Åpen bakdør på Clubhouse
Brukerne av det sosiale lydmediet Clubhouse blir stadig flere. Personverneksperter advarer mot manglende åpenhet om hvordan personvern og datainnsamling håndteres.
Vebjørn Søndersrød, advokat i Ræder, har siden 2009 jobbet med problemstillinger knyttet til regler for personopplysninger.
Norske journalister, politikere, næringslivsfolk og kommunikasjonsrådgivere har de siste ukene i økede antall tatt i bruk det snart ett år gamle sosiale lydmediet Clubhouse der hele fokuset er på lyd og samtaler, fremfor tekst og bilder. Brukerne deltar i samtalegrupper og alt skjer der og da, det skal ikke tas opp lyd fra samtalene. Men hva om det gjør det, hadde du da som bruker visst om det?
- Hvis jeg var kommunikasjonsrådgiver og brukte Clubhouse så hadde jeg spurt meg selv om jeg var komfortabel med situasjonen som er rundt appen og personvern. Du kan nemlig ikke vite hva de bruker opplysningene de samler inn om deg til. Eller hvilke opplysninger dette er. Eller hvem de gir dem til.
Det sier advokat og GDPR-ekspert Vebjørn Søndersrød i advokatfirmaet Ræder. Søndersrød har, sannsynligvis i motsetning til de fleste som har lastet ned appen, studert personvernerklæringen til Clubhouse. Og han er bekymret over det han så. Og det han ikke så.
GDPR er ikke nevnt
- GDPR er ikke nevnt med et ord i personvernerklæringen. Og det er de pålagt å gjøre. De skal også forklare om dine rettigheter til innsyn og sletting av personopplysninger, påpeker Søndersrød, som har jobbet med ulike problemstillinger knyttet til norske regler for personopplysninger siden 2009.
- De forteller heller ikke hva deres tilgang til den enkelte brukers kontaktliste skal brukes til. Eller hvorfor de logger aktiviteten du har inne på appen. Det er et juridisk problem at de ikke forteller hva dataene de samler inn om deg skal brukes til.
Søndersrød spør seg også hva Clubhouse skal tjene penger på.
- Bruker de brukerdataene om deg som en vare?
Deling av kontaktlister
Et av de sterkeste ankepunktene, som Shifter nylig omtalte, er at for å kunne invitere andre brukere, må man dele kontaktene på telefonen sin med Clubhouse. Disse blir overført til amerikanske servere uten samtykke fra dem det gjelder. Dette er ikke tillatt ifølge europeisk lov.
Schrems II-dommen, oppkalt etter juristen og aktivisten Max Schrems som gikk til kamp mot personvernhåndteringen til Facebook og vant frem på EU-nivå, gjør at det ikke er tillatt for amerikanske selskaper som opererer i EU-land å overføre personopplysninger til USA.
Men det er sannsynligvis dette som skjer når du tillater Clubhouse tilgang til din kontaktliste, ifølge Vebjørn Søndersrød.
Selskapet Alpha Exploration Co står bak Clubhouse, som ble lansert i april 2020.
Datatilsynet følger med
Til Kom24 sier Datatilsynet at de ikke har foretatt noen juridisk analyse av det personvernrettslige i appen, men at de følger nøye med på hva datatilsynene i EU gjør. Datatilsynet i Hamburg og det italienske datatilsynet har sendt en rekke spørsmål til Clubhouse, ifølge Kom24.
- Hva bør man gjøre hvis man allerede har oprettet profil på Clubhouse og synes personvernhåndteringen er problematisk?
- Jeg er ikke selv bruker av appen. Men jeg vil tro du kan gjøre endringer selv for å gjøre bruken av appen mindre problematisk. For eksempel må du i den nyeste versjonen av operativsystemet IOS aktivt godkjenne at apper får tilgang til kontaktlisten din. Og så ville jeg sendt Clubhouse en forespørsel og spurt hva de skal bruke personopplysningene mine til? Hvem deler de dataene med? Når sletter de dem? sier Søndersrød.
- Mange bør være forsiktige
- Tror du det som har kommet frem om denne appen nå får brukerne til å endre atferd?
- Jeg tror den manglende transparensen i bruken av personopplysninger som nå er avdekket om Clubhouse vil gjøre noen folk mer bevisste om bruken av den. Men de fleste vil nok fortsette som før, tror advokaten.
Han kjenner ikke til om noen norske yrkesgrupper som så langt har fått pålegg om å være forsiktige med bruken av appen.
- Men det er mange som burde være det. Offentlig ansatte er underlagt taushetsplikt, og opplysninger på offentlig ansattes kontaktlister kan være taushetsbelagte. Journalister har et kildevern å opprettholde. Og advokater har taushetsplikt om klientforhold. Folk på et høyt nivå politisk bør spørre seg om det er klokt å dele kontaktlister som de ikke vet hvor ender, sier advokat Vebjørn Søndersrød.
Hva tror du skjer fremover, med det økte kritiske søkelyset på appen?
- Jeg er helt sikker på at Clubhouse vil få påbud om å gjøre endringer. Spørsmålet er bare hva slags endringer de må gjøre. De må nok begrunne loggføringen av alle bevegelser brukerne gjør og hva de skal bruke dette til. Og så må de begrense bruken av personopplysninger som de ikke har gode grunner til å bruke, sier advokat Vebjørn Søndersrød.
Han mener det er tvilsomt om det er lov å be om tilgang til kontaktlisten din. Dette kan anmeldes til Datatilsynet.
- De bryter nok GDPR-lovgivningen, så man kan gå til sak og kreve erstatning. Det kan også gjøres som et gruppesøksmål som vil kunne ha større gjennomslagskraft, sier Søndersrød, som selv har hatt løpende saker til behandling av Datatilsynet.
Kan en slik sak føres for retten?
- Det kan den definitivt.