Social media 16 sep 2025 0 6 min lezen

De grootste juridische misvattingen rondom adverteren op social media

Isa Nieuwstad
De grootste juridische misvattingen rondom adverteren op social media

Adverteren op platformen zoals Meta en TikTok roept bij veel legal-afdelingen direct alarmbellen op. Terecht, want als marketeer ben je verantwoordelijk voor het zorgvuldig omgaan met persoonsgegevens, ook als je werkt met externe tools of doelgroeptargeting inzet. Toch is het beeld dat ‘alles verboden is’ onterecht. Neem bijvoorbeeld het uploaden van klantlijsten naar Meta: veel juristen en marketeers denken dat dit alleen mag met expliciete toestemming, maar is dat wel zo?

Adverteren is juridisch gezien complex, maar niet verboden terrein. In dit artikel ontkracht ik veelgehoorde stellingen en laat ik zien dat waar een kans voor marketeers ligt. Door het juridisch kader goed te begrijpen, kun je jouw legal-collega’s beter meenemen in welke vormen van social advertising zijn toegestaan én onder welke voorwaarden.

Uploaden van klantlijsten mag alleen met toestemming: niet waar

Het gebruik van een tool als Custom Audiences werkt door het uploaden van een klantlijst naar Meta. Customer lists worden vóór het versturen (bijvoorbeeld in de browser bij het uploaden van het csv-bestand in het business portaal) al door Meta versleuteld.

Er wordt hier geen gebruik gemaakt van een cookietechniek, waardoor de Telecommunicatiewet niet van toepassing is en er dus geen cookietoestemming is vereist. De AVG is wel van toepassing: gehashte gegevens zijn gepseudonimiseerde persoonsgegevens (anders dan de juridische betekenis van geanonimiseerd, waarbij gegevens niet meer herleidbaar zijn naar een individu).

De Europese privacytoezichthouders (de EDPB)  stellen over het uploaden van dit soort klantlijsten dat het mogelijk is om dit te doen op de AVG-grondslag ‘gerechtvaardigd belang’. Het voordeel ten opzichte van toestemming? Geen actieve opt-in nodig, maar het vereist wel een actieve afmeldmogelijkheid. Wel belangrijk: het gebruik van deze grondslag is in de kern een belangenafweging. Het zijn de (commerciële) belangen van jouw organisatie tegen de privacybelangen van degene waarvan je data verzamelt.

Waaraan moet zijn voldaan om je te baseren op deze grondslag?

Er bestaat een relatie tussen adverteerder en betrokkene

Je zou hierbij kunnen denken aan de ‘klantrelatie’, die ontstaat bij onder andere een financiële transactie. Gezien de EDPB hier niet specifiek een klantrelatie vereist, zouden ook andere relaties met de betrokkene kunnen gelden (zoals inschrijving van een nieuwsbrief). De inhoud van de advertentie moet wel vergelijkbaar met de diensten waarvoor de betrokkene klant is geworden of bijvoorbeeld een nieuwsbrief ontvangt.

De betrokkene is geïnformeerd over het gebruik van zijn/haar gegevens

Op het moment van verzamelen van de contactgegevens voor online advertenties op (social) media, moet de betrokkene zijn geïnformeerd.

Er is een mogelijkheid tot bezwaar aangeboden

Ook moet op het moment van gegevensverzameling een bezwaarmogelijkheid worden aangeboden aan de persoon waar je de gegevens van verzameld.

Is aan al deze vereisten voldaan? Dan kun je de verzamelde gegevens inzetten voor je social campagne via het uploaden van een klantlijst op grond van het gerechtvaardigd belang.

Hoe ziet dat eruit?

Je hebt van tevoren bepaald met welk doel je de data wil gaan verzamelen, je hebt een belangenafweging tussen het (commerciële) belang en het privacybelang van de betrokkene gemaakt en hebt geconcludeerd dat het belang van jouw organisatie zwaarder weegt. Vervolgens doen zich twee situaties voor:

  1. Mevrouw Jansen schrijft zich op jouw website in voor de nieuwsbrief.
  2. Meneer de Vries doet een aankoop op jouw website

Bij het invullen van het e-mailadres voor de nieuwsbrief of bij het afronden van een aankoop staat een vooraf aangevinkt hokje met de tekst:

‘Ja, ik vind het goed als mijn e-mailadres gebruikt wordt voor relevante advertenties via Meta. Lees meer in ons privacy statement.’

In het privacy statement staat vervolgens meer informatie over hoe de persoonsgegevens van Mevrouw Jansen worden gebruikt. En er staat aangegeven hoe zij bezwaar kan maken tegen het gebruik van haar gegevens in advertenties op Meta.

Lees ook: Einde verhaal voor Meta ads bij de overheid? Zó bereid jij je voor [5 tips]

Wanneer je géén gebruik kunt maken van gerechtvaardigd belang

Heb je de betrokkene niet geïnformeerd over het gebruik van zijn of haar gegevens voor de advertenties, of heb je geen bezwaarmogelijkheid aangeboden? Dan kun je de verzamelde gegevens niet gebruiken op grond van gerechtvaardigd belang. Als je ook geen toestemming hebt gevraagd, zijn de gegevens niet bruikbaar voor verwerking.

Anouk Kramer (DDMA Commissie Social Media):

“Als marketeer zie ik de enorme waarde van klantdata om relevantere campagnes te maken. Tegelijkertijd ligt hier een grote verantwoordelijkheid: transparantie naar de klant en respect voor wet- en regelgeving zijn van groot belang voor effectieve en verantwoorde marketing.”

Profilering mag niet: niet waar

De term ‘profileren’ heeft vaak een negatieve associatie, maar dat betekent niet dat het verboden is. Met profileren worden (persoons)gegevens gecombineerd en geanalyseerd om kenmerken, voorkeuren of gedragingen van individuen of groepen in kaart te brengen. In een marketingcontext wordt dit ingezet om doelgroepen specifieker te benaderen, bijvoorbeeld door relevante content of aanbiedingen te tonen op basis van iemands gedrag of kenmerken. Denk daarbij aan een webwinkel die vaak bestellende klanten automatisch aanbiedingen laat zien voor snellere bezorging.

Profilering is niet verboden volgens de AVG. Wat wel verboden is, is geautomatiseerde besluitvorming zonder menselijke tussenkomst (artikel 22 AVG) als hier een rechtsgevolg aan vast zit of als de betrokkene aanmerkelijk wordt getroffen. Spoiler alert: in marketing is van een rechtsgevolg door profilering niet snel sprake, alleen wanneer een  betrokkene eventueel aanmerkelijk kan worden getroffen. Denk daarbij aan het tonen van advertenties voor online gokken gericht op kinderen. Wel is het altijd belangrijk een juiste grondslag te hebben vóór je begint met het verzamelen van gegevens voor profilering. In de praktijk komt dit neer op toestemming of gerechtvaardigd belang.

De juiste grondslag voor profilering

Welke van de twee grondslagen passend is, hangt sterk af van de manier waarop je profileert en hoe gevoelig de gegevens zijn die je daarbij gebruikt. Gebruik je eenvoudige klantgegevens of gedragsinformatie om relevantere advertenties te tonen, dan kan profilering in principe op grond van gerechtvaardigd belang plaatsvinden. Daarvoor moet je onder andere bij de dataverzameling de betrokkenen goed hebben geïnformeerd én moeten zij zich kunnen afmelden.

Lastiger wordt het bij zogenoemd ‘slim’ profileren, waarbij je verschillende (niet-gevoelige) data combineert op een manier waarop het wél gevoelig zou kunnen zijn. Hierbij is het gerechtvaardigd belang waarschijnlijk geen optie voor marketingdoeleinden.

Denk bijvoorbeeld aan het gebruik van de targeting optie ‘postcode’, waarbij je zelf vooraf hebt gekeken in welke wijken bepaalde talen of etnische achtergronden relatief veel voorkomen. Op die manier kun je inschatten dat er een grotere kans is op een bepaalde etniciteit in die postcodegebieden, waardoor je uiteindelijk indirect target op basis van bijzondere persoonsgegevens en eigenlijk toestemming moet vragen. De toezichthouder geeft aan dat naarmate de gegevens (of de combinatie ervan) gevoeliger worden, of het doel van de targeting gevoeliger is, het belang van de betrokkene zwaarder gaat wegen in de afweging of je kunt uitgaan van een gerechtvaardigd belang.

Platforms doen niet aan contentmoderatie: niet waar

De Digital Services Act (DSA) verplicht grote platforms tot het modereren van illegale en schadelijke inhoud. Dit geldt voor organische content én advertenties. Platforms moeten:

  • meldmechanismen aanbieden voor illegale inhoud;
  • tijdig en gemotiveerd reageren op meldingen;
  • transparant zijn over moderatiebeslissingen en algoritmes;
  • bezwaarprocedures faciliteren voor gebruikers én adverteerders;
  • jaarlijks risicoanalyses uitvoeren en daarover rapporteren.

Voor advertenties geldt bovendien een aanvullende transparantieverplichting: platforms moeten inzicht geven in wie de advertentie heeft geplaatst, waarom een gebruiker deze ziet, en welke targetingcriteria zijn toegepast. Meta en TikTok hebben hiervoor advertentieregisters opgezet, zoals de Ads Library.

Contentmoderatie op platforms als Meta en TikTok is grotendeels wereldwijd georganiseerd, met de Verenigde Staten als uitgangspunt voor het moderatiebeleid. De moderatie richt zich vooral op organische content en gebruikersbijdragen; advertenties vallen onder een apart systeem. Ads worden vóór plaatsing handmatig of automatisch gereviewd. Moderatie heeft meer invloed op organisch bereik dan op campagnes. En naleving van lokale regels blijft essentieel voor adverteerders die risico’s willen vermijden.

Het is meer AVG-proof om data server side door te sturen dan om dit client side te doen: niet waar

De misvatting is dat server side tracking automatisch tot minder juridische risico’s zou leiden dan client side tracking. Veel organisaties denken dat, omdat de tracking via hun eigen server loopt in plaats van direct vanuit de browser van de gebruiker, ze minder verantwoordelijkheid dragen of zelfs buiten de AVG vallen. Maar dat klopt niet. In beide gevallen worden doorgaans exact dezelfde persoonsgegevens doorgestuurd naar platformen, zoals IP-adressen, unieke identifiers en gebruikersgedrag.

Het verschil zit alleen in de technische implementatie – niet in de aard van de gegevens of de juridische kwalificatie ervan. Dus ook bij server side tracking is voorafgaande, geldige toestemming vereist. De AVG maakt geen onderscheid op basis van de technische route, maar kijkt naar wát er wordt verwerkt en met welk doel. Server side tracking kan in sommige gevallen juist extra verantwoordelijkheid met zich meebrengen, omdat je als organisatie actief beslist wélke gegevens je doorstuurt naar externe partijen. Dat maakt heldere toestemming en zorgvuldige inrichting des te belangrijker.

Joris Mulders (DDMA Commissie Social Media en KLM):

Wij hebben bij de implementatie van server-side tracking actieve keuzes gemaakt over de data die wij van onze klanten delen met socialmedia-platformen. Dit heeft ons de mogelijkheid gegeven, maar ook de opgave, om goed na te denken welke parameters voor onze specifieke klanten gevoelig kunnen zijn. Deze mogelijkheid is ontstaan door server-side tracking, maar is geen vereiste.

Om aan de AVG en cookiewet te voldoen, moet je als organisatie vooraf geldige toestemming verkrijgen voor het plaatsen en uitlezen van trackingtechnologieën, ongeacht of je client side of server side data doorstuurt. Een juiste consent banner moet aan een aantal voorwaarden voldoen om die toestemming rechtsgeldig te maken.

De header-afbeelding is gegenereerd met Sora.

0 reacties - Plaats als eerste een reactie!

Over de auteur

Isa Nieuwstad Isa Nieuwstad is legal counsel bij DDMA. Vanuit deze rol adviseert zij de sector en organiseert zij evenementen, publicaties en andere kennisinitiatieven om data-driven marketing op juridisch vlak naar een hoger niveau te tillen.
Meer over Isa Nieuwstad
Blog
Nieuwsbrief