AVG-compliant leadgeneratie in 2026: wat mag wel en wat niet

De olifant in de kamer: is IP-identificatie legaal?

Laten we meteen met de deur in huis vallen. Ja, IP-gebaseerde bezoekersidentificatie op bedrijfsniveau is legaal onder de AVG, mits correct ingericht. Het onderscheid zit in een cruciaal detail: je identificeert bedrijven, geen individuen.

Wanneer een bedrijf je website bezoekt, is het IP-adres vaak gekoppeld aan de zakelijke internetverbinding van dat bedrijf. Door dat IP-adres te matchen met een bedrijfsdatabase, weet je dat "Bedrijf X" je website heeft bezocht. Je weet niet welke specifieke medewerker dat was, en dat is precies wat de AVG vereist.

De AVG beschermt persoonsgegevens, gegevens die herleidbaar zijn tot een natuurlijk persoon. Bedrijfsgegevens zoals een KVK-nummer, bedrijfsnaam of vestigingsadres vallen daar niet onder. Zolang je op bedrijfsniveau identificeert en geen individuele profielen opbouwt, opereer je binnen de kaders van de wet.

Gerechtvaardigd belang: de juridische grondslag

De AVG kent zes grondslagen voor gegevensverwerking. Voor B2B-bezoekersidentificatie is "gerechtvaardigd belang" (artikel 6, lid 1, sub f) de meest relevante. Dit betekent dat je een legitiem zakelijk belang hebt bij het verwerken van bepaalde gegevens, mits dit belang niet wordt overschaduwd door de privacybelangen van de betrokkene.

In de praktijk houdt dit in dat je een zogenaamde belangenafweging moet maken en documenteren. Voor B2B-bezoekersidentificatie ziet die er doorgaans als volgt uit:

• Jouw belang: Inzicht in welke bedrijven je website bezoeken om je salesproces te verbeteren.
• Impact op betrokkene: Minimaal, want je identificeert het bedrijf, niet de persoon. De privacy-impact is vergelijkbaar met het noteren van een bedrijfsnaam op een beursbadge.
• Conclusie: Jouw zakelijk belang weegt zwaarder dan de minimale privacy-impact.

Belangrijk: deze afweging moet je schriftelijk vastleggen. Niet omdat de AP elke dag langskomt, maar omdat je bij een eventuele vraag moet kunnen aantonen dat je er bewust over hebt nagedacht.

Opt-out: een verplichting, geen optie

Bij gerechtvaardigd belang heeft de betrokkene altijd het recht om bezwaar te maken. Concreet betekent dit dat je website een duidelijk opt-out mechanisme moet bieden. Dit kan via:

• Een vermelding in je privacyverklaring dat je bezoekersidentificatie toepast
• Een manier om bezwaar te maken (bijvoorbeeld via e-mail of een opt-out link)
• Directe verwijdering van gegevens bij een opt-out verzoek

Bij LeadGenX is dit ingebouwd. Elk geidentificeerd bedrijf kan een opt-out verzoek indienen, waarna hun gegevens direct worden verwijderd en toekomstige bezoeken niet meer worden geregistreerd.

Cookie consent vs. cookieless tracking

Hier zit een misverstand dat we wekelijks tegenkomen. Cookie-gebaseerde tracking (zoals Google Analytics met tracking cookies, remarketing pixels, etc.) vereist expliciete toestemming via een cookie-banner. Dat is de ePrivacy-richtlijn, en daar is geen discussie over.

IP-gebaseerde bezoekersidentificatie werkt echter zonder cookies. Er wordt geen tracker op het apparaat van de bezoeker geplaatst, er wordt geen persoonlijk profiel opgebouwd, en er is geen cross-site tracking. Daardoor valt deze methode niet onder de cookiewetgeving.

Wat betekent dat in de praktijk? Je kunt bezoekers identificeren die je cookie-banner weigeren. Volgens onderzoek van Statista weigert 40-65% van de Europese bezoekers cookies. Dat is een enorm deel van je traffic dat volledig onzichtbaar is voor cookie-gebaseerde tools, maar zichtbaar blijft voor IP-gebaseerde identificatie.

De verwerkersovereenkomst (DPA)

Wanneer je een tool zoals LeadGenX inzet voor bezoekersidentificatie, verwerkt die tool gegevens namens jou. De AVG vereist dat je hiervoor een verwerkersovereenkomst (Data Processing Agreement) afsluit. Dit is een contract tussen jou als verwerkingsverantwoordelijke en de tool als verwerker.

Een goede DPA regelt minimaal:

• Welke gegevens worden verwerkt en met welk doel
• Hoe lang gegevens worden bewaard
• Welke beveiligingsmaatregelen er zijn getroffen
• Hoe wordt omgegaan met datalekken
• Of er sub-verwerkers worden ingeschakeld

LeadGenX biedt een standaard DPA die voldoet aan alle AVG-vereisten. Die kun je direct ondertekenen bij het aanmaken van je account, zonder juridische kosten.

Vijf concrete stappen voor compliant leadgeneratie

1. Werk je privacyverklaring bij — Vermeld dat je bezoekersidentificatie op bedrijfsniveau toepast, op welke grondslag, en hoe bezoekers bezwaar kunnen maken.
2. Documenteer je belangenafweging — Leg schriftelijk vast waarom je gerechtvaardigd belang van toepassing is. Een A4'tje is voldoende.
3. Sluit een DPA af — Zorg dat er een verwerkersovereenkomst is met elke tool die gegevens namens jou verwerkt.
4. Bied een opt-out aan — Maak het eenvoudig voor bedrijven om bezwaar te maken tegen identificatie.
5. Bewaar niet langer dan nodig — Stel een bewaartermijn in die past bij je salescyclus. Wij adviseren maximaal 90 dagen voor bezoekersdata.

De AP en handhaving in 2026

De Autoriteit Persoonsgegevens (AP) heeft in 2025 meerdere boetes opgelegd voor onrechtmatige tracking, met name gericht op bedrijven die persoonsgegevens verzamelden zonder geldige grondslag of zonder transparantie. De trend is duidelijk: de AP wordt strenger.

Maar de nuance is belangrijk. Geen van de recente boetes had betrekking op IP-gebaseerde bedrijfsidentificatie. De handhaving richt zich op cookie-tracking zonder toestemming, onrechtmatige profilering van individuen, en het ontbreken van een privacyverklaring. Als je de vijf stappen hierboven volgt, opereer je ruim binnen de kaders.

Het doel van de AVG is niet om B2B-sales onmogelijk te maken. Het doel is transparantie en controle voor betrokkenen. Wie dat respecteert, heeft niets te vrezen.