GDPR - AVG

Zakelijke e-mailadressen en GDPR: mag u contactgegevens uit de KBO gebruiken voor B2B-marketing?

Joris Deene
3 weken geleden
186 keer bekeken
6 minuten leestijd

Veel ondernemingen leven in de veronderstelling dat zakelijke contactgegevens, zoals die van bedrijfsleiders in de Kruispuntbank van Ondernemingen (KBO), vrij gebruikt mogen worden voor commerciële doeleinden. Een arrest van het Brusselse Marktenhof van 17 december 2025) maakt echter duidelijk dat deze aanname gevaarlijk is. Een e-mailadres zoals voornaam.achternaam@bedrijf.be is wel degelijk een persoonsgegeven, en het loutere feit dat deze data publiek beschikbaar zijn, geeft geen vrijgeleide voor direct marketing.

De feiten en de procedure

De zaak draait rond een zogenaamde ‘data broker’, een vennootschap gespecialiseerd in het verzamelen en verhuren van zakelijke data voor marketingdoeleinden. De onderneming verkreeg via een leverancier/moedervennootschap gegevens van Belgische ondernemingen, waaronder die van een bestuurder van een BV.

Deze bestuurder ontving plots commerciële e-mails van derden (klanten van de data broker) op zijn zakelijk e-mailadres dat zijn volledige naam bevatte. De bestuurder diende klacht in bij de Gegevensbeschermingsautoriteit (GBA) omdat hij nooit toestemming had gegeven en niet wist hoe deze partijen aan zijn gegevens kwamen.

De Geschillenkamer van de GBA legde op 22 april 2025 (nr. 72/2025) de data broker zware sancties op, waaronder een totaalbedrag aan boetes van 20.000 euro, wegens inbreuken op de rechtmatigheid van verwerking, de transparantieplicht en het inzagerecht. De onderneming ging hiertegen in beroep bij het Marktenhof.

De beslissing van het Marktenhof

Het Marktenhof bevestigde in zijn arrest van 17 december 2025 de kernprincipes van de GBA, maar nuanceerde de transparantieverplichting en verlaagde de boetes. De belangrijkste punten uit de uitspraak zijn:

  • Zakelijk e-mailadres is een persoonsgegeven: Het Hof bevestigt onomwonden dat een e-mailadres dat een natuurlijke persoon identificeert (bv. jan.janssens@bedrijf.be), een persoonsgegeven is in de zin van artikel 4.1 Algemene Verordening Gegevensbescherming (AVG/GDPR). Dat het om een professionele context gaat, is irrelevant.
  • Geen gerechtvaardigd belang voor marketing: De data broker beriep zich op het ‘gerechtvaardigd belang’ (art. 6.1.f AVG) om de data te verwerken zonder toestemming. Het Hof oordeelde echter dat de belangen van de bestuurder zwaarder wegen. Het feit dat gegevens openbaar zijn in de KBO, betekent niet dat de betrokkene redelijkerwijs mag verwachten dat deze data worden doorverkocht voor direct marketing.
  • Inzagerecht vereist specifieke namen: Wanneer een betrokkene vraagt aan wie zijn gegevens zijn doorgegeven (inzagerecht), volstaat het niet om “categorieën van ontvangers” (bv. “marketingpartners”) te noemen. De verwerkingsverantwoordelijke moet de specifieke identiteit van de ontvangers meedelen.
  • Nuance transparantieplicht: Het Hof vernietigde wél de boete voor het schenden van de informatieplicht (art. 14 AVG). Het Hof oordeelde dat de GBA te streng was door niet te onderzoeken of het individueel informeren van duizenden betrokkenen een “onevenredige inspanning” zou vergen (uitzondering art. 14.5.b AVG).

Het Hof verlaagde de uiteindelijke boete van 20.000 euro naar 10.000 euro, maar handhaafde de veroordeling voor de onrechtmatige verwerking en de schending van het inzagerecht.

Juridische analyse en duiding

Dit arrest biedt een rijke voedingsbodem voor de interpretatie van de AVG in een B2B-context.

De kwalificatie van bedrijfsgegevens

Het Marktenhof sluit zich aan bij de vaste rechtspraak van het Hof van Justitie van de EU (o.a. het recente arrest L.H., C-710/23 van 3 april 2025 en Manni, C-398/15). De stelling dat de AVG niet van toepassing zou zijn op gegevens van rechtspersonen, houdt geen stand zodra een natuurlijk persoon identificeerbaar is. Overweging 14 van de AVG, die stelt dat de verordening niet ziet op rechtspersonen, mag niet zo gelezen worden dat contactgegevens van bestuurders vogelvrij zijn.

De balans bij gerechtvaardigd belang

Cruciaal is de invulling van de ‘redelijke verwachtingen’ van de betrokkene. Het Hof oordeelt streng: openbaarheid in de KBO dient wettelijke doeleinden (transparantie van het handelsverkeer), maar impliceert geen “opt-in” voor commerciële exploitatie door derden. Zonder een relevante relatie (zoals een bestaande klantrelatie), faalt de belangenafweging vaak in het nadeel van de data broker.

Inzagerecht en het arrest Österreichische Post

Het Hof past strikt de leer toe uit het arrest Österreichische Post (C-154/21). Het recht op inzage (art. 15.1.c AVG) impliceert dat de betrokkene moet kunnen controleren of zijn gegevens aan bonafide partijen zijn verstrekt. De keuze tussen ‘categorieën’ of ‘specifieke ontvangers’ ligt bij de betrokkene, niet bij de verwerkingsverantwoordelijke. Als de betrokkene vraagt “wie heeft mijn data?”, moet u namen noemen.

De proportionaliteit bij indirecte verzameling

Opvallend is de tik op de vingers van de GBA inzake artikel 14 AVG. Wanneer data niet bij de betrokkene zelf worden verzameld (bv. via scraping of aankoop), moet de betrokkene normaal proactief geïnformeerd worden. Het Hof erkent echter dat dit voor grootschalige databases materieel onmogelijk of onevenredig zwaar kan zijn (art. 14.5.b AVG). De GBA mag deze uitzondering niet zomaar terzijde schuiven zonder de feitelijke inspanning en kosten te onderzoeken.

Wat dit concreet betekent voor uw onderneming

Deze uitspraak heeft directe gevolgen voor drie groepen:

  1. Voor data brokers en marketeers:
    • U mag niet zomaar de KBO scrapen of lijsten aankopen om te gebruiken voor cold calling of e-mailmarketing naar gepersonaliseerde adressen.
    • De rechtsgrond ‘gerechtvaardigd belang’ is zeer wankel voor data die u niet zelf hebt verzameld.
    • Indien u data aankoopt, moet u contractueel verzekeren dat de personen in kwestie correct geïnformeerd zijn.
  2. Voor ondernemingen die B2B-gegevens verwerken:
    • Pas uw privacy policy en interne procedures aan voor verzoeken tot inzage. Als iemand vraagt met wie u hun data hebt gedeeld, moet u in staat zijn specifieke bedrijfsnamen te geven. “Onze partners” is geen geldig antwoord meer.
    • Houdt u lijsten bij van wie welke data heeft ontvangen? Zonder deze loggings kunt u niet voldoen aan artikel 15 AVG.
  3. Voor bestuurders en zelfstandigen:
    • U heeft controle over uw zakelijke contactgegevens. U kunt bezwaar maken tegen het gebruik ervan voor direct marketing.
    • U heeft het recht om exact te weten aan welke bedrijven uw gegevens zijn doorverkocht.

Veelgestelde vragen (FAQ)

Is een algemeen e-mailadres zoals info@bedrijf.be ook een persoonsgegeven?
Nee, doorgaans niet. Als een e-mailadres niet verwijst naar een specifieke natuurlijke persoon (zoals info@, sales@, admin@), valt dit buiten de toepassing van de AVG en dit arrest.

Mag ik gegevens uit de KBO gebruiken als ik de personen eerst zelf informeer?
Dat is complex. Artikel 14 AVG verplicht u om hen te informeren binnen een redelijke termijn na verkrijging. Echter, zelfs als u informeert, heeft u nog steeds een rechtsgrond (zoals toestemming of een sterk gerechtvaardigd belang) nodig voor de verwerking zelf. Louter informeren maakt de verwerking op zich nog niet rechtmatig.

Wat als ik niet meer weet aan wie ik de gegevens heb doorgegeven?
Dat is een probleem. Het Marktenhof stelt dat u “beschikbare informatie” moet delen. Als u door gebrekkig databeheer niet weet wie de ontvangers zijn, riskeert u sancties wegens schending van de verantwoordingsplicht (accountability).

Conclusie

Het arrest van het Marktenhof van 17 december 2025 is een duidelijke waarschuwing: de zakelijke privacy bestaat wel degelijk. Bedrijfsleiders zijn in België geen vogelvrij wild voor datahandelaren. Hoewel het Hof enige soepelheid toont voor de administratieve lasten van de informatieplicht, blijven de kernregels rond rechtmatigheid en inzage strikt overeind.

Heeft u te maken met een complexe zaak rond gegevensbescherming, een controle van de GBA of wilt u uw marketingstrategie juridisch aftoetsen? Onze advocaten, gespecialiseerd in privacyrecht, IT-recht en GDPR-compliance, staan klaar om uw dossier te analyseren en uw belangen te verdedigen. Neem contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics