Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Klanten van Proximus kunnen zich afmelden voor doorverkopen van locatiedata

Klanten van de Belgische provider Proximus kunnen binnenkort met een opt-out aangeven dat ze niet willen dat hun locatiegegevens worden doorverkocht. Het bedrijf biedt die mogelijkheid aan nadat er ophef ontstond over die praktijken.

De schepen van Kortrijk Arne Vandendriessche schrijft op Twitter dat hij een brief heeft gekregen van Proximus. Daarin staat dat er vanaf 2 december 2019 een opt-out komt voor klanten die zich willen afmelden voor het delen van hun locatiegegevens. Proximus deelt gepseudonimiseerde locatiegegevens met bedrijven en adverteerders die daarvoor betalen. Klanten die dat niet willen kunnen vanaf 2 december een mail sturen naar privacy@proximus.com met daarin hun mobiele nummer om zich af te melden. De opt-out-mogelijkheid komt niet in de app of op de website te staan.

Eind vorige maand ontstond ophef over die doorverkoop, al doet Proximus dat al jaren. De stad Kortrijk bleek 40.000 euro te betalen aan de provider om in te zien welke klanten wanneer de stad bezoeken. De gegevens zouden worden gebruikt voor citymarketing. Gebruikers waren daar niet blij mee, maar konden zich niet afmelden voor de plannen. Onder andere dezelfde Arne Vandendriessche klaagde daarover. De Gegevensbeschermingsautoriteit, de Belgische tegenhanger van de Autoriteit Persoonsgegevens, kondigde een onderzoek aan. De provider bevestigt de opt-out ook tegenover Knack.

Door Tijs Hofmans

Redacteur privacy & security

22-11-2019 • 18:28

68 Linkedin Google+

Reacties (68)

Wijzig sortering
Het is niet alleen Proximus, ook Orange en Telenet doen het, zij het iets kleinschaliger (bron).
Het probleem is veel groter, als bezoeker van Belgie met een buitenlands abbo roam je ook op proximus die dan je data alsnog verkoopt.

In het geval van kortrijk ging het vooral om toeristen en die hebben bij proximus nog steeds geen opt-out mogelijkheid.

Sterker nog wat proximus nu doet is pure discriminatie. Klanten wel opt-out bieden roamende klanten geen opt-out bieden.
Als je een telefoonnummer naar een email adres kunt sturen lijkt me dat je dit als buitenlander ook kunt doen? Wat echter vervelender is, is dat je dat als buitenlander vaak niet weet. Eigenlijk zouden ze buitenlandse nummers sowieos moeten filteren, vanuit de GDPR gezien. Ik heb ze namelijk nooit toestemming gegeven om mijn gegevens op die manier te gebruiken, en heb geen klantrelatie met hun.
Helaas doen veel providers dit. Ik weet dat je in de VS lange tijd (nog steeds?) collectieve of individuele locatiegegevens kon kopen.

Ik kan mij moeilijk voorstellen dat Belgische providers de enige in Europa zijn die dit doen.
Proximus verkoopt normaal evenzeer de data van andere gebruikers (ook gebruikers van andere netwerken vangen ze op met hun antennes). Ze waren in het begin in elk geval mee opgenomen in de dataset.

Mijn eerste reactie bij het lezen was dan ook - wat met de gegevens van die gebruikers?
Ik werk niet voor Proximus maar ken de telecom sector erg goed en kan je alvast meegeven dat ze enkel Proximus gebruikers gebruiken voor deze toepassing. Dit wordt dan middels marktcijfers geinterpoleerd om een nationaal beeld te bekomen.
Sinds wanneer is deze opt-out in overeenstemming met de AVG?
(die ook gewoon in Belgie geldt)

[Reactie gewijzigd door Ynst2003 op 23 november 2019 12:40]

Niet. Het breekt op verscheidene manieren de AVG.

-Dit soort privacy gevoelige data mag alleen bij gehouden worden voor zaken die noodzakelijk zijn voor de dienstverlening. Dat is dit allerminst.
-Slachtoffers zijn hier niet van te voren op te hoogte gesteld.
-Dit moet hoe dan ook opt-in.

En zo mis ik vast nog wel wat. Het is niet eens voor een gratis product zoals wel het geval is bij de ook AVG-schendende bedrijven zoals Google en Facebook.

Hopelijk weet de Belgische Gegevensbeschermingsautoriteit wel hoe het zijn taak moet uitvoeren en zadelt Proximus met een dikke boete op. Want het AP treed hier ook niet echt op tegen misbruik.
De gegevens worden geanonimiseerd voor ze aan de stad worden gegeven. Dat Proximus dat binnenshuis kan linken is normaal. Ze weten dat nummer is daar geweest om dat uur etc. En eigenlijk elk bedrijf heeft gegevens, ook jouw bank heeft zo een schat aan informatie dat hij deelt op geanonimiseerde manier met partij X, intern zal het wel wat meer doen voor je rating als je de volgende keer voor een lening of verzekering komt...
Ik zit op een project bij een groot Belgisch overheidsbedrijf en we hebben een cloud toepassing bij een internationale speler, marktleider op zijn gebied. In de cloud zijn er gegevens over "host" en "user" maar deze bevatten enkel pc-namen en user ids. De 3de partij kan ze niet linken aan mevrouw Waterslager met Macbook Pro 13 of meneer Dupondt met zijn Surface book, maar wij IT kunnen dat wel; helemaal in orde voor GDPR want cloudgegevens kunnen niet gelinkt worden met persoonsgegevens. En dat is idem voor Proximus naar stad Krotrijk in de andere richting.
Er moet wel degelijk een opt-in of opt-out komen zoals de "cookies" op websites, daar heb je vaak een knop aanvaarden waar iedereen op klikt en zo maar alles accepteert zonder de details te openen en enkel het minimum te aanvaarden.
De gegevens worden geanonimiseerd voor ze aan de stad worden gegeven. Dat Proximus dat binnenshuis kan linken is normaal.
Dat is niet anoniem, maar pseudoniem. Ook dat betreft persoonsgegevens, omdat het (in)direct herleidbaar is tot een persoon.

[Reactie gewijzigd door The Zep Man op 22 november 2019 21:11]

Uit niets blijkt helaas dat Proximus de zeer persoonlijke locatiegegevens van de gebruikers van haar netwerk echt anoniem maakt. Combineer dat met de foute suggestie dat gegevens al anoniem zouden zijn als verwerkers ze zelf niet makkelijk naar een persoon zouden kunnen herleiden en er is een duidelijke reden waarom Proximus en andere verwerkers toestemming van de personen moeten hebben voor ze dit soort gegevens verwerken.

Gegevens zijn niet zomaar geen persoonsgegevens meer door maar een beetje selectief gegevens weg te laten. Gegevens zijn niet zomaar geen persoonsgegevens meer omdat het voor een specifieke verwerker slechts moeilijk zou zijn om te herleiden. Gegevens zijn pas anoniem als ze niet meer te herleiden zijn naar een persoon, met of zonder combineren van andere relevante gegevens.

Voor het verwerken van hostnames valt ook niet makkelijk te zeggen dat het geen persoonsgegevens zouden zijn of anoniem zijn. Veel systemen zijn tegenwoordig voor persoonlijk gebruik waarbij de hostname ook makkelijk een naam van de gebruiker kan bevatten.
dus als partij X 'geanonimiseerde' (gepseudoniemiseerde) gegevens van de telefoonprovider *en* de bank koopt, weet X dus waar je bent, hoe lang je daar bent, en wat je hebt gekocht.
Dan nog bij Facebook het 'anonieme' profiel van de user die op hetzelfde moment hetzelfde traject heeft afgelegd, en je kan gericht adverteren.
is pc_deze_jongeheer_uit_dorpx geen persoonsgegeven dan?

Gewoon een vraag, want het gaat toch over "mijn" gegevens? Wat zie ik hier verkeerd. Hetzelfde voor mijn mac-adres?

[Reactie gewijzigd door grrfield op 23 november 2019 10:06]

Leuk verhaal maar dat gaat over gegevens zoals ze bij anderen terecht komen. Proximus zelf mag die gegevens ook niet verwerken zonder uitdrukkelijke toestemming van de gebruiker, buiten het absolute minimum dat nodig is voor dienstverlening. En die toestemming hebben ze sowieso niet van niet-klanten zoals roamende Nederlanders. En het genereren van statistieken valt niet onder “nodig voor dienstverlening”.
Als ik op de wificontroller inlog en naar de clients ga krijg ik netjes IphonevanPiet te zien e.d., dat is nou niet anoniem. Hashen en salten die handel op zijn minst.
Er wordt geen informatie van de gebruiker zelf verkocht. Ze worden gewoon uit de statistieken genomen.
Er wordt geen informatie van de gebruiker zelf verkocht. Ze worden gewoon uit de statistieken genomen.
Onzin. Locatie data is per definitie niet anoniem of "statistiek".

Als ik 1 dag aan "anoniem" woon-werk verkeer van je heb kan ik (met wat moeite) vol automatisch met een script herleiden wie je bent.

Uitgebreide versie van mijn verhaal (via een voorbeeld waarin Android apps locatiedata lekken naar bedrijven die het "anoniem" doorverkopen, zelfde idee dus): https://www.nytimes.com/i...on-data-privacy-apps.html

[Reactie gewijzigd door GeoBeo op 22 november 2019 19:22]

Hoe kan je dat?
Simpelste manier "met de hand": locatie data inladen in een kaart (Google maps bijvoorbeeld) kijken waar jij "anoniem" "naar huis".

Dat lijdt tot je adres. Dan kan een kwaadwillende daarmee langs gaan bij je huis en gewoon vragen hoe je heet (of een brief uit de brievenbus vangen). Zoals nogmaals in dit voorbeeld gedaan is. Of makkelijker: met dat adres zoeken in databases die je overal en nergens (o.a. op darknets) voor een habbekrats op de kop kan tikken. Genoeg van dit soort databases die je daar kunt opkopen voor bijna niets (of gratis kunt downloaden). Vrijwel iedereen die internet gebruikt staat daar in.

En dan heb ik tevens je naam, achternaam, telefoonnummer (via telefoonboek) en daarmee waarschijnlijk ook al je social media profiel adressen, je publieke fotos en ga zo maar verder.

Dat automatiseren is niet zo moeilijk en er zijn ongetwijfeld heel veel bedrijven die dat al gedaan hebben.

[Reactie gewijzigd door GeoBeo op 22 november 2019 21:20]

Langs gaan bij iemands huis en op de deur kloppen noem ik niet direct "automatisch".

Het probleem lijkt me eerder al die andere (vaak illegale) databanken.

Ik geloof wel dat als iemand zijn adres online zet (telefoonboek) het niet moeilijk zal zijn om hem in die dataset van proximus op te sporen.
Maar dat is toch de keuze van die persoon zelf? Of die persoon de implicaties goed beseft lijkt me niet de scope van GDPR.

Het is jammer dat de databasewetgeving nooit goed is toegepast, want het is de combinatie van databasewet + GDPR dat echt verandering kan brengen.
Ik gok aan dat ze het op postcode gebied groeperen.
Als je in een dorp woont van 10 mensen is het wel een probleem.
10 mensen in 5627 JO.
Ben ook erg benieuwd naar het onderzoek van de GBA want dit lijkt mij op eerste gezicht ook niet echt kunnen.
Het eerdere artikel meldt dat de GBA de verwerking van de gegevens door Kortrijk had goedgekeurd. Het lijkt erop dat de GBA toen niet of onvoldoende heeft gekeken naar de herkomst van de gegevens. Of dat dat buiten de scope van hun onderzoek viel.
En de mensen die roaming via Proximus zitten? Die werden ook doorverkocht.
Om toch een opt-out procedure the implementeren
Implementeren? Door een e-mail te sturen?

Nog even en de 'burner phones' worden opeens weer super populair.
Bij ons in België meot je vanwege de veiligheid je prepaid kaart binnen de zoveel tijd registreren. Bij een aankoop van een prepaid in de winkel meot je je direct legitimeren.

Dus née zo makkelijk gaat dat niet meer.
En als je bovenstaande regel overtreedt als provider krijg je een fikse boete.
Ik weet niet hoe het in NL zit, maar in België kun je geen anonieme sim kaart meer krijgen, altijd met je passpoort aanmelden.
In Nederland kun je simkaarten bij de supermarkt kopen, gewoon anoniem.
dan haal je toch een prepaid card in nederland en gebruikt deze in belgie.
er is toch geen roaming kosten meer
hebben jullie dat nog anoniem?
ja gewoon bij de kruitvat binnen lopen en contant betalen. niet te traceren,
en als je deze moet activeren via PC, gewoon even binnenlopen bij de bieb
Maar dat is 'verdacht', en kom je in een Nederlands sleepnet terecht }>
https://europa.eu/youreur...oaming-costs/index_en.htm

When you travel outside your home country to another EU country (In this case, the 28 EU member states + Iceland, Liechtenstein and Norway), you don't have to pay any additional charges to use your mobile phone. This is known as "roaming" or "roam like at home".
Ook daar staat een beperking op, die Nederlandse kaart kun je niet het ganse jaar lang in België gebruiken aan het NL tarief.
wat voor beperking dan wel?
Toezicht op uw roaminggedrag

Om te controleren of u zich wel aan het beleid inzake redelijk gebruik houdt, mag uw provider uw roaminggedrag volgen over een periode van vier maanden. Bent u in die periode meer in andere EU-landen geweest dan thuis én hebt u daar meer gebruikgemaakt van mobiele diensten dan thuis, dan kan uw mobiele provider u om uitleg te vragen. U krijgt daarvoor 14 dagen de tijd.

Bent u ook daarna meer in het buitenland dan thuis en blijft u daar meer dan thuis verbruiken, dan mag uw provider u een toeslag voor roaming aanrekenen. Die toeslag bedraagt (exclusief btw) maximaal:
  • 0,032 euro per minuut voor uitgaande gesprekken
  • 0,01euro per sms
  • 4,50 euro per gigabyte voor data (in 2019)
https://europa.eu/youreur...oaming-costs/index_nl.htm
Damn ...had mooi geweest
Dan haal je toch een nieuwe van zodra de beperking er is? Aangezien het anoniem is, kan je er zoveel halen als je wil dan.
Zie mijn reactie op OxWax. Als je provider het verbruik op MSISDN volgt ipv SIM dan ben je daar dus vet mee en mag je elke 4 maanden tussen providers gaan hoppen. Lijkt me niet echt een gebruiksvriendelijke oplossing om als Belg aan tracking te ontsnappen.
Abonnement op zeggen via de mail lijkt me een zeer goede opt-out. En dan overstappen naar een provider die hun klant niet als product zien.
Alvast veel succes om zo'n provider te vinden!

Aangezien de rest blijft zwijgen is direct duidelijk dat zij ook data verkopen (in het andere geval hadden we al lang een media campagne gezien.)
Geen idee voor wie dat duidelijk is, maar persoonlijk heb ik een broertje dood aan aannames die als feit worden voorgespiegeld.

Of andere providers locatiedata verkopen is op geen enkele wijze te concluderen uit het feit dat men geen media campagne is begonnen. Het is jouw conclusie en die trek je op basis van jou aannames zonder enige bewijs.
Dat is inderdaad mijn aanname, maar geef toe, de kans dat de andere ook verkopen is zeer groot. Het blijven commerciële bedrijven.
Ook Orange doet dit:
Ook in België zet Orange al enkele jaren dit soort bigdatatoepassingen in, die we als 'crowdmonitoring' kunnen omschrijven. In samenwerking met partners runt Orange projecten om geanonimiseerde mensenstromen te volgen voor onder andere de steden Antwerpen, Mechelen en Genk. Die informatie over mensenstromen is nuttig voor de veiligheid, voor de mobiliteit en voor city- of eventmarketing.
https://business.orange.b...s-tot-ongekende-inzichten
https://business.orange.b...akers-over-de-technologie
https://www.hbvl.be/cnt/d...u-komt-shoppen-via-uw-gsm (achter paywall)
Aantal weken geleden afscheid genomen van Proximus hierdoor en overgestapt naar Scarlet. (Maakt gebruik van hetzelfde netwerk, dus qua bereikbaarheid maak ik mij geen zorgen.)
Voor zover ik gevonden heb doet Scarlet niet mee aan deze praktijken, fingers crossed.
Scarlet is een dochteronderneming van Proximus. Ik zou er dus van uit gaan dat je data op dezelfde manier verhandeld wordt.
Je gaat er vanuit, schitterend.
Scarlet is gewoon een merk van proximus.
Dit slaat dus nergens op!
Graag even het omgekeerde...
Dit zou een opt-in moeten zijn, geen opt-out!!!
Wat een belachelijke oplossing; of eigenlijk; ik zie een opt out eigenlijk niet als reële oplossing. E-mail waarbij je bovendien ook nog weer informatie moet leveren vind ik daar bovendien al helemaal niet geschikt voor. Wat een amateuristische aanpak.
Opt-out en dan ook nog op een belachelijk omslachtige manier.
Gaat een staartje krijgen.
Beetje omgekeerde wereld zo.
Begrijpelijk dat je als gemeente ergens wat informatie wilt hebben hoe veel mensen er zich begeven. Maar dan klopt je toch niet aan bij 1 provider? Er zijn hier vast andere oplossingen voor.

Los daar van, is het al te gek voor woorden dat Proximus de data per definitie te koop zet. What the F. Ik weet niet hoe de wetgeving in belgie is, maar dat zou misschien toch eens herzien moeten worden.
(Voor de slimmerikken die denken; "Dan gebruik je toch een VPN". Pech, je zit met de mast verbonen. Die weet waar je ongeveer bent).


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True