De nieuwe Direct Marketing richtlijnen van de GBA: scherper, maar ook realistisch?

Direct marketing: een nieuwe definitie

De aanbeveling start met een gloednieuwe definitie van het begrip “direct marketing”. GDPR geeft die definitie immers niet en ook in de Belgische wetgeving is er geen officiële of toepasbare definitie te vinden. 

De definitie die de GBA nu wenst hanteren is wel erg breed, lees maar even mee!  

Daarbij geeft de GBA ook de belangrijke nuance mee dat het begrip “promotioneel” in de brede zin van het woord moet worden opgevat. Of het nu een commerciële of niet-commerciële boodschap is, doet er niet toe! En of het nu gewenste of ongewenste marketingcommunicatie is, het valt allemaal onder de nieuwe definitie. 

Gepersonaliseerde banners op basis van surfgedrag? Dat is direct marketing, volgens de GBA.  Een e-mail om een klant te bedanken én meteen een nieuw product aan te prijzen? Ook dat is direct marketing. Een politieke nieuwsbrief naar een contactenlijst? Inderdaad, ook direct marketing.

En of het nu gewenste of ongewenste marketingcommunicatie is, het valt allemaal onder de nieuwe definitie zodra er persoonsgegevens aan te pas komen.  Dat zal bijvoorbeeld zo zijn als een NGO een nieuwsbrief stuurt naar donateurs met updates over campagnes. Ook al wordt er niks verkocht, dit valt wel degelijk onder direct marketing – en dus onder de AVG.

 

Toestemming als enige veilige haven, maar met de gekende beperkingen…

De GBA herhaalt wat we al weten: toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Pre-ticked vakjes zijn uit den boze. ‘Consent or pay’ mag enkel als het betalende alternatief écht volwaardig is. Daarmee wordt bedoeld dat de consument een échte, vrije keuze krijgt tussen twee gelijkwaardige alternatieven en niet tussen “je geld of je privacy” (onze woorden, niet die van de GBA, overigens, voor alle duidelijkheid). Cookie-toestemming moet afzonderlijk en expliciet worden verkregen. 

Dit alles maakt toestemming de meest transparante en zuivere rechtsgrond: de betrokkene beslist zelf, proactief en geïnformeerd, of hij zijn gegevens wil laten gebruiken. Dat is juridisch helder en ethisch sterk. Alleen: in een marketingcontext is toestemming zelden frictieloos. De gebruiker moet actief klikken, begrijpt niet altijd waarvoor hij precies toestemming geeft, of voelt zich onder druk gezet – denk aan pop-ups met halve dreigementen (“zonder cookies werkt onze site niet goed”). Bovendien haakt een groot deel van het publiek gewoon af bij elke opt-in. 

In prospectiecampagnes is dat extra problematisch: je hebt net nog geen relatie, dus hoe haal je dan op een geldige manier toestemming? Het gevolg is dat veel bedrijven technisch compliant proberen te zijn, maar inhoudelijk voorbijgaan aan de geest van de AVG, bijvoorbeeld door data te kopen bij data brokers die op vaak erg twijfelachtige manieren een consent verzameld hebben of nog door zich te beroepen op een gerechtvaardigd belang bij prospectie daar waar in werkelijkheid onmogelijk met ernst kan verondersteld worden dat de betrokkene redelijkerwijze verwacht dat zijn of haar gegevens voor zulke doeleinden verwerkt zullen worden. 

Transparantie blijft cruciaal, maar het model van voorafgaande toestemming werkt alleen als er ook realistische alternatieven blijven bestaan. En dat debat wordt vandaag te weinig gevoerd.

 

Gerechtvaardigd belang alleen nog in theorie bruikbaar?

In de vorige aanbeveling van 2020 erkende de GBA nog vrij duidelijk dat ‘gerechtvaardigd belang’ een mogelijke rechtsgrond kan zijn voor direct marketing. Ze verwees daarbij expliciet naar overweging 47 van de AVG, waarin staat dat direct marketing als een gerechtvaardigd belang mag worden beschouwd.

In de nieuwe aanbeveling uit 2025 blijft die zin behouden, maar wordt de lat om je effectief op dat gerechtvaardigd belang te kunnen beroepen een pak hoger gelegd. De ruimte om te manoeuvreren wordt krapper, de bewijslast groter.

De AVG laat zes rechtsgronden toe om persoonsgegevens te verwerken. Eén daarvan is gerechtvaardigd belang (artikel 6.1 f). Die rechtsgrond is toegestaan als aan drie voorwaarden voldaan is, ook wel de ‘driestappentest’ genoemd:

• Er moet een legitiem belang zijn van jouw organisatie (of een derde).
• De verwerking moet noodzakelijk zijn om dat belang te realiseren.
• De belangen of fundamentele rechten van de betrokkene mogen niet zwaarder doorwegen, uitgaande van de “gerechtvaardigde verwachting” van de betrokkene.

Je moet deze afweging formeel documenteren in een ‘Legitimate Interest Assessment’ (LIA), en die kunnen voorleggen als bewijs. Je moet ook duidelijke waarborgen voorzien: recht van bezwaar, heldere communicatie en transparantie.

In de aanbeveling van 2020 benadrukte de GBA dat gerechtvaardigd belang perfect mogelijk is, zeker bij bestaande klanten. Zolang je maar kon aantonen dat jouw communicatie paste binnen hun redelijke verwachtingen én dat er een duidelijke opt-out voorzien was, zat je meestal goed.

In de nieuwe versie blijft het principe overeind, maar de toepassing wordt sterk beperkt. De GBA stelt nu expliciet dat:

• Je gerechtvaardigd belang zelden zal volstaan bij prospecten zonder bestaande relatie.
• Je per type communicatie een aparte afweging moet maken (één LIA voor nieuwsbrieven, één voor retargeting, enz.).
• Je bijzondere voorzichtigheid moet hanteren bij gevoelige data of minderjarigen.
• Je nooit gerechtvaardigd belang mag combineren met toestemming voor hetzelfde doeleinde (bv. mailcampagnes).

Er zijn nog contexten waarin gerechtvaardigd belang een geldige en werkbare rechtsgrond is, zoals communicatie naar bestaande klanten over gelijkaardige producten of diensten, met een duidelijke opt-out of herinneringsmails voor verlenging van een bestaande dienst (bv. domeinnaamregistratie, abonnement).  Ook informatie over events of webinars waar iemand zich eerder vrijwillig voor inschreef kan zeker nog wel, net als bijvoorbeeld (minimale) analytische gegevens (bv. openingsratio’s van e-mails) zonder tracking van individueel gedrag.  Let wel op hierbij: het verzamelen van analytische data op basis van cookies is wél altijd onderworpen aan voorafgaande toestemming!

Kortom, gerechtvaardigd belang is weliswaar niet dood, maar je moet het slim, beperkt en goed onderbouwd gebruiken. Wie het gebruikt voor koude prospectie of brede targeting zonder duidelijke relatie, loopt een reëel risico.  In die contexten is, behalve in uitzonderlijke gevallen, gerechtvaardigd belang bijna niet (meer) in te zetten.  Maar ook onder de oude Aanbeveling Direct Marketing uit 2020 was ons besluit al dat dit in praktijk enkel lukt in een aantal zeer specifieke gevallen, meestal in B2B context. 

 

De GBA als beleidsmaker?

De aanbeveling gaat ver. Ze citeert rechtspraak, geeft interpretaties, stelt voorbeelden en normen. Alleen: de GBA is geen wetgever. Ze mag verduidelijken, niet uitbreiden.

Het risico? Rechtsonzekerheid. Wat vandaag ‘goed’ is volgens de aanbeveling, kan morgen anders geïnterpreteerd worden.  Bovendien gaat de GBA ongetwijfeld ook handhaven op basis van haar eigen normen, wat enkel maar -het zal niet voor het eerst zijn- zal leiden tot een golf aan beroepsprocedures voor het Marktenhof …

Elke vorm van verduidelijking bij wetgeving, zeker als die zo vaag is als de GDPR, is vanzelfsprekend welkom, maar al te vaak vervalt zo’n verduidelijking in de feitelijke creatie van nieuwe regelgeving en dat is vanzelfsprekend niet de bedoeling…

 

Wat betekent dit concreet voor jou als marketeer?

Geen paniek. Je hoeft niet alles te herschrijven. Maar een check-up van je aanpak is geen overbodige luxe. Hier zijn een aantal rechtstreekse tips:

Doen:

1. Weet waarvoor je welke gegevens gebruikt. Zorg dat elk verwerkingsdoel een eigen juridische basis heeft. Combineer ze niet. Wissel ze ook niet zomaar.
2. Maak onderscheid tussen klanten en prospecten. Bij klanten is er soms ruimte voor gerechtvaardigd belang. Bij prospecten (zeker bij koude prospectie) kan dat de facto en behoudens wat uitzonderingen bijna niet.
3. Wijs mensen op hun rechten én laat hen op een gemakkelijke manier uitschrijven als ze dat willen. Elke nieuwsbrief moet een duidelijke uitschrijflink hebben. Elke sms een “STOP”-optie. Vermeld het ook in je privacybeleid.
4. Documenteer je keuzes. Werk je met gerechtvaardigd belang? Hou dan een schriftelijke afweging bij (de zogeheten LIA – Legitimate Interest Assessment) en dit voor elke afzonderlijke verwerkersactiviteit.
5. Herbekijk naast je marketingbeleid ook je cookie-strategie. Toestemming voor trackingcookies moet expliciet zijn. Geen toestemming? Geen tracking. Ook niet ‘voor analytics’.
6. Bezorg ons je input.  We proberen met Sirius Legal de feedback van onze cliënten te bundelen in een feedbackdocument naar de GBA. Jouw input is zeer welkom en mag je bezorgen aan An Haenen via an@siriuslegal.be

 

Niet doen:

1. Vertrouwen op oude opt-ins. Toestemmingen van voor de GDPR of verkregen via stilzwijgen zijn waardeloos.
2. Alles inroepen als “gerechtvaardigd belang”. Dat mag alleen als je effectief kan aantonen dat jouw belang zwaarder weegt dan de privacy van de betrokkene – en dat is zelden het geval.
3. Vergeten dat ook B2B e-mails onder de regels vallen. Professioneel e-mailadres of niet: als je een persoon rechtstreeks aanspreekt, is het direct marketing.
4. Denken dat de aanbeveling ‘maar een richtlijn’ is. In de praktijk gebruikt de GBA haar eigen aanbevelingen als maatstaf bij controles en sancties.
   

 

Evenwicht graag…

Gegevensbescherming is belangrijk. Daar bestaat geen discussie over. Transparantie, keuzevrijheid en respect voor de persoonlijke levenssfeer zijn fundamentele principes die ook in een digitale economie overeind moeten blijven. Maar tegelijk moeten we erkennen dat communicatie – ook commerciële – een legitiem onderdeel is van diezelfde economie. De uitdaging ligt in het vinden van een werkbaar evenwicht: regels die bescherming bieden waar nodig, zonder de ruimte voor professionele marketing volledig dicht te timmeren.

De GBA verzamelt tot 10 mei 2025 gelukkig wel feedback vanuit de betrokken sectoren.  Bij Sirius Legal proberen we die te bundelen in een poging om toch enige impact te hebben op de uiteindelijke regels zoals de GBA die wil gaan afdwingen.  Heb je bedenkingen of opmerkingen op deze draft? Mail ze naar An Haenen via an@siriuslegal.be!  We nemen ze mee in ons feedbackdocument naar de GBA. 

Onze belangrijkste eigen bedenking?  Het is zonder meer de rol van toezichthouders zoals de GBA om richtlijnen te geven en interpretatiekaders aan te reiken. Maar die rol stopt waar nieuwe verplichtingen ontstaan die geen directe basis vinden in de AVG zelf. Wanneer aanbevelingen de facto nieuwe regels worden, ontstaat er rechtsonzekerheid – en dat is noch in het belang van bedrijven, noch van consumenten.

Een genuanceerd debat over waar interpretatie eindigt en normering begint, is meer dan welkom. Want gegevensbescherming is een recht, maar ook communicatie is een legitiem belang. Beide verdienen een evenwichtige plaats in het regelgevend landschap.