Waar moet de opt-in / opt-out aan voldoen?

De hoofdregel bij direct marketing is dat de ontvanger van een bericht, bijvoorbeeld eeen nieuwsbrief hier voorafgaande toestemming voor heeft gegeven (ook wel: een opt-in). Bij betalende klanten ligt dit anders. Zij hoeven geen voorafgaande toestemming te geven. Wél moeten zij de mogelijkheid hebben tot bezwaar (opt-out) - bijvoorbeeld door het uitvinken van een vooraf-aangevinkte checkbox.
Volgens de de AVG/GDPR-wetgeving moet de opt-in aan de volgende voorwaarden voldoen:

• De e-mail opt-in moet een duidelijke en bevestigende actie zijn;
• De opt-in moet gescheiden zijn van andere voorwaarden en het mag geen voorwaarde zijn voor het leveren van een product of dienst. 'Bij het accepteren van de algemene voorwaarden wordt u automatisch ingeschreven voor onze nieuwsbrief'' is dus verboden; 
• Het is verboden om de opt-in checkbox automatisch aan te vinken. Dit heet 'Privacy by default';
• Er zijn gescheiden opt-ins nodig als de data op verschillende manieren worden gebruikt, ofwel: wanneer u dezelfde data voor verschillende doelen inzet. Dit heet ook wel 'doelbinding'. 
• In elke database moet de opt-in worden bijhouden zodat er kan worden aangetoond dat u daadwerkelijk toestemming van de betrokkene heeft ontvangen;
• Ontvangers hebben het recht om de opt-in in te trekken. U moet de ontvanger duidelijk laten weten hoe hij zich kan uitschrijven. Dit kan worden vormgegeven in een 'Privacy Statement'.