De schimmige wereld van data brokers
De datamarkt bulkt van snelle verkooppraatjes en halve waarheden. Data brokers schermen met “GDPR-compliance”, terwijl ze in de praktijk vaak handelen alsof transparantie optioneel is. Hun klanten laten zich graag geruststellen door leveranciers die zeggen dat alles volgens de regels verloopt. Ondertussen krijgt een nietsvermoedende burger plots een geadresseerde reclameboodschap in de bus en vraagt zich af: hoe komen ze in hemelsnaam aan mijn gegevens?
In dit verhaal staan drie spelers centraal. De data broker, die winst ziet in elk datapunt. De klant, die te graag meegaat in dat gemak. En het individu, dat achterblijft met de gevolgen. Samen tonen ze hoe dun de lijn is tussen slimme marketing en misbruik van vertrouwen.
De realiteit achter het verkooppraatje
Laat ons beginnen met een herkenbare case. Je ontvangt een gerichte mailing op een adres dat je nooit publiek hebt gemaakt. Je hebt je nergens ingeschreven. Het bedrijf achter de mailing zegt dat het bestand “geleverd” is door een data broker. Het klinkt professioneel, maar het is vooral een rode vlag. Waar kwamen die gegevens vandaan? Op welke rechtsgrond? En waarom werd jij nooit geïnformeerd?
De kern van de zaak ligt in de transparantieplicht wanneer persoonsgegevens niet rechtstreeks bij jou zijn verzameld. De GDPR is daar glashelder over: de verwerkingsverantwoordelijke moet jou informeren over de herkomst, de doeleinden, de rechtsgrond en je rechten. Wie dat vergeet, laat mensen leven in een dataschaduw: hun gegevens reizen rond, maar zij zelf blijven onwetend.
Data brokers: ondernemen kan, maar niet in het wilde westen
Datahandel is op zich geen probleem, zolang de spelers op de markt zich bewust zijn van hun verantwoordelijkheid. Het is naïef te denken dat je dat economisch zou kunnen of moeten verbieden. Maar ondernemen vraagt volwassenheid. Drie pijnpunten steken telkens opnieuw de kop op.
Transparantie wanneer je data elders haalt
Transparantie is geen foldertekst, het is een plicht. De regel is eenvoudig: als je data niet bij de betrokkene ophaalt, moet je de betrokkene wel informeren. Dat is precies waar het vaak misloopt. Scraping van websites, het samenvoegen van externe bronnen, het “verrijken” van profielen – dat zijn verwerkingen. Daar hoort communicatie bij, tijdig en begrijpelijk.
De GDPR zegt het expliciet in overweging 39:
“Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt.”
Die transparantie is geen formaliteit, maar de kern van vertrouwen. Het is ook geen “nice to have” in een beleidstekst. Europese toezichthouders herhalen al jaren dat informatie aan betrokkenen bondig, toegankelijk, begrijpelijk en in duidelijke taal moet gebeuren. Dat is geen stijladvies, maar een norm.
Veel data brokers wijzen naar hun privacyverklaring als bewijs dat ze “transparant” zijn. Maar dat is niet genoeg. Artikel 14 AVG maakt een duidelijk onderscheid tussen informatie die passief beschikbaar is en informatie die actief moet worden meegedeeld. Wanneer persoonsgegevens niet rechtstreeks bij het individu worden verzameld, moet de verwerkingsverantwoordelijke de betrokkene uit eigen beweging informeren, en dat uiterlijk binnen één maand na het verkrijgen van de gegevens. Een link op een website vervangt die plicht niet. Het gaat om een concrete communicatieplicht – een actieve stap naar de persoon toe. Dat is precies waar veel data brokers struikelen: ze beschouwen transparantie als documentatie, terwijl de wet het bedoelt als dialoog.
Gefabriceerde gegevens zijn ook persoonsgegevens
Een tweede probleem is het fabriceren of afleiden van persoonsgegevens. Denk aan een niet-publiek e-mailadres dat “logisch” wordt geconstrueerd op basis van naam en werkgever. Dat lijkt handig voor prospectie, maar het blijft verwerking van persoonsgegevens. Als je je rechtsgrond wil laten steunen op “gerechtvaardigd belang”, botst dit snel op het verwachtingselement: de betrokkene kan dit niet redelijkerwijs voorzien, zeker wanneer het onder de radar gebeurt.
Dat verwachtingselement is cruciaal in de hele afweging van het zogenaamde “gerechtvaardigd belang”.
De AVG maakt dat expliciet in overweging 47:
“De gerechtvaardigde belangen […] kan een rechtsgrond bieden […] rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke.”
Het Hof van Justitie herhaalde dat principe in 2024:
“Wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen een dergelijke verwerking redelijkerwijs niet verwachten, wegen hun belangen zwaarder.”
Wie dus zelf een e-mailadres of profiel bedenkt zonder dat de betrokkene daar weet van heeft of het redelijkerwijs kan voorzien, handelt niet enkel onzorgvuldig – hij schendt de kern van de AVG.
“Wij zijn compliant” is te vaak marketing
Tot slot verkopen data brokers zichzelf als “GDPR-compliant”, maar bedoelen ze dan doorgaans enkel hun eigen processen. Ze doen daarbij te weinig moeite om klanten duidelijk te maken dat die klanten zelf verwerkingsverantwoordelijke zijn met eigen verplichtingen, onder meer rond transparantie en rechtsgrond. De recente handhaving bij onze buren onderstreept dat de rek eruit is: de Franse CNIL beboette in mei 2025 meerdere tussenpersonen in de marketingketen, precies vanwege ongeldige rechtsgronden en ontransparant delen richting partners. Dat bleek eerder al uit de beslissing van de CNIL tegen Kaspr, waar scraping van LinkedIn-profielen werd bestraft omdat de betrokkenen een dergelijke verwerking redelijkerwijs niet konden verwachten. Over dit precedent schreven we eerder in onze blog Cowboys en persoonsgegevens: de grenzen van datascraping op LinkedIn. De boodschap is niet mis te verstaan: je kan je niet verschuilen achter upstream-leveranciers.
De klanten van data brokers: geen schuilplaats achter de leverancier
Wie data koopt of laat aanleveren, gedraagt zich vaak alsof de verantwoordelijkheid bij de leverancier ligt. In werkelijkheid ben je zelf verwerkingsverantwoordelijke: jij beslist over het doel en het gebruik van de data. In de praktijk delen organisaties vaak gegevens als controller-to-controller. Dan maakt het ontvangende bedrijf eigen keuzes over doeleinden en middelen en draagt het dus eigen verantwoordelijkheid. Ook de Britse toezichthouder is daar expliciet over in haar Data Sharing Code: het gaat om delen tussen verwerkingsverantwoordelijken, met alle plichten van dien.
Veel organisaties gaan ervan uit dat de data broker de betrokkenen al heeft geïnformeerd. Maar zelfs als dat zo is, ontslaat dat jou niet van je eigen plicht om transparant te zijn zodra jij de gegevens gebruikt.
Bovendien is het juridisch landschap niet mild voor een “we wisten het niet”-verweer.
In beslissing 76/2025 maakte de Belgische Gegevensbeschermingsautoriteit korte metten met het idee dat een marketeer kan vertrouwen op een leverancier “die wel toestemming zal hebben”. De klager ontving marketing op basis van een bestand dat via een media-agentschap en een data broker was aangeleverd. De GBA benadrukte dat de verwerkingsverantwoordelijke zelf moet nagaan hoe de gegevens zijn verzameld en welke rechtsgrond geldt. Een beroep op “vermoedelijke, eerdere toestemming” zonder bewijs volstaat niet; dan kan je niet aannemen dat de verwerking binnen de redelijke verwachtingen van de betrokkene viel.
Het data subject: geen machteloos toeschouwer
Betrokkenen zijn geen pionnen. De GDPR geeft hen rechten die bedoeld zijn om datastromen zichtbaar te maken en controle te herstellen. Twee sporen zijn daarbij essentieel: informatie en controle.
Informatie: recht op transparantie en inzage
Wie ongevraagde marketing ontvangt, hoeft dat niet zomaar te slikken. De GDPR geeft iedereen het recht om te weten waar zijn gegevens vandaan komen, met welk doel ze worden gebruikt, op welke rechtsgrond dat gebeurt en aan wie ze zijn doorgegeven.
Die transparantie start al bij het verzamelen van de gegevens. Wanneer een organisatie gegevens rechtstreeks bij jou ophaalt – bijvoorbeeld via een inschrijfformulier of klantaccount – geldt artikel 13 AVG. Worden de gegevens elders verzameld, zoals bij een data broker, dan geldt artikel 14 AVG. In beide gevallen moet de organisatie jou spontaan informeren, duidelijk en volledig.
Komt die informatie niet of is ze onvolledig, dan kan je via artikel 15 AVG – het recht van inzage – opheldering vragen. Dat geeft je de mogelijkheid om te controleren of de verantwoordelijke zijn plicht tot transparantie correct is nagekomen.
Concreet betekent dit dat je een eenvoudig verzoek kan sturen – zelfs per e-mail – waarin je vraagt om duidelijkheid over de herkomst van je gegevens. De organisatie moet daarop binnen één maand antwoorden, volledig en in begrijpelijke taal. Een vaag antwoord als “we hebben uw gegevens via een commerciële partner” volstaat niet. De toezichthouders, ook de Belgische GBA, beschouwen dat als een schending van de transparantieplicht.
Het informatie-recht is dus meer dan een formaliteit: het is de sleutel waarmee burgers de dataketen zichtbaar maken. Pas wanneer je weet wie jouw gegevens gebruikt en waarom, kun je bepalen of je dat aanvaardbaar vindt.
Controle: recht van bezwaar en stopzetting
Het tweede spoor is controle. De GDPR laat iedereen toe om zich te verzetten tegen direct marketing, ongeacht de rechtsgrond waarop die marketing steunt. Dat staat zwart op wit in artikel 21, lid 2. Zodra iemand zich verzet, moet de verwerking onmiddellijk stoppen.
Ook uitschrijfmechanismen vallen hieronder. Een “unsubscribe”-knop die niet werkt of na gebruik toch nieuwe berichten oplevert, is geen detail maar een overtreding. De Europese en Belgische toezichthouders beschouwen dit als een gebrek aan respect voor het recht van bezwaar.
Controle betekent ook dat organisaties zorgvuldig moeten omgaan met voorkeuren van klanten of prospecten. Een bezwaar geldt niet enkel voor e-mailmarketing, maar ook voor andere kanalen, zoals post of telefoon, tenzij de betrokkene daar opnieuw toestemming voor geeft.
Wie deze rechten gebruikt, herstelt de balans: niet de datahandelaar, maar de betrokkene bepaalt uiteindelijk wat er met zijn gegevens gebeurt.
Wat wij zien in de praktijk
Na jaren praktijkervaring merken we dat dezelfde fouten telkens terugkeren. Ze zijn niet toevallig, maar structureel: patronen die zich herhalen in uiteenlopende sectoren, groot en klein.
Eerste patroon: organisaties gebruiken aangekochte adressenbestanden zonder ooit zelf transparantie te bieden. Wanneer betrokkenen zich afvragen waar hun gegevens vandaan komen, krijgen ze steevast te horen dat “het bestand van een GDPR-compliant leverancier” komt. Dat klinkt geruststellend, maar het is géén antwoord op de vraag, en al helemaal geen naleving van artikel 14 AVG.
Tweede patroon: “e-mailverrijking”, waarbij niet-publieke adressen worden afgeleid uit bestaande gegevens. Het lijkt efficiënt, maar het is juridisch wankel. De redelijke verwachting van de betrokkene ontbreekt volledig: niemand verwacht dat zijn naam automatisch wordt omgezet in een e-mailadres om gecontacteerd te worden.
Derde patroon: het beroep op zogenaamde “upstream consent”. Men beweert dat ergens, ooit, een toestemming is gegeven door de oorspronkelijke verzamelaar. Maar zolang dat niet kan worden aangetoond, is er eenvoudigweg géén geldige rechtsgrond. In de recente boetebeslissingen van de CNIL tegen tussenpersonen die prospectdata doorverkopen zonder bewijs van toestemming, werd dat nog eens scherp bevestigd.
Deze drie mechanismen tonen hoe fragiel de datamarkt blijft. Gebrek aan transparantie, gemakzucht bij hergebruik van gegevens en een blind vertrouwen in leveranciers ondermijnen samen het fundament van vertrouwen dat de GDPR net moest herstellen.
Een korte gids voor volwassen datagebruik
Dit is geen pleidooi tegen datamarkten. Het is een pleidooi voor maturiteit. Transparantie is het cement van vertrouwen. Een data broker die gegevens van elders haalt, hoort proactief te informeren. Een klant die zulke gegevens inzet, hoort zélf helder te communiceren en een verdedigbare rechtsgrond te hebben.
Voor wie koopt bij een broker: wat betekent dit nu?
Als je als organisatie data inkoopt voor marketing, aanvaard dan dat jij verwerkingsverantwoordelijke bent voor jouw campagne. Bepaal jouw rechtsgrond. Schrijf jouw eigen transparantiebericht en zorg dat het de betrokkenen bereikt. Respecteer het recht van bezwaar. Wees eerlijk over de herkomst. Controleer je leverancier, maar gebruik diens “compliance” nooit als schild.
Voor data brokers: professionaliseer je of verlies je markt
Wie datahandel als business wil uitbouwen, moet het spel correct spelen. Informeer consequenter, ook bij indirecte verzameling. Houd je niet op de vlakte met algemene claims van “compliance”, maar leg je klanten uit wat hun taken zijn. Werk met duidelijke herkomstlabels en lever bewijs van rechtsgrond. De markt wordt strenger. De handhaving in Frankrijk in 2024 en 2025 tegen intermediairs die prospectdata rondpompen zonder geldige basis, laat zien waar de lat ligt.
En wees kritisch voor “verrijking” die niet strookt met wat een burger redelijkerwijs verwacht. Een algoritme dat een e-mailadres “bedenkt” op basis van patronen kan commercieel slim lijken, maar het blijft onnauwkeurig en juridisch kwetsbaar. Het is alsof je een sleutel maakt die op elke deur past en hoopt dat niemand het merkt. Zulke praktijken ondermijnen het vertrouwen – niet alleen in jouw merk, maar in de hele markt.
Voor betrokkenen: je staat niet machteloos
Krijg je ongevraagde marketing en herken je de afzender niet? Vraag de herkomst en de rechtsgrond. Gebruik je recht op inzage en je recht van bezwaar. Echte transparantie maakt het verschil tussen machteloosheid en controle. En ja, lees bij het delen van je gegevens kort de kern van de privacyverklaring. Niet omdat alles daar staat, maar omdat je sneller ziet of een organisatie transparantie ernstig neemt.
Conclusie: geen excuses meer!
Cowboy-datahandel ondergraaft vertrouwen en schaadt iedereen. Data brokers die scraping en verrijking verpakken als “compliant” zonder échte transparantie, trekken de markt scheef. Klanten die zich achter hun leverancier verschuilen, maken het nog erger. En betrokkenen krijgen de indruk dat datahandel een parallel universum is waar hun rechten niet gelden.
Dat is niet onvermijdelijk. Met heldere transparantie, eerlijke rechtsgronden en volwassen datadeling kan de datamarkt wél werken. Maar dat vergt keuzes en discipline.
Bij consey(.legal) helpen we organisaties om die omslag te maken. We maken jouw marketing juridisch houdbaar, we toetsen leveranciers, we ontwerpen pragmatische transparantiestromen en zorgen dat je rechtsgronden kloppen. Wil je je huidige aanpak laten doorlichten, of wil je veilig data inkopen en toch resultaat halen? Mail ons via hallo@consey.legal. We zetten je direct op het juiste spoor.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
