Laatst bijgewerkt: juli 2026
E-mailtracking pixels: nieuwe regels in Italië en Frankrijk
Op 14 juli 2026 moet elk bedrijf dat aan mogelijk Franse of Italiaanse contacten mailt, zijn bestaande adressenbestand hebben geïnformeerd over tracking pixels, of de toestemming al op orde hebben. Iets meer dan drie maanden later, op 28 oktober 2026, loopt in Italië een vergelijkbare overgangstermijn af. Twee toezichthouders, twee landen, één en hetzelfde doel: het onschuldig ogende pixeltje dat er al jaren voor zorgt dat e-mailmarketeers hun campagnes kunnen optimaliseren.
Klinkt als een nieuw hoofdpijndossier, maar dat hoeft het niet te zijn. Je hebt nog enkele maanden de tijd, de meeste maatregelen zijn met een paar gerichte aanpassingen te regelen, en niemand verwacht dat je dit gisteren al had opgelost. Lees rustig verder, dan leggen we precies uit wat er speelt.
Wat zijn e-mailtracking pixels?
Een tracking pixel is een afbeelding van 1 bij 1 pixel, onzichtbaar voor ontvangers, verwerkt in de HTML van een e-mail. Zodra iemand de mail opent, laadt het plaatje en stuurt het een seintje terug naar de verzender: geopend, op dit tijdstip, vanaf dit toestel. Vrijwel elk e-mailmarketingplatform gebruikt dit principe om open rates te meten.
De techniek is niet nieuw. Wat wel verandert, is hoe de Italiaanse Garante en de Franse CNIL die techniek nu juridisch behandelen: net als een cookie. En dat heeft gevolgen voor iedereen die nieuwsbrieven, ecommerce e-mails of transactionele e-mails verstuurt.
In dit artikel:
- Wat er precies verandert in Italië en Frankrijk, en wanneer
- Wat dat betekent voor jouw bedrijf en voor de mensen die je mailt
- Praktische stappen om op tijd klaar te zijn
Wat is er precies veranderd?
De juridische basis bestaat al langer. Artikel 5(3) van de Europese ePrivacy-richtlijn vereist sinds 2002 voorafgaande toestemming voor het opslaan van of toegang krijgen tot informatie op het toestel van een gebruiker. Cookies vallen hieronder, en sinds oktober 2024 ook tracking pixels. Het European Data Protection Board bevestigde dat in zijn Guidelines 2/2023: het laden van een pixel is “toegang krijgen tot informatie op de terminal van de gebruiker”, precies zoals een cookie dat doet. [Bron: EDPB, Guidelines 2/2023 on the Technical Scope of Art. 5(3) of the ePrivacy Directive, oktober 2024]
Italië was het eerste land dat hier concrete regels aan koppelde. Op 17 april 2026 nam de Garante per la protezione dei dati personali Provvedimento n. 284 aan: de eerste specifieke richtlijnen voor tracking pixels in e-mailcommunicatie. Gepubliceerd op 29 april 2026 in de Gazzetta Ufficiale, met een overgangstermijn van zes maanden. Deadline: 28 oktober 2026. [Bron: Garante per la protezione dei dati personali, Provvedimento n. 284 del 17 aprile 2026]
Op de hoogte blijven van AVG/ePrivacy in e-mailmarketing?
Laat je e-mailadres achter en we sturen je af en toe een korte update als er relevante wijzigingen zijn (zoals CNIL-richtlijnen of nieuwe EU-uitspraken). Geen spam, wél duidelijkheid.
Frankrijk ging net iets eerder. Op 12 maart 2026 stelde de CNIL bij Délibération n° 2026-042 haar Recommandation relative aux pixels de suivi dans les courriers électroniques vast, gepubliceerd op 14 april 2026. Voor e-mailadressen die je vanaf die datum verzamelt, moet de toestemming meteen kloppen. Voor adressen die al in je bestand stonden, geldt een overgangstermijn van drie maanden: uiterlijk 14 juli 2026 moet je mensen geïnformeerd hebben en de mogelijkheid hebben gegeven om de pixel-tracking te weigeren. De CNIL zegt zelf dat ze na deze overgangsperiode gaat controleren of bedrijven de regels naleven. [Bron: Délibération n° 2026-042 du 12 mars 2026 — Légifrance] [Bron: CNIL, Pixels de suivi dans les courriers électroniques: la CNIL publie ses recommandations, 14 april 2026]
Wat betekent dit voor jou?
Communiceer je in het Engels, Frans of Italiaans? Dan kan het zomaar zijn dat deze regels voor jou van toepassing zijn. Als je niet zeker weet of een contact uit Italië of Frankrijk komt, dan moet je ervan uitgaan dat ze zich uit moeten kunnen schrijven voor het tracken van opens & clicks.
Niet helemaal. Beide toezichthouders maken uitzonderingen, al verschillen ze in breedte. Italië staat drie situaties toe zonder toestemming: geanonimiseerde, geaggregeerde statistieken over open rates (de pixel moet dan identiek zijn voor iedereen in de campagne, zonder individuele herleidbaarheid), beveiliging en authenticatie (zoals een eenmalige inlogcode of fraudedetectie), en wettelijk verplichte of institutionele communicatie. Frankrijk is strenger en kent maar twee uitzonderingen: authenticatie/beveiliging, en het opschonen van inactieve adressen (deliverability), en dat laatste alleen onder strikte voorwaarden.
Op aggregatieniveau, in Italië, ja, zolang de data niet naar een individu te herleiden zijn. Wil je weten wie persoonlijk opent, klikt of op welk moment, dan heb je toestemming nodig. Frankrijk biedt geen vergelijkbare uitzondering voor geanonimiseerde campagnestatistieken; daar val je sneller terug op de hoofdregel: toestemming vooraf.
In Italië mag je dit combineren met de algemene marketingtoestemming, zolang je vooraf duidelijk en neutraal informeert. Frankrijk vraagt meer granulariteit: voor losstaande doelen, personalisatie, cross-channel profilering, fraudedetectie, wil de CNIL een apart, herkenbaar signaal per doel, behalve wanneer doelen “werkelijk verbonden” zijn.
Zij krijgen meer controle. Italië introduceert een granulair recht: ontvangers kunnen specifiek de pixel-tracking uitzetten en toch je e-mails blijven ontvangen, een opt-out die losstaat van de volledige afmelding. Frankrijk verplicht een herroepingslink in de footer van elke e-mail, zonder dat iemand opnieuw zijn e-mailadres moet invoeren.
In de regel ben jij, als verzender, de verwerkingsverantwoordelijke en is je ESP de verwerker — meestal gewoon duidelijk vastgelegd in je verwerkersovereenkomst. Maar zodra een leverancier de trackingdata ook voor eigen doeleinden gebruikt, denk aan benchmarking tussen klanten, kan diezelfde leverancier mede-verwerkingsverantwoordelijke worden. Het Hof van Justitie van de EU bevestigde dit principe al in de Fashion ID-zaak: wie bewust meewerkt aan het verzamelen en doorsturen van data, deelt in de verantwoordelijkheid, ook zonder toegang tot alle data. [Bron: HvJ EU, C-40/17, Fashion ID, 29 juli 2019]
We verwachten niet dat iemand morgen voor je deur met een boete van miljoenen euro’s omdat je deze week nog niet alles hebt afgerond. Maar de toezichthouders nemen dit onderwerp serieus, en de cijfers liegen er niet om. Boetes lopen via de gewone AVG (GDPR)-schaal: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, wat hoger is. De CNIL legde Orange in november 2024 al een boete van 50 miljoen euro op voor het ongevraagd tonen van advertenties tussen e-mails. [Bron: CNIL, Publicités insérées entre les courriels: sanction de 50 millions d’euros à l’encontre de la société Orange, 14 november 2024]
In september 2025 volgde een boete van 150 miljoen euro voor de Ierse SHEIN-entiteit, vanwege cookies die zonder toestemming bleven actief. [Bron: CNIL, Cookies placed without consent: SHEIN fined 150 million euros, 1 september 2025] Allebei gingen over jarenlange, structurele overtredingen, niet over bedrijven die hun best deden om het netjes te regelen. Met een beetje voorbereiding nu, hoor je niet in dat rijtje.
Praktische tips om op tijd compliant te zijn
Geen reden tot paniek, wel een goede reden om nu te beginnen. Acht punten, prima te behappen in een paar werksessies:
- Inventariseer al je e-mailflows. Mail, marketing automation, sales tooling, transactionele triggers — overal kan een pixel zitten. Maak een lijst van wie waarvoor tracking gebruikt.
- Herschrijf je toestemmingstekst. Noem pixel-tracking expliciet bij het verzamelen van een e-mailadres, niet pas achteraf in de privacyverklaring.
- Bouw een opt-out in je footer. Een losse link om alleen de tracking te stoppen, naast de gewone afmeldlink. Dat is precies wat Italië nu vereist en wat Franse ontvangers ook verwachten.
- Gebruik een niet-herleidbare pixel-ID. Geen e-mailadres in de URL van de pixel, maar een willekeurig gegenereerde code per ontvanger.
- Leg toestemming per ontvanger vast, niet als verzamelclausule in je algemene voorwaarden. Bij een controle moet je per persoon kunnen aantonen wanneer en hoe die toestemming gegeven is.
- Check de status van je leveranciers. Vraag je ESP en eventuele tracking-tools na of zij verwerker zijn, of toch mede-verwerkingsverantwoordelijke.
- Wees voorzichtig met de deliverability-uitzondering. Beveiligingstools zoals Apple’s Mail Privacy Protection en zakelijke mailfilters openen mails automatisch, zonder menselijke actie. Reken zulke geautomatiseerde opens niet mee als bewijs van een actief contact.
- Zet beide deadlines in je eigen planning. 14 juli 2026 voor Frankrijk, 28 oktober 2026 voor Italië. Begin nu, niet in september.
Hoe Maileon je hierbij helpt
Dit hoeft niet vanaf nul. De bouwstenen die deze regels van je vragen, zitten al in het platform:
- Toestemming per contact. Maileon werkt met permissieniveaus, van “geen toestemming” tot “double opt-in inclusief toestemming voor individuele tracking” (DOI+). Je ziet per contact precies welk niveau geldt, en transactionele of servicemails kun je daar los van houden via een permissieneutrale verzending. (meer over permissieniveaus)
- Een eerlijke keuze bij de bevestiging. In je double opt-in-bevestigingsmail stel je in of de bevestigingslink wel of geen toestemming voor individuele tracking omvat, zo vraag je dat op het juiste moment, in één stap. (zo stel je dit in)
- Een granulaire opt-out in de footer. Via de standaardlinks voeg je een “permissie wijzigen”-link toe, waarmee een ontvanger specifiek de tracking kan uitzetten zonder zich helemaal af te melden. (zo configureer je dat)
- Tracking die automatisch meebeweegt met toestemming. In je instellingen, en eventueel per mailing, laat je Maileon altijd de meest gedetailleerde tracking gebruiken die bij het toestemmingsniveau van dat contact past. Geen toestemming, dan geen individuele tracking. (check je instellingen)
- In bulk verwerken met een contact job. Heb je een gemengde database zonder duidelijk land per contact? Zet via een contact job het permissieniveau voor een hele groep in één keer op “zonder tracking”, en vraag vervolgens om een permissie in een campagne (vraag in diezelfde campagne meteen het land van je contacten op voor meer campagne opties!). (zo werkt een contact job)
Twijfel je welke instelling voor jouw lijst het beste werkt, of heb je een mix van landen in je bestand? We denken graag mee. Neem contact op.
Welke van deze acht punten heb jij al op orde, en welke staat nog op een dikke nul?
Dit vind je mogelijk ook interessant
-
E-mailtracking pixels: nieuwe regels in Italië en Frankrijk
Vanaf medio 2026 gelden in Frankrijk en Italië strengere regels voor tracking pixels in e-mail. Lees wat er verandert, voor wie, en hoe je op tijd compliant bent.
-
Is jouw e-mailmarketing echt AVG-proof?
De oplossing is binnen handbereik: maak een keuze voor een Europees platform en geef je contacten de privacybescherming die ze verdienen.
-
Is Mailchimp nog AVG-proof in 2026?
In 2026 onderzoeken we of Nederlandse organisaties Mailchimp nog veilig kunnen gebruiken zonder AVG-risico’s te lopen.
Groeien met je bedrijf?
Krijg een demo en ontdek het marketing automation platform waarmee je als bedrijf blijft groeien.