Activist die Facebook al miljard kostte, komt nu achter Proximus aan: provider riskeert 236 miljoen euro boete
Proximus riskeert een boete van 236 miljoen euro, na een klacht van een Oostenrijkse privacy-activist die eerder ook al achter Meta (Facebook) is aangegaan. De telecomprovider is eigenaar van TeleSign, een bedrijf dat een soort ‘score’ plakt op betrouwbaarheid van telefoonnummers. Maar daarvoor baseert het zich op gegevens die illegaal verzameld worden, zegt de activist.
Kenneth DeeLaatste update:23-06-23, 20:22
KIJK. Max Schrems is ook al achter Meta (Facebook) aangegaan: “Plots was ik een held in de privacywereld”
“TeleSign geeft elke eigenaar van een mobiele telefoon een score van betrouwbaarheid tussen 0 en 300 punten. Op basis daarvan kunnen klanten van het bedrijf, zoals TikTok en Microsoft, beslissen of een gebruiker een account mag aanmaken, zich eerst nog meer moet verifiëren of gewoon niet wordt toegelaten”, zegt jurist en activist Max Schrems.
Je kan zonder te ‘hacken’ eender welk nummer controleren, ook dat van jouw buren
Max Schrems, noyb
“Iedereen die een paar euro betaalt aan TeleSign kan van elk nummer gewoon opzoeken hoe betrouwbaar het zogezegd is. Dat van je buren bijvoorbeeld. Of ik kan nu dat van jou intypen als ik zou willen”, vertelt hij ons. Bij wijze van voorbeeld kijken we inderdaad mijn eigen nummer na op 'betrouwbaarheid’, ik haal een lage risicoscore, zo blijkt:
Om die score te kunnen geven, gebruikt TeleSign artificiële intelligentie die het loslaat op tal van gegevens van gebruikers. Die gegevens krijgt het van BICS, eveneens een bedrijf van Proximus dat als een soort ‘kruispunt’ tussen allerlei telecomproviders in de wereld werkt. BICS is constant het mikpunt van hackers en inlichtingendiensten, net omdat het zoveel belangrijke informatie over telefoontjes opslaat. Zo weet het wie belt met wie, en hoe lang.
Telecomproviders weten mogelijk zelf niet dat al die gegevens naar TeleSign gaan
Max Schrems
Volgens Schrems weten gewone gebruikers op geen enkele manier dat BICS die data verzamelt en doorstuurt naar TeleSign: “Verschillende klanten hebben op basis van de GDPR (een verordening die het beheer en de beveiliging van persoonlijke gegevens regelt, red.) bij hun provider opgevraagd welke gegevens die verzamelt en waar die naartoe gaan. Nergens was daar sprake van TeleSign”, klinkt het. “Het lijkt er op dat telecomproviders zelf niet eens weten dat BICS en ook TeleSign die gegevens op die manier gebruiken.”
Vijf miljard nummers per maand
TeleSign verifieert volgens noyb, de organisatie van Schrems, zo'n 5 miljard unieke telefoonnummers per maand. Voor ongeveer de helft van de wereldbevolking met een mobiele telefoon. “In het geheim de gegevens van een meerderheid van de telefonieklanten in de wereld gebruiken is niet in lijn met de GDPR-wetgeving”, zegt Schrems.
“Het is ook zo dat TeleSign enkel een score geeft. Het bedrijf dat die opvraagt, beslist wat het daarmee doet. Dus krijg jij een slechte score op basis van de gegevens die TeleSign heeft, dan kan het zijn dat een webshop beslist dat die niet aan jou wil verkopen, bijvoorbeeld.”
“TeleSign stuurt smsjes naar gebruikers en kent jouw nummer, het is dus heel vreemd dat ze niet bijvoorbeeld een linkje kunnen meegeven waarin staat hoe ze aan jouw gegevens komen. Dat doen ze dus niet. We zijn net aan deze zaak begonnen en we denken dat we nog veel meer te weten gaan komen over wat er met gegevens van gebruikers gebeurt”, klinkt het strijdvaardig bij Schrems.
Een gsm-nummer is een persoonsgegeven en mag niet zonder jouw toestemming verwerkt worden door een bedrijf.
Herman Maes
Een gsm-nummer is een persoonsgegeven en mag niet zonder de juiste verwerkingsgrond, zoals bijvoorbeeld jouw toestemming, verwerkt worden door een bedrijf. “We hebben het hier over een algoritme met mogelijk nadelige gevolgen voor de betrokkene”, zegt GDPR-kenner Herman Maes. “Daarom moet je volgens de GDPR kunnen opvragen op welke manier je score wordt berekend en je moet ook kunnen eisen dat iemand manueel je score gaat narekenen.” Maar dan moet je als gebruiker wel weten dat TeleSign jouw gegevens heeft, natuurlijk.
Proximus: “nog niet op de hoogte van klacht”
Bij Proximus klinkt het dat ze nog niet officieel op de hoogte zijn van een klacht: “Proximus is niet via officiële kanalen op de hoogte gebracht van een klacht die tegen het bedrijf werd ingediend. We moeten de inhoud analyseren en kunnen verder geen commentaar geven.”
Krijgt Schrems gelijk dan riskeert het bedrijf volgens Schrems een boete van 4 procent van de omzet of 236 miljoen euro. De klacht van Schrems tegen Meta (Facebook) kostte het bedrijf eind mei nog een boete van 1,2 miljard euro.
Benieuwd welke gegevens TeleSign van jou bijhoudt? Noyb heeft een document online gezet dat je kan invullen en opsturen naar het bedrijf om jouw data op te vragen.
