Waarom Clubhouse het zoveelste voorbeeld is van bedrijven die jouw en mijn privacy niet ernstig nemen

Om de zoveel tijd duikt er tegenwoordig een nieuw social mediaplatform op dat volgens insiders en early adopters het internet gaat veranderen.  

Het succes van de Snapchats en TikToks in deze wereld heeft twee dingen gemeen: enerzijds taant hun succes even snel als dat hun hype begonnen is en anderzijds -en daarin ergert de privacy voorvechter in mij zich blauw aan- blijkt telkens weer dat de bedrijven achter de apps het alles behalve nauw nemen met jouw en mijn privacy.  In sommige gevallen lijkt dit vooral een gevolg van een totaal gebrek aan kennis van en inzicht in (Europese of andere) gegevensbeschermingsregels, maar even vaak blijft toch vooral de indruk achter dat het ganse businessmodel van social mediabedrijven gebouwd is op ongebreidelde datacollectie tot meerdere eer en glorie van de advertentieprofielen die uit die data gedistilleerd kunnen worden.

Clubhouse_privacy

Schoolboek marketingklassiekers

De laatste ster aan het social mediafirmament is Clubhouse, een audiodiscussieapp waar je alleen na een uitnodiging door één van je vrienden mee aan de slag kan. 

De makers achter Clubhouse hebben met andere woorden enkele marketingklassiekers uit de kast gehaald om van hun nieuwe product een succes  te maken: kunstmatige schaarste creëren door de toegang tot je product te beperken en rekenen op het ego van de happy few om de hype aan te wakkeren en de massa reikhalzend te laten uitkijken naar het moment dat ook zij opgenomen worden in the inner circle.  Het lukte destijds al op speelplaatsen overal ter wereld met de zeldzame Pikachukaartjes en ook vandaag nog vallen we met zijn allen voor dezelfde verhalen…

Over privacy en GDPR…

Maar ook Clubhouse blijkt in hetzelfde bedje ziek te zijn als zovele andere succesverhalen uit je favoriete lokale appstore.  De marketingstrategie is weldoordacht, maar bij het respect voor jouw en mijn privacy heeft niemand echt lang stil gestaan. 

Het hoeft dan ook niet te verwonderen dat Clubhouse intussen het voorwerp uitmaakt van onderzoeken door verschillende Europese privacyoverheden.  Zowel de Franse CNIL als de deelstatelijke DPA in Hamburg, de HmbBfDI onderzoeken op dit ogenblik de manier waarop Alpha Exploration Co., het Amerikaanse bedrijf achter Clubhouse omgaat met persoonsgegevens van haar gebruikers én van derden.  

In Frankrijk is het onderzoek overigens een gevolg van een petitie tegen Clubhouse die inmiddels meer dan 10.000 handtekeningen verzamelde.  Wie zich de miljoenenboetes in Frankrijk voor Google en Amazon afgelopen december nog herinnert weet dat de CNIL hard en gericht kan uithalen tegen Amerikaanse techbedrijven.

Jouw contactgegevens verwerkt zonder dat je het wist… 

Een van de grootste issues met Clubhouse is dat het hele verhaal gebaseerd is op een, member-get-member systeem, waarbij bestaande leden hun digitale telefoonboek uploaden en openstellen voor Clubhouse. Op basis daarvan worden telkens nieuwe gebruikers uitgenodigd.   

Met andere woorden, ook als je vandaag nog geen uitnodiging hebt gekregen, heeft Clubhouse jouw persoonsgegevens waarschijnlijk wél al verwerkt zonder jouw toestemming via één van je vrienden of kennissen en dat op zich is érg problematisch.  

De Belgische GBA legde aan datingwebsite Twoo nog maar enkele maanden geleden in zeer gelijkaardige omstandigheden een stevige boete op, met de argumentatie dat voor de verwerking van vriendengegevens geen geldige rechtsgrond onder GDPR gevonden kan worden.  Je vrienden hebben immers geen toestemming gegeven aan -in dit geval- Clubhouse om hun gegevens te verwerken en ook niet aan aan jou om hun gegevens met dat doel te verwerken en te delen met Clubhouse.  Clubhouse en haar gebruikers kunnen evenmin terugvallen op een gerechtvaardigd belang in deze context en de verwerking van contactgegevens van niet-gebruikers mist dus een geldige rechtsgrond.  

Het gaat hier overigens niet om een administratieve formaliteit.  De verplichting om wel een geldige rechtsgrond te hebben voor elke verwerking van persoonsgegevens is één van de hoekstenen van GDPR en van jouw en mijn privacybescherming…

Clubhouse gaat overigens nog een stapje verder als het gaat om de verwerking van telefoonboekgegevens van haar gebruikers.  Die worden immers niet alleen gebruikt om nieuwe leden uit te nodigen, maar ook om een database met ​​gebruikersstatistieken of -profielen samen te stellen over bestaande en toekomstige gebruikers.  De eerste indicaties van de CNIL lijken aan te geven dat Clubhouse die gegevens verkoopt of kan verkopen aan derden (adverteerders). Clubhouse zelf schrijft in haar privacy policy weliswaar dat het “uw persoonlijke gegevens niet verkoopt“, maar tegelijk noemt het wel een groot aantal gevallen waarin je gegevens potentieel kan “delen” met derden, inclusief voor “reclame- en marketingdiensten”…

Gesprekken opgenomen zonder dat je het wist…

Wist jij trouwens dat Clubhouse je gesprekken ook opneemt? Op zich hoeft dat geen probleem te zijn, tenminste voor zover Clubhouse die opnames alleen gebruikt om eventuele klachten te beoordelen en opnames daarna definitief van haar servers te verwijderen. Alleen weten we niet of Clubhouse dat ook echt doet en het bovenstaande verhaal geeft alvast weinig vertrouwen.

Geen transparantie…

Vooral de Duitse overheid struikelt daarenboven over het feit dat Clubhouse geheel niet transparant is naar gebruikers toe.  De correcte contactgegevens van het bedrijf achter Clubhouse (“das Impressum”, zoals dat onder Duits recht genoemd wordt) zijn nergens duidelijk vindbaar en de privacy policy is alleen in het Engels beschikbaar, daar waar GDPR vereist dat die in een (voor de gemiddelde gebruiker) begrijpelijke taal opgesteld is.  Ter vergelijking, Whatsapp liep in 2016 al eens een stevige boete op in Duitsland omdat haar gebruiksvoorwaarden niet in het Duits beschikbaar waren.  Bovendien blijkt uit de privacy policy dat heel wat verplichte informatie ontbreekt zoals bijvoorbeeld de bewaartermijnen van jouw persoonsgegevens en de namen van de partijen met wie die gegevens gedeeld worden…

Ook onduidelijk overigens lijkt op het eerste zicht de datacollectie door middel van cookies en andere trackers.  Clubhouse geeft zelf aan dat het data verzamelt op die manier én dat het die deelt met adverteerders via advertentienetwerken.   Clubhouse geeft echter voor zover wij konden vaststellen nergens een duidelijk overzicht van wélke cookies en trackers gebruikt worden, wélke data verzameld wordt en met wie die data precies gedeeld wordt.  Bovendien wordt, opnieuw voor zover wij konden vaststellen, nergens vrije toestemming gevraagd voor het plaatsen van die cookies en trackers…

Data export buiten de EU

Persoonsgegevens exporteren buiten de EU (door ze bijvoorbeeld op te slaan op servers in de VS) mag enkel onder strikte voorwaarden en mits contractuele én technische veiligheidswaarborgen.  Clubhouse echter beperkt zich in zijn privacy tot de laconieke melding dat “By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service”.

Blijf je beter weg van Clubhouse dan?

Of Clubhouse een zoveelste hype is dan wel een blijver in het social medialandschap zal de tijd uitwijzen.  Bovenstaande opmerkingen hoeven ook niet noodzakelijk te betekenen dat je beter niet met Clubhouse aan de slag gaat.  Follow the hype als je je daartoe geroepen voelt, daar is in se niets mis mee.

Maar als consument en burger kan je maar beter bewust zijn van wat big tech bedrijven met je data doen, zodat je bewuste keuzes kan maken.  

Met andere woorden, wees voorzichtig, informeer je en lees zorgvuldig de gebruiksvoorwaarden en het privacybeleid voor je Clubhouse of elke andere social media app gebruikt.

Meer weten over GDPR, gegevensbescherming of social media?

Aarzel dan niet om ons te contacteren via bart@siriuslegal.be of boek een vrijblijvend videogesprek met Bart via deze link: https://koalendar.com/events/Meet-with-Bart-Van-den-Brande