Clubhouse was afgelopen februari opeens een razend populaire app. Hij is ook sympathiek: wie wil dat nou in coronatijd niet, lekker kletsen over en luisteren naar meer of minder serieuze onderwerpen? Dat klinkt aantrekkelijk maar Clubhouse schendt de privacy van haar gebruikers. En niet zo’n beetje ook!
In security.nl las ik dat de Franse privacy waakhond, de CNIL, terecht een onderzoek naar Clubhouse gaat doen naar aanleiding van een klacht over de app. Op Internet circuleert ook een Franse petitie tegen de app, ook hier is de boodschap: Clubhouse schendt de privacy van haar gebruikers.
Een puur Frans feestje dus die bezwaren? Nee, ook de Duitse toezichthouder heeft nogal wat kanttekeningen bij de app.
Privacyaspecten
Een eerste onderzoek door de CNIL maakte duidelijk dat het bedrijf achter de app geen vestiging in Europa heeft. Het nadere onderzoek moet duidelijk maken dat de AVG op Clubhouse van toepassing is. Het tweede onderzoek punt wordt dan of de app voldoet aan de AVG.
Het Amerikaanse Inc.com onderzocht de app en zag verschillende privacy issues.
Verplicht delen van je contactenlijst: onwettige verwerking
Het meest kwalijke privacy issue is mijns inziens dat jouw informatie zonder je medeweten gedeeld wordt. Deelnemers moeten namelijk hun hele contactenlijst uploaden om uitnodigingen te kunnen versturen. Er kan niet gekozen worden om alleen mensen die je uit wil nodigen te uploaden.
En ook dit is een inbreuk op de AVG. Bedrijven mogen geen persoonlijke gegevens gebruiken van een derde partij, tenzij die gegevens rechtmatig en met toestemming verkregen zijn.
Het kan dus dat jouw telefoonnummer in de database van Clubhouse zit zonder dat je zelf een account hebt. Als gebruiker kun je ook je Twitter en Instagram account koppelen. Je gegevens daarvan komen ook bij Clubhouse terecht.
Inmiddels heeft Clubhouse het delen van je contactenlijst niet meer verplicht. Maar de mogelijkheid om dit te doen bestaat nog wel. Waarmee het privacyrisico blijft bestaan. En, Clubhouse laat hier mee zien dat Privacy by Design bij hen nog niet bekend is.
Opname gesprekken in strijd met AVG en e-Privacy Verordening
Ten tweede: Clubhouse neemt de gesprekken op. De deelnemer kan geen opnames maken maar Clubhouse zelf kan dat wel en doet dat ook volgens hun privacy policy. Na afloop van de room wordt de opname gewist tenzij er een incident wordt gemeld. Als iemand dus een probleem rapporteert worden de opnames bewaard. De privacy policy geeft niet duidelijk aan wat er met de opnames gebeurt. Niet duidelijk is wie de opnamen kan beluisteren en onder welke voorwaarden.
En: de app heeft dus blijkbaar niet de gebruikelijke end-to-end encryptie, ze kunnen de opgenomen gesprekken beluisteren.
Dit is dus in strijd met de door de Raad van Europa aangenomen ePrivacy Verordening. Zoals je in de Nieuwsbrief kunt lezen geldt deze juist voor “over de top” diensten. De vertrouwelijkheid van informatie is gewaarborgd omdat partijen alleen rechtmatig in kunnen inbreken in de communicatie met toestemming van alle bij de partijen betrokken communicatie. De eisen voor de toestemming zijn die uit art. 4 van de AVG. Art. 25 AVG vraagt bovendien om Privacy by design en default. De mogelijkheid om de gesprekken op te nemen is dus in strijd met dit artikel.
Clubhouse voldoet dus niet aan de e-privacy richtlijn, noch aan de AVG.
Ten derde: je kunt je account niet zomaar opheffen. Dat kan alleen door een email naar de helpdesk te sturen. En dan moet je maar afwachten tot iemand actie onderneemt.
Clubhouse is bovendien gek op tracking cookies. Volgens de privacy policy worden cookies, pixels en tracking technologieën gebruikt om je gedrag in Clubhouse te volgen, maar ook je surfgedrag, zelfs als je de app niet actief gebruikt.
Clubhouse schendt de privacy van haar gebruikers. En niet zo’n beetje!
Clubhouse is gratis…ja, ja
Inmiddels weten we het wel, gratis bestaat niet. Dus waar verdient Clubhouse hun geld mee? De privacy policy houdt de mogelijkheid open om in de toekomst een advertentie of sponsorprogramma op te zetten. Volgens de privacy policy kan de app persoonlijke gegevens delen met huidige en toekomstige affilates.
Maar nu komt het: Clubhouse kan deze gegevens delen zonder je hiervan op de hoogte te stellen. Dat betekent dus dat je geen recht hebt om geïnformeerd te worden met wie Clubhouse je gegevens deelt. Hoezo AVG?
Kortom: mijn advies is om Clubhouse links te laten liggen. Hoe leuk de app ook is, Clubhouse schendt de privacy van haar gebruikers en treedt op allerlei manieren de AVG!