V1: Is B2B-cold email legaal onder de AVG in 2026? Ja, mits voorwaarden. Artikel 6.1.f van de AVG (gerechtvaardigd belang) staat B2B-e-mailprospectie toe als aan drie voorwaarden is voldaan: (1) de communicatie houdt rechtstreeks verband met de professionele functie van de ontvanger, (2) de identiteit van de afzender is duidelijk herkenbaar, (3) een werkend opt-outmechanisme is in elk bericht aanwezig.

V2: Wat is het verschil tussen B2B-cold email en spam? Spam is een ongerichte, ongevraagde verzending zonder relevantie voor de ontvanger. Legale B2B-cold email is gericht (gedefinieerd ICP), relevant (gekoppeld aan de functie), geïdentificeerd (duidelijke afzender) en omkeerbaar (opt-out). De CNIL onderscheidt beide op basis van deze criteria.

V3: Mag je een generiek e-mailadres contacteren (contact@, info@)? Ja, want deze adressen zijn niet-persoonsgegevens in de zin van de AVG. Ze vertegenwoordigen geen identificeerbare natuurlijke persoon. Er is geen bijzondere rechtsgrond vereist om ze te contacteren.

V4: Moet je in B2B voorafgaande toestemming verkrijgen? Nee, in tegenstelling tot B2C. In B2B is het gerechtvaardigd belang (art. 6.1.f) de gepaste rechtsgrond. Toestemming (art. 6.1.a) is niet vereist voor professionele prospectie gericht aan een functie en niet aan een persoon als consument.

V5: Verschillen de regels per EU-land? Ja, sommige lidstaten passen via de ePrivacy-richtlijn strengere regels toe. Duitsland vereist zelfs in B2B uitdrukkelijke toestemming voor elektronische communicatie (§ 7 UWG). België en Nederland volgen de standaard AVG-richtsnoeren. Frankrijk (CNIL) volgt de interpretatie van gerechtvaardigd belang voor strikt B2B.

V6: Waar mag je legaal B2B-e-mails vandaan halen? Legale bronnen: LinkedIn (openbare gegevens van professionele profielen), officiële bedrijfsregisters (SIRENE, Infogreffe, Bundesanzeiger, KvK), bedrijfswebsites ('Team'-, 'Contact'-pagina's), sectorregisters, databases van platforms zoals Apollo of Kaspr (die hun bronnen vermelden). Illegale bronnen: gekochte databases zonder herleidbaarheid van de bronnen, uit leaks geëxtraheerde gegevens.

V7: Moet je prospects informeren dat hun gegevens worden verwerkt? Ja, maar dit kan in de eerste e-mail gebeuren (vermelding van de databron, het doel, de rechten). Een afzonderlijke voorafgaande kennisgeving is niet nodig. De vermelding in het eerste contact volstaat volgens de CNIL-richtsnoeren.

V8: Hoelang mag je de gegevens van een prospect bewaren? Maximaal 3 jaar vanaf het laatste actieve contact volgens de CNIL-aanbevelingen (referentiekader commerciële benadering 2023). Voor prospects die om opt-out hebben verzocht: onmiddellijke en permanente verwijdering, opname op een blokkeerlijst.

V9: Heb je een register van verwerkingsactiviteiten nodig voor prospectie? Ja. Elke organisatie die persoonsgegevens verwerkt voor commerciële doeleinden moet een register bijhouden (art. 30 AVG). Minimale inhoud: doel (B2B-prospectie), gegevenscategorieën (naam, professionele e-mail, functie, bedrijf), rechtsgrond, bewaartermijn, beveiligingsmaatregelen.

V10: Mag je geautomatiseerde LinkedIn-scraping gebruiken om e-mails te verzamelen? LinkedIn verbiedt scraping in zijn gebruiksvoorwaarden. Onder de AVG mogen openbare LinkedIn-profielgegevens worden verwerkt op grond van gerechtvaardigd belang, maar de geautomatiseerde extractie ervan stelt je bloot aan een risico van contractueel geschil met LinkedIn. Conforme tools gebruiken de officiële LinkedIn-API of gecertificeerde partners.

V11: Hoe implementeer je een conforme opt-out? De opt-out moet: (1) in elke e-mail aanwezig zijn (klikbare link of duidelijke instructie zoals 'Antwoord STOP'), (2) werken (daadwerkelijk leiden tot uitschrijving), (3) gratis en zonder voorwaarden zijn, (4) onmiddellijk effectief zijn. Opt-outs moeten worden gecentraliseerd in een permanente blokkeerlijst die met alle verzendtools is gesynchroniseerd.

V12: Wat doe je als een prospect verzoekt om verwijdering van zijn gegevens? Recht op gegevenswissing (art. 17 AVG): alle persoonsgegevens binnen een redelijke termijn verwijderen (CNIL-aanbeveling: binnen 30 dagen). Uitzondering: de e-mail op een opt-out-blokkeerlijst bewaren om hernieuwd contact te vermijden.

V13: Kan een prospect vragen om de gegevens in te zien die je over hem bewaart? Ja, dat is het recht op inzage (art. 15 AVG). Antwoordtermijn: 1 maand (verlengbaar tot 3 maanden voor complexe verzoeken). Inhoud: alle persoonsgegevens, hun bron, het doel en de bewaartermijn.

V14: Mag je een prospect opnieuw contacteren na een opt-out? Nee. De opt-out is permanent voor het betrokken kanaal. Een heractivering kan alleen plaatsvinden als de prospect een nieuw contact heeft geïnitieerd (antwoord op een latere e-mail, sitebezoek, demo-aanvraag) dat een nieuwe grond van gerechtvaardigd belang vormt.

V15: Zijn de persoonlijke contactgegevens van een bestuurder (bv. CEO van een micro-onderneming) persoonsgegevens? Ja. Ook in B2B is de e-mail van een bestuurder van een micro-onderneming (jan.jansen@zijn-bedrijf.be) een persoonsgegeven in de zin van de AVG, omdat het een natuurlijke persoon identificeert. De AVG-regels zijn volledig van toepassing, inclusief gerechtvaardigd belang en het recht op gegevenswissing.

V16: Is AI-leadscoring onderworpen aan de AVG? Ja, als de scoring is gebaseerd op persoonsgegevens. Artikel 22 AVG regelt geautomatiseerde besluiten: als de scoring leidt tot een significant besluit dat de persoon raakt (bv. permanente uitsluiting uit een salesproces), moet een recht op uitleg worden voorzien.

V17: Moet je in e-mails vermelden dat de scoring door een AI wordt uitgevoerd? Nee, niet verplicht. Het vermelden van een AI in communicatie is door de AVG niet vereist voor standaard marketingscoring. Het kan echter het vertrouwen versterken. Lead-Gene-platforms vermelden de grond van gerechtvaardigd belang maar niet het interne technische mechanisme.

V18: Hoe omkader je het gebruik van data van derden (intent data van Bombora, 6sense)? Controleer of de dataleverancier over een geldige rechtsgrond beschikt voor de verzameling en doorgifte van deze data. Vraag een AVG-conformiteitsattest aan en controleer de modelcontractbepalingen (SCC) als de leverancier buiten de EU zit.

V19: Mag je prospectgegevens doorgeven aan in de VS gehoste tools (HubSpot, Salesforce)? Ja, mits voorwaarden: deze doorgiften moeten worden omkaderd door modelcontractbepalingen (SCC) of een verwerkersovereenkomst (DPA). HubSpot en Salesforce bieden conforme DPA's aan. Controleer of de DPA is ondertekend vóór elke doorgifte.

V20: Is een functionaris voor gegevensbescherming (FG) verplicht om een leadmachine op te zetten? Niet systematisch. De FG-verplichting geldt voor organisaties die data op grote schaal of gevoelige data verwerken. Voor een kmo die standaard B2B-prospectie doet, volstaan een bijgewerkt verwerkingsregister en een conform privacybeleid doorgaans.

V21: Wat zijn de sancties voor een niet-conforme cold-emailcampagne? De CNIL kan een ingebrekestelling, een waarschuwing en vervolgens een boete tot 4% van de wereldwijde omzet of scope na audit opleggen (het hoogste van de twee). In de praktijk treffen sancties voor niet-conforme B2B-prospectie vooral organisaties met grote volumes of recidive. De meest voorkomende uitkomsten voor kmo's zijn ingebrekestellingen zonder onmiddellijke boete.

V22: Hoe bewijs je bij een controle de AVG-conformiteit van een campagne? Bewaar: het verwerkingsregister, de documentatie van de databronnen, opt-outbewijzen (tijdstempel en bevestigingsmail), ondertekende DPA's met subverwerkers, verzendlogs met tijdstempels. Lead-Gene genereert automatisch een exporteerbaar register.

V23: Is AVG-conforme prospectie mogelijk in Zwitserland (FADP)? Ja. Zwitserland beschikt over een eigen wet (herziene FADP, van toepassing sinds september 2023). De beginselen zijn vergelijkbaar met de AVG: gerechtvaardigd belang voor B2B, verplichte opt-out, verwerkingsregister. Zwitserland wordt door de EU erkend als een adequaat land, wat de doorgifte van data vergemakkelijkt.

V24: Snelle checklist vóór het verzenden van een conforme cold-emailcampagne. ✅ Legale en gedocumenteerde databron. ✅ Uitsluitend professionele e-mailadressen (geen @gmail, @yahoo). ✅ Professionele relevantie geverifieerd (gedefinieerd ICP). ✅ Geïdentificeerde afzender (voornaam, achternaam, bedrijf, fysiek adres). ✅ Werkende opt-outlink in elke e-mail. ✅ Bijgewerkt verwerkingsregister. ✅ DPA ondertekend met elke AI-subverwerker. ✅ Redelijke frequentie (max. 5 touchpoints / 30 dagen).

V25: Waar vind je de officiële richtsnoeren over e-mailprospectie? CNIL: richtsnoeren over commerciële benadering langs elektronische weg (2023). EDPB (European Data Protection Board): advies 5/2019 over gerechtvaardigd belang. Voor een volledige gids over AI-conformiteit, zie ons artikel AI-prospectie & AVG 2026.