Privacyverklaring – Inspanningen om fraude op ons netwerk en via onze diensten te voorkomen

1. Algemeen toepassingsgebied

Deze privacyverklaring is van toepassing op de verwerkingsactiviteiten van Proximus (hierna: “wij” en “ons”) wanneer wij persoonsgegevens van klanten of eindgebruikers verwerken om fraude te voorkomen en te bestrijden, zoals phishing, hinderlijke oproepen, FluBot, signaleringsmisbruik en e mailspam.

Via deze privacyverklaring willen wij u op een transparante wijze informeren over deze verwerkingsactiviteiten waarbij wij optreden als verantwoordelijke voor de verwerking (“verwerkingsverantwoordelijke”). We zijn nog een stap verder gegaan en hebben een specifieke privacyverklaring opgesteld die uitsluitend gericht is op fraudepreventie op ons netwerk en via bepaalde diensten, zoals onze e maildienst. Om de hierin verstrekte informatie aan te vullen en om te begrijpen hoe wij uw gegevens in andere situaties verwerken, kunt u onze algemene privacyverklaring raadplegen.

Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen door een nieuwe versie te publiceren. De datum van de huidige versie vindt u hierboven (“Laatst gewijzigd”). Dit kan nodig zijn wanneer wij wijzigingen doorvoeren die een invloed kunnen hebben op de verwerking van persoonsgegevens, of wanneer dit vereist is om te voldoen aan toepasselijke regels inzake gegevensbescherming.

2. Wie zijn wij en hoe kan u ons contacteren?

De diensten worden aangeboden door Proximus NV van publiek Belgisch recht (Koning Albert II laan 27, 1030 Brussel).

Indien u vragen heeft over de verwerking van uw persoonsgegevens, kunt u contact opnemen met de functionaris voor gegevensbescherming van Proximus.

Hoe kan u de functionaris voor gegevensbescherming van Proximus contacteren?

E-mail : privacy@proximus.com

Adres: Koning Albert II laan 27, 1030 Brussel

Webformulier

3. Hoe verwerken wij uw persoonsgegevens?

3.1. Acties ter bestrijding van frauduleuze berichten via mobiele tekstberichten (SMS/MMS)

Achtergrond en belang:

In de afgelopen jaren heeft Proximus een aanzienlijke toename vastgesteld van het aantal smishing aanvallen. Smishing is een vorm van phishing die wordt uitgevoerd via mobiele tekstberichten.

Criminelen vervalsen SMS berichten en doen alsof deze afkomstig zijn van een persoon of een financiële instelling die de ontvanger vertrouwt (bijvoorbeeld een bank), met als doel de ontvanger te overtuigen acties te ondernemen die leiden tot het prijsgeven van gevoelige informatie. Succesvolle smishing aanvallen kunnen leiden tot financiële verliezen, een negatieve klantervaring en schendingen van de privacy van abonnees.

Aanvallers die erin slagen smartphones te compromitteren, kunnen handelingen uitvoeren namens de eindgebruiker en gegevens van het toestel exfiltreren. Met andere woorden: wanneer deze aanvallers toegang krijgen tot uw smartphone, kunnen zij zich voordoen als uzelf en uw gegevens stelen. Naast de impact op klanten vormen smishing aanvallen ook een risico voor de operationele beschikbaarheid en prestaties van de berichtendiensten van Proximus of andere hiermee verbonden systemen.

Om smishing en andere vormen van via SMS en MMS gepleegde oplichting te bestrijden, heeft Proximus haar mogelijkheden uitgebreid om frauduleuze tekstberichten te detecteren en te blokkeren door algoritmen te ontwikkelen en te gebruiken die de besluitvorming ondersteunen en deze processen automatiseren. Dit betekent dat u mogelijk bepaalde berichten niet ontvangt die voor u bestemd waren, omdat ze als smishing zijn geïdentificeerd. In het kader van haar cyberbeveiligingsprogramma heeft Proximus daarom een nieuw anti smishingplatform opgezet dat de volgende doelstellingen ondersteunt:

  • Het beschermen van mobiele abonnees tegen verschillende vormen van smishing aanvallen waarbij personen worden misleid om persoonlijke informatie vrij te geven, die vervolgens door fraudeurs wordt misbruikt om ongeoorloofde toegang te verkrijgen, bijvoorbeeld tot bankrekeningen of betaalkaartgegevens.
  • Het beschermen van mobiele toestellen van Proximus abonnees tegen besmetting door mobiele malware die kan worden gebruikt om persoonsgegevens te exfiltreren.
  • Het beschermen van de telecominfrastructuur van Proximus tegen Denial of Service aanvallen (DoS), die tot doel hebben diensten voor miljoenen gebruikers te verstoren door de infrastructuur die telecommunicatie mogelijk maakt te viseren.

Welke categorieën van persoonsgegevens gebruiken wij?

Als gevolg van recente wetswijzigingen in België en afhankelijk van de toepasselijke wettelijke bepaling, zijn wij verplicht of gemachtigd om bepaalde gegevens te verwerken om fraude te bestrijden. Dit omvat verkeers en locatiegegevens, technische identificatoren, informatie over gebruiksvolumes en de inhoud van berichten.

Wat is de bron van de persoonsgegevens?

De persoonsgegevens worden vastgesteld via het gebruik van onze mobiele dienst.

Voor welke doeleinden worden uw persoonsgegevens verwerkt?

Om fraude te bestrijden die wordt gepleegd via berichten die gebruikmaken van telefoonnummers.

Wat rechtvaardigt deze verwerking (rechtsgrond van Proximus)?

In het algemeen heeft Proximus een wettelijke verplichting om fraude op haar netwerk te bestrijden (artikel 121/8 van de Belgische wet betreffende de elektronische communicatie). Daarnaast heeft zij een wettelijke verplichting om bepaalde categorieën van verkeersgegevens voor dit doel te verwerken (artikel 122, § 4 van de Belgische wet betreffende de elektronische communicatie).

Naast deze wettelijke verplichtingen machtigt de Belgische wet betreffende de elektronische communicatie alle telecomoperatoren om andere categorieën van persoonsgegevens te verwerken ter bestrijding van specifieke gevallen van fraude. In dit geval heeft Proximus een gerechtvaardigd belang, met name om fraude te voorkomen die wordt gepleegd via berichten die gebruikmaken van telefoonnummers, zoals SMS of MMS berichten, zoals toegestaan krachtens artikel 125, § 1, 7° van de Belgische wet betreffende de elektronische communicatie.

Met wie delen wij deze gegevens?

  • Binnen Proximus: uw gegevens worden uitsluitend verwerkt door medewerkers van Proximus die belast zijn met fraudebestrijding.
  • Externe verwerkers: om Proximus te ondersteunen bij het realiseren van deze doeleinden, doet Proximus beroep op bepaalde verwerkers , waaronder Mavenir Systems LTD. Een verwerker is een natuurlijke persoon of rechtspersoon die persoonsgegevens verwerkt in onze opdracht en volgens onze instructies. Proximus maakt gebruik van verwerkers voor IT of technische ondersteuning en heeft met hen schriftelijke overeenkomsten afgesloten om uw persoonsgegevens te beschermen.
  • Officiële autoriteiten: in bepaalde gevallen kunnen het BIPT of andere officiële autoriteiten toegang vragen tot gegevens met betrekking tot elektronische communicatie. Zij hebben echter geen onbeperkte toegang:
    • indien er sprake is van een bevestigd geval van smishing, kunnen specifieke gegevens met betrekking tot deze bevestigde gevallen (zoals gedetecteerde kwaadaardige domeinen) worden gedeeld met het Centrum voor Cybersecurity België (CCB);
    • verzoeken van het BIPT worden enkel ingewilligd in specifieke situaties, aan de hand van een schermafbeelding die de inhoud van het bericht bevat en die verband houdt met bevestigde smishinggevallen.

Wij hechten groot belang aan uw privacy en zorgen ervoor dat elke gegevensdeling strikt in overeenstemming is met de wet.

Worden uw gegevens buiten de EER doorgegeven?

Proximus doet uitsluitend beroep op partners die gevestigd zijn in de Europese Economische Ruimte voor de verwerking van persoonsgegevens die verband houden met fraudepreventie via SMS. De internationale aard van telecommunicatiediensten brengt echter met zich mee dat bepaalde gegevens in specifieke situaties buiten de EER kunnen worden verwerkt, zonder noodzakelijkerwijs te kwalificeren als internationale doorgiften van persoonsgegevens in de zin van de AVG.

Wanneer u een internationale SMS verstuurt of ontvangt, of wanneer u zich buiten de EER bevindt (bijvoorbeeld tijdens roaming), worden technische gegevens over uw communicatie gegenereerd en verwerkt door buitenlandse operatoren en netwerken. Dit is inherent aan de werking van internationale communicatie en is noodzakelijk om de levering van uw bericht mogelijk te maken.

Hoe lang verwerken wij deze gegevens?

De gegevens worden gedurende 30 dagen bewaard (tenzij een wettelijke verplichting anders voorschrijft), om voldoende tijd te laten voor mogelijke klachten en, indien nodig, voor onderzoek door Proximus.

Geaggregeerde statistieken worden maximaal 12 maanden bewaard.

3.2. Acties ter bestrijding van frauduleuze oproepen

In de afgelopen jaren heeft Proximus een aanzienlijke toename vastgesteld van telecomfraude, in het bijzonder oproepfraude. Dit type fraude omvat verschillende kwaadwillige activiteiten die via spraakoproepen worden uitgevoerd en vaak leiden tot financiële verliezen, een negatieve klantervaring en inbreuken op de privacy van abonnees.

Fraudeurs zijn uiterst inventief en maken gebruik van een breed scala aan technieken om mensen te misleiden. Enkele voorbeelden van oproepfraude zijn:

  1. Impersonatiefraude: Fraudeurs doen zich voor als iemand die u vertrouwt, zoals een bankmedewerker of een overheidsfunctionaris. Zij beweren bijvoorbeeld dat er een probleem is met uw rekening en vragen u om persoonlijke gegevens of geld om dit probleem op te lossen.
  2. Technische ondersteuningsfraude: Oplichters doen zich voor als medewerkers van de technische ondersteuning van bekende bedrijven. Zij beweren dat er een probleem is met uw computer of internetdienst en vragen u software te downloaden waarmee zij op afstand toegang krijgen tot uw toestel.
  3. Nummervervalsing (spoofing): De oproepidentificatie toont een vertrouwd of bekend nummer, terwijl het in werkelijkheid gaat om een fraudeur die technologie gebruikt om zijn werkelijke nummer te maskeren. Dit vergemakkelijkt het misleiden van slachtoffers om gevoelige informatie te delen.
  4. Noodoproepenfraude: Een fraudeur doet zich voor als een familielid of vriend die dringend geld nodig heeft wegens een noodsituatie, zoals gestrand zijn of problemen met de autoriteiten. Slachtoffers worden onder druk gezet om snel geld over te maken. Hierbij kan zelfs gebruik worden gemaakt van generatieve AI om stemmen na te bootsen, waardoor het lijkt alsof de oproep daadwerkelijk van een bekende afkomstig is.
  5. Wangiri fraude: Hierbij ontvangt u een gemiste oproep van een onbekend internationaal nummer. Wanneer u terugbelt, wordt u verbonden met een nummer met een verhoogd tarief, wat leidt tot hoge kosten. De fraudeur kan bijvoorbeeld lange vooraf opgenomen boodschappen afspelen om u zo lang mogelijk aan de lijn te houden.
  6. International Revenue Share Fraud (IRSF): Bij deze geavanceerde fraudevorm verhogen fraudeurs artificieel het verkeer naar internationale betaalnummers (IPRN). Daarbij werken zij vaak samen met telecomoperatoren en aanbieders van betaalde diensten om een hoog callvolume te genereren. De fraudeurs ontvangen vervolgens een deel van de inkomsten uit de terminatiekosten van deze oproepen.

Om de toenemende telecomfraude aan te pakken, heeft Proximus geavanceerde beveiligingsmaatregelen geïmplementeerd op haar communicatiesystemen. Deze maatregelen zijn ontworpen om verschillende vormen van oproepfraude in realtime te detecteren en te voorkomen.

Welke categorieën van persoonsgegevens gebruiken wij?

Krachtens de Belgische wetgeving, met name de wet van 13 juni 2005 betreffende de elektronische communicatie, zijn wij gemachtigd (en in sommige gevallen verplicht) om bepaalde categorieën van gegevens te verwerken met het oog op fraudebestrijding. Dit kan verkeers en locatiegegevens, technische identificatoren en informatie over gebruiksvolumes omvatten. Dit strekt zich echter niet uit tot het onderscheppen of beluisteren van de inhoud van communicatie.

Wat is de bron van de persoonsgegevens?

De persoonsgegevens worden vastgesteld via het gebruik van ons netwerk.

Voor welke doeleinden worden uw persoonsgegevens verwerkt?

Om fraude te bestrijden die wordt gepleegd via oproepen.

Wat rechtvaardigt deze verwerking (rechtsgrond van Proximus)?

In het algemeen heeft Proximus een wettelijke verplichting om fraude op haar netwerk te bestrijden (artikel 121/8 van de Belgische wet betreffende de elektronische communicatie). Daarnaast heeft zij een wettelijke verplichting om bepaalde categorieën van verkeersgegevens voor dit doel te verwerken (artikel 122, § 4 van de Belgische wet betreffende de elektronische communicatie).

Naast deze wettelijke verplichtingen machtigt de Belgische wet betreffende de elektronische communicatie alle telecomoperatoren om andere categorieën van persoonsgegevens te verwerken ter bestrijding van specifieke gevallen van fraude. In dit geval heeft Proximus een gerechtvaardigd belang, in het bijzonder om fraude te voorkomen die wordt gepleegd via spraakoproepen, zoals toegestaan krachtens artikel 125, § 1, 7° van de Belgische wet betreffende de elektronische communicatie.

Met wie delen wij deze gegevens?

  • Binnen Proximus: De verwerking van uw persoonsgegevens voor fraudepreventie gebeurt hoofdzakelijk via geautomatiseerde middelen, om menselijke toegang zoveel mogelijk te beperken tot wat strikt noodzakelijk is. Indien menselijke tussenkomst vereist is, hebben enkel een beperkt aantal bevoegde medewerkers van Proximus die verantwoordelijk zijn voor fraudebestrijding toegang tot uw gegevens.
  • Externe verwerkers: Om Proximus te ondersteunen bij het realiseren van deze doeleinden, doet Proximus beroep op bepaalde verwerkers voor IT of technische ondersteuning , waaronder Mavenir Systems LTD. Met deze verwerkers zijn schriftelijke overeenkomsten gesloten om uw persoonsgegevens te beschermen.

Wij hechten groot belang aan uw privacy en zorgen ervoor dat elke gegevensdeling strikt in overeenstemming is met de wet.

Worden uw gegevens buiten de EER doorgegeven?

Proximus doet uitsluitend beroep op partners die gevestigd zijn in de Europese Economische Ruimte voor de verwerking van persoonsgegevens in het kader van fraudepreventie bij oproepen. De internationale aard van telecommunicatiediensten brengt echter met zich mee dat bepaalde gegevens in specifieke situaties buiten de EER kunnen worden verwerkt, zonder noodzakelijkerwijs te kwalificeren als internationale doorgiften van persoonsgegevens in de zin van de AVG.

Wanneer u een internationale oproep maakt of ontvangt, of wanneer u zich buiten de EER bevindt (bijvoorbeeld tijdens roaming), worden technische gegevens over uw communicatie gegenereerd en verwerkt door buitenlandse operatoren en netwerken. Dit is inherent aan de werking van internationale communicatie en is noodzakelijk om de oproep mogelijk te maken.

Hoe lang verwerken wij deze gegevens?

De gegevens worden gedurende 30 dagen bewaard (tenzij een wettelijke verplichting anders voorschrijft), om voldoende tijd te laten voor mogelijke klachten en, indien nodig, voor onderzoek door Proximus.

Geaggregeerde statistieken worden gedurende 12 maanden bewaard om te voldoen aan de jaarlijkse rapportageverplichting van Proximus ten aanzien van het BIPT.

3.3. Acties ter bestrijding van frauduleuze e mails

Phishing aanvallen zijn de afgelopen jaren aanzienlijk toegenomen. Cybercriminelen doen zich voor als betrouwbare organisaties (zoals banken) om mensen te misleiden en hen gevoelige informatie te laten prijsgeven. Slachtoffer worden van dergelijke fraude kan leiden tot financiële verliezen, identiteitsdiefstal en schendingen van de persoonlijke levenssfeer.

Hackers die toegang krijgen tot e mailaccounts kunnen deze misbruiken om verdere frauduleuze berichten te versturen en persoonsgegevens te stelen. Dit vormt een bedreiging voor zowel onze klanten als voor de betrouwbaarheid van de e maildienst van Proximus.

Bij Proximus versterken wij onze inspanningen om frauduleuze e mails te detecteren en te blokkeren. Ons doel is om onze residentiële abonnees te beschermen tegen oplichting en te voorkomen dat gecompromitteerde Proximus mailboxen worden gebruikt om frauduleuze berichten te verzenden.

Zonder deze maatregelen zouden fraudeurs onze gebruikers kunnen overspoelen met frauduleuze e mails, waardoor het moeilijker wordt om legitieme berichten te herkennen. Bovendien bestaat het risico dat, indien Proximus e mailservers worden gebruikt om spam te verzenden, zij op “zwarte lijsten” terechtkomen, waardoor legitieme e mails van onze gebruikers worden geblokkeerd of vertraagd.

Hoe Proximus u beschermt

Om deze bedreigingen te bestrijden, hebben wij onze mogelijkheden verbeterd om frauduleuze e mails te detecteren en blokkeren met behulp van geavanceerde algoritmen. Dit stelt ons in staat om:

  • Abonnees te beschermen tegen phishing waarbij mensen worden misleid om persoonlijke en financiële informatie te onthullen.
  • Malware infecties te voorkomen die gegevens kunnen stelen of toestellen kunnen overnemen.
  • Onze e mailinfrastructuur te beschermen tegen cyberaanvallen die diensten voor grote aantallen gebruikers kunnen verstoren.

In dit kader kunnen bepaalde e mails die als phishingpogingen worden geïdentificeerd, worden geblokkeerd voordat zij uw inbox bereiken.

Welke categorieën van persoonsgegevens gebruiken wij?

Naar aanleiding van recente wetswijzigingen in België, en afhankelijk van de toepasselijke wettelijke bepaling, zijn wij verplicht of gemachtigd om bepaalde gegevens te verwerken om fraude te bestrijden. Dit omvat verkeers en locatiegegevens, technische identificatoren, informatie over gebruiksvolumes en de inhoud van berichten.

Wat is de bron van de persoonsgegevens?

De persoonsgegevens worden vastgesteld via het gebruik van onze e maildienst.

Voor welke doeleinden worden uw persoonsgegevens verwerkt?

Om fraude te detecteren en te voorkomen in e mails die worden verzonden en ontvangen via Proximus mailboxen.

Wat rechtvaardigt deze verwerking (rechtsgrond van Proximus)?

Proximus heeft een wettelijke verplichting om passende maatregelen te nemen ter bestrijding van fraude op haar netwerk en diensten (artikel 121/8 van de Belgische wet betreffende de elektronische communicatie). Daarnaast heeft zij een wettelijke verplichting om bepaalde categorieën van verkeersgegevens voor dit doel te verwerken (artikel 122, § 4 van dezelfde wet). Voorts machtigt de Belgische wet betreffende de elektronische communicatie operatoren om andere categorieën van persoonsgegevens te verwerken ter bestrijding van specifieke gevallen van fraude. In dit geval heeft Proximus een gerechtvaardigd belang om maatregelen te nemen die noodzakelijk zijn voor de correcte uitvoering van de e maildienst (cf. artikel 125, § 1, 2° van de Belgische wet betreffende de elektronische communicatie).

Met wie delen wij deze gegevens?

  • Binnen Proximus: De verwerking van uw persoonsgegevens voor fraudepreventie gebeurt hoofdzakelijk via geautomatiseerde middelen, om menselijke toegang te beperken tot wat strikt noodzakelijk is. Indien menselijke tussenkomst vereist is, hebben enkel een beperkt aantal bevoegde medewerkers van Proximus toegang tot uw gegevens.
  • Externe verwerkers: Proximus doet beroep op bepaalde verwerkers voor IT of technische ondersteuning, waaronder Mavenir Systems LTD. Met deze verwerkers zijn schriftelijke overeenkomsten gesloten om uw persoonsgegevens te beschermen.

Wij hechten groot belang aan uw privacy en zorgen ervoor dat elke gegevensdeling strikt in overeenstemming is met de wet.

Worden uw gegevens buiten de EER doorgegeven?

Voor fraudepreventie bij e mail werkt Proximus hoofdzakelijk met in de EU gevestigde filialen van haar beveiligingspartners, waaronder Vade en Cisco. Deze ondernemingen zijn gevestigd in landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen.

In enkele beperkte gevallen en wegens de technische werking van deze tools kan een zeer klein en residueel deel van persoonsgegevens buiten de EER worden doorgegeven. Proximus implementeert sterke technische en organisatorische maatregelen, in overeenstemming met de toepasselijke regels, om ervoor te zorgen dat dergelijke doorgiften tot een absoluut minimum worden beperkt en uitsluitend plaatsvinden wanneer dit strikt noodzakelijk is voor fraudedetectie.

Daarnaast brengt de internationale aard van elektronische communicatiediensten met zich mee dat bepaalde gegevens in specifieke situaties buiten de EER kunnen worden verwerkt, zonder noodzakelijkerwijs te kwalificeren als internationale doorgiften van persoonsgegevens in de zin van de AVG.

Hoe lang verwerken wij deze gegevens?

De gegevens worden gedurende 30 dagen bewaard (tenzij een wettelijke verplichting anders voorschrijft), om voldoende tijd te laten voor mogelijke klachten en, indien nodig, voor onderzoek door Proximus.

Geaggregeerde statistieken worden gedurende 12 maanden bewaard.

4. Geautomatiseerde analyse

Om fraude te voorkomen maakt Proximus gebruik van geautomatiseerde systemen die technische informatie analyseren en communicatie kunnen blokkeren wanneer deze als frauduleus wordt geïdentificeerd. Proximus is van mening dat deze maatregelen geen rechtsgevolgen of vergelijkbaar significante gevolgen hebben in de zin van artikel 22 AVG. Indien deze maatregelen desalniettemin aldus zouden worden geïnterpreteerd, blijven zij toegestaan onder Belgisch recht voor doeleinden van fraudepreventie. In elk geval investeert Proximus in maatregelen om elke mogelijke impact op individuen tot een minimum te beperken.

5. Rechten van betrokkenen

U beschikt over verschillende rechten krachtens de gegevensbeschermingswetgeving, zoals het recht op inzage in uw persoonsgegevens, het recht deze te laten verbeteren en, in bepaalde gevallen, het recht om bezwaar te maken tegen of de verwerking te beperken. U heeft ook het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit.

Voor een volledig overzicht van uw rechten en de wijze waarop u deze kunt uitoefenen, verwijzen wij naar onze algemene privacyverklaring, waarin deze rechten nader worden toegelicht.