We krijgen deze vraag minstens één keer per week. “Mag het eigenlijk nog wel? Met die AVG, en die nieuwe AI-wet, en die Telecomwet. Ik wil geen problemen.” Een eerlijke vraag. En het antwoord is: ja, het mag, mits u zich houdt aan drie wetten die elk hun eigen regels hebben, en die in NL B2B-context allemaal tegelijk gelden. Hier is hoe het echt zit.

De drie wetten die er toe doen

Voor cold outreach naar Nederlandse B2B-prospects gelden er drie regelkaders die u moet kennen.

De Algemene Verordening Gegevensbescherming (AVG). Europese privacy-wet, sinds 2018 van kracht. Regelt hoe u persoonsgegevens (naam, e-mailadres, functietitel, telefoonnummer) mag verwerken. Voor B2B-context geldt de “gerechtvaardigd belang”-grondslag (artikel 6.1.f) als basis voor verwerking. Maar u moet kunnen aantonen dat uw belang opweegt tegen het privacy-belang van de ontvanger.

De Telecommunicatiewet (artikel 11.7). Nederlandse aanvulling op de Europese e-Privacy-richtlijn. Regelt specifiek elektronische direct marketing. Voor B2B-communicatie is er een uitzondering: u mag rechtspersonen (bedrijven en hun medewerkers in zakelijke hoedanigheid) zonder voorafgaande toestemming benaderen, mits u een eenvoudige opt-out aanbiedt en uw afzender-identiteit duidelijk is.

De EU AI Act. In werking sinds augustus 2024, met gefaseerde inwerkingtreding. Vanaf augustus 2026 gelden de transparantie-vereisten voor AI-gegenereerde content. Dat raakt cold outreach direct: als u AI gebruikt om mails te schrijven (en wie doet dat in 2026 niet?), moet u onder bepaalde omstandigheden disclosure geven.

Geen van deze drie wetten verbiedt cold outreach naar B2B-prospects. Maar elk legt eisen op die in NL-praktijk vaak verkeerd worden ingevuld.

AspectWEL toegestaanNIET toegestaan
DoelgroepRechtspersonen + medewerkers in zakelijke rolPrivé-emails ZZP'ers (consumenten-regels)
GrondslagGerechtvaardigd belang met LIA gedocumenteerd'We mogen toch wel' zonder onderbouwing
InhoudSpecifiek aan rol en sector relevantBulkmail zonder kwaliteitscontrole
Disclosure (na aug 2026)Mens reviewt + keurt → geen verplichtingVolledig autonome AI → disclosure verplicht
FrequentieRedelijke cadans met cooldownSystematische herbenadering = ACM-flag
AfzenderEchte naam + contactgegevens in bodynoreply@-adressen
Drie ACM-boetes vielen in oktober 2024, allemaal voor systematische benadering zonder zakelijke relevantie. De toezichthouder kijkt mee.

Wat de AVG concreet vereist voor B2B

De AVG kent een uitzondering voor zakelijke communicatie, maar niet onbeperkt. Vier voorwaarden waaronder u een prospect mag benaderen op basis van gerechtvaardigd belang.

De ontvanger moet een rol hebben binnen een organisatie waarin uw aanbod relevant kan zijn. Een marketing-directeur benaderen over uw marketing-tool: prima. Diezelfde marketing-directeur benaderen over een verzekering voor zijn priveauto: niet prima. De relevantie moet binnen zijn zakelijke rol vallen.

U moet een afweging maken tussen uw belang en zijn privacy-belang. Schriftelijk, gedocumenteerd. Een “Legitimate Interest Assessment” (LIA) is geen formaliteit. Bij een klacht moet u kunnen tonen dat u deze afweging heeft gemaakt. Wij doen dit per klant op campagne-niveau, met expliciete documentatie van de doelgroep, het aanbod, en waarom de zakelijke relevantie het privacy-belang overstijgt.

De ontvanger moet zich kunnen verzetten. Een opt-out-mechanisme is verplicht. Niet als footer-link in mini-tekst, maar als duidelijke, zichtbare optie. Bij een opt-out moet u binnen 30 dagen volledig stoppen met benaderen. Geen “we kijken er even naar”.

U moet inzage geven op verzoek. Een prospect heeft het recht om te weten welke gegevens u over hem verwerkt en waar u die vandaan heeft. Onze klanten krijgen een data-export-functie in hun portaal die dit per individu uitvoert binnen vijf werkdagen.

In de praktijk komt het er op neer: zakelijk relevant + opt-out aangeboden + inzage-rechten gerespecteerd. De meeste B2B-outreach voldoet hier niet aan, niet omdat het illegaal is, maar omdat de processen niet zijn ingericht.

Wat de Telecomwet erbij voegt

Artikel 11.7 van de Telecomwet legt drie bovenop de AVG-vereisten.

Identificatie van de afzender. Uw mail moet een duidelijke afzender-naam hebben (geen noreply@-adressen voor zakelijke marketing) en in de body moet uw bedrijfsnaam plus contactgegevens staan. Voor onze klanten staat dit standaard in de signature, en dat is genoeg.

Functionele opt-out. De Telecomwet vereist dat een opt-out direct effect heeft. Niet “binnen 30 dagen verwerkt”. Direct. In de praktijk vraagt dit om geautomatiseerde verwerking van unsubscribe-links. Onze blacklist-systeem haalt een opt-out binnen vijf minuten uit alle actieve campagnes, op accountniveau (alle medewerkers van het bedrijf, niet alleen het individu), wat verder gaat dan de wet vereist maar precies is wat de geest van de wet bedoelt.

Geen onevenredige hoeveelheid. De wet noemt het niet expliciet zo, maar de toezichthouder (Autoriteit Consument en Markt) heeft in handhavings-zaken duidelijk gemaakt dat systematische benadering. Bijvoorbeeld dezelfde persoon binnen een korte periode meerdere keren benaderen vanuit hetzelfde bedrijf. Als onredelijk geldt. Onze regel: maximaal twee follow-ups per persoon binnen een sequence van 15 dagen, dan een wisseling naar een andere persoon binnen hetzelfde bedrijf, dan complete cooldown van 14 dagen voor het bedrijf.

In oktober 2024 begon de ACM strenger te handhaven op B2B-outreach. Drie partijen zijn dat jaar beboet, allemaal op grond van systematische benadering zonder zakelijke relevantie. Het is dus niet zo dat de toezichthouder B2B-outreach met rust laat. Wel dat fatsoenlijk uitgevoerde outreach binnen de regels valt.

Wat de EU AI Act vanaf augustus 2026 toevoegt

Dit is het deel waar het in 2026 onduidelijk gaat worden, en we krijgen er steeds meer vragen over.

De EU AI Act classificeert AI-systemen in vier risico-categorieën. AI die cold mails genereert valt onder “limited risk”. Geen pre-approval nodig, wel transparantie-vereisten. Concreet betekent dat u onder bepaalde omstandigheden disclosure moet geven dat een mail (mede) door AI is geschreven.

De wetstekst is op dit punt vaag, en we wachten op richtlijnen van de Autoriteit Persoonsgegevens en de Europese Commissie die naar verwachting in Q3 2026 komen. Wat we nu wel weten:

Volledig autonome AI-mails (geen menselijke review) vallen vrijwel zeker onder de disclosure-plicht. Als uw outreach-tool draait zonder dat een mens elke mail voor verzending controleert, is dat een AI-systeem in zin van de wet, en moet u de ontvanger informeren dat hij met een AI-gegenereerde mail communiceert.

Mails met menselijke review en goedkeuring vallen waarschijnlijk niet onder de plicht. Onze setup is precies dit: per segment generen we voorbeeldmails per persona, de klant keurt elke voorbeeldmail goed voordat de outreach voor dat segment live gaat, en bij elke binnenkomende reply doet een mens (de klant of zijn CSM) de inhoudelijke afhandeling. Bij die menselijke beslismomenten is de mail door AI gegenereerd, maar de output is door een mens beoordeeld en goedgekeurd. De interpretatie van de Commissie hierover is nog niet afgerond, maar de tekst van de wet wijst sterk in deze richting.

Replies van AI op binnenkomende mails vallen vrijwel zeker onder een disclosure-plicht. Als uw inbox-agent autonoom reageert op binnenkomende mails (zonder dat een mens het antwoord controleert), moet u dat duidelijk maken. Wij doen dat niet. Al onze inkomende-mail-afhandeling is human-in-the-loop.

In afwachting van de definitieve richtlijnen leveren wij standaard een AVG-bijlage bij elke onboarding waarin de AI-rol expliciet wordt beschreven. Dat is geen wettelijke verplichting in 2026, maar het is in 2027 waarschijnlijk wel verplicht.

Compliance-tijdlijn voor NL B2B-outbound
  1. Aug 2024

    EU AI Act in werking

    Wetgeving aangenomen. Gefaseerde implementatie over 24 maanden.

  2. Mei 2025

    Microsoft adopteert bulk-sender eisen

    Outlook/Hotmail/Live volgen Gmail's strengere authenticatie-vereisten.

  3. Nov 2025

    Gmail 550-permanent rejections

    Hard-bounces vervangen soft-bounces. Spamrate-grens van 0,3% officieel.

  4. Aug 2026

    AI Act Article 50 disclosure-plicht

    Disclosure-vereisten voor autonome AI-content. Hybride mens-AI-setups blijven naar verwachting vrijgesteld.

  5. Q3 2026

    Definitieve EC-richtlijnen

    Europese Commissie publiceert implementatie-guidelines. Toetsmoment voor uw setup.

Wanneer u extra voorzichtig moet zijn

Drie scenario’s waarin de regels strenger gelezen worden, of waarin u gewoon harder moet werken om compliant te blijven.

Eenmanszaken en ZZP’ers. De AVG behandelt eenmanszaken anders dan rechtspersonen. Het privé-emailadres van een ZZP’er valt onder de strengere consumenten-regels van de Telecomwet, niet onder de B2B-uitzondering. Wij filteren standaard eenmanszaken zonder duidelijk zakelijk e-mailadres uit onze TAM-engine. Dat scheelt veel handmatige nuance.

Gevoelige sectoren. Outreach naar zorgverleners over patiëntgegevens-software, naar advocatenkantoren over confidentiele zaken, of naar overheidsinstellingen, valt vaak onder sector-specifieke regels die boven de AVG uitgaan. Wij raden klanten in deze sectoren aan om extra juridisch advies in te winnen voordat ze starten.

Internationale outreach. De CCPA in Californië, de PIPL in China, en de meeste andere niet-EU privacy-wetten hebben strengere regels dan de Europese AVG voor cold outreach. Als uw doelgroep buiten de EU ligt, vraagt dat om een aparte compliance-aanpak per regio. Dit valt buiten ons standaard-aanbod en we werken er alleen aan voor klanten met expliciete juridische ondersteuning aan hun kant.

Wat u maandag kunt doen

Drie acties met directe waarde.

Schrijf een korte Legitimate Interest Assessment voor uw huidige outreach. Eén pagina is genoeg. Beschrijf wie u benadert (rol, sector, omvang), wat u aanbiedt, waarom dat voor deze ontvangers relevant is, en hoe u de privacy-impact minimaliseert. Bewaar dit document. Als de Autoriteit Persoonsgegevens ooit komt vragen, heeft u dit ter hand.

Test uw opt-out-mechanisme. Stuur uzelf een cold mail van uw eigen tool, klik op de unsubscribe-link, en check of u de volgende dag opnieuw in de doelgroep zit. Als ja, is uw opt-out kapot. Dat is een AVG-overtreding waarvoor de boetes substantieel zijn.

Documenteer uw AI-gebruik. Niet voor publicatie, voor uw eigen administratie. Welke onderdelen van uw outreach zijn AI-gegenereerd, welke door mensen geschreven, en op welke punten zit menselijke goedkeuring. Als de definitieve EU AI Act-richtlijnen in Q3 2026 komen, heeft u zo direct een basis om uw setup eraan te toetsen.