Wie onze boeken of blogs over cookies en online tracking gelezen heeft, weet dat het debat al jaren bijna uitsluitend draait rond cookies. Terwijl er in de praktijk veel andere trackingtechnieken bestaan die minstens even invasief zijn. Een van de grootste blinde vlekken: de onzichtbare trackingpixels in e-mails. Tot vandaag blijven die vaak onder de radar, zowel bij gebruikers als bij toezichthouders, maar daar komt nu verandering in. De Franse gegevensbeschermingsautoriteit CNIL heeft een openbare raadpleging gelanceerd over een ontwerpaanbeveling voor het gebruik van trackingpixels. In België blijft het voorlopig stil.
Wat zijn trackingpixels en waarom zijn ze zo problematisch?
Een trackingpixel is een onzichtbaar afbeeldingsbestand van één pixel dat geladen wordt zodra een e-mail geopend wordt. Die ene pixel stuurt informatie terug naar de verzender of diens marketingprovider. Het gaat dan bijvoorbeeld om het tijdstip van openen, het toestel waarmee gelezen wordt, het IP-adres of een unieke ID die verdere tracking mogelijk maakt.
Voor marketeers is het een standaardtool om e-mailcampagnes te meten en te personaliseren. Voor gebruikers gebeurt dat zonder dat ze het weten, vaak zonder geldige toestemming en zonder realistisch verzet. In de praktijk is het een vorm van digitale observatie die zich buiten het zicht en buiten de cookiewetgeving afspeelt, hoewel de juridische basis eigenlijk dezelfde is.
Wat stelt de CNIL concreet voor?
De CNIL publiceerde een ontwerpaanbeveling die duidelijkheid moet brengen over de inzet van trackingpixels in e-mail. De aanbeveling baseert zich op artikel 82 van de Franse wetgeving, dat de ePrivacy-richtlijn omzet. Het kader is helder.
Wanneer trackingpixels gebruikt worden voor individuele opvolging, personalisatie, gedragsanalyse, segmentatie of detectie van frauduleus gebruik is toestemming verplicht. Denk daarbij bijvoorbeeld aan het meten van openingspercentages per ontvanger, de analyse van klikgedrag, de aanpassing van de verzendfrequentie op basis van klikgedrag of de koppeling van open rates aan andere trackingprofielen.
Er is geen toestemming vereist wanneer het gebruik strikt functioneel is. Bijvoorbeeld voor beveiligingsdoeleinden zoals verificatie-e-mails, of voor geanonimiseerde statistieken op geaggregeerd niveau die geen individuele tracking toelaten. Ook functionele communicatie die expliciet door de gebruiker werd gevraagd, zoals een wachtwoordreset, valt buiten de toestemmingsplicht.
De CNIL benadrukt dat toestemming bij voorkeur gevraagd wordt vóór de eerste e-mail met trackingpixel verstuurd wordt. Bijvoorbeeld bij inschrijving op een nieuwsbrief. Achteraf vragen of impliciet veronderstellen dat toestemming wel in orde is, volstaat dus niet.
Tijdslijn openbare raadpleging en gevolgen
De raadpleging loopt tot 15 september 2025. Daarna wordt het ontwerp mogelijk omgezet in een formele aanbeveling of richtsnoer. In Frankrijk kan de CNIL haar interpretatie dan ook daadwerkelijk handhaven. Dat betekent dat bedrijven die e-mailcampagnes uitsturen, zich nu stilaan moeten voorbereiden op een aanpassing van hun praktijken.
De aanbeveling maakt ook duidelijk dat bedrijven verplicht zijn om geldige toestemming te kunnen aantonen. Privacy policies of algemene voorwaarden volstaan daarbij niet. En wie samenwerkt met externe marketingplatformen of e-mailproviders, moet contractueel vastleggen wie verantwoordelijk is voor wat.
Wat is de situatie in België?
In België blijft het voorlopig windstil. De Gegevensbeschermingsautoriteit richt haar pijlen vooral op cookiebanners en websites, terwijl tracking in e-mails grotendeels ongemoeid gelaten wordt. Nochtans is de juridische basis exact dezelfde. De “cookiewet” vereist immers toestemming voor élke vorm van informatieopslag of toegang op een eindapparaat. Trackingpixels vallen daar perfect onder.
Dat het debat, het toezicht en de handhaving zo beperkt blijven, is moeilijk verdedigbaar. De inzet is hoog, het gebruik is wijdverspreid en de impact op privacy is aanzienlijk. Frankrijk toont alvast aan dat er wél iets kan bewegen.
Wat vinden wij hier zelf van?
Bij Sirius Legal wijzen we al jaren op het feit dat het debat over online tracking kunstmatig vernauwd is tot cookies, terwijl andere technieken zoals trackingpixels, fingerprinting of server-side tracking minstens evenveel risico’s inhouden. In onze boeken over cookies en online tracking pleitten we telkens opnieuw voor een bredere benadering van digitale surveillance en een handhavingsbeleid dat zich richt op wat er technisch écht gebeurt, niet op hoe het heet.
De aanpak van de CNIL bevestigt onze analyse. De bestaande regels zijn duidelijk genoeg, alleen worden ze veel te selectief toegepast. Dat Frankrijk nu werk maakt van een specifieke aanbeveling voor pixels is een stap in de juiste richting. Hopelijk is het ook een wake-upcall voor andere toezichthouders om hun prioriteiten scherper te stellen.
Wat betekent dit allemaal concreet voor jouw marketing?
Als je gebruik maakt van e-mailcampagnes waarbij trackingpixels ingezet worden, dan moet je nagaan of daarvoor toestemming vereist is. Is dat het geval, dan moet die toestemming aantoonbaar, specifiek, vrij en geïnformeerd verzameld worden. Niet via een algemene clausule of vage banner, maar op een duidelijke manier, vóór de eerste tracking plaatsvindt.
Gebruik je externe tools of platformen, dan moet je nagaan wie waarvoor verantwoordelijk is, en of je contracten nog in lijn zijn met de wetgeving.
Verzamel je geanonimiseerde data voor puur statistische doeleinden? Dan kan je mogelijk buiten de toestemmingsplicht vallen, maar ook dat vereist een onderbouwde analyse.
