Boete voor Infobel: over toestemming en de rol van de DPO

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft eind 2025 een administratieve boete van €40.000 opgelegd aan gegevensmakelaar Infobel. De reden: het doorverkopen van persoonsgegevens voor direct marketingdoeleinden zonder dat kon worden aangetoond dat betrokkenen hiervoor een geldige toestemming onder de AVG hadden gegeven. Naast de boete moet Infobel persoonsgegevens wissen waarvoor geen rechtsgrond kan worden aangetoond en haar zakelijke klanten informeren over de onrechtmatigheid van de gebruikte toestemming.

Wat speelde er precies?

De zaak begon bij een particulier die reclame per post ontving van een onderneming waar hij nooit klant was geweest. Omdat hij geen idee had waarom hij deze marketing ontving, vroeg hij de verzender waar zijn persoonsgegevens vandaan kwamen. Dat leidde tot het blootleggen van een dataketen:

1. De telecomoperator
   De persoonsgegevens (naam en adres) waren oorspronkelijk verzameld door een telecomoperator bij het afsluiten van een telefoonabonnement. Volgens Infobel zou de betrokkene in dat kader toestemming hebben gegeven voor het gebruik van zijn gegevens voor marketingdoeleinden.
2. Infobel: de gegevensmakelaar
   Infobel verkreeg deze gegevens van de telecomoperator en nam ze op in een marketingdatabase. Vanuit die rol trad Infobel op als verwerkingsverantwoordelijke voor het samenstellen, beheren en commercieel doorverkopen van persoonsgegevens aan derden voor direct marketing.
3. Het marketing- en media-agentschap
   Infobel verkocht de persoonsgegevens door aan een marketingbureau dat gespecialiseerd is in direct marketingcampagnes. Dit bureau fungeerde als schakel tussen de databron en de uiteindelijke adverteerder.
4. De adverterende onderneming
   Het marketingbureau leverde de adressen aan zijn klant: de onderneming die daadwerkelijk de reclame per post verstuurde aan de betrokkene.

De betrokkene had geen directe relatie met Infobel, het marketingbureau of de adverteerder. Hij was ook niet geïnformeerd over het feit dat zijn gegevens via deze keten werden doorgegeven en commercieel werden gebruikt.

Waarom ging dit mis onder de AVG?

Infobel stelde dat zij zich mocht baseren op toestemming die de telecomoperator zou hebben verkregen. Omdat de telecomoperator wist dat de gegevens bedoeld waren voor marketing, mocht Infobel er volgens haar van uitgaan dat deze toestemming voldeed aan de wettelijke eisen.

De GBA maakte daar korte metten mee. Zij benadrukte dat toestemming onder de AVG alleen geldig is als deze vrij, specifiek, geïnformeerd en ondubbelzinnig is én dat degene die zich op toestemming beroept dit ook zelf moet kunnen aantonen.

In deze zaak schoot dat op meerdere punten tekort:

• Niet geïnformeerd: de betrokkene wist niet dat Infobel zijn gegevens verwerkte en kon zijn rechten (zoals intrekking van toestemming) bij Infobel dus niet uitoefenen.
• Niet specifiek: er was geen afzonderlijke toestemming voor doorverkoop aan een gegevensmakelaar en voor gebruik door meerdere, onbekende derden voor direct marketing.
• Niet ondubbelzinnig: de vermeende toestemming vloeide voort uit algemene voorwaarden en een opt-out-constructie.
• Niet aantoonbaar: Infobel kon geen concreet bewijs leveren waaruit bleek dat deze betrokkene daadwerkelijk en geldig had ingestemd met deze verwerking.

Het enkele vertrouwen op verklaringen van een leverancier of op contractuele afspraken in de keten is daarvoor onvoldoende. De verantwoordingsplicht ligt bij de partij die de gegevens verwerkt en doorverkoopt: in dit geval Infobel.

De opvallende rol van de Data Protection Officer (FG)

Wat deze zaak extra interessant maakt, is de rol van de Data Protection Officer (DPO), hetgeen de titel van een functionaris gegevensbescherming is in België, van Infobel. Tijdens de zitting verklaarde de DPO dat toestemming de juiste grondslag was voor direct marketing en dat Infobel mocht aannemen dat de telecomoperator die toestemming correct had geregeld.

Los van de vraag of dit standpunt juridisch houdbaar was, laat de zaak vooral zien waar de toegevoegde waarde van een DPO had kunnen liggen. Een DPO is geen verlengstuk van de commerciële strategie, maar een interne toezichthouder. Juist bij een kernactiviteit als het verhandelen van persoonsgegevens had een kritische blik geholpen, door vragen te stellen zoals:

• Is deze toestemming daadwerkelijk geldig onder de AVG?
• Is zij specifiek genoeg voor doorverkoop en hergebruik door meerdere partijen?
• Kunnen we dit ook bewijzen?

Zelfs het advies om dit expliciet te controleren, had al een belangrijke stap vooruit betekend. Een volgende stap, het daadwerkelijk toetsen hoe die toestemming was vormgegeven, had kunnen leiden tot een concreet en bruikbaar advies aan het hoogste management. Dat advies zou mogelijk zijn geweest dat de bedrijfsvoering fundamenteel moest worden aangepast om compliant te zijn. Dat is geen prettig bericht, maar wel een juridisch waardevol bericht.

Kritische DPO’s zijn geen probleem

In de praktijk zien we dat een kritische DPO niet altijd wordt gewaardeerd. Toch is niet de DPO het probleem, maar het probleem waar hij of zij op wijst. Een DPO die zijn rol serieus neemt, kan betekenen dat een aantrekkelijk businessmodel onder druk komt te staan. Precies dat is de kern van effectieve interne toezichthouding.

Juist in een zaak als die van Infobel had een dergelijke kritische houding grote waarde kunnen hebben. Een scherp advies over de risico’s rond toestemming en de noodzaak om de bedrijfsvoering aan te passen, had mogelijk voorkomen dat de organisatie bleef voortbouwen op een juridisch wankele basis.

Conclusie

Deze beslissing is een duidelijke waarschuwing voor gegevensmakelaars, marketeers én bestuurders:

• Dataketens ontnemen je niet je eigen verantwoordelijkheid.
• Toestemming mag je niet veronderstellen, maar moet je kunnen aantonen.
• En een kritische DPO is geen last, maar een essentiële waarborg voor duurzame compliance.

 

Naar het overzicht