Op audio-app Clubhouse is privacy van gebruikers bijzaak




Meer dan een miljoen gebruikers – terwijl de applicatie alleen nog maar beschikbaar is voor de iPhone. De sociale audio-app Clubhouse is bezig aan een snelle opmars in Nederland, blijkt uit onderzoek van onderzoeksbureau MeMo² onder 2.500 Nederlanders. Ter vergelijking: Facebook heeft in Nederland zo’n 10,4 miljoen gebruikers, TikTok heeft er 1,7 miljoen, rapporteerde een ander onderzoeksbureau onlangs. Toch wordt Clubhouse al in het rijtje Facebook-Instagram-TikTok geschaard: in positieve én negatieve zin. Want hoewel de app populair is, zijn er ook privacyzorgen.1 Welke data verzamelt Clubhouse zoal?Clubhouse is een audio-app met zogenoemde rooms: live-bijeenkomsten die het midden houden tussen een podcast en een debatavond. Er zijn ‘sprekers’ op het podium en ‘toehoorders’ in de zaal die vragen stellen.

Lees ook een eerder artikel in NRC: ‘Nu moet Clubhouse de hype nog overleven’

Allereerst maakt Clubhouse tijdens de praatsessies tijdelijke geluidsopnames van rooms. Alleen als een gebruiker tijdens het evenement bij Clubhouse een overtreding meldt van de huisregels – zoals racistische of antisemitische uitingen – wordt de opname opgeslagen. De app slaat ook het gedrag van de gebruikers op: welke mensen volg je, en aan welke rooms doe je mee? Daarmee kan Clubhouse suggesties doen voor nieuwe rooms waaraan je kunt deelnemen. Verder vraagt Clubhouse bij het registreren om toegang tot de contacten op je telefoon. Zo kun je zien of je vrienden de app al hebben. Zo niet, dan kan je ze uitnodigen. 2 Is het een probleem dat Clubhouse al die data opslaat?„Dat Clubhouse audio opslaat, is best te verantwoorden”, zegt Sarah Eskens, die aan de Vrije Universiteit onderzoek doet naar technologie en recht. „Dat is nodig om de veiligheid op het platform te garanderen. Je kunt geen screenshots maken van audio.”Onderzoekers van de Stanford-universiteit ontdekten onlangs echter dat die tijdelijke audio-opnamen verwerkt worden op de servers van een Chinees databedrijf. Volgens Eskens mag Clubhouse alleen gegevens van EU-burgers buiten de EU verwerken als het daar een juridische grondslag voor heeft en als dit veilig gebeurt. In dit geval bestaat de kans dat de Chinese overheid meeluistert, zelfs zonder dat Clubhouse dit weet. Het bedrijf liet in een reactie aan Stanford weten „extra beveiliging te implementeren”.

Lees ook: ‘Gespreksapp Clubhouse niet meer toegankelijk vanuit China’

3Waar zoekt Clubhouse de grenzen van het toelaatbare nog meer op? Als een gebruiker Clubhouse toegang geeft tot zijn of haar contactenlijst, uploadt de app die gegevens naar een eigen server. Daar worden persoonlijke profielen opgebouwd van de contacten – mensen die dus zelf Clubhouse helemaal niet gebruiken. Volgens Eskens is die werkwijze een inbreuk op de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet. De app mag niet zomaar een database opbouwen met contactpersonen van Clubhouse-gebruikers. „Eigenlijk moeten al die mensen eerst toestemming geven.” Clubhouse gebruikt allerlei psychologische trucjes om gebruikers akkoord te laten gaan met het delen van hun contactenlijst. Zo is het woord ‘ja’ dikgedrukt en in een groter lettertype opgemaakt, en wijst een emoji van een vinger op de ja-optie. Daarmee ontstaat de illusie dat het delen van je adresboekje verplicht is. Eskens: „Dat mag niet: de keuze moet vrij zijn.” 4 Hoe gaan andere apps om met toegang tot contactpersonen? Apps in een fase van snelle groei hebben wel vaker maling aan privacyvoorschriften, ziet Jef Ausloos. Hij doet bij het Amsterdamse Instituut voor Informatierecht (IViR) onderzoek naar databescherming en privacywetgeving. In hun beginjaren bouwden Facebook en LinkedIn ook profielen op basis van de adresboekjes van gebruikers, om snel te groeien. „Wanneer die apps langer bestaan en genoeg gebruikers hebben, gaan ze hun privacybeleid pas in lijn brengen met de AVG”, zegt Ausloos. „Clubhouse vindt dit het risico op een boete blijkbaar waard.” Eskens heeft kritiek op de bestaande sancties voor privacyschendingen. „Als er al na een paar jaar een boete wordt uitgedeeld, hebben die apps al ruim de tijd gehad om een gebruikersbestand op te bouwen.” De boetes staan niet in verhouding tot de voordelen die de appbedrijven genieten van hun privacyschendingen, vindt Eskens. „Dit sluit niet aan bij de manier waarop deze diensten werken.” 5 Wie kan er actie ondernemen tegen Clubhouse, en gebeurt dat al?Elk EU-land heeft een eigen datawaakhond die toeziet op het naleven van de AVG. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Gewoonlijk ligt de verantwoordelijkheid voor de handhaving bij het land waarin het Europese hoofdkantoor van een techbedrijf gevestigd is. Omdat Clubhouse nog geen Europese vestiging heeft, kan elke nationale toezichthouder een onderzoek beginnen. Een Duitse toezichthouder heeft Clubhouse al vragen gesteld over privacy.Dat is vooralsnog geen groot probleem voor Clubhouse. Nationale privacytoezichthouders hebben vaak te weinig budget, stelt Ausloos, al nam de Tweede Kamer onlangs een motie aan om het medewerkersbestand van de Nederlandse AP uit te breiden van 184 naar 470 voltijdsbanen. „Maar stel dát de AP een onderzoek begint, dan zijn we makkelijk een half jaar verder”, zegt hij, „en dan heeft Clubhouse intussen een kantoor geopend in Ierland en kan de AP niets meer.”
De oprichters van Clubhouse ontwikkelden al eerder sociale apps die ‘de randjes opzoeken’
De oprichters van Clubhouse zijn de Amerikanen Paul Davison (40) en Rohan Seth (36). Clubhouse is niet de eerste sociale app die de twee bouwden. Zo maakte Davison Highlight, een app waarmee je berichtjes naar vreemden bij je in de buurt kan sturen. Rohan werkte eerst bij Google en zette vervolgens Memry Labs op, een bedrijf dat meerdere sociale apps maakte. Highlight werd in 2016 verkocht aan Pinterest, waar Davison vervolgens aan de slag ging, en Memry Labs werd in 2017 ook verkocht. Highlight, de app van Davison, kreeg veel kritiek: het zou stalkers en verkrachters een handje helpen. Davison zei toen tegen technieuwssite The Verge: „Als je niet een beetje de randjes opzoekt, mis je kansen. Vijftien jaar geleden zou het raar zijn geweest om je CV op internet te zetten. Dit is nieuw territorium, we zijn het aan het uitproberen.” Ook bij Pinterest, waar Davison daarna aan de slag ging, waren problemen met functies die Davison implementeerde. Content werd slecht gefilterd, waardoor gebruikers bijvoorbeeld pornografie konden uploaden.Clubhouse heeft intussen flink wat geld opgehaald: in april van vorig jaar stak techinvesteringsfonds Andreessen Horowitz 12 miljoen dollar (9,9 miljoen euro) in de app van Davison en Seth. Andreessen Horowitz is in 2009 opgericht door Marc Andreessen en Ben Horowitz. Beiden waren daarvoor al actief in Silicon Valley. Zo was Andreessen de mede-oprichter van de Netscapebrowser. Het fonds investeerde eerder al in Facebook, Reddit, Twitter en Pinterest.In januari van dit jaar volgde een tweede investeringsronde. Clubhouse haalde toen nog eens 100 miljoen dollar (83 miljoen euro) op.
AP: ‘Tekort aan mensen bij toezichthouders’
De Autoriteit Persoonsgegevens wil niet ingaan op individuele apps of bedrijven. Wel zegt de woordvoerder: „Onderzoeken naar privacyschendingen duren inderdaad lang. Dat heeft allereerst te maken met de personeelstekorten bij de toezichthouders. Die zijn gebonden aan juridische procedures die veel tijd kosten. Wij merken wel dat organisaties vaak snel een einde maken aan eventuele schendingen zodra de AP een onderzoek start. Het is dus belangrijk dat Europese toezichthouders genoeg mensen hebben om snel in te grijpen. Zodat appbouwers het niet in hun hoofd halen om een app te maken die jouw privacy verkwanselt.” Clubhouse zelf gaf aan geen tijd te vinden om op vragen in te gaan.

Nieuwsbrief
NRC Future Affairs

De spannendste stukken over de toekomst van tech, economie, klimaat en megatrends

Een versie van
dit artikel
verscheen ook in

nrc.next
van 8 maart 2021

Written by 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *