Does ePrivacy apply to AI-generated messages?

Yes. ePrivacy is technology-neutral — an AI sending a marketing email, SMS, or WhatsApp message is treated identically to a human sending one.

Does GDPR consent satisfy ePrivacy?

No. ePrivacy is lex specialis and requires separate compliance. GDPR consent does not automatically satisfy ePrivacy's prior opt-in requirement.

What about B2B outbound?

B2C always requires opt-in. B2B rules vary by Member State — some allow opt-out for corporate addresses, others (e.g. Germany) apply stricter rules.

Is the ePrivacy Regulation coming?

The standalone Regulation was withdrawn in February 2025. Targeted ePrivacy amendments are now part of the Digital Omnibus Package under negotiation.

ePrivacy AI-Compliance — Toestemming voor Outbound AI-Berichten

Laatste update: 8 april 2026 · 8 min. lezen · Beoordeeld door het Audact compliance-team · Richtlijn 2002/58/EG

De ePrivacy-richtlijn regelt het verzenden van elektronische communicatie. Ze is van toepassing op elk AI-gegenereerd outbound bericht — e-mail, SMS, WhatsApp of telefoongesprek — ongeacht of een mens of AI het heeft opgesteld.

Wat is de ePrivacy-richtlijn?

De ePrivacy-richtlijn (2002/58/EG) is de primaire EU-wet voor privacy in elektronische communicatie. Ze is lex specialis ten opzichte van de AVG — waar ePrivacy een specifieke regel heeft, gaat die voor op de AVG.

In de praktijk: ePrivacy regelt het verzenden van de communicatie en het openen van het apparaat. De AVG regelt de daaropvolgende verwerking van verzamelde persoonsgegevens. Ze vereisen afzonderlijke naleving — AVG-toestemming voldoet niet automatisch aan ePrivacy-eisen en vice versa.

ePrivacy-richtlijn vs ePrivacy-verordening: wat verandert er voor AI

De richtlijn van 2002 (gewijzigd in 2009) is een rechtsinstrument dat in elke lidstaat anders is omgezet, vandaar dat de Duitse TDDDG, de Nederlandse Telecommunicatiewet en de Britse PECR oppervlakkig vergelijkbaar lijken maar in detail afwijken. De voorgestelde ePrivacy-verordening zou het lappendeken hebben vervangen door één direct toepasselijke tekst, met strengere regels voor cookies, machine-to-machine-verkeer en metadataverwerking. Na acht jaar impasse heeft de Commissie het dossier op 11 februari 2025 formeel ingetrokken.

Voor AI-deployers is de praktische consequentie dat er niets verandert onmiddellijk: de richtlijn blijft van kracht en het opt-in-gestuurde regime blijft van toepassing op outbound AI-berichten. Het Digital Omnibus Package dat in november 2025 werd voorgesteld bevat gerichte ePrivacy-wijzigingen — met name rondom cookietoestemmingvermoeidheid en grondslag voor gerechtvaardigd belang bij analytics — die naar verwachting in 2027 worden aangenomen. AI-leveranciers moeten hun toestemmingvastlegging nu zodanig ontwerpen dat de rechtsgrondslag kan worden aangepast zonder opnieuw toestemming te vragen.

Belangrijke artikelen voor AI-deployers

Artikel 13 — Ongevraagde communicatie

Vereist voorafgaand opt-intoestemming vóór het verzenden van direct marketing via geautomatiseerde belsystemen, e-mail, SMS, fax of enig elektronisch berichtensysteem. Dit is technologieneutraal: een AI die een marketing-e-mail verstuurt wordt identiek behandeld als een mens die hetzelfde doet.

AI-chatbot die een WhatsApp-bericht initieert → toestemming vereist
AI die marketing-e-mails verstuurt → toestemming vereist
AI-gegenereerde SMS-campagnes → toestemming vereist
Outbound AI-telefoongesprekken → toestemming vereist

Artikel 13(2) — Zachte opt-inuitzondering

Een uitzondering die marketing zonder nieuwe toestemming toestaat als: (a) het e-mailadres is verkregen in de context van een verkoop of dienst, (b) marketing betrekking heeft op vergelijkbare producten/diensten, en (c) een eenvoudige opt-out wordt geboden bij verzameling en in elk bericht.

Artikel 5(3) — Cookies en apparaattoegang

Vereist toestemming vóór het opslaan van of toegang krijgen tot informatie op de terminalapparatuur van een gebruiker. Voor AI-chatbots geldt dit wanneer de chatbot trackingcookies plaatst — niet voor het gesprek zelf.

Cookietoestemming en AI-tracking onder ePrivacy

Artikel 5(3) is technologieneutraal: het is van toepassing op elke opslag van of toegang tot informatie op de terminalapparatuur van een gebruiker. Dat omvat klassieke HTTP-cookies, maar ook browser local storage, fingerprinting-bibliotheken en de SDK's die AI-personalisatie-engines in websites en mobiele apps integreren. Als de gegevens vervolgens worden ingevoerd in een aanbevelingsmodel of een gedragstargeting-AI, moet de rechtsgrondslag voor het initiële lezen of schrijven nog steeds geldige AVG-toestemming zijn — vastgelegd voordat het script wordt uitgevoerd. CNIL, de Garante en de Nederlandse AP hebben allemaal bevestigd dat 'alles weigeren' even eenvoudig moet zijn als 'alles accepteren'.

Voor AI-voice- of chatbots is de cookievraag meestal beperkt tot de omringende webpagina — maar AI-gestuurde webpush, in-app messaging en on-device spraakmodellen activeren 5(3) zodra ze status cachen. Audact behandelt elke toestemmingsbeslissing als een auditeerbare gebeurtenis, waardoor klanten de cookiegeldigheid kunnen aantonen zelfs wanneer de front-endstack verandert.

B2B-vrijstellingen onder ePrivacy voor AI-communicatie

B2B-behandeling is het meest gefragmenteerde deel van ePrivacy. De richtlijn staat lidstaten toe direct marketing aan rechtspersonen op opt-outbasis toe te staan, maar vereist dit niet. De Britse PECR stelt zakelijke abonnees vrij van de strikte opt-in voor live gesprekken en faxen (maar niet voor SMS of e-mail aan individuele medewerkers). Frankrijk staat op vergelijkbare wijze opt-out marketing toe aan professionele adressen mits het bericht verband houdt met de functie van de ontvanger. Duitsland neemt het tegenovergestelde standpunt in: §7 UWG vereist uitdrukkelijke voorafgaande toestemming zelfs voor B2B-e-mail, met zeer beperkte uitzonderingen.

Voor AI-outboundsystemen is de operationele regel eenvoudig: een globale 'B2B-vrijstelling'-vlag is per definitie niet-compliant. De policy engine moet het land van de ontvanger, het kanaal en de aard van het bericht bepalen vóór elke verzending, en die beslissing vastleggen voor de toezichthouder. Audact levert deze per-jurisdictieregels standaard mee.

B2B vs B2C

B2C vereist altijd opt-in. B2B-behandeling verschilt per lidstaat: sommige (bijv. VK, Frankrijk) staan contact met zakelijke e-mailadressen op opt-outbasis toe voor bedrijfsgerelateerde producten. Andere (bijv. Duitsland) passen strengere regels toe. De Policy Engine van Audact verwerkt deze per-landverschillen automatisch.

Handhaving & boetes

Gehandhaafd door nationale autoriteiten (doorgaans gegevensbeschermingsautoriteiten). Omdat ePrivacy een richtlijn is — geen verordening — variëren boetes per lidstaat:

Duitsland (TDDDG): Tot €300.000
VK (PECR): Boetes onder PECR, met hogere straffen mogelijk waar schendingen overlappen met de AVG
Nederland: Nederlandse AP waarschuwde 50 organisaties in april 2025 wegens cookieschendingen
Frankrijk (CNIL): Strenge handhaving, blokkeert cookies vóór toestemming, verbiedt dark patterns

Het EDPB heeft bevestigd dat ePrivacy-schendingen kunnen worden meegenomen in AVG-boetes waar dezelfde autoriteit beide handhaaft.

ePrivacy-verordening — wat is er gebeurd?

De zelfstandige ePrivacy-verordening is formeel ingetrokken door de Europese Commissie op 11 februari 2025 na jaren van mislukte onderhandelingen. In plaats daarvan maken gerichte ePrivacy-wijzigingen nu deel uit van het Digital Omnibus Package (voorgesteld november 2025), momenteel in onderhandeling met verwachte politieke overeenstemming eind 2026.

Hoe Audact helpt

Toestemmingsverificatie: Policy Engine valideert opt-instatus vóór elke outbound AI-communicatie wordt verzonden
Per-landregels: Jurisdictie-specifieke toestemmings- en opt-outeisen automatisch gehandhaafd
Bewijslogging: Elke toestemmingscontrole wordt vastgelegd met cryptografisch bewijs voor toezichthoudersaudits
Zachte opt-invalidatie: Automatische verificatie dat aan Artikel 13(2)-voorwaarden is voldaan vóór communicatie wordt toegestaan

Veelgestelde vragen

Is ePrivacy van toepassing op AI-gegenereerde berichten?

Ja. ePrivacy is technologieneutraal — een AI die een marketing-e-mail, SMS of WhatsApp-bericht verstuurt wordt identiek behandeld als een mens die hetzelfde doet.

Voldoet AVG-toestemming aan ePrivacy?

Nee. ePrivacy is lex specialis en vereist afzonderlijke naleving. AVG-toestemming voldoet niet automatisch aan ePrivacy's voorafgaande opt-invereiste.

Hoe zit het met B2B-outbound?

B2C vereist altijd opt-in. B2B-regels variëren per lidstaat — sommige staan opt-out toe voor zakelijke adressen, andere (bijv. Duitsland) passen strengere regels toe.

Komt de ePrivacy-verordening er nog?

De zelfstandige verordening is ingetrokken in februari 2025. Gerichte ePrivacy-wijzigingen maken nu deel uit van het Digital Omnibus Package dat in onderhandeling is.

Vergelijk EU AI-compliancewetgeving

Wetgeving	Deadline	Wie	Boete
EU AI Act Art. 50	2 aug. 2026	Alle AI-deployers in de EU	€7,5M / 1,5% omzet
NL Telecomwet	1 jul. 2026	Outbound marketing aan NL-consumenten	€900k / 10% omzet
AVG	Van kracht	Elke verwerker van EU-persoonsgegevens	€20M / 4% omzet
DSA	Van kracht (feb. 2024)	Tussenpersonen en VLOP's	6% wereldwijde omzet
ePrivacy	Van kracht	Verzenders van elektronische communicatie	Varieert per lidstaat

Gerelateerde compliancebronnen

Disclaimer: Deze pagina is uitsluitend bedoeld voor informatieve doeleinden en vormt geen juridisch advies. Raadpleeg een gekwalificeerde juridisch adviseur voor uw specifieke nalevingsverplichtingen.

← Terug naar home

ePrivacy AI-compliance voor elektronische communicatie