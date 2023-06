Proximus riskeert een boete van 236 miljoen euro, na een klacht van een Oostenrijkse privacy-activist die eerder ook al achter Meta (Facebook) is aangegaan. De telecomprovider is eigenaar van TeleSign, een bedrijf dat een soort ‘score’ plakt op betrouwbaarheid van telefoonnummers. Maar daarvoor baseert het zich op gegevens die illegaal verzameld worden, zegt de activist.

“TeleSign geeft elke eigenaar van een mobiele telefoon een score van betrouwbaarheid tussen 0 en 300 punten. Op basis daarvan kunnen klanten van het bedrijf, zoals TikTok en Microsoft, beslissen of een gebruiker een account mag aanmaken, zich eerst nog meer moet verifiëren of gewoon niet wordt toegelaten”, zegt jurist en activist Max Schrems.

“Iedereen die een paar euro betaalt aan TeleSign kan van elk nummer gewoon opzoeken hoe betrouwbaar het zogezegd is. Dat van je buren bijvoorbeeld. Of ik kan nu dat van jou intypen als ik zou willen”, vertelt hij ons. Bij wijze van voorbeeld kijken we inderdaad mijn eigen nummer na op 'betrouwbaarheid’, ik haal een lage risicoscore, zo blijkt:

Volledig scherm Mijn eigen nummer is geen groot risico, zo blijkt als we het door het systeem van TeleSign halen. © HLN

Gegevens zonder medeweten verzameld

Om die score te kunnen geven, gebruikt TeleSign artificiële intelligentie die het loslaat op tal van gegevens van gebruikers. Die gegevens krijgt het van BICS, eveneens een bedrijf van Proximus dat als een soort ‘kruispunt’ tussen allerlei telecomproviders in de wereld werkt. BICS is constant het mikpunt van hackers en inlichtingendiensten, net omdat het zoveel belangrijke informatie over telefoontjes opslaat. Zo weet het wie belt met wie, en hoe lang.

Volgens Schrems weten gewone gebruikers op geen enkele manier dat BICS die data verzamelt en doorstuurt naar TeleSign: “Verschillende klanten hebben op basis van de GDPR (een verordening die het beheer en de beveiliging van persoonlijke gegevens regelt, red.) bij hun provider opgevraagd welke gegevens die verzamelt en waar die naartoe gaan. Nergens was daar sprake van TeleSign”, klinkt het. “Het lijkt er op dat telecomproviders zelf niet eens weten dat BICS en ook TeleSign die gegevens op die manier gebruiken.”

Vijf miljard nummers per maand

TeleSign verifieert volgens noyb, de organisatie van Schrems, zo'n 5 miljard unieke telefoonnummers per maand. Voor ongeveer de helft van de wereldbevolking met een mobiele telefoon. “In het geheim de gegevens van een meerderheid van de telefonieklanten in de wereld gebruiken is niet in lijn met de GDPR-wetgeving”, zegt Schrems.

“Het is ook zo dat TeleSign enkel een score geeft. Het bedrijf dat die opvraagt, beslist wat het daarmee doet. Dus krijg jij een slechte score op basis van de gegevens die TeleSign heeft, dan kan het zijn dat een webshop beslist dat die niet aan jou wil verkopen, bijvoorbeeld.”

Volledig scherm BICS weet hoe lang je belt, met wie en vanuit welk land. TeleSign gebruikt gegevens van BICS om jou een score te geven. © Shutterstock / Hadrian

Waarom geen sms?

“TeleSign stuurt smsjes naar gebruikers en kent jouw nummer, het is dus heel vreemd dat ze niet bijvoorbeeld een linkje kunnen meegeven waarin staat hoe ze aan jouw gegevens komen. Dat doen ze dus niet. We zijn net aan deze zaak begonnen en we denken dat we nog veel meer te weten gaan komen over wat er met gegevens van gebruikers gebeurt”, klinkt het strijdvaardig bij Schrems.

Je gsm-nummer is een persoonsgegeven en mag in elk geval niet zomaar verwerkt worden door een bedrijf zonder jouw toestemming. “We hebben het hier over een algoritme met mogelijk nadelige gevolgen voor de betrokkene”, zegt GDPR-kenner Herman Maes. “Daarom moet je volgens de GDPR kunnen opvragen op welke manier je score wordt berekend en je moet ook kunnen eisen dat iemand manueel je score gaat narekenen.” Maar dan moet je als gebruiker wel weten dat TeleSign jouw gegevens heeft, natuurlijk

Proximus: “nog niet op de hoogte van klacht”

Bij Proximus klinkt het dat ze nog niet officieel op de hoogte zijn van een klacht: “Proximus is niet via officiële kanalen op de hoogte gebracht van een klacht die tegen het bedrijf werd ingediend. We moeten de inhoud analyseren en kunnen verder geen commentaar geven.”

Krijgt Schrems gelijk dan riskeert het bedrijf volgens Schrems een boete van 4 procent van de omzet of 236 miljoen euro. De klacht van Schrems tegen Meta (Facebook) kostte het bedrijf eind mei nog een boete van 1,2 miljard euro.

