GDPR - AVG

Mag ik klantgegevens hergebruiken voor marketing van een andere activiteit?

Joris Deene
2 weken geleden
117 keer bekeken
6 minuten leestijd

Veel ondernemers voeren verschillende commerciële activiteiten uit onder één en dezelfde vennootschap. De vraag rijst vaak of e-mailadressen die verzameld zijn voor de ene dienst (bijvoorbeeld een fitnessabonnement), gebruikt mogen worden voor direct marketing van een andere activiteit (zoals evenementen). Het korte antwoord is neen. De Gegevensbeschermingsautoriteit (GBA) oordeelde in een beslissing van 9 januari 2026 (04/2026) dat dit een schending is van het doelbindingsbeginsel. U heeft voor elke afzonderlijke activiteit een specifieke toestemming nodig, tenzij de doelen nauw met elkaar verbonden zijn.

De feiten en achtergrond

In deze zaak diende een consument een klacht in tegen de eigenaar van een fitnessclub. De klager was lid geworden van de fitness en had in zijn contract toestemming gegeven om via e-mail op de hoogte te worden gehouden van “nieuws”.

Het conflict ontstond toen de ledenadministratie werd gebruikt voor een ander concept. De ondernemer besloot e-mails voor zijn nachtclubevenementen niet meer via het fitness-adres te versturen, maar via een nieuw e-mailadres gekoppeld aan het evenementenconcept. Hoewel juridisch gezien dezelfde vennootschap achter de knoppen zat, wekte deze nieuwe afzendernaam argwaan bij het lid. De klant meende nooit toestemming te hebben gegeven aan deze ‘organisator’ en stapte naar de GBA.

De ondernemer verweerde zich door te stellen dat zijn doel ruimer was dan sport, namelijk het versterken van het “gemeenschapsgevoel”, en dat beide activiteiten door dezelfde persoon werden uitgebaat.

De beslissing van de GBA

De Geschillenkamer van de GBA stelde de ondernemer in het ongelijk. Er werd geoordeeld dat er sprake was van inbreuken op de doelbinding, de rechtmatigheid en de transparantie (artikelen 5.1.b, 6 en 13.3 Algemene Verordening Gegevensbescherming (AVG/GDPR)).

De kernpunten uit de beslissing zijn:

  • Geen geldige toestemming: De toestemming voor “nieuws” in een fitnesscontract dekt niet de lading voor “nachtclubevenementen”. Omdat er geen logisch verband is tussen sport en uitgaan, zijn dit onverenigbare doeleinden.
  • Gebrek aan transparantie: De privacyverklaring van de ondernemer stelde expliciet: “Dit privacy beleid heeft uitsluitend betrekking op deze Website”. Hierdoor was er juridisch gezien géén informatie verstrekt over de verwerking van gegevens in het kader van het lidmaatschap of de evenementen.
  • De sanctie: Ondanks de vastgestelde inbreuken, legde de GBA geen geldboete op. De Autoriteit hield rekening met het feit dat de gegevensverwerking door dezelfde verantwoordelijke gebeurde en niet was doorgegeven aan derden. De impact op de betrokkene werd daarom als “beperkt” beschouwd. De ondernemer kreeg wel een strikt bevel om zijn werkwijze en privacyverklaring binnen 30 dagen in regel te brengen.

Juridische analyse en duiding

Deze beslissing is een leerboekvoorbeeld van hoe administratieve slordigheid tot juridische problemen leidt.

Doelbinding is strikt (Artikel 5.1.b AVG)

De GBA herbevestigt dat persoonsgegevens niet zomaar “hergebruikt” mogen worden, zelfs niet binnen één bedrijf. De “verenigbaarheidstoets” van artikel 6.4 AVG viel hier negatief uit: een sporter verwacht geen reclame voor een nachtclub. Dat het geld in dezelfde kassa (vennootschap) belandt, is voor de AVG niet relevant; het gaat om de verwachting van de betrokkene.

De valkuil van standaarddocumentatie

De uitspraak toont pijnlijk aan hoe gevaarlijk “copy-paste” privacyverklaringen zijn. De clausule dat de policy “uitsluitend betrekking heeft op deze Website” is een standaardzin die vaak in templates staat, maar desastreus is als u ook fysieke diensten (zoals een lidmaatschap) aanbiedt. Hierdoor voldeed de ondernemer niet aan zijn informatieplicht (art. 13 AVG) voor zijn kernactiviteiten.

Transparantie als vertrouwensfactor

De klacht werd getriggerd door verwarring over de afzender. Juridisch was het dezelfde entiteit, maar voor de consument voelde het als spam van een derde partij. Transparante communicatie (“U ontvangt dit bericht van X omdat u lid bent van Y”) had de klacht wellicht kunnen voorkomen.

Wat dit concreet betekent voor uw onderneming

  • Segmenteer uw databases: Gooi niet alle klantgegevens op één hoop. Als u verschillende handelsnamen of uiteenlopende concepten hanteert, heb je doorgaans gescheiden toestemmingen nodig.
  • Check uw privacyverklaring op beperkende clausules: Controleer of uw privacy policy niet per ongeluk stelt dat deze alleen voor de website geldt. Zorg dat de tekst al uw bedrijfsactiviteiten dekt (klantenbeheer, offline dienstverlening, events).
  • Wees specifiek bij opt-ins: Vraag geen algemene toestemming voor “nieuws”, maar specificeer: “nieuws over sportactiviteiten” en “uitnodigingen voor events”. Laat de klant kiezen.
  • Beheer uw afzendernamen: Als u een nieuwe merknaam lanceert, communiceer dan heel duidelijk de link met uw moedervennootschap om wantrouwen (en klachten) te voorkomen.

Veelgestelde Vragen (FAQ)

Mag ik mijn bestaande klantenbestand mailen over een totaal nieuwe activiteit van mijn bedrijf?
Nee, doorgaans niet. Als de nieuwe activiteit niet nauw samenhangt met de dienst waarvoor de klant zich oorspronkelijk inschreef, is dit een “onverenigbaar doel”. U moet hiervoor eerst specifieke toestemming vragen of aantonen dat het binnen de redelijke verwachtingen van de klant valt (wat bij totaal nieuwe activiteiten zelden het geval is).

Waarom kreeg deze ondernemer geen boete?
De GBA oordeelde dat de inbreuk een “beperkte impact” had op de klant, omdat de gegevens niet daadwerkelijk waren doorgegeven aan een externe partij; ze bleven binnen dezelfde vennootschap. Let op: dit is geen vrijgeleide. Bij grootschaliger misbruik of recidive kan wel degelijk een boete volgen.

Is het voldoende als ik mijn privacyverklaring aanpas voordat ik de mails stuur?
Nee. Artikel 13.3 AVG verplicht u weliswaar om mensen te informeren voordat u gegevens voor een ander doel gebruikt, maar informeren alleen is geen rechtsgrond. Als de oorspronkelijke verwerking gebaseerd was op toestemming, heeft u voor het nieuwe doel ook een nieuwe, specifieke toestemming nodig.

Is het openen van een e-mail bewijs van toestemming?
Nee. De ondernemer probeerde aan te tonen dat de klant interesse had omdat hij de mails opende. De GBA verwierp dit: het openen van een mail (tracking) vervangt nooit de vereiste voorafgaande, vrije en specifieke toestemming.

Conclusie

Het hergebruiken van persoonsgegevens voor verschillende handelsactiviteiten is geen automatisme. De AVG vereist strikte doelbinding. Een fitnessabonnee is geen nachtclubbezoeker, tenzij hij daar expliciet voor kiest. Daarnaast is een slordige privacyverklaring – die zichzelf beperkt tot de website – een onnodig risico dat u eenvoudig kunt vermijden.

Wilt u uw privacyverklaring laten screenen of advies over uw direct marketing strategie? Onze advocaten, gespecialiseerd in Privacy & Gegevensbeschermingsrecht, helpen u graag om boetes en bevelen te voorkomen. Neem contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics