Privacystichting noyb dient AVG-klacht in tegen Proximus-bedrijf TeleSign

Privacystichting noyb van Max Schrems heeft bij de Belgische privacytoezichthouder GBA een klacht ingediend om het vermeend illegaal profileren van 'miljoenen telefoonnummers' door TeleSign. De Belgische provider nam dit bedrijf in 2017 over.

Noyb zegt dat TeleSign zonder toestemming en medeweten van miljoenen Europeanen het telefoonnummer verwerkt om op basis hiervan een reputatiescore te genereren. Die reputatiescore wordt weer met bedrijven als TikTok, Microsoft, Salesforce en Electronic Arts gedeeld. Zo weten die bedrijven bijvoorbeeld of de kans groot is dat een telefoonnummer van een scammer of een bot komt.

TeleSign krijgt volgens noyb data van BICS. TeleSign valt onder BICS, BICS valt weer onder de Proximus Groep. Noyb verwijst naar een artikel van de Belgische krant Le Soir van 2022, waarin de banden tussen BICS en TeleSign worden beschreven. BICS is een bedrijf dat providers met elkaar verbindt, zodat mensen van verschillende providers onderling kunnen bellen en kunnen roamen op andere netwerken. Zo hoeven providers niet met elke provider onderling contracten af te sluiten, maar kunnen ze BICS' dienst gebruiken.

Bij het gebruiken van BICS' dienst krijgt dit bedrijf volgens noyb gedetailleerde informatie over onder meer hoe lang een telefoongesprek duurt, hoe vaak een telefoonnummer een gesprek opneemt en hoe lang een telefoonnummer actief is of juist niet. Noyb claimt dat BICS zo informatie heeft van ongeveer de helft van alle wereldwijde telefoonnummers.

Zonder dat providers en gebruikers dit zouden weten, zou BICS deze data delen met TeleSign. TeleSign bepaalt op een schaal van nul tot driehonderd hoe 'betrouwbaar' een telefoonnummer is. Onbetrouwbare nummers zouden bijvoorbeeld bij diensten vaker om een sms-verificatie gevraagd kunnen worden. TeleSign verifieert zo vijf miljard unieke telefoonnummers per maand, aldus noyb.

Noyb stelt verder dat deze gegevensverwerking op basis van AI gebeurt en in de Verenigde Staten plaatsvindt. De stichting claimt dat dit gedrag van TeleSign onwettig is en eist dan ook dat het bedrijf deze gegevensverwerking stopt. De GBA zou daarnaast een boete van 4 procent van Proximus' wereldwijde jaaromzet kunnen opleggen, wat volgens noyb 236 miljoen euro is. De Belgische autoriteit heeft nog niet gereageerd, het is dan ook niet duidelijk of er een onderzoek naar TeleSign wordt gestart. De stichting heeft ook een template gemaakt waarmee mensen TeleSign kunnen verzoeken inzage te geven in hun betrouwbaarheidsscore en andere verzamelde data.

BICS zegt volgens noyb dat het een wettelijke reden heeft om de data te verzamelen, namelijk om telecomfraude tegen te gaan. Daarnaast zegt het de gegevens versleuteld naar de VS te versturen en hierbij gebruik te maken van 'standaard contractuele clausules', waardoor het bedrijf aan EU-wetgeving zou voldoen.

IT-banen

Reacties (19)

GertMenkel 23 juni 2023 14:49

Daarnaast zegt het de gegevens versleuteld naar de VS te versturen en hierbij gebruik te maken van 'standaard contractuele clausules', waardoor het bedrijf aan EU-wetgeving zou voldoen.

Iemand heeft het nieuws niet helemaal gevolgd, privacy shield en diens opvolger zijn keihard onderuit gehaald dus zeggen dat je persoonlijke gegevens in Amerika verwerkt en dat je aan de wet voldoet is nogal tegenstrijdig.

Edit: dit geldt niet voor alle verwerking van persoonsgegevens, maar wel voor de manier waarop die hier gebeurt. Er bestaan modelcontracten voor landen die geen adequacy decision hebben, met de nodige extra eisen specifiek voor Amerika.

Met de juiste combinaties van maatregelen kun je met pseudoniemen werken (maar hier zal dat niet snel opgaan, want het telefoonnummer is het datapunt waar de Amerikaanse partij vanuit werkt), of bijvoorbeeld de boel versleutelen zonder dat de andere kant de sleutel heeft (backups en dergelijke), of de data minimaliseren en deconstrueren dat het geen persoonsgegevens meer zijn aan de andere kant (wat het ratingsysteem nutteloos zou maken).

Ik denk dat maar weinig bedrijven die zich op de modelcontracten berusten voor het verwerken van persoonsgegevens (niet slechts het versleuteld opslaan ervan) daadwerkelijk aan de nodige eisen voldoen. Een papiertje ondertekenen is niet genoeg, helemaal niet als je met Amerikaanse partijen onderhandelt; je moet je hele dataverwerking significant aanpassen tot op het punt dat het nut van interactie met Amerikaanse bedrijven praktisch vervalt. Een versleutelde backup neerzetten kan, maar zodra de data in Amerika ontsleuteld wordt, is het bijna onmogelijk om aan de wet te voldoen.

[Reactie gewijzigd door GertMenkel op 23 juli 2024 14:56]

brammetje1994 @GertMenkel • 23 juni 2023 15:31

SCC's zijn juist één van de opties om alsnog persoonlijke gegevens met een derde land te delen indien er geen adequaatheidsbesluit is. Het gebruiken van een SCC voor data transfers met derde landen heeft als doel dat je alsnog de rechten van natuurlijke personen beschermd.

ronaldvr @brammetje1994 • 25 juni 2023 19:16

Errm SCCs zijn géén blanco uitwijkmogelijkheid en ik denk zéker niet in deze zaak:

(Ook weer via noyb):

CJEU invalidates “Privacy Shield” in US Surveillance case. SCCs cannot be used by Facebook and similar companies.
Schrems: “The judgment makes it clear that companies cannot just sign the SCCs, but also have to check if they can be complied with in practice. In cases such as Facebook, where they don't take action, the DPC had the solution to this case in her own hands all along. She could have ordered Facebook to stop transfers years ago. In our complaint, we demanded that she would issue a prohibition notice with a reasonable implementation period to allow Facebook take all necessary steps. Instead, she turned to the CJEU to invalidate the SCCs, which are valid. It’s like screaming for the European fire brigade, because you don’t feel like blowing out a candle yourself.

En gezien de datahongerigheid van het Amerikaanse surveillance apparaat, en de Snowden onthullingen die zo'n belangrijke rol in Schrems I speelden, denk ik dat je gevoeglijk kan aannemen dat deze data zeker weten op een Amerikaans NSA bureau belandt.

GertMenkel @brammetje1994 • 23 juni 2023 17:38

Okee, mijn statement is te breed, je hebt gelijk. Voor wat ze hier doen (het doorgeven van gegevens voor verwerken voor onder andere Amerikaanse creditcontroles) is een SCC alleen niet genoeg.

Speciaal voor Amerikaanse bedrijven zijn er namelijk extra vereisten die praktisch neerkomen op "de Amerikaanse overheid mag je server overnemen en dan mogen ze niks met je data kunnen". Versleuteling wordt genoemd als voorbeeld om legaal data in Amerika te parkeren, maar dat gaat wel uit van een backup waar Amerika de sleutel niet heeft (dit bedrijf zou daar helemaal niks aan hebben). Pseudonymiseren wordt ook genoemd, maar dat moet wel op zo'n manier gebeuren dat ik niet zie hoe je ooit een nuttige service kan baseren op de data die in Amerika wordt neergezet.

TeleSign ontvangt persoonsgegevens en scoort die. Ik denk dat je dan wel van praktijkvoorbeeld zes uit deze aanbevelingen van het EDPB kan spreken.

mmjjb 23 juni 2023 13:34

"none of the mobile operator listed TeleSign as a recipient or knew that user data was sent to TeleSign"

Zo zijn ook de mobiele providers in overtreding van de GDPR.

Azara @mmjjb • 23 juni 2023 22:09

"none of the mobile operator listed TeleSign as a recipient or knew that user data was sent to TeleSign"

Zo zijn ook de mobiele providers in overtreding van de GDPR.

Data van de providers ging niet rechtstreeks naar Telesign, maar via BICS. Zie plaatje hierboven. Als de mobile operator niet weet dat BICS die data doorgeeft dan kan je als provider TeleSign ook slecht op je lijstje zetten. Er moet natuurlijk wel een verwerkersovereenkomst tussen BICS en de providers zijn.

Frame164 @mmjjb • 23 juni 2023 13:44

Als je die redenatie doortrekt zijn wij allemaal schuldig aan kinderarbeid. Iedereen heeft wel iets in huis wat gemaakt is op een manier die niet door de beugel kan.

[Reactie gewijzigd door Frame164 op 23 juli 2024 14:56]

CAPSLOCK2000

Privacy
Politiek en recht
Rechtszaak

@Frame164 • 23 juni 2023 14:41

Als je die redenatie doortrekt zijn wij allemaal schuldig aan kinderarbeid. Iedereen heeft wel iets in huis wat gemaakt is op een manier die niet door de beugel kan.

Dat klopt en daar mag iedereen zich best bewust van zijn. Schuldig betekent niet dat je gestraft moet worden maar je kan je eigen rol ook niet helemaal ontkennen.

Wij consumenten weten natuurlijk niet wat de achtergrond is van de producten die we kopen. Er zit een hele keten van tussenhandelaren en winkels tussen die we onmogelijk kunnen controleren. Wij beoordelen producten uiteraard alleen op informatie die we hebben, zoals de prijs, kleur, smaak, etc...
Of er bv slavernij aan te pas is gekomen staat niet op de verpakking. Zelfs als je het wel weet is er soms geen echt alternatief. Als het om koffie of chocolade gaat kun je nog zeggen dat je zonder die producten kan leven maar bij andere producten ligt dat minder makkelijk en al helemaal als je weinig geld te besteden hebt.

Maar ja, dat verandert niks aan het feit dat er vervelende dingen gebeuren om ons leven wat aangenamer te maken. De slachtoffers hebben er niks aan dat wij dat niet weten.
Je kan ook niet van individuele consumenten verwachten dat ze daar verandering in aanbrengen. Alleen de rijksten kunnen het zich veroorloven om echt af te wijken van de standaardproducten in onze winkels en supermarkten. Zelfs daar zit een behoorlijk grens aan als je eerst 6 jaar onderzoek moet doen naar de productieketen achter een proces. De meeste mensen kijken vooral naar de prijs. Dat zie je ook op andere gebieden. Iedereen zegt wel dat ze liever een mooie biefstuk van een biologisch gekweekte koe eten maar we kopen toch veel meer kiloknallers gehakt. Zolang er "slechte" producten zijn die goedkoop zonder direct nadelen voor de koper dan zal de markt daar een voorkeur voor hebben.
Heel af en toe lukt het om iets te veranderen door een spectaculair schandaal maar dat is te zeldzaam om op te vertrouwen.

Helemaal lastig wordt het als je meerdere dingen tegelijk wil veranderen. Bijvoorbeeld slaafvrije kleding die ook milieuvriendelijk wordt geproduceerd. Het bestaat wel maar het wordt al snel heel duur, niet alleen omdat het meer kost om iets netjes te doen maar ook omdat er geen schaalvoordeel is.

Daar iets aan veranderen werkt alleen als de overheid druk uitoefent om de slechtste producten van de markt te halen en regels te stellen.

Ik zal mensen niet snel verwijten dat ze een "fout" product hebben gekocht, zelfs als ze eigenlijk weten dat het niet ok is. Dat doe ik zelf ook voortdurend

Het moment om wel heel kritisch te zijn is de verkiezingstijd. Zonder de politiek kunnen we het niet veranderen, maar dan moeten we wel stemmen op partijen die verandering willen. Nu is iedere partij een compromis, maar er zijn duidelijk verschillen te zien tussen partijen die verantwoordelijkheid willen nemen in dit soort grote vraagstukken en partijen die dat niet willen.

Bulkzooi @Frame164 • 23 juni 2023 13:52

Als je die redenatie doortrekt zijn wij allemaal schuldig aan kinderarbeid. Iedereen heeft wel iets in huis wat gemaakt is op een manier die niet door de beugel kan.

Dit slaat als een tang op een varken.

on topic:
In dit geval gaat het over BICS, een consolidatie MVMO-stichting.

BICS is een bedrijf dat providers met elkaar verbindt, zodat mensen van verschillende providers onderling kunnen bellen en kunnen roamen op andere netwerken.

hadden we vroeger thuis ook, op de vaste lijn, een kastje die de routing overnam en daardoor onze telefoon rekening ineens 2x zo goedkoop werd. Daarna kwam Tele2 en werden die kastjes langzaam overbodig (in veel scenario's).

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 14:56]

Sorcerer8472

Telecom

@Bulkzooi • 23 juni 2023 14:26

hadden we vroeger thuis ook, op de vaste lijn, een kastje die de routing overnam en daardoor onze telefoon rekening ineens 2x zo goedkoop werd. Daarna kwam Tele2 en werden die kastjes langzaam overbodig (in veel scenario's).

Nee, dit gaat erom dat je met bijv. KPN op Proximus kunt roamen en vice versa. Dat soort roaming verzorgen ze.

De mobiele operators zijn overigens dan wel degelijk in overtreding van de GDPR omdat data wel naar TeleSign ging maar er geen verwerkersovereenkomst mee was blijkbaar.

Bulkzooi @Sorcerer8472 • 23 juni 2023 14:39

De mobiele operators zijn overigens dan wel degelijk in overtreding van de GDPR omdat data wel naar TeleSign ging maar er geen verwerkersovereenkomst mee was blijkbaar.

ik benadruk liever het gemak waarmee een constructie te verzinnen valt die voor niemand goed is behalve voor de aandeelhouders.

Ter draad, ter water en in de lucht.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 14:56]

Sorcerer8472

Telecom

@Bulkzooi • 23 juni 2023 14:41

Het bestuur is verantwoordelijk en er mag best wat meer in de wet mogen gedaan om bestuurders hoofdelijk aansprakelijk te stellen bij bepaalde overtredingen, zeker daar waar uit documentatie duidelijk was dat men ervan wist.

Bulkzooi @Sorcerer8472 • 23 juni 2023 14:46

Het bestuur is verantwoordelijk en er mag best wat meer in de wet mogen gedaan om bestuurders hoofdelijk aansprakelijk te stellen bij bepaalde overtredingen, zeker daar waar uit documentatie duidelijk was dat men ervan wist.

nah, ik ben liever eigenaar zonder bestuurlijke verantwoordelijkheid of dagelijkse rompslomp. Dan maar mijn winst delen.

Dus ik zie eerder de aandeelhouders als overtreders. Stemverhoudingen wordt dan interessante materie, en veto's en weet ik veel wat er allemaal in de kleine letters staat. Opvolging, termijnen, ontbindings clausules, etc.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 14:56]

Sailor69 @Bulkzooi • 23 juni 2023 16:15

Je bedoelt de Belgische staat? Die is hoofdaandeelhouder.

Bulkzooi @Sailor69 • 23 juni 2023 16:48

Je bedoelt de Belgische staat? Die is hoofdaandeelhouder.

Nou, dan zijn de kleine lettertjes in ieder geval twee-talig.

beerse 23 juni 2023 16:30

Natuurlijk wil ik niet dat mijn gegevens naar de USA worden verstuurd. Zeker dit soort reputatie gegevens.
Natuurlijk zie ik dat hier niet volgens de geest van de regelgeving wordt gewerkt.

Natuurlijk wordt hier op het scherpst van de snede precies wel volgens de regels van de wet gewerkt, op het randje.

Kan iemand mij vertellen of deze heel constructie een halt kan worden toegebracht?

Is er een kleine kans dat het gebruik van dit soort diensten door organisaties in Europa verboden kan worden? De gegevens van mijn telefoonnummers hebben ze ondertussen al dus het beperken/bestraffen van de uploader is een gepasseerd station.

De bofh in mij vraagt zich af of wij deze organisaties kunnen voeren met dusdanig slechte gegevens dat de kwaliteit van de hele gegevensverzameling slechter wordt.

Azara @beerse • 23 juni 2023 19:01

Kan iemand mij vertellen of deze heel constructie een halt kan worden toegebracht?

Op Noyb.eu:
"Processing unlawful, potentially huge fine. While there are some situations where personal data can be used for security purposes without consent, the secret use of telecommunication data on the majority of all global mobile phone users is not in line with EU and national data protection law. Besides being ordered to stop the transfer of data to TeleSign, the Belgian DPA can issue a fine up to € 236 million, which is 4 % of the global turnover of the Proximus group, the owner of BICS and TeleSign."

Het kan gestopt worden, maar gaat zoals zo vaak veel tijd en moeite kosten. Veel hangt hier van de Belgische DPA af, hopelijk reageert die sneller dan de Ierse.
Die 236 millioen kan in elk geval gevorderd worden nu Bics en/of Telesign de providers niet vertelt wat er gedaan wordt. Te kwader trouw levert een hogere boete op.

beerse @Azara • 23 juni 2023 22:17

Het stoppen gaat mij er niet om dat de gegevens er niet (meer) in gestopt worden. Het gaat mij er om dat de gegevens die er in zitten niet meer gebruikt kunnen worden. Naar mijn idee is het niet meer gebruikt mogen worden niet goed genoeg.

En mijn manier om er voor te zorgen dat de gegevens niet meer gebruikt kunnen worden is door er veel gegevens bij te zetten die bij de invoer niet herkenbaar fout zijn maar de hele database wel zodanig fout maken dat ze niet meer bruikbaar is.

Azara @beerse • 23 juni 2023 22:19

NoyB vecht ook de gebruikte grondslag (veiligheid telecomnetwerk) aan. Als dat lukt moet de data die TeleSign heeft ook vernietigd worden. Ze volgen dus verschillende sporen om het verzamelen af te stoppen en om de oude data vernietigd te krijgen.

De database vervuilen kan bijvoorbeeld door met z'n allen af te spreken dat we willekeurige personen kort gaan bellen, dat is ook een methode. Wel lastig om dat lang vol te houden en veel mensen erbij te betrekken.

[Reactie gewijzigd door Azara op 23 juli 2024 14:56]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (19)

Sorteer op:

Weergave: