Hoe zit het precies met je privacy op Clubhouse?

Clubhouse is een digitaal clubhuis waar mensen elkaar kunnen spreken en naar elkaar kunnen luisteren. Het succes ervan komt niet zonder groeipijnen. Met name de wijze waarop de app omgaat met de privacy van gebruikers leidt tot veel kritiek. Je privacy op Clubhouse, hoe zit dat precies?

De Europese privacywetgeving (Algemene Verordening Gegevensbescherming; AVG) is geldig als een partij persoonsgegevens verwerkt in de Europese Economische Ruimte (EER) of over personen in de EER. Daarbuiten geldt de privacywetgeving van de betreffende landen. 

Om betrokkenen dezelfde bescherming buiten de EER te bieden, gelden voor doorgifte van deze gegevens aanvullende regels. Zo kan doorgifte buiten de EER toegestaan zijn als de organisatie daarvoor de modelcontractbepalingen gebruikt, zogeheten Standard Contractual Clauses. Deze bepalingen zijn goedgekeurd door de Europese Commissie. Er is ook nog de mogelijkheid dat de Europese Commissie de doorgifte van persoonsgegevens naar een specifiek land, gebied of sector, op grond van een adequaatheidsbesluit, akkoord heeft bevonden. Op de website van de Europese Commissie staat een overzicht van alle landen waarvoor een adequaatheidsbesluit geldt. 

Geruime tijd gold er tussen de VS en de EU zo’n adequaatheidsbesluit, op grond waarvan doorgifte naar de VS was toegestaan. In de zomer van 2020 verklaarde het Hof van Justitie in de zaak Schrems-II het zogeheten Privacy Shield ongeldig. De rechten de EU-burgers bleken toch onvoldoende gewaarborgd in de VS, onder meer omdat de veiligheidsdiensten van de VS hier toegang tot hadden.

Het Privacy Shield is zodoende geen rechtsgeldige grondslag meer voor de doorgifte van persoonsgegevens naar de VS. Clubhouse geeft in het privacybeleid aan dat de gebruiker, door gebruik van de applicatie, toestemming geeft dat zijn of haar gegevens worden verwerkt in de VS. Doorgifte op basis van uitdrukkelijke toestemming is alleen mogelijk in uitzonderlijke omstandigheden en moet voldoen aan de strenge voorwaarden die de AVG daaraan stelt: (i) de toestemming moet specifiek voor een bepaald doel, (ii) vrij (zonder negatieve gevolgen) en (iii) actief worden gegeven. Enkel het gebruik van de de applicatie volstaat dus niet als toestemming. 

Verder dient de betrokkene (iv) vooraf te zijn geïnformeerd over eventuele risico’s van de doorgifte en moet deze bekend zijn met het beschermingsniveau dat in de VS geldt. Daar is door Clubhouse ook niet aan voldaan. Afgezien van de vraag of Clubhouse aan de voorwaarden voldoet om persoonsgegevens door te geven op basis van toestemming, wat wij betwijfelen, wordt evenmin voldaan aan de vereisten voor deze uitzondering. Toestemming van de Clubhouse-gebruiker is dus geen geldige grondslag voor doorgifte van persoonsgegevens buiten de EER.

Toestemming voor delen contactgegevens

Alleen met een uitnodiging van een bestaand Clubhouse-lid kan een nieuwe gebruiker een account aanmaken. Bij het aanmaken van een account vraagt Clubhouse om toegang tot contactgegevens. Zonder toegang kan de gebruiker geen account aanmaken. 

De contactgegevens verwerkt Clubhouse om de gebruikerservaring op verschillende manieren te verbeteren. Zo ontvangt een gebruiker een notificatie als een contactpersoon zich aanmeldt en wacht op een uitnodiging. Ook wordt de contactenlijst gebruikt om de gebruiker volgsuggesties te kunnen aanbieden.

Onder de AVG geldt dat persoonsgegevens alleen mogen worden verwerkt als de verwerkingsverantwoordelijke dat doet op basis van een wettelijke grondslag. Voor de verwerking van het adresboek lijkt Clubhouse zich te baseren op de toestemming van de gebruiker als wettelijke grondslag. Zoals in de vorige paragraaf is toegelicht, bepaalt de AVG dat de toestemming van de betrokkene (gebruiker) vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn gegeven. Toestemming wordt niet geacht vrijelijk te zijn verleend als de betrokkene geen echte of vrije keuze heeft of zijn/haar toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. 

De Europese privacytoezichthouders zijn het erover eens dat, indien toestemming is opgenomen als een niet-onderhandelbaar onderdeel van de voorwaarden, deze toestemming niet vrijelijk is verleend. In dit geval kan dus beargumenteerd worden dat de gebruiker niet echt vrij is om toestemming te geven; bij weigering van de toestemming kan immers geen gebruik worden gemaakt van de app.

Rechten van betrokkenen 

Tot slot hebben betrokkenen op grond van de AVG rechten om controle te houden over de verwerking van hun data. Zo bestaat onder meer het recht op inzage van de verwerkte persoonsgegevens, het recht op bezwaar tegen bepaalde verwerkingen van persoonsgegevens en het recht op dataportabiliteit (recht om gegevens over te laten dragen aan een derde partij). Betrokkenen dienen hierover expliciet en met toelichting te worden geïnformeerd door de verwerkingsverantwoordelijke.

Dat het moederbedrijf van Clubhouse in de VS gevestigd is, doet niet af aan de toepasselijkheid van de AVG. Er worden immers gegevens verwerkt van betrokkenen die zich binnen de EER bevinden. Desondanks geeft Clubhouse niet aan of betrokkenen binnen de EER zich ook op enige rechten kunnen beroepen. Clubhouse noemt alleen dat inwoners uit California bepaalde rechten hebben. Deze rechten worden vervolgens summier opgesomd. Het recht op dataportabiliteit, zoals opgenomen in de AVG, ontbreekt. De Europese betrokken worden dus onvoldoende geïnformeerd over de rechten die zij hebben op grond van de AVG.

Conclusie

Opgesomd:

- Clubhouse informeert in zijn privacybeleid niet welke waarborgen het neemt voor de doorgifte van persoonsgegevens naar de VS.

- Toestemming als wettelijke grondslag voor de verwerking van het adresboek van gebruikers lijkt niet aan alle gestelde wettelijke vereisten te voldoen, omdat de gebruiker bij weigering geen gebruik kan maken van de applicatie.

- Betrokkenen binnen de EER worden onvoldoende geïnformeerd over de rechten die zij hebben op grond van de AVG.

Na de storm van kritiek heeft Clubhouse in februari beterschap beloofd. Uit de laatste versie van het privacybeleid van Clubhouse (5 april 2021) blijkt dat er nog verbetering kan worden doorgevoerd.

Clubhouse voldoet met zijn privacybeleid immers nog niet aan de vereisten als gesteld onder de AVG. Deze kritische signalen zijn inmiddels ook al opgepakt door de Franse privacytoezichthouder. Na aanleiding van klachten heeft de toezichthouder aangekondigd een onderzoek te starten naar Clubhouse.

Tekst: Jesse Vermeij en Jacintha van Dorp (SOLV Advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Apps

Tags: privacy, privacymeetlat, clubhouse