Gebruikers van Skype, Tiktok, of Facebook kennen tweestapsverificatie. Wie inlogt, ondergaat daarbij na het aanmelden met een klassiek wachtwoord een extra controle, door een code in te geven die men (bijvoorbeeld) via sms ontvangt. Daardoor hebben internetbedrijven meer zekerheid dat gebruikers die inloggen effectief zijn wie ze beweren te zijn.
Een van de grote spelers wereldwijd op het gebied van tweestapsverificatie is Telesign. Dat van oorsprong Amerikaanse technologiebedrijf, opgericht in 2005, werd zes jaar geleden voor 230 miljoen dollar opgekocht door het Belgische bedrijf Bics. De volledige naam van dat laatste bedrijf – Belgacom International Carrier Services – geeft weg wie daarvan de eigenaar is: Proximus, het vroegere Belgacom.
Telesign mag grote multinationals als Microsoft en Amazon tot zijn klanten rekenen. Zij hebben er grote bedragen voor veil om het risico op misbruik van hun platformen te minimaliseren. Dat levert almaar meer geld op: eind 2021 werd Telesign gewaardeerd op zo’n 1,3 miljard dollar, bijna zesmaal zoveel als het bedrag dat Proximus zes jaar geleden neertelde. Niet zonder reden wordt het een goudmijntje van Proximus genoemd.
Schakelcentrum
Telesign gebruikt voor zijn verificatiesysteem een beproefde methode: het probeert elk mobiel telefoonnummer ter wereld een betrouwbaarheidsscore te geven, tussen nul en driehonderd punten. Op basis van die score beslist het of de eigenaar van dat nummer probleemloos mag inloggen op het platform van de klant, mogelijk eerst nog extra verificatiestappen moet doorlopen, of gewoonweg wordt geweigerd.
Om die betrouwbaarheidsscores op te maken, heeft Telesign zoveel mogelijk data nodig over elk mobiel telefoonnummer ter wereld, waar het algoritmes en artificiële intelligentie op kan loslaten. En dat is waar Bics – de eigenaar van Telesign – ijzersterk in is.
Bics, gevestigd in de Proximusgebouwen aan het Brusselse Noordstation, is niets minder dan een internationaal schakelcentrum voor telefoonoproepen. Sinds februari 2021 is het 100 procent in handen van Proximus. Het bedrijf verbindt de netwerken van honderden telecomproviders, verspreid over de hele wereld, met elkaar, onder meer via onderzeese verbindingen. Simpel gezegd: bij een oproep vanuit land X naar land Y, is er een aanzienlijke kans dat dat via de systemen van Bics gebeurt. Vorig jaar boekte Bics een omzet van 1,13 miljard euro.
Het internationale schakelcentrum van Proximus zit op een berg informatie. Het kan glashelder zien wie naar wie belt, hoe vaak, en hoe lang die oproepen duren. Niet voor niets was het eerder een geliefkoosd doelwit van buitenlandse inlichtingendiensten. Het bezit de geknipte informatie waar de algoritmes van Telesign op losgelaten moeten worden om risicoprofielen op te stellen. En dat gebeurt ook volop, onthulde ‘Le Soir’ in maart 2022. De krant schreef toen dat Bics maandelijks de data van miljoenen telefoongebruikers wereldwijd doorspeelt aan Telesign. Dat zou zo tot 5 miljard unieke telefoonnummers per maand kunnen verifiëren.
Strenge privacyregels
Telesign en Bics zijn met andere woorden een gouden duo, dat voor Proximus jaarlijks honderden miljoenen omzet genereert. Alleen claimen experts al langer dat de informatie-uitwisseling tussen de twee illegaal is.
Hoewel in handen van het Belgische Bics, is Telesign nog altijd een Amerikaans bedrijf. En aan privacygevoelige data van Europeanen naar computerservers in Amerika sturen, zijn strenge Europese privacyregels gebonden. Dat weet Meta, het moederbedrijf van Facebook, maar al te goed. Na klachten van de Oostenrijkse privacy-activist Max Schrems over de transfer van de gegevens van Europese Facebookgebruikers naar Amerikaanse servers, moet Meta een boete van liefst 1,2 miljard euro betalen.
Diezelfde Schrems richt nu zijn pijlen op Proximus. Zijn Weense ngo None Of Your Business (NOYB) diende eind vorige week namens negen klagers – ingezetenen van de EU – een klacht in bij de Gegevensbeschermingsautoriteit van ons land. In de klacht valt te lezen dat zij allen bij hun telecomproviders hadden opgevraagd met welke derde partijen die hun belgegevens delen, en dat geen enkele provider daarbij Telesign noemde. Schrems concludeert daaruit dat de gegevens van Europese klanten via Bics niet alleen illegaal op Amerikaanse servers belanden, maar dat Telesign die data ook nog eens krijgt zonder dat de telecomproviders dat zelf weten.
Onderzoek loopt
Krijgt Schrems gelijk, dan riskeert Proximus een miljoenenboete. Volgens de Europese privacywetgeving kan die oplopen tot 4 procent van de jaaromzet, of 236 miljoen euro. De privacy-activist eist voorts dat Telesign alle activiteiten stillegt, en dat Bics geen gegevens meer uitwisselt met derden.
Zover is het nog lang niet. De Gegevensbeschermingsautoriteit bevestigt aan ‘De Standaard’ dat ze de klacht van NOYB ontving, maar geeft geen commentaar op een lopend onderzoek. Dat kan maanden duren, zelfs jaren. Proximus laat weten dat het de klacht bestudeert. “Proximus engageert zich om steeds volgens de privacywetgeving te handelen”, zegt een woordvoerder.