De Oostenrijkse ngo NOYB heeft bij de Belgische Gegevensbeschermingsautoriteit een klacht ingediend tegen Telesign, een Amerikaans bedrijf dat miljoenen telefoongebruikers profileert en een zogenaamde “reputatiescore” genereert. TeleSign ontvangt de mobiele telefoongegevens die het daarvoor gebruikt in het geheim – dus zonder toestemming van de gebruikers – van BICS, een dochterbedrijf van Proximus, dat interconnectiediensten levert aan veel mobiele telefoonbedrijven. Wat de zaak nog zwaarder maakt is dat Telesign de data, ook die van Europese gebruikers, in de VS verwerkt.
BICS – het bedrijf dat telefoonproviders wereldwijd met elkaar verbindt. BICS is een wereldwijd toonaangevende communicatiedienst die telefoongesprekken, roaming en gegevensstromen mogelijk maakt tussen verschillende communicatienetwerken en -diensten in verschillende delen van de wereld. In plaats van directe overeenkomsten met elkaar te sluiten, kunnen honderden providers van mobiele telefonie hun netwerken met elkaar verbinden via de interconnectiedienst van BICS. Bij het verwerken van klantgegevens krijgt BICS gedetailleerde informatie (bijv. de regelmaat van voltooide gesprekken, gespreksduur, langdurige inactiviteit, bereikactiviteit of succesvol inkomend verkeer) over de helft van de wereldwijde mobiele telefoongebruikers.
TeleSign genereert “reputatiescores” op basis van BICS-gegevens. TeleSign genereert “reputatiescores” op basis van BICS-gegevens.In maart 2022 onthulde de Belgische krant “Le Soir” dat het Amerikaanse bedrijf TeleSign deze gegevens van BICS kreeg en miljoenen telefoongebruikers over de hele wereld profileerde. TeleSign gaf elke gebruiker van een mobiele telefoon een “vertrouwensscore” tussen 0 en 300 punten. Op basis van deze score konden TeleSign’s klanten (bijv. TikTok, Salesforce en Microsoft) vervolgens beslissen om gebruikers toe te staan zich aan te melden bij een platform of bijvoorbeeld eerst een sms-verificatie vereisen. TeleSign verifieert meer dan vijf miljard unieke telefoonnummers per maand, wat neerkomt op de helft van alle mobiele gebruikers ter wereld.
Max Schrems: “Je telefoonprovider stuurt waarschijnlijk gegevens door naar BICS, die ze vervolgens doorstuurt naar TeleSign. TeleSign genereert een ‘vertrouwensscore’ over jou en verkoopt telefoongegevens aan derden zoals Microsoft, Salesforce of TikTok – zonder dat iemand daarvan op de hoogte wordt gesteld of daar toestemming voor geeft.”
Gebruikerskopieën tonen omvang van surveillance door TeleSign. Nieuwsgierig naar wat er met hun gegevens werd gedaan, maakten verschillende mobiele gebruikers gebruik van hun recht onder de GDPR om een kopie van hun gegevens te krijgen van TeleSign, BICS en hun nationale mobiele provider. De antwoorden waren nogal verrassend: geen enkele mobiele provider vermeldde TeleSign als ontvanger of wist dat gebruikersgegevens naar TeleSign werden verzonden. Tegelijkertijd bevestigde TeleSign dat het over het telefoonnummer beschikte en gaf het de “vertrouwensscore” door die aan hun nummer was toegekend, bijvoorbeeld “medium-low”.
AI om mensen te beoordelen en gegevensoverdracht naar de VS. Op zijn website beweert TeleSign dat het modellen van kunstmatige intelligentie gebruikt om de enorme hoeveelheid gegevens te analyseren die BICS ontvangt en om een “vertrouwensscore” te genereren voor elk telefoonnummer. Dit gebeurt allemaal in de Verenigde Staten, waar Amerikaanse autoriteiten ook toegang hebben tot persoonlijke gegevens van TeleSign.
Onwettige verwerking, mogelijk enorme boete. Hoewel er een aantal situaties zijn waarin persoonlijke gegevens zonder toestemming kunnen worden gebruikt voor beveiligingsdoeleinden, is het geheime gebruik van telecommunicatiegegevens van de meerderheid van alle wereldwijde gebruikers van mobiele telefoons niet in overeenstemming met de Europese en nationale wetgeving inzake gegevensbescherming. Naast het bevel om de overdracht van gegevens aan TeleSign stop te zetten, kan de Belgische Gegevensbeschermingsautoriteit een boete opleggen die kan oplopen tot 236 miljoen euro, wat 4% is van de wereldwijde omzet van de Proximus-groep, de eigenaar van BICS en TeleSign.
Max Schrems: “De antwoorden die we van BICS en TeleSign hebben ontvangen, wijzen erop dat dit bedrijfsmodel niet in overeenstemming is met de EU-privacywetgeving. Daarom hebben we een klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit, die bevoegd is voor Proximus, BICS en TeleSign.”
Wordt jouw nummer verwerkt door TeleSign? Doe zelf de test! Bedrijven die gegevens over je hebben, zijn volgens de GDPR verplicht om je te vertellen of ze informatie over je verwerken, maar ook waar ze de gegevens hebben ontvangen, voor welk doel ze deze gebruiken en met wie ze deze hebben gedeeld. Als je wilt weten of TeleSign gegevens over jou heeft, en jou net als de klagers een score heeft toegekend, heeft noyb een sjabloon ontwikkeld dat je kunt gebruiken om een inzageverzoek naar TeleSign te sturen.