Je aanmeldpagina staat live, de eerste inschrijvingen komen binnen, en dan realiseert iemand in je omgeving zich: staat er eigenlijk ergens op je site wat je met die e-mailadressen doet? Veel website-eigenaren hebben wel een privacyverklaring, maar vergeten de nieuwsbrief er specifiek in op te nemen. Of ze schrijven iets vaags als ‘wij bewaren je gegevens voor marketingdoeleinden’, wat bij een controle van de Autoriteit Persoonsgegevens niet volstaat. In dit artikel loop je stap voor stap door elke clausule die je privacyverklaring nieuwsbrief compleet en AVG-conform maakt, met kopieerbare voorbeeldzinnen per onderdeel.

Stap 0: bestaat er al een privacyverklaring op je site?

Begin hier. Heb je al een privacyverklaring? Dan hoef je geen nieuwe pagina aan te maken. Voeg een sectie ‘Nieuwsbrief’ toe aan je bestaande verklaring. Heb je nog helemaal niets? Dan maak je eerst een volledige verklaring aan en neem je de nieuwsbrief daarin op als een van de verwerkingen.

Een losse pagina alleen voor de nieuwsbrief is bijna nooit nodig, tenzij je een nieuwsbrief exploiteert als zelfstandig product zonder eigen website eronder. Voor de meeste ZZP’ers, webshophouders en bloggers geldt: bestaande verklaring uitbreiden is de slimste keuze.

Stap 1: welke persoonsgegevens verzamel je precies?

Wees hier concreet. Niet ‘bepaalde gegevens’, maar een opsomming van wat je daadwerkelijk registreert. Minimaal:

  • E-mailadres (altijd)
  • Voornaam of naam (als je die vraagt in het formulier)
  • IP-adres op het moment van aanmelding (dit registreert je e-mailtool vaak automatisch)
  • Klik- en opengedrag (of iemand een mail opent, op welke link hij klikt)

Dat laatste vergeten de meeste mensen. Maar tools als Mailchimp, Mailblue en ActiveCampaign registreren standaard welke links iemand aanklikt. Dat zijn persoonsgegevens, want ze zijn gekoppeld aan een specifiek e-mailadres.

Voorbeeldzin: ‘Voor onze nieuwsbrief verwerken wij uw e-mailadres, voornaam (optioneel), het IP-adres waarmee u zich heeft aangemeld, en gegevens over het openen van e-mails en het klikken op links in onze mailings.’

Stap 2: beschrijf het doel in één concrete zin

Het doel moet specifiek zijn. ‘Marketingdoeleinden’ is te breed. Maak onderscheid: stuur je een commerciële nieuwsbrief met aanbiedingen, een redactionele nieuwsbrief met tips en artikelen, of beide?

Voorbeeldzin commercieel: ‘Wij verwerken uw gegevens om u onze nieuwsbrief te sturen met informatie over onze producten, aanbiedingen en diensten.’

Voorbeeldzin redactioneel: ‘Wij verwerken uw gegevens om u wekelijks een nieuwsbrief te sturen met tips en artikelen over [onderwerp]. Er worden geen commerciële aanbiedingen van derden verzonden.’

Gebruik de gegevens nooit voor iets anders dan wat je hier beschrijft. Als je dat later wil uitbreiden, pas je eerst de verklaring aan en vraag je indien nodig opnieuw toestemming.

Stap 3: de verwerkingsgrondslag is toestemming

Voor e-mailmarketing aan mensen die geen klant zijn, is toestemming de enige correcte grondslag (AVG artikel 6 lid 1 sub a). Geen gerechtvaardigd belang, geen contractuele noodzaak. Toestemming, punt.

Waarom? Omdat mensen actief ja moeten zeggen voordat je ze commerciële of promotionele e-mail stuurt. Dat is ook verankerd in de Telecommunicatiewet voor e-mailmarketing.

Voorbeeldzin: ‘De grondslag voor deze verwerking is de toestemming die u heeft gegeven bij aanmelding voor de nieuwsbrief (AVG art. 6 lid 1 sub a).’

Stap 4: noem je e-mailtool bij naam

Je e-mailtool is een verwerker: een partij die namens jou persoonsgegevens verwerkt. Je moet die partij benoemen in je verklaring, inclusief waar de servers staan.

Drie veelgebruikte situaties:

  • Mailchimp: gevestigd in de VS. Je moet expliciet vermelden dat gegevens naar de VS worden doorgezonden. Mailchimp werkt met standaardcontractbepalingen (SCCs) als overdrachtsgrondslag. Voeg een link toe naar hun Data Processing Addendum.
  • Mailblue of ActiveCampaign (EU-servers): gegevens blijven binnen de EU. Vermeld dit als voordeel en link naar hun verwerkersovereenkomst.
  • Andere tool: zoek in de documentatie van je tool naar ‘Data Processing Agreement’ of ‘Verwerkersovereenkomst’ en link daarnaar.

Voorbeeldzin voor Mailchimp: ‘Wij maken gebruik van Mailchimp (The Rocket Science Group LLC, Atlanta, VS) als e-mailmarketingplatform. Uw gegevens worden opgeslagen op servers in de Verenigde Staten. De overdracht vindt plaats op basis van standaardcontractbepalingen. Meer informatie vindt u in het Data Processing Addendum van Mailchimp: [link].’

Stap 5: bewaartermijn, ook na uitschrijving

Zolang iemand abonnee is, bewaar je de gegevens actief. Maar wat doe je na uitschrijving? Kies één van de twee gangbare opties en schrijf die op:

  • Directe verwijdering: je verwijdert het e-mailadres volledig na uitschrijving. Meest privacyvriendelijk.
  • Suppression list: je bewaart het e-mailadres in een geblokkeerde lijst zodat je niet per ongeluk opnieuw gaat mailen. Dit is legitiem, maar vermeld het dan ook.

Voorbeeldzin: ‘Wij bewaren uw gegevens zolang u aangemeld bent voor onze nieuwsbrief. Na uitschrijving worden uw gegevens binnen 30 dagen verwijderd uit onze mailinglijst. Wij bewaren uw e-mailadres uitsluitend op een uitschrijvingslijst om te voorkomen dat u opnieuw wordt aangemeld.’

Stap 6: de afmeldprocedure

Elke nieuwsbrief moet een werkende afmeldlink bevatten. Dat is niet alleen AVG-plicht, maar ook verplicht onder de Telecommunicatiewet. Vermeld ook hoe snel je de uitschrijving verwerkt. Tien werkdagen is de gebruikelijke maximumtermijn, maar in de praktijk doet een goede tool dit direct.

Voorbeeldzin: ‘Elke nieuwsbrief bevat een afmeldlink onderaan de e-mail. U kunt zich ook afmelden door een e-mail te sturen naar [emailadres]. Wij verwerken uw uitschrijving binnen 10 werkdagen. Na verwerking ontvangt u geen nieuwsbrieven meer.’

Stap 7: rechten van de abonnee

Abonnees hebben meer rechten dan alleen uitschrijven. Noem ze allemaal, ook al klinkt het formeel. Het geeft vertrouwen en het is verplicht.

  • Recht op inzage: wat bewaar je over hen?
  • Recht op correctie: onjuiste gegevens aanpassen
  • Recht op verwijdering: alle gegevens laten wissen
  • Recht op bezwaar: toestemming intrekken
  • Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl)

Voorbeeldzin: ‘U heeft het recht op inzage in, correctie of verwijdering van uw persoonsgegevens. Ook kunt u uw toestemming op elk moment intrekken. Stuur hiervoor een e-mail naar [emailadres]. Bent u het niet eens met hoe wij met uw gegevens omgaan? Dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.’

Stap 8: versiedatum en contactgegevens

Voeg onderaan de sectie (of de volledige verklaring) een versiedatum toe en je contactgegevens. Simpel maar essentieel: als iemand een vraag heeft, moet duidelijk zijn bij wie hij terechtkan.

Voorbeeldzin: ‘Heeft u vragen over deze privacyverklaring? Neem contact op met [naam], [e-mailadres], [telefoonnummer]. Versie: juni 2026.’

De meest gemaakte fout: het vooraf aangevinkte vinkje

Dit gaat nog steeds regelmatig mis. Een aanmeldformulier waarbij het vakje ‘Ja, ik wil de nieuwsbrief ontvangen’ al is aangevinkt, levert geen geldige toestemming op. De AVG is hier glashelder: toestemming moet een actieve handeling zijn. Een vinkje dat al staat is geen keuze, maar een truc.

Hoe doe je het dan wel? Laat het vakje standaard leeg. De gebruiker vinkt het zelf aan. Voeg naast het vakje een korte tekst toe die verwijst naar je privacyverklaring, zodat iemand weet waarvoor hij toestemming geeft. Bijvoorbeeld: ‘Ik meld me aan voor de nieuwsbrief en ga akkoord met de privacyverklaring.’

Sla ook de toestemming op: wanneer iemand zich aanmeldde, welk formulier hij gebruikte en wat de tekst naast het vinkje was. Tools als Mailchimp en Mailblue doen dit gedeeltelijk automatisch, maar controleer het.

Loop de acht stappen hierboven één voor één door, plak de voorbeeldzinnen in je eigen verklaring en pas de naam van je e-mailtool aan. Dat is alles. Heb je nog helemaal geen privacyverklaring? Gebruik de gratis generator om in een paar minuten een complete, AVG-conforme verklaring te maken, inclusief de nieuwsbriefclausule.