Proximus zet zich beter schrap, want deze privacy-ridder heeft het gemunt op het telecombedrijf

In mei had Schrems, een 35-jarige Oostenrijkse privacyactivist, beet bij Mark Zuckerberg: hij zadelde techgigant Meta met een boete van liefst 1,2 miljard euro op. Het (voorlopige) eindpunt van een ware kruistocht tegen de manier waarop Facebook de Europese privacyregels aan de laars lapt.

Proximus-CEO Guillaume Boutin zet zich dus maar beter schrap. Zijn bedrijf is de volgende in het vizier van de door Schrems opgerichte vzw noyb (lees: ‘nooib’). De klacht komt er nadat Le Soir begin 2022 al onthulde hoe twee dochterbedrijven van Proximus een datahandel drijven die buiten de lijnen van het GDPR-kader kleurt.

Enerzijds is er Telesign, een van de grote spelers wereldwijd op het gebied van tweetrapsverificatie. Anderzijds is er Bics, ofte Belgacom International Carrier Services, een internationaal schakel­centrum voor telefoonoproepen. Bics, gevestigd in de Proximus-gebouwen aan het Brusselse Noordstation, kocht zes jaar geleden het Amerikaanse Telesign.

Telesign verkoopt betrouwbaarheidsscores van telefoonnummers aan klanten zoals Microsoft, Skype of LinkedIn – op basis daarvan kan een gebruiker meteen inloggen, extra verificatiestappen afhaspelen of geweigerd worden. Die scores zouden echter tot stand komen door algoritmes los te laten op data die Bics aanlevert.

Indien bewezen, is dat – door gebrek aan toestemming én opslag van data in de VS – een overtreding van de GDPR-regels. Een boete voor Proximus kan oplopen tot 4 procent van de jaaromzet, of 236 miljoen euro. Die is sowieso niet voor meteen: een onderzoek kan maanden tot jaren duren.

None of your business

Eerder kregen ook bedrijven zoals Grindr, Spotify of Clearview AI een miljoenenboete na een klacht uit Wenen, waar noyb zetelt. Sinds het ontstaan in 2018 spande de vzw al meer dan 800 zaken aan binnen Europa, de ene zaak al wat rumoeriger dan de andere.

Noyb staat voor ‘none of your business’, van toepassing op uw data maar evengoed die van Schrems zelf. Een bio op zijn persoonlijke site is geen levensverhaal, maar een beperkt zinnetje: “(Gelukkig niet alleen) privacyadvocaat, erevoorzitter van noyb, auteur en spreker.” Er is meer, maar dat hangt hij zelfs in interviews karig aan de neuzen.

Schrems, geboren in Salzburg, vertelde enkele jaren geleden in gesprek met De Tijd dat het zaadje in Silicon Valley werd gelegd, waar hij als rechtenstudent een half jaar spendeerde. “Als je in Europa de wet overtreedt, gebeurt toch niks. Dus we doen maar op”, zou een advocaat van Facebook tijdens een gastcollege hebben gezegd.

Schrems besloot van Facebook zijn Goliath te maken. Eerst door een thesis te schrijven, waarbij hij alle info opvroeg die Facebook over hem had – dat bleken 1.200 pagina’s te zijn. Daarna door naar de rechtbank te trekken. Na de onthullingen van Edward Snowden in 2013, die aan Schrems duidelijk maakten: wat een Europeaan toevertrouwt aan Facebook, kan zomaar besnuffeld worden door de Amerikaanse geheime dienst.

In 2015 stond de privacyridder voor het eerst te blinken op het wereldtoneel. Het Europees Hof van Justitie verwees toen het Safe Harbour-akkoord tussen de EU en de VS, over het uitwisselen van persoonsgegevens, naar de prullenmand. Dat trucje deed hij vijf jaar later succesvol over via het zogenaamde arrest Schrems II: ook het Privacy Shield-akkoord, een hertekening van Safe Harbour, werd tenietgedaan.

Papieren tijger

De “agressieve aanpak” van techgiganten als Google en Facebook (intussen Meta) vormen de kern van de strijd die Schrems voert, zo stelde hij aan De Tijd: “Als de kans op een negatief gevolg klein is en de kans op winst groot, dan kan je de regels blijven breken. (...) That is how we roll, zeggen ze.”

Door telkens naar de rechter te stappen bij overtredingen, bewees Schrems bijna op zijn eentje dat de GDPR geen papieren tijger is. Zo diende nyob in 2020 ruim 700 klachten in tegen Europese websites die het moeilijk maken voor gebruikers om met minimale cookies verder te gaan. Een jaar later stelde het bij een nieuwe scan vast: meer dan de helft van de websites is beter de richtlijnen gaan volgen.

In Europa geldt Schrems dan ook als posterboy van het privacyactivisme. Een zwaktebod, vindt hij zelf, want vooral een signaal dat nationale gegevensbeschermingsautoriteiten (GBA’s) het te vaak laten afweten.

Al lijkt ook daar een aanscherping bezig: in 2020 – het jaar van Schrems II – schreven de GBA’s voor zo'n 170 miljoen euro aan boetes uit. In 2021 was dat 1,15 miljard euro, een zevenvoud. Dit jaar overtreft alleen al de Meta-boete dat bedrag.

Schrems wordt dan ook weleens aangeklampt op congressen door privacychefs van bedrijven die hem bedanken, want nu krijgen ze eindelijk het belang van die GDPR verkocht aan de grote baas. Iets wat bij Proximus, zo lijkt het, nog niet helemaal doorgesijpeld is.

Daar is een logische verklaring voor: Telesign is een goudhaantje binnen de Proximus-groep. Werd het bedrijf zes jaar geleden nog voor 230 miljoen dollar gekocht, dan was het eind 2021 al op zo’n 1,3 miljard dollar gewaardeerd. Het toont: de omvang van data als (onzichtbaar) wingewest is groot, de nood aan activisten die het probleem tastbaar maken evenzeer.