die je geeft. Dat is niet "soortgelijk."

De contra-intuïtieve take: de soft opt-in is juridisch solider dan veel ZZP'ers denken. Je hoeft niet elke bestaande klant om toestemming te vragen voordat je hem mailt over je diensten. Maar je moet wel altijd een afmeldlink bieden.

Een boekhouder die zijn klanten mailt over veranderde fiscale regels? Soft opt-in is prima. Een ontwerper die klanten informeert over een nieuw portfolio-aanbod? Prima. Zolang het soortgelijk is aan wat je eerder leverde.

Meer over welke grondslag je waarvoor gebruikt lees je in het artikel over AVG-grondslagen.

Twijfel je of je privacyverklaring en toestemmingsproces op orde zijn? De Privacy Scan checkt het in 2 minuten.

Mailchimp, Brevo, of een andere tool?

Vanuit privacy is er een relevant verschil: waar staat je data?

Mailchimp (VS): verwerkersovereenkomst beschikbaar, werkt onder het EU-US Data Privacy Framework. Maar het framework is juridisch onzeker. Er loopt een beroepszaak bij het Europese Hof. En je data staat fysiek in de VS. Voor veel ZZP'ers werkt het prima, maar het is niet de schoonste optie.

Brevo (Frankrijk, voorheen Sendinblue): data binnen de EU. Verwerkersovereenkomst standaard. Geen doorgifte-discussie. Juridisch de veiligste keuze voor EU-gebaseerde ondernemers.

Andere EU-opties: Laposta (NL), Spotler (NL), MailerLite (EU). Allemaal met data in de EU en verwerkersovereenkomst.

Qua kosten: Mailchimp's gratis plan is beperkt tot 250 contacten en 500 mails per maand (januari 2026 verlaagd). Brevo's gratis plan biedt 300 mails per dag met onbeperkt contacten. Voor de meeste ZZP'ers met een kleine lijst volstaat een gratis plan. Prijzen: stand maart 2026, kunnen wijzigen.

Bestaande lijst opschonen

Je hebt al een nieuwsbrieflijst. Misschien al jaren. Misschien met adressen waarvan je niet meer weet hoe ze erin zijn gekomen. Dat is een probleem, want bij een klacht moet je per adres kunnen aantonen dat er geldige toestemming was.

Drie stappen om dit op te lossen:

1. Controleer of double opt-in aanstond. Als dat al jaren het geval is, heb je per inschrijving een bewijs. Niets aan de hand.

2. Identificeer adressen zonder bewijs. Handmatig toegevoegde contacten, geimporteerde lijsten, adressen van voor je double opt-in aanzette. Die groep heeft geen aantoonbare toestemming.

3. Stuur een re-consent campagne. Mail die groep: "We willen je graag op de hoogte houden. Klik hier om te bevestigen dat je onze nieuwsbrief wilt blijven ontvangen." Wie niet klikt, verwijder je na twee weken. Ja, je lijst wordt kleiner. Maar de lijst die overblijft is juridisch solide en bestaat uit mensen die daadwerkelijk je mails willen lezen.

De contra-intuïtieve les: een kleinere lijst met bewezen toestemming is meer waard dan een grote lijst met juridische gaten. Niet alleen vanuit de AVG. Ook vanuit marketing: je open rates stijgen, je spamklachten dalen, en je deliverability verbetert.

De eerlijke inschatting

Een nieuwsbrief AVG-proof instellen kost een kwartier. Double opt-in aan, afmeldlink checken, verwerkersovereenkomst accepteren, privacyverklaring bijwerken. Daarna draait het vanzelf.

Het meest onderschatte risico: niet de AP die je beboet, maar een ontevreden inschrijver die een klacht indient omdat hij zich niet kon afmelden of nooit heeft ingestemd. Dat is het moment waarop je bewijs van toestemming nodig hebt. Double opt-in geeft je dat bewijs. Zonder is het jouw woord tegen het zijne.

Het tweede risico: je bent overgestapt naar een nieuwe e-mailtool maar hebt je bestaande lijst geimporteerd zonder te checken of al die adressen geldige toestemming hadden. Een lijst van vijf jaar oud met adressen waarvan je niet meer weet hoe ze erin zijn gekomen is een juridisch mijnenveld. Schoon je lijst op. Stuur een re-consent campagne als je twijfelt.

Privacy Scan

Check of je privacyverklaring en toestemmingsproces op orde zijn.

Start Privacy Scan

Veelgestelde vragen

Gerelateerde artikelen

Heb je een privacybeleid nodig?De 6 AVG-grondslagen: welke gebruik jij?Verwerkersovereenkomst in gewone taal
S

Sam

IT-professional met 20+ jaar ervaring in softwareontwikkeling en digitale beveiliging. Schrijft over privacy vanuit technische praktijkervaring — geen juridisch advies. Meer over de auteur

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.