Francis Lundh, Head of Product & Tech Office i Schibsted.
Francis Lundh, Head of Product & Tech Office i Schibsted.

Clubhouse:
Når hypen overskygger alt annet

Er det noe den nye trend-appen Clubhouse har lært oss, så er det at vi fremdeles er nybegynnere på personvern, skriver Francis Lundh, Head of Product & Tech Office i Schibsted.

Clubhouse er det hotteste som finnes av sosiale medier akkurat nå. Den omtales som en slags Twitter med lyd med diverse samtalerom, og etter at kjendiser som Elon Musk plutselig befant seg der har den tatt helt av med millioner av nedlastinger på verdensbasis.

Digitaliseringsminister Linda Hofstad Helleland er blant brukerne som har promotert den via regjeringens kanaler, men som blant annet Shifter har satt søkelys på er appen mest sannsynlig i strid med en rekke personvernlover og Helleland har i tillegg delt telefonlisten sin med den fra telefonen hun bruker både privat og til jobb.

Dette er selvsagt pinlig for en digitaliseringsminister, men samtidig er det ingen grunn til å bli alt for høy og mørk fordi dette er pinlig for mange andre av oss også: Blant dem som har lastet ned appen er norske redaktører, teknologitopper, journalister, næringslivstopper og sosiale medier-eksperter.

Lite selskap, store spørsmål

Selskapet bak Clubhouse, Alpha Exploration Co, har Ifølge Business Insider 12 ansatte, og på den ansiktsløse LinkedIn-profilen til grunnlegger Paul Davison oppgir han kun å ha jobbet som rådgiver for en kryptovaluta-børs før han startet firmaet som holder til i San Francisco.

Antakelig er utviklerne der like overrasket som alle andre over den enorme eksplosjonen av brukere de har hatt. Det eneste svaret på personvernkritikken de i skrivende stund har gitt til norske medier er at de ikke har tid til å svare.

Den virkelige gamechangeren

Økt fokus på lyd og levende bilder har vært blant de store endringene innen digital produktutvikling de siste årene, men den virkelig store gamechangeren er GDPR.

Bak de fire bokstavene skjuler det seg en lang rekker lover for EØS-området som sier at du eier dine data, ingen andre, og du kan kreve dem tilbake når som helst. I tillegg er det en rekke andre ting vi som benytter data i digitale produkter må ta høyde for og informere om for at vi skal være innenfor loven.

Frem til 2018 da GDPR trådte i kraft var det i stor grad vill vest, men selv om loven er etterlengtet er det for selskaper som lager nye produkter ressurskrevende å følge opp - både i form av å ha rett kompetanse og å ha intern båndbredde til å lage systemer som sørger for at dataene behandles riktig.

Hjerteskjærende naiv

Selskaper i USA har gjennomgående mindre interesse av å følge GDPR, da dette er en europeisk lov, og det kanskje mest avslørende ved Hellelands egen digitale kompetanse er ikke at hun har gjort noe uheldig ved å promotere en app som ikke tar personvern på alvor, men at hun i en kronikk i DN sier:

«Alle slike apper skal følge europeisk regulering, inkludert GDPR. Det forutsetter jeg også at denne plattformen gjør. Hvis Clubhouse ikke forholder seg til dette, kan de ikke tilby denne appen til EØS-borgere.»

En slik uttalelse fremstår hjerteskjærende naiv, men illustrerer også en del av de dilemmaene vi står oppe i - fordi det er grunn til å tro at svært mange produkter vi bruker hver eneste dag ikke følger GDPR, uten at de blir borte fra oss av den grunn.

Få er ufeilbarlige

Tyske myndigheter har i kjølvannet av Clubhouse-kontroversen kommet med denne uttalelsen, ifølge Shifter: «Dessverre skjer det gang på gang at tilbydere fra USA entrer det europeiske markedet eller ganske enkelt lykkes med deres produkter og tjenester i EU, uten å følge de mest grunnleggende kravene til databeskyttelse».

Da Mark Zuckerberg ble grillet i Senatet i 2018 sto det i de lekkede notatene hans: «Ikke si at vi allerede gjør det som GDPR krever» - med uthevet skrift. Om Facebook har kommet i mål ennå må tilsynsmyndighetene svare på, men det var mange medier som i 2018 fjernet Facebook som kommentarfelt av personverngrunner, inkludert til å ta mange, mange andre grep.

Samtidig har også norske medier tidvis tråkket i salaten så det singler fort i glasshus når man diskuterer dette - her er få av oss ufeilbarlige. Av de mer kuriøse tilfellene var da NRK Beta selv avslørte at NRK brukte et selskap til kommentarfelt som ikke var henhold til GDPR.

Konsekvent linje

Vi ser at tilsynsmyndighetene nå virkelig begynner å røre på seg, også i Norge. Datatilsynet varslet nylig et bot til datingappen Grindr på 100 millioner kroner. Det er drastisk skifte i størrelsen på bøter og frekvensen er også drastisk økt - det er allerede delt ut like mange bøter i år som i hele fjor.

Det som virkelig blir spennende er å se hvordan man skal klare å holde en konsekvent linje: Per Olav Nyborg i selskapet Traq sier ifølge Shifter at det Clubhouse gjør er mer alvorlig enn det Grinder nå er tatt på.

Clubhouse nevner ifølge eksperter Shifter har snakket med ikke en gang GDPR i sine retningslinjer, det er dermed også et spørsmål om de som deler sine telefonlister med selskapet også da selv bryter loven fordi de gir bort sine venners data uten at disse nødvendigvis har noen mulighet til å få den tilbake igjen.

«Clubhouse trodde jeg ville invitere psykiateren»

Teknologiskribent Will Oremus er blant dem som delte telefonlisten med Clubhouse og ble etterlatt med en emmen smak i munnen:

«Clubhouse trodde jeg ville invitere psykiateren som foreskrev ADHD-medisinen min til appen, og som jeg nå vet har 62 andre venner på Clubhouse. Heldigvis viser den meg ikke hvem disse 62 vennene er, men Clubhouse selv må vite dette og har denne informasjonen lagret i en database et sted».

Til tross for at jeg selv aldri har brukt Clubhouse har de ganske sikkert nå personopplysninger om meg, da jeg kjenner mange som har lastet den ned, og det er antakelig vanskelig for meg å få dette slettet. Jeg tror ikke selskapet bak Clubhouse har noe å tjene på å lekke dataen, og vi skal være forsiktige med å lage for ville hypoteser og worst case-scenarioer, men det er stor grunn til å tro at en liten gjeng i San Francisco nå har eller har hatt tilgang til mye potensiell sensitiv informasjon om norske næringslivstopper - inkludert vår statsråd for digitalisering.