Cold email, AVG en B2B in Nederland: wat is wel en niet toegestaan?

Bij koude e-mail in B2B gelden in Nederland twee wettelijke kaders naast elkaar. De Telecommunicatiewet, de Nederlandse uitwerking van de Europese ePrivacy-richtlijn, bepaalt óf je een commercieel bericht via een elektronisch kanaal mág versturen. De AVG bepaalt hóe je de persoonsgegevens van de ontvanger, zoals naam en e-mailadres, mag verwerken.

De ePrivacy-regels gaan daarbij vóór op de AVG (lex specialis). Heb je geen geldige basis onder de Telecommunicatiewet om te verzenden, dan repareert een AVG-grondslag dat niet. Andersom geldt: mag je volgens de Telecommunicatiewet verzenden, dan heb je daarnaast nog steeds een AVG-grondslag nodig voor de gegevensverwerking.

Er zijn ook twee toezichthouders. De Autoriteit Consument & Markt (ACM) handhaaft de Telecommunicatiewet, oftewel het spamverbod van art. 11.7. De Autoriteit Persoonsgegevens (AP) handhaaft de AVG. Eén verkeerd verstuurde koude mail kan dus bij beide instanties tot een probleem leiden.

De hoofdregel van artikel 11.7 is een opt-in: ongevraagde elektronische communicatie voor commerciële, ideële of charitatieve doeleinden mag in beginsel alleen met voorafgaande toestemming van de ontvanger.

Voor B2B geldt een belangrijke uitzondering. E-mail aan rechtspersonen, zoals een BV, NV, stichting of vereniging, mag zonder voorafgaande toestemming naar een zakelijk e-mailadres dat bewust voor contact is bekendgemaakt (art. 11.7 lid 3 sub a Tw), zolang elk bericht een eenvoudige en gratis afmeldmogelijkheid (opt-out) bevat. Een BV hoef je dus niet vooraf om toestemming te vragen voordat je een eerste koude mail of opvolgmail stuurt.

Daarnaast bestaat de zogenoemde klantrelatie-uitzondering (soft opt-in). Heb je een e-mailadres verkregen bij de verkoop van een product of dienst, dan mag je dat adres gebruiken om je eigen, gelijksoortige producten of diensten aan te bieden, opnieuw met een duidelijke opt-out.

Niet elk bedrijf is juridisch een rechtspersoon. Eenmanszaken, vof's en maatschappen zijn natuurlijke personen die handelen in de uitoefening van hun beroep of bedrijf. Daardoor genieten ze meer bescherming dan een BV en is de soepele B2B-lijn niet zomaar één-op-één van toepassing.

In de praktijk mag je deze ondernemers mailen wanneer hun zakelijke e-mailadres bewust openbaar is gemaakt om benaderd te kunnen worden, bijvoorbeeld een info@- of contact-adres op de bedrijfswebsite. Is dat niet het geval, dan ligt koude e-mail naar een eenmanszaak of zzp'er gevoeliger.

Let bovendien op: het e-mailadres van een eenmanszaak is vaak een persoonsgegeven, zoals voornaam.achternaam@bedrijf.nl. Daarmee is de AVG hier volledig van toepassing. Ter illustratie van de richting: per 1 juli 2026 vervalt de soft opt-in voor telemarketing richting onder meer zzp'ers. Dat raakt telefonisch bellen en niet e-mail, maar het laat zien dat de bescherming van kleine ondernemers toeneemt.

Mag je volgens de Telecommunicatiewet verzenden, dan heb je nog een AVG-grondslag nodig om het e-mailadres te mogen verwerken. Voor koude B2B-acquisitie is dat vrijwel altijd het gerechtvaardigd belang van artikel 6, lid 1, sub f AVG. Directe marketing wordt in overweging 47 van de AVG expliciet genoemd als een mogelijk gerechtvaardigd belang.

Gerechtvaardigd belang is echter geen vrijbrief. Je moet een driestappentest doorlopen en vastleggen in een Legitimate Interest Assessment (LIA): is er een gerechtvaardigd (commercieel) belang, is de verwerking noodzakelijk om dat belang te dienen, en wegen jouw belangen op tegen de privacy en de grondrechten van de ontvanger?

Hoe gerichter en relevanter je benadering, hoe sterker je belang in die afweging staat. Breed en ongericht 'sprayen' naar willekeurige adressen valt al snel de verkeerde kant van de balans op. Documenteer daarom je LIA en je doelgroepkeuze; dat is je bewijs richting de AP. ReachIQ legt het doelland en de doelgroep per campagne vast, zodat je LIA-onderbouwing aansluit op wie je daadwerkelijk benadert.

Onder beide regimes geldt dezelfde harde eis: elke koude mail moet een duidelijke, kosteloze afmeldmogelijkheid bevatten, en een afmelding moet je direct respecteren. Het ontbreken van een werkende opt-out is een van de meest voorkomende overtredingen.

De technische standaard hiervoor is RFC 8058: een List-Unsubscribe-header met één-klik afmelden, zodat de ontvanger zich rechtstreeks vanuit zijn mailprogramma kan uitschrijven zonder eerst een webpagina te doorlopen. Dat is niet alleen juridisch netjes, het verbetert ook je deliverability bij Gmail en Microsoft.

Cruciaal is dat een afmelding overal blijft gelden. ReachIQ gebruikt een suppressielijst als single source of truth: een afgemeld adres wordt centraal geblokkeerd over al je campagnes en gekoppelde mailboxen heen, zodat dezelfde persoon niet per ongeluk opnieuw wordt benaderd. Open-tracking staat daarbij standaard uit, wat privacyvriendelijker is.

De AVG is Europees geharmoniseerd, maar de ePrivacy-regels zijn per lidstaat uitgewerkt. Daardoor verschilt wat is toegestaan sterk per doelland, ook al verstuur je vanuit dezelfde mailbox.

Nederland is relatief permissief: gerechtvaardigd belang dekt B2B-outreach naar zakelijke (rechtspersoon-)adressen, mits je een opt-out biedt. In onder meer Ierland, het Verenigd Koninkrijk en Frankrijk geldt een vergelijkbare lijn.

Duitsland is de strengste markt van de EU. Onder §7 UWG geldt e-mailreclame zonder voorafgaande, uitdrukkelijke toestemming als ontoelaatbare hinder (unzumutbare Belästigung), óók in B2B. In de praktijk wordt double opt-in verlangd. Stuur je zonder toestemming naar Duitse ontvangers, dan loop je een reëel handhavingsrisico.

Daarom is het doelland geen detail maar een kernvariabele in compliance. ReachIQ maakt het doelland expliciet per campagne (doelland-gating), zodat je strenge markten zoals Duitsland bewust uitsluit of apart behandelt in plaats van ze per ongeluk mee te sturen.

Wil je koude acquisitie per e-mail in Nederland verantwoord inzetten, dan stapel je de eisen uit beide regimes. De onderstaande checklist vat de kernpunten samen, zodat je per campagne kunt controleren of je het kanaal én de gegevensverwerking op orde hebt.