Ministre og næringslivstopper strømmer til Clubhouse: Personverneksperter slår alarm
Noen av landets fremste eksperter på personvern og GDPR har vurdert brukervilkårene til det sosiale lydmediet Clubhouse, og er svært kritiske. Nå krever tyske myndigheter svar fra selskapet bak tjenesten.
Alt fra Elon Musk til MC Hammer er der. Under ett år etter at appen Clubhouse ble lansert, har den tatt helt av, nå også i Norge - særlig blant journalister, politikere og entreprenører. Denne uka kastet også digitaliseringsminister Linda Hofstad Helleland seg på trenden, og arrangerte et møte hvor blant andre flere næringslivstopper deltok.
Men appen «hele verden» snakker om og i, anklages nå for å bryte med flere av de europeiske reglene knyttet til personvern og datainnsamling.
– Fra vårt ståsted bør man la være å installere en app med slike premisser, sier Per Olav Nyborg, daglig leder i Traq, til Shifter.
Traq er en startup spunnet ut av teknologiselskapet Skalar i fjor. Selskapet leverer «samtykke as a service»; en løsning som skal sikre korrekt registrering, lagring og forvaltning av samtykker, både internt i bedriften og for privatpersoner.
Både Traq og GDPR-advokat Vebjørn Søndersrød i Ræder har denne uken gått gjennom brukervilkårene til Clubhouse.
Ingen kontroll på egen data
– Det fremstår veldig uklart hva man egentlig samtykker til når man tar i bruk Clubhouse-appen. Spørsmålet man bør stille seg er: «Vil jeg gi bort dataene mine, inkludert opplysninger om kontaktene mine, til nok en sosial media-plattform?», sier Nyborg.
Samtykket, forklarer han, er kontrakten mellom deg som bruker og Alpha Exploration, selskapet bak Clubhouse, som er behandlingsansvarlig.
Av denne kontrakten skal det blant annet fremgå hvilke data som behandles og hvilke tredjeparter dine data blir delt med. Alpha Exploration kan derfor ikke dele dine data med noen andre enn det som fremgår av kontrakten.
– Med andre ord; det skal være tindrende klart for deg som bruker - til enhver tid - hvilke data som blir behandlet, og hvem de deles med, sier Nyborg.
– Det er, etter hva vi kan se, svært lite i Clubhouse-appen som tyder på at du har kontroll over dine egne data, legger han til.
Nyborg viser til følgendepunkter, men sier at det kun er et lite utdrag av de problematiske sidene ved vilkårene til appen:
- For å invitere brukere må man dele kontaktene på telefonen med Clubhouse. Man gir tilgang til alle kontakter. Alpha Exploration kan da samle personlige data om dine kontakter, til tross for at de ikke har samtykket til det - og selv om de ikke bruker appen.
- Det tyder på at det ikke bare er Alpha Exploration som kan være på kant med GDPR her. De brukerne som inviterer, og som gjennom dette gir appen tilgang til opplysninger om andre, handler uforsiktig. Man skal tenke nøye på hva man gjør før man lar appen få tilgang til for eksempel adresseboken.
- Det skal være like enkelt å trekke tilbake samtykket som å gi det. Det er vanskelig å se at dette er mulig å gjøre i appen, og det er heller ikke klart hva som vil skje hvis man trekker samtykket tilbake. Vil for eksempel Alpha Exploration slette de opplysningene som de hentet fra adresseboken din? Eller ikke?
- Dataene blir overført til Amerikanske servere uten eksplisitt samtykke, det er i strid med regelverket (Schrems II), hevdes det.
- Generelt ser det ut som at Clubhouse samler kommunikasjon og all aktivitet man gjør i appen.
Fullmakt til overvåkning
Også advokat og GDPR-ekspert Vebjørn Søndersrød i Ræder har studert personvern-policyen til Clubhouse, og han er langt fra imponert.
– Clubhouse har i sin personvernerklæring ikke nevnt GDPR overhodet, ei heller tatt inn GDPR-pliktig informasjon som den enkeltes rett til innsyn, retting, sletting av personopplysninger, påpeker han.
Han understreker at europeiske GDPR-regler gjelder for amerikanske Clubhouse, så lenge appen brukes av borgere i EU og EØS. Dersom personopplysningene som tjenesten henter inn skal brukes for eksempel i markedsføring, krever det et eksplisitt samtykke, der brukeren må si aktivt «JA TAKK».
– En tekst som sier at brukeren samtykker til all behandling beskrevet i en personvernerklæring ved å ta tjenesten i bruk, er ikke et gyldig samtykke etter GDPR.
I personvernerklæringen skriver Clubhouse-skaperne følgende:
«We may choose to collect information about how you use our Service, such as the types of conversations you engage in, content you share, features you use, actions you take, people or accounts you interact with, and the time, frequency, and duration of your use.»
– Dette høres skummelt ut. De sier de kan finne på å samle inn alle disse opplysningene om en bruker, herunder innhold som deles med andre og hvilke personer en bruker er i kontakt med. I klartekst betyr dette at de sier at de vil kunne monitorere og lagre informasjon om enhver samtale i appen, samt alle handlinger en bruker gjør i appen.
Hva brukes dataen til?
Søndersrød stiller spørsmål ved hva denne dataen skal brukes til.
– Dersom dette kun er lagring av historikk, ment for den enkelte brukers egen historikk, og Clubhouse ikke selv bruker dette til noe, så kan dette være greit og lovlig. Men personvernerklæringens manglende tydelighet etterlater tvil, og man kan her virkelig lure.
GDPR krever at personvernæringen skal oppgi formålet for datainnsamlingen, hva det skal brukes til, ikke minst hvilket rettslig grunnlag det skjer på.
– Det følger en lang liste over formål, men det er vanskelig for bruker å forstår hva loggingen av adferd og kommunikasjon skal brukes til, påpeker Søndersrød.
Clubhouse har ikke oppgitt «Markedsføring» som et formål, og personvernerklæringen tilsier at de ikke bruker samtaledata og adferdsdata til markedsføring, ifølge advokaten. Samtidig sier erklæringen at de lagrer opptak av samtalene midlertidig, men at disse bare skal brukes i undersøkelser av «incidents», og at de slettes i etterkant hvis ingenting blir rapportert inn.
– Her har Clubhouse vært tydelig på formålet (indicent investigations). Samtidig virker opplysningen skremmende, de sier de tar opp all samtaler som skjer i et rom. Dette er personverninngripende, og det kan diskuteres om formålet «supporting incident investigations» er tilstrekkelig til at dette er tillatt etter GDPR. Jeg vil anta at svaret er «nei», da opptak av et rom fremstår som svært inngripende.
– I alle tilfeller bør de opplyse brukere tydelig om dette, det vil si på tydelige steder inn i en personvernerklæring de færreste tross alt leser.
I personvernklæringen sies det også at Clubhouse bruker «contact information and (if you choose to provide us with access to it), your address book information to recommend other users and content and to recommend your account and content to others.»
– De har blitt kritisert for å samle inn brukeres lokale adressebok, imidlertid har de skrevet at dette bare skjer dersom bruker har gitt tillatelse. Forutsatt at samtykke innhentes på riktig måte, er dette trolig tillatt.
«Voldsomt og inngripende»
Mens Clubhouse ikke nevner «markedsføring» som formål i andre deler av personvernerklæringen, men i denne delen omtaler de at persondata kan bli delt i forbindelse med «advertising and marketing services»:
«Vendors and Service Providers: To assist us in meeting business operations needs and to perform certain services and functions, we may share Personal Data with vendors and service providers, including providers of hosting services, audio applications and infrastructure, cloud services, and other information technology services providers, event management services, email communication software and email newsletter services, advertising and marketing services».
– Jeg stusser veldig på at de bruker «advertising and marketing services». Basert på at de tidligere sier de logger alt en bruker gjør i appen, inkludert hvem man snakker med, tema for samtaler, kan man her begynne å lure.
Vebjørn Søndersrød mener informasjonen i erklæringen er vanskelig å forstå, og at selskapet trenger GDPR-samtykke på å behandle personopplysninger.
– «Terms og Privacy Policy» henter ikke inn et gyldig GPDR samtykke. Overvåkningen av all aktivitet i app fremstår som voldsomt og inngripende. Men, dette beviser ikke alene at Clubhouse medfører andre GDPR-brudd enn for dårlig og for vanskelig tilgjengelig informasjon. For å vurdere dette må man se på hvordan appen fungerer, herunder om personopplysninger brukes til profilering og markedsføring.
– Når dette er sagt: dette ser ikke bra ut, og det er grunnlag for å mistenke at dette ikke er greit. Og det er dekning for å hevde at en bruker umulig kan forstå hva som skjer av logging og bruk av brukers personopplysninger her.
Datatilsyn på saken
Denne uken kunne Shifter rapportere at det snart er delt ut like mange GDPR-bøter hittil i år, som i hele fjor. Dessuten har Datatilsynet varlset en bot på 100 millioner kroner til Grindr. Nyborg i Traq mener at bruddene i Clubhouse-vilkårene på flere områder er grovere enn i Grindr-saken.
Foreløpig har Datatilsynet ikke gjort egne undersøkelser av Clubhouse. Tilsynet viser imidlertid til søstervirksomheten i Hamburg og de øvrige datatilsynsmyndighetene i Tyskland. I forrige uke sendte de et krav til Clubhouse om redegjørelse av en rekke punkter, blant annet de Nyborg påpeker.
«Dessverre skjer det gang på gang at tilbydere fra USA entrer det europeiske markedet eller ganske enkelt lykkes med deres produkter og tjenester i EU, uten å følge de mest grunnleggende kravene til databeskyttelse i det europeiske digitale markedet», heter det i en uttalelse fra de tyske myndighetene.
«Ettersom vi har et felles personvernregelverk i EU og EØS, ser vi positivt på at andre tilsynsmyndigheter tar tak i amerikanske virksomheter og apper som slår seg opp i Europa. Det er et gode også for norske brukere,» skriver kommunikasjonsrådgiver Anders Ballangrud i Datatilsynet i en e-post til Shifter.
Shifter kontaktet Clubhouse, men selskapet har foreløpig ikke svart på våre spørsmål.