ActuaAppsHoe veilig is Clubhouse? Wat zijn de risico’s van deze nieuwe app?

23 februari 20210
https://ministryofprivacy.eu/wp-content/uploads/2021/02/dmitry-mashkin-EHvk2d2vAuQ-unsplash-1-1280x960.jpg
TL;DR: Clubhouse is een 'audio-only' sociaal mediaplatform. Men kan enkel lid worden via een uitnodiging, wat resulteert in het openstellen van het contactenboek van diegene die enkele 'vrienden' uitnodigt. Dat zorgt ervoor dat Clubhouse beschikt over te veel informatie van niét-gebruikers. De privacyverklaring is onduidelijk. Dark patterns worden gebruikt om gebruikers te verleiden hun contactenboek open te stellen (anders zijn er geen invites mogelijk). Er zijn verschillende praktijken onbekend (infrastructuur, opname van gesprekken, onzekerheden met betrekking tot wissen van deze data). Voorzichtigheid is geboden - maar dat is óók het geval voor de meeste sociale media-apps.

De hype van het moment. 

‘FOMO’. The Fear of Missing Out. Het helpt bedrijven om de broodnodige ruchtbaarheid te geven aan nieuwe producten. Zeker nieuwe sociale mediaplatformen zijn quasi gedoemd om te mislukken, de macht en het monopolie van Zuckerberg en co. is simpelweg te groot, te machtig.

Dus dan doen we het maar op de aloude marketingmanier: men creëert kunstmatige schaarste. Dat exclusief gevoel dat je ‘ergens bijhoort’ heeft sociale mediagiganten geen windeieren gelegd.

In die optiek volgt Clubhouse een bekend en beproefd recept. De applicatie is ook enkel te gebruiken voor iOS-gebruikers, en dus niet voor Android (die toch – volgens de meest recente cijfers – een marktaandeel van 71,93% heeft). Het ‘premium‘-gevoel (we gebruiken nogal wat aanhalingstekens in deze tekst) zorgt ervoor dat mensen snel een account nemen, snel doorklikken naar ‘Geef toestemming tot je contactenboek’, en verder niet al te veel vragen stellen bij het privacybeleid van een nieuwe app.

We gaan hier niet in op het feit of Clubhouse al dan niet nuttig is. Wie had gedacht dat een soort mix van podcasting en Zoom-applicatie een hit zou worden in 2021, had wellicht op enig hoongelach kunnen rekenen. Ondertussen haalde de applicatie in januari al (Series-B funding) een bijkomend bedrag van 100 miljoen dollar op, na een A-serie van 10 miljoen dollar (in mei 2020).  De app is het werk van Paul Davison en Rohan Seth, waarbij die laatste overigens… ex-Google is.

Grote centjes, grote belangen. En dan neemt privacy al snel een back seat.

Je privacy

Je kan over alles zagen. Het aantal sociale media-apps die het goed voorhebben met je privacy zijn maar dun gezaaid. Clubhouse had natuurlijk wel kunnen inspelen op de hernieuwde belangstelling binnen tech voor privacy (zie ook het gevecht tussen Apple en Facebook), maar heeft dat vooral niét gedaan. Snel gebruikers binnenhalen en investeerders tevreden stellen, rijmt niet altijd met de zorgen voor privacy – die laatste brengen maar weinig op, geloof ons maar.

Clubhouse had perfect privacyvriendelijk kúnnen zijn. Het is het niet.

Bij een nieuwe applicatie is er natuurlijk altijd ook belangstelling. Zijn we niet allemaal een beetje ‘moe’ om te horen over de privacy-inbreuken van Zuckerberg? We weten het ondertussen toch al dat de blauwe beer heel wat van onze data steelt?

Uiteraard is Clubhouse maar één van de vele bedrijven die slordig omspringen met onze persoonsgegevens. Ze staat nu eenmaal in de kijker, en dat betekent ook dat we heel wat vragen krijgen over deze app. En dan zorgen we maar wat graag voor de nodige antwoorden.

Kort: neen, Clubhouse is niet goed voor je privacy. Zorgwekkend is echter dat je niet alleen jezelf blootstelt (dat kies je immers nog altijd zelf), maar vooral ook anderen – die geen gebruiker zijn, en die niet weten dat je hun telefoonnummer deelde met het bedrijf.

Je contacten, je vrienden. 

We schreven het al: je krijgt een uitnodiging voor Clubhouse. Hoera! Dat impliceert dat Clubhouse je nummer heeft verwerkt zonder jouw toestemming. Daar is géén grond voor te vinden binnen de GDPR, dus dat wringt al op Europees niveau.

Maak je een account aan, dan zal je merken dat de app bij registratie heel snel toegang vraagt tot je contactenboek. Dat is nodig, zeggen ze, om je volgers aan te raden en voor de ‘goede werking’ van de app. Weiger je dat – en dat kan gelukkig wel -, dan zal je merken dat bepaalde functies niet beschikbaar zijn.

Een nieuwe gebruiker krijgt immers een aantal invites. Je kan echter onmogelijk iemand uitnodigen, zonder meteen volledige toegang tot je contactenlijst te geven. En dat is zéker voer voor een stevige boete. Sta je Clubhouse toe je contactenlijst te scannen, dan gebeuren er een aantal zaken: eerst en vooral archiveert Clubhouse al je contacten op hun servers. Twee: men kijkt wie er al gebruiker is, en je krijgt de kans om je contacten te volgen. Drie: je contacten worden bewaard om invites mogelijk te maken.

De gouden raad van tante Ministry: geef géén toegang tot je contactenlijst. We weten het wel, het is verleidelijk. Wie wil er nu niét zoveel mogelijk volgers? Maar dat kan ook op een andere manier: je kan je ‘handle‘ delen op andere sociale media (de ironie, we weten het), volgers van volgers gaan bekijken, enzovoort. Je kan maar moeilijk van je volledige contactenlijst toestemming gaan vragen.

In een recent gesprek op Clubhouse gaf de Minister van Justitie, Vincent Van Quickenborne, aan dat hij werd uitgenodigd door een oude bekende (een ‘vrachtwagenchauffeur’) die zijn nummer had. Quickie is natuurlijk een grote fan van technologie (kwinkslag), dus problematisch was het voor hem niet, maar dat geldt natuurlijk niet voor iedereen. Hou je contacten te vriend, en zadel hen niet op met privacyrisico’s.

Opnames

Clubhouse neemt gesprekken op. Dat lees je goed: het bedrijf neemt je gesprekken op. Dat gezegd zijnde – en volgens haar, want veel bewijs ervoor is er niet -, enkel van de sprekers in de ‘room’ (dus niet de luisteraars met gedempte microfoon), én enkel tijdelijk (om klachten te kunnen beoordelen over gesprekken in de kamer). Zijn er geen klachten, dan wordt de audio gewist van de servers.

We kunnen onmogelijk nagaan of Clubhouse ook werkelijk doet wat ze zegt, al zijn er natuurlijk ook praktische zaken die in het voordeel van Clubhouse spreken. Ten eerste kost data geld. Audiobestanden zijn weliswaar helemaal niet zo groot als videobestanden (zeker wanneer er compressie op los gelaten wordt), maar dat wil niet zeggen dat ze helemaal niets innemen op een serverpark. Ten tweede, loont het de moeite voor het bedrijf om alle gesprekken toch stiekem te archiveren? Heeft het bedrijf er belang bij?

Zekerheid is er niet. Wees je ervan bewust dat kamergesprekken worden opgenomen, deel geen gevoelige informatie over jezelf, vrienden of familie. Zeg niets wat je niet tegen je schoonmoeder zou zeggen. Zoiets, dus.

Dark patterns en privacy policy

Clubhouse maakt gebruik van heel wat dark patterns om gebruikers toch te overtuigen om zoveel mogelijk data weg te geven. Knoppen die wat groter of kleiner staan (naargelang het voordeel of nadeel voor Clubhouse), het ontbreken van privacygrendels binnen de app, het koppelen van sociale mediaprofielen zoals Twitter en Instagram (er is géén voordeel voor de gebruiker om dit te doen, behalve – rara – voor Clubhouse zelf. Clubhouse krijgt bijvoorbeeld op Twitter de machtiging om tweets te lezen, plaatsen, je volgers te bekijken enzoverder. Allemaal handig voor een startend sociaal mediaplatform, maar niet zo heel erg voor jezelf).

Ook hun privacy policy is nogal… bizar. Als je via de instellingen van de app de ‘privacy policy’ aanklikt, kom je uit op een document dat gepubliceerd staat op… Notion (een ander webplatform). De privacy policy is enkel beschikbaar in het Engels, wat een inbreuk uitmaakt op de GDPR.

Clubhouse – of juridisch bekeken, liever ‘Alpha Exploration Co.’ – belooft je data niet verder te verkopen. Maar delen met partners en advertentiebedrijven? Ah, dat wel!

De policy is verder helemaal niet GDPR-conform. Een aantal essentiële zaken ontbreken, zoals DPO-contact (bij wie je terecht kan voor privacyvragen), doorverwijzing naar de lokale data-autoriteiten (zoals de GBA in dit land), et cetera. Dit kan (en zal) sowieso leiden tot boetes en ‘tikjes’ van geïrriteerde data-autoriteiten.

De privacy policy van Clubhouse is helemaal niet GDPR-conform. Amerikaans, maar niet Europees dus.

Goed, privacyverklaringen zijn niet allemaal even netjes, en er zijn veel bedrijven die zondigen tegen de essentiële regels. Maar als Clubhouse graag heel snel volwassen wil worden, dan is er ook – en vooral – werk aan hun privacybeloftes.

Kan je eigenlijk wel weg uit het Clubhouse-café? 

Nemen ze die niet weg, dan zou het wel zomaar eens kunnen – eens de hype afneemt, vanzelfsprekend – dat Europese consumenten die nét iets kritischer omgaan met hun privacy, al weer heel snel zullen afhaken.

O, hoe je precies afhaakt: dát weten we niet. De applicatie biedt niet de mogelijkheid om je account en data onherroepelijk te wissen, enkel om de verbinding met je Twitter of Instagram door te knippen, of om uit te loggen.

Het lijkt erop dat je eens binnenstapt in het Clubhouse-café, je niet snel meer buiten raakt. Je bent gewaarschuwd.

Belangrijk: Ministry of Privacy zal nooit software promoten of een ‘seal of approval’ geven. Als privacystichting waarschuwen we voor mogelijke problemen en privacy-inbreuken, en willen we die maximaal proberen te remediëren. Lees meer over onze taken hier

 

Ministry of Privacy

Leave a Reply

Your email address will not be published. Required fields are marked *

https://ministryofprivacy.eu/wp-content/uploads/2020/01/logo-web.png
Neem je privacy terug in handen
Contact
Private Stichting
Nr. 0716.922.347
+32 9 320 00 34