Proximus aangeklaagd: massale aanmaak smartphoneprofielen via dochter TeleSign
De vzw NOYB (European Center for Digital Rights) heeft een klacht ingediend tegen BICS, TeleSign en Proximus. Volgens de klacht voldoen de praktijken van Proximus niet aan de Europese GDPR-normen en worden de gegevens in de Verenigde Staten verwerkt, waardoor de Amerikaanse autoriteiten er mogelijk toegang toe zouden kunnen krijgen.
Wat is TeleSign, dochteronderneming van Proximus?
TeleSign is een Amerikaanse dochteronderneming van Proximus die wereldwijd profielen heeft aangemaakt van miljoenen gebruikers door illegaal hun gegevens te verwerken, verstrekt door BICS. Proximus heeft TeleSign in 2017 overgenomen via zijn dochteronderneming BICS, die de communicatie wereldwijd beheert.
TeleSign biedt beveiligingsdiensten zoals tweefactorauthenticatie aan internetbedrijven. Om de betrouwbaarheid van elk telefoonnummer te beoordelen, kent TeleSign elk nummer een reputatiescore toe op basis van verschillende gegevens. Bedrijven zoals TikTok, Microsoft en Salesforce gebruiken de diensten van TeleSign.
De vermeende overtreding van de GDPR-richtlijn door TeleSign
Het schandaal van de toekenning van reputatiescores zonder toestemming
TeleSign zou algoritmes hebben gebruikt om miljoenen gebruikers een reputatiescore toe te kennen, op basis van telecomgegevens die door BICS worden verstrekt. Vervolgens wordt deze vertrouwensscore verkocht aan TeleSign-klanten zonder dat de gebruikers hiervan op de hoogte zijn.
Veel gebruikers van communicatiediensten in de Europese Unie hebben hun telefoonprovider, BICS en TeleSign om informatie gevraagd over de verwerking van hun gegevens.
Daaruit blijkt dat TeleSign inderdaad de persoonlijke gegevens verwerkt om profielen van gebruikers aan te maken en zo een reputatiescore toe te kennen, zonder hun toestemming of medeweten.
Klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit
Na deze onthullingen dienden verschillende gebruikers een verzoek om informatie en toegang in bij hun telefoonprovider, BICS en TeleSign om te weten te komen hoe hun gegevens werden verwerkt.
De ingediende klacht vraagt de Belgische Gegevensbeschermingsautoriteit (GBA):
- om onderzoek te voeren naar de verwerkingen die TeleSign uitvoert;
- om informatie te verkrijgen over de gegevensoverdracht tussen BICS en TeleSign;
- en uitgebreide informatie te verkrijgen over de verwerkingsactiviteiten van TeleSign.
De klacht werpt ook vragen op over de illegale gegevensoverdracht van BICS naar TeleSign in de Verenigde Staten, en over het feit dat Proximus niet reageert op het verzoek van de aanklagers om toegang te krijgen.
Gronden voor de ingediende klacht
In de klacht wordt beweerd dat Proximus het recht op inzage van de aanklagers en zijn transparantieverplichting namens de GDPR-richtlijn heeft geschonden. De klacht heeft ook betrekking op de illegale gegevensoverdracht van Proximus naar zijn Amerikaanse dochteronderneming TeleSign via BICS. Daarnaast wijst het op problemen met verduistering van de door BICS verwerkte gegevens en de onwettigheid van de gegevensoverdracht tussen BICS en TeleSign.
Risico op veroordeling en mogelijke boetes
De GBA zal de klacht onderzoeken om de ontvankelijkheid ervan te bepalen. Als de klacht ontvankelijk wordt bevonden, zal de GBA de gevorderde argumenten analyseren. Dit kan enige tijd duren.
In de klacht wordt de GBA gevraagd om corrigerende maatregelen uit te vaardigen, zoals:
- Stoppen met gegevensoverdrachten.
- Stoppen met de gegevensverwerking door TeleSign.
- Onrechtmatig verwerkte gegevens verwijderen.
- En verplicht aanklagers en betrokkenen informeren over de verwerking van hun gegevens.
Een veroordeling voor deze overtredingen kan leiden tot een boete van maximaal 4 % van de omzet van het bedrijf. In 2022 boekte TeleSign een omzet van 473 miljoen euro, BICS 1,13 miljard euro en Proximus 5,91 miljard euro.
Meer weten over de bescherming van je gegevens?
Lees onze tips om je privacy online te beschermen.