Leadverrijking is het aanvullen van een kale lead met context: bedrijfsdata, branche, regio, eerdere interacties en tekstsignalen. Het maakt het verschil tussen een formulierinvoer die stilvalt in je CRM en een lead die sales meteen iets geeft om mee te werken. Maar hoe meer data je toevoegt, hoe meer vragen je krijgt over de AVG.
Dit artikel gaat niet over wat er allemaal kan. Het gaat over wat mag. En dat hangt niet af van je techniek, maar van de bron, de grondslag en de routing die je kiest.
Wat leadverrijking precies is
Leadverrijking is geen scoring en geen routering, al sluiten ze vaak op elkaar aan. Het is het opvullen van een lead met data die er nog niet was, op een manier die bruikbaar is voor de volgende stap. Denk aan het toevoegen van KvK-gegevens, branchecodes, regio, eerdere CRM-historie en signalen uit het formulier of de e-mail.
Het verschil met scoring is simpel: een score weegt hoe interessant een lead is. Verrijking bepaalt wat je weet. En wat je weet, bepaalt wat AVG-technisch relevant wordt. Want elk veld dat je toevoegt is een verwerking van persoonsgegevens, ook als het alleen om een bedrijfsnaam en functie gaat.
Voor een diepere uitleg van hoe leadverrijking in de praktijk werkt, lees Leadverrijking automatiseren met AI: betere context voor sales opvolgt.
Databronnen van laag naar hoog risico
Niet elke bron is hetzelfde onder de AVG. Het risico zit hem niet in de techniek, maar in de herkomst en hoe je de data gebruikt.
Laag risico: data die de lead zelf geeft. Als iemand een formulier invult en zelf zijn naam, e-mail, bedrijfsnaam en telefoonnummer achterlaat, is er weinig mis. Je verwerkt data die de betrokkene actief heeft verstrekt. De grondslag is meestal de uitvoering van een overeenkomst of gerechtvaardigd belang. Dit is de basis van elke gezonde leadverrijking.
Laag tot midden: openbare bedrijfsdata. KvK-data zoals SBI-code, rechtsvorm en vestigingsadres is openbaar en bedoeld voor handelsverkeer. Het koppelen ervan aan een lead is gebruikelijk en laag risico, zolang je niet meer vastlegt dan nodig. Hetzelfde geldt voor het afleiden van branche en regio uit een postcode of KvK-nummer.
Midden: afgeleide data uit tekst en gedrag. Het interpreteren van vrije tekst in formulieren of e-mails is waar AI echt toevoegt. Het classificeren van urgentie, vraagtype of productcategorie uit een paar zinnen maakt een lead direct bruikbaarder. Maar zodra je hier persoonsprofielen van gaat bouwen of gedrag buiten het formulier meeweegt, wordt de verwerking risicovoller.
Hoog risico: externe verrijking zonder toestemming. Het kopen van leadlijsten bij databrokers, het scrapen van social media voor persoonlijke gegevens, of het verrijken met data uit bronnen waar de lead geen weet van heeft, is precies waar de AVG streng op is. Zonder grondslag en transparantie is dit niet toegestaan. Zeker niet voor profilering of geautomatiseerde besluitvorming.
Wanneer heb je een grondslag, DPIA of menselijke controle nodig?
De AVG kent zes grondslagen voor verwerking. In de praktijk van leadverrijking zijn er twee relevant:
- Gerechtvaardigd belang je mag leaddata verwerken als je een duidelijk zakelijk doel hebt, de impact op de betrokkene beperkt is, en je transparant bent over wat je doet. Voor zakelijke contactdata is dit de meest gebruikte grondslag.
- Toestemming is nodig zodra je bijzondere persoonsgegevens verwerkt (gezondheid, politieke voorkeur, etniciteit) of data gebruikt waarvoor geen gerechtvaardigd belang bestaat.
Een DPIA is verplicht als de verwerking waarschijnlijk een hoog risico oplevert voor de rechten van betrokkenen. Dat is het geval bij geautomatiseerde profilering op basis van bijzondere data, of bij grootschalige verwerking van gevoelige bronnen. Voor de meeste MKB-leadverrijking zonder bijzondere data is een DPIA niet nodig, maar het is nooit verkeerd om het te overwegen.
Menselijke controle is verplicht bij geautomatiseerde besluitvorming op basis van profilering. Dat betekent: als een lead automatisch wordt afgewezen of doorgestuurd op basis van een score zonder dat er een mens naar kijkt, moet je kunnen uitleggen hoe die score tot stand komt. In de praktijk bouwen de meeste MKB-workflows een menselijke check in bij twijfelgevallen. Dat is niet alleen netter voor de AVG, maar ook slimmer voor de business.
Meer achtergrond over de AVG en AI vind je in AI en de AVG: wat mag wel, en wat niet?. En voor de specifieke DPIA-verplichting lees DPIA bij AI-automatisering: wanneer en hoe.
Scoring en routing AVG-bewust inrichten
De meeste AVG-problemen bij leadverrijking ontstaan niet in de verrijking zelf, maar in wat je er daarna mee doet. Als je verrijking gebruikt om leads te scoren en te routeren, komen er extra regels bij kijken.
Een score op basis van branche, regio en formulier-signalen is laag risico, zolang je transparant bent over de criteria. Het wordt profilering zodra je persoonskenmerken meeweegt die niets met de zakelijke context te maken hebben, zoals leeftijd, woonplaats of surfgedrag. Houd scoring zakelijk en uitlegbaar.
Doorsturen naar de juiste accountmanager op basis van regio of branche is prima. Maar een lead automatisch afwijzen zonder menselijke check is een geautomatiseerd besluit. Zorg dat afwijzingen altijd langs een mens gaan, of tenminste dat de lead weet waarom en bezwaar kan maken.
Verrijkte data is geen blijvend bezit. Als een lead niet binnen een redelijke termijn converteert, moet je de verrijking (of de hele lead) opschonen. Stel bewaartermijnen in op basis van je CRM-beleid en voer periodieke opschoning uit. Data die blijft staan zonder doel is een AVG-risico, los van de inhoud.
Lead-routering combineert verrijking met scoring en routing in een werkstroom, met standaard AVG-bewuste inrichting. Voor bedrijven die ook hun slimme inbox willen koppelen, sluiten verrijking en routing naadloos aan op inkomende e-mail. De data blijft binnen je eigen EU-omgeving en wordt alleen verrijkt met bronnen die je zelf hebt goedgekeurd.
Veelgestelde vragen
Mag ik KvK-data gebruiken zonder toestemming?
Ja, KvK-data is openbaar en bedoeld voor handelsverkeer. Het opvragen en koppelen aan een lead is toegestaan onder gerechtvaardigd belang. Let wel op dat je niet meer gegevens vastlegt dan nodig: een KvK-nummer en SBI-code zijn relevant, maar een particulier adres van een eenmanszaak is dat vaak niet.
Wanneer heb ik een DPIA nodig?
Als de verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Bij leadverrijking is dat vooral het geval als je bijzondere persoonsgegevens verwerkt, grootschalige profilering toepast, of geautomatiseerde besluiten neemt die individuen treffen. Voor standaard zakelijke verrijking met KvK en formulierdata is een DPIA meestal niet verplicht.
Hoe lang mag ik verrijkte leaddata bewaren?
Niet langer dan nodig voor het doel. Een gangbare termijn in het MKB is 6 tot 12 maanden na het laatste contact. Daarna moet je de data opschonen of anonimiseren. Zet een periodieke opschoning in je CRM, zodat data niet blijft staan zonder dat er een zakelijk doel achter zit.
Mag ik social media gebruiken voor leadverrijking?
Alleen als de data openbaar is en je een gerechtvaardigd belang hebt. Het scrapen van privé-gegevens of het profileren op basis van niet-zakelijke kenmerken is niet toegestaan. LinkedIn-profielen voor zakelijke doeleinden zijn grijzer gebied: het mag soms, maar je moet kunnen uitleggen waarom en transparant zijn.
Wat als een lead bezwaar maakt tegen verrijking?
Een betrokkene heeft recht op inzage, correctie en bezwaar. Zorg dat je een eenvoudige manier hebt om verrijkte data in te zien en te verwijderen. In de praktijk komt het zelden voor, maar als het gebeurt, moet het kunnen. Bouw een uitschrijflink of contactmogelijkheid in je routing-e-mails en leg vast hoe je met bezwaren omgaat.