GDPR - AVG

Mag een datamakelaar persoonsgegevens doorverkopen op basis van een oud contract?

Joris Deene
1 week geleden
165 keer bekeken
6 minuten leestijd

Datamakelaars en marketingbedrijven beroepen zich vaak op verouderde databases en algemene voorwaarden uit het verleden om persoonsgegevens te verhandelen. De Belgische Gegevensbeschermingsautoriteit (GBA) heeft in een beslissing van 27 november 2025 (nr. 199/2025) echter een duidelijk signaal gegeven: zonder expliciete, vrije en specifieke toestemming is het doorverkopen van data voor direct marketing onrechtmatig. Een contract met een leverancier volstaat niet als bewijs van toestemming.

De feiten: oude data, nieuwe regels

De zaak draait om een klacht van een burger tegen Infobel, een bekende commerciële gegevensmakelaar. De klager stelde vast dat zijn persoonsgegevens (naam, adres, telefoonnummer) door Infobel werden verwerkt en doorverkocht aan derden voor direct marketingdoeleinden, zonder dat hij daar ooit rechtstreeks toestemming voor had gegeven aan Infobel.

Infobel verweerde zich door te stellen dat zij deze gegevens legaal had verkregen via een telecomoperator (in de beslissing ‘Z4’ genoemd). Volgens Infobel zou de klager in 2006, bij het afsluiten van zijn telefoonabonnement, toestemming hebben gegeven via de algemene voorwaarden van de operator. Infobel baseerde zich op contracten met deze operator en stelde dat de verantwoordelijkheid voor de toestemming bij de bron lag.

De kernvraag was of een datamakelaar zich mag verschuilen achter contractuele garanties van een leverancier en een impliciete toestemming (‘opt-out’) uit het verleden om gegevens commercieel te exploiteren onder de huidige Algemene Verordening Gegevensbescherming (AVG/GDPR).

De beslissing: geen bewijs, geen verwerking

De Geschillenkamer van de GBA oordeelde vernietigend over de werkwijze van Infobel. De GBA stelde vast dat Infobel inbreuken pleegde op artikel 5.1.a (rechtmatigheid), artikel 6 (rechtsgrond) en artikel 24 (verantwoordingsplicht) van de AVG.

De belangrijkste pijlers van de beslissing zijn:

  • Ongeldige toestemming: De GBA oordeelde dat de zogenaamde toestemming via de algemene voorwaarden van de operator niet voldeed. De voorwaarden hanteerden een “opt-out” systeem (klanten moesten vragen om niet op een lijst te komen), wat onder de AVG niet geldt als een ondubbelzinnige actieve handeling.
  • Gebrek aan Informatie: De klager was nooit geïnformeerd dat specifiek Infobel zijn gegevens zou verwerken. Voor een geïnformeerde toestemming moet de identiteit van de verwerkingsverantwoordelijke bekend zijn.
  • Verantwoordingsplicht (Accountability): Infobel kon zelf geen enkel stuk voorleggen waaruit de wilsuiting van de klager bleek. Het louter verwijzen naar contracten met de leverancier (Z4) ontslaat de datamakelaar niet van de plicht om zelf de geldigheid van de toestemming aan te tonen. Aangezien de data-overdracht dateerde van vóór de AVG (2006), ligt de volledige verantwoordelijkheid voor het huidige gebruik bij de partij die de data nu exploiteert (Infobel), en niet bij de oorspronkelijke bron.

De GBA legde Infobel een administratieve geldboete op van 40.000 euro en beval de verwijdering van de onrechtmatig verwerkte gegevens, alsook de kennisgeving van deze beslissing aan alle partijen die de data hadden gekocht.

Juridische analyse en duiding

Deze beslissing bevestigt en versterkt de jurisprudentie rondom de kwaliteit van toestemming in het AVG-tijdperk. Het markeert het definitieve einde van het tijdperk waarin bedrijven konden teren op “slapende” data verzameld onder de pre-AVG wetgeving, waarbij stilzwijgen vaak als toestemming werd geïnterpreteerd.

De criteria voor toestemming

De GBA past de vier cumulatieve voorwaarden voor toestemming strikt toe, zoals gedefinieerd in artikel 4.11 AVG en verduidelijkt in de richtsnoeren van de European Data Protection Board (EDPB):

  1. Vrij: De toestemming mag niet gekoppeld zijn aan de uitvoering van een contract als dat niet noodzakelijk is. In dit geval was de marketingtoestemming verweven met het telefooncontract.
  2. Specifiek: Een algemene toestemming voor “commercialisering” in algemene voorwaarden is onvoldoende. Er moet specifieke toestemming zijn voor doorverkoop aan derden zoals Infobel.
  3. Geïnformeerd: De betrokkene moet weten wie de gegevens verwerkt. Als de naam van de datamakelaar niet in de oorspronkelijke kennisgeving staat, is de toestemming ongeldig.
  4. Ondubbelzinnig: Stilzwijgen, vooraf aangevinkte vakjes of het niet-afmelden (opt-out) vormen géén rechtsgeldige toestemming.

De actieve onderzoeksplicht van de datamakelaar

Juridisch gezien is het meest interessante aspect de invulling van artikel 24 AVG. De GBA stelt dat een verwerkingsverantwoordelijke (in casu de koper van de data) een zelfstandige bewijslast heeft. Men kan zich niet verschuilen achter garanties in een B2B-contract met de leverancier. Dit betekent dat elke organisatie die externe databases aankoopt, een due diligence moet uitvoeren naar de oorsprong van de toestemming (de ‘opt-in’ bewijzen). Ontbreekt dit bewijs, dan is de verwerking onrechtmatig.

De GBA verwijst hierbij ook naar het Proximus-arrest van het Hof van Justitie (C-129/21), waarin reeds werd bepaald dat toestemming voor publicatie in een telefoongids niet automatisch geldt voor andere commerciële doeleinden.

Wat dit concreet betekent

Deze uitspraak heeft gevolgen voor diverse partijen in het economisch verkeer:

  • Voor consumenten: U heeft meer controle dan u denkt. Als u marketing ontvangt van bedrijven die u niet kent, volstaat het niet dat zij verwijzen naar een “partner”. Zij moeten bewijzen dat u specifiek aan hen toestemming gaf. U kunt met succes de verwijdering van uw gegevens eisen én vragen aan wie uw gegevens zijn doorverkocht.
  • Voor datamakelaars en marketingbureaus: Het bedrijfsmodel van het kopen en verkopen van databases zonder harde ‘opt-in’ bewijzen is onhoudbaar geworden. Let wel: databrokering op zich is niet onrechtmatig, maar het ontbreken van deze bewijzen is problematisch. U riskeert niet alleen boetes, maar ook bevelen tot vernietiging van uw database. U moet proactief verifiëren of de personen in uw gekochte bestanden voldoen aan de AVG-standaarden, ongeacht wat uw leverancier contractueel belooft.
  • Voor bedrijven die data verzamelen (zoals telecom): Algemene voorwaarden waarin staat dat data “gecommercialiseerd” mag worden, zijn juridisch waardeloos voor doorverkoop aan derden als er geen specifieke, granulaire opt-in is voorzien.

Veelgestelde Vragen (FAQ)

Mag een bedrijf mijn gegevens doorverkopen voor marketing?

Nee, niet zomaar. Onder de AVG is hiervoor uw vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming vereist. U moet expliciet ‘ja’ hebben gezegd tegen de doorverkoop aan die specifieke partij of categorie van partijen.

Is een ‘opt-out’ systeem geldig onder de AVG?

Nee. Het systeem waarbij u actie moet ondernemen om geen reclame te ontvangen (bijvoorbeeld “vink dit vakje uit als u geen nieuwsbrief wilt”) is verboden. Toestemming vereist een actieve handeling van de gebruiker (opt-in).

Wat als ik jaren geleden ‘toestemming’ gaf via algemene voorwaarden?

Die toestemming is waarschijnlijk niet meer geldig. Als de toestemming destijds niet specifiek was of in een contract ‘verstopt’ zat, voldoet deze niet aan de huidige AVG-eisen. Bedrijven moeten oude toestemmingen herevalueren en indien nodig vernieuwen.

Conclusie

De beslissing tegen Infobel maakt duidelijk dat de GBA streng optreedt tegen de handel in persoonsgegevens zonder solide juridische basis. De verantwoordingsplicht weegt zwaar: wie data verwerkt, moet de toestemming kunnen bewijzen. “We hebben de data te goeder trouw gekocht” is geen geldig verweer meer.

Heeft u te maken met onrechtmatig gebruik van uw persoonsgegevens of wenst u als onderneming uw marketingactiviteiten AVG-proof te maken? Onze advocaten, gespecialiseerd in privacyrecht en gegevensbescherming, staan klaar om uw dossier te analyseren en uw belangen te verdedigen. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics