Clubhouse og det åbenlyse persondatasalg

Du har sikkert allerede hørt en del om det nye, hippe sociale medie Clubhouse. Jeg vil derfor ikke trætte dig med en præsentation af appen, som i skrivende stund kun tilbydes brugere af iPhones. Denne artikel vil i stedet se nærmere på særligt et aspekt ved Clubhouse, hvilket desværre er druknet i den nærmest religiøse halleluja-stemning, som fænomenet er omgivet af. For det er åbenbart de færreste, der forholder sig til noget så noller som persondatabeskyttelse, når der er godt gang i løjerne i klubhuset, hvor den eksklusive fest er i gang. Apropos beskyttelse: Det må være som at stå i start-80’erne og minde liderlige og berusede diskoteksgæster om at bruge kondom. Ikke en nem opgave, men jeg vil alligevel forsøge mig her.
Illustration: Kforum/Getty
Illustration: Kforum/Getty
I januar begyndte jeg at se opslag om et audiobaseret socialt medie kaldet Clubhouse. Jeg fandt tanken om et medie, hvor man alene kunne tale sammen, for absurd, men jeg blev også nysgerrig. Både fordi jeg arbejder med relationer, især med fokus på LinkedIn, og fordi jeg arbejder som GDPR-konsulent.
 

En for holdet

Det var primært med GDPR-hatten på, at jeg valgte at oprette en profil på Clubhouse – som en GDPR-konkollega formulerede det: Jeg tog en for holdet. Men det var ikke muligt at oprette en profil. I stedet blev jeg skrevet op ”i døren”. En anden mulighed var, at en i mit netværk, som havde registreret mit telefonnummer på sin mobil, sendte mig en invitation. Da jeg ikke lige vidste, hvem det kunne være, så blev jeg bare stående i køen foran klubben – i frostgrader. 
 
Efter et par dage blev jeg pludselig lukket ind i varmen. En, som havde registreret mit nummer, og som allerede var medlem, genkendte mig og hev mig ind. Jeg blev hurtigt tilbudt tre invitationer, som jeg kunne give videre til mine frysende venner ude i kulden. Det krævede dog lige en enkelt ting: Jeg skulle give Clubhouse adgang til min kontaktbog på min iPhone. Præcis som personen, der havde fået hevet mig ind, havde gjort. Og som stort set alle andre gør.  
 
Jeg afslog dog høfligt. Her er hvorfor.
 

Indsamling af persondata

Når du indsamler erhvervs-relateret persondata, fx på din mobil, så er du ansvarlig for de navne, telefonnumre og e-mailadresser, du propper i den. Også som privatperson. At være ansvarlig er ikke det samme som at eje de indsamlede personoplysninger. Så nej, det er ikke dine oplysninger. Du vil sikkert også synes, det er mærkeligt, hvis en påstod, at han/hun kaldte dit telefonnummer for ”sit”, blot fordi vedkommende havde det registreret i sin mobil. Med andre ord: Du har lånt kontaktoplysningerne, og det er som regel helt ok. 
 
For at komme ind i varmen hos Clubhouse skal man gennem en invitation godkendes til bruge deres service. Foto: Getty
 
Men hvad sker der så, når Clubhouse, lokkende med et par fribilletter i hånden, får adgang til disse oplysninger? Der sker en overdragelse. Selvom du bagefter blokerer for adgang til dine kontakter, så tyder alt på, at Clubhouse har taget en kopi – HAPS. Og det er faktisk helt ok – hvis du vel at mærke har indhentet et samtykke fra alle dem, du har registreret i din telefon. At du som dataansvarlig har givet samtykke, er ikke nok. Jeg gætter på, at du har flere hundrede, måske tusinde kontakter på din mobil. Du skal derfor indhente gyldigt samtykke fra alle ikke-private kontakter, inden du giver Clubhouse adgang til oplysningerne. Jeg vil vurdere, at chancen for, at det sker, er mindre, end at Trump inden udgangen af 2021 udgiver sin biografi med titlen ”Undskyld verden, jeg tog fejl – en narcissist taler ud”.
 

Hvad ved Clubhouse om dig?

Resultatet er, at folk i hobetal uden videre refleksion afleverer personoplysninger om deres kunder, familie, skilsmisseadvokat, psykolog, samarbejdspartner (fortsæt selv listen) som betaling for nogle fribilletter. Uden deres vidende. Indtil de selv skriver sig op i døren og bliver hevet ind, eller de ved egen drift efterspørger en invitation. Gad vide, hvor mange, der har hemmeligt nummer, som nu er givet i al fortrolighed?
 
Jeg har i øvrigt ladet mig fortælle, at når man overdraget ens kontakters kontaktoplysninger til Clubhouse, så kan man se, hvor mange andre, dog ikke hvem, som også har videregivet oplysningerne om en konkret person. Gad vide, hvor mange som har udleveret oplysninger om dig – der vel at mærke ikke ønsker at have noget med Clubhouse at gøre?
 

Den åbenlyse handel

Ved nogle klubhuse bliver der handlet med stoffer. I Clubhouse er det altså persondata, der åbenlyst handles med. Det åbenlyse har især udfoldet sig på diverse sociale medier, fx LinkedIn. Det i en grad, så jeg de sidste par uger uden problemer har kunnet passe min 9-årige søns sko.
 
På LinkedIn findes kilometervis af indlæg, hvor folk står i kø for at informere om deres nye eksklusive Clubhouse-medlemskab. Sådanne indlæg sluttes ofte af med noget i retning af: ”Jeg har i øvrigt lige et par invites – skriv, hvis du er interesseret”.  Der kunne jo også have stået: ”Jeg gav sgu lige en ny, ukendt amerikansk tech-virksomhed adgang til de kontaktoplysninger, jeg har registreret på min telefon, heriblandt sikkert dig. Men til gengæld fik jeg tre invites, som jeg nu allernådigst giver væk til værdigt trængende. Husk at sige tak.”
 
Der kan naturligvis være personer i blandt, som har fået indhentet samtykke. Eller benyttet en iPhone uden kontakter. Jeg gætter på, at det er en minoritet.
 

Defekte bremser

Det, der dog har overrasket mig mest, er de – ofte meget fagligt anerkendte – SoMe-eksperter, som i forskellige grad har slået på tromme for Clubhouse uden overhovedet at nævne risikoen for at komme i GDPR-mæssigt uføre. I min optik svarer det lidt til, at en bilforhandler forsøger at sælge en Porsche uden at gøre opmærksom på, at der vistnok er problemer med fx bremserne. Og nej, det nytter ikke at påstå, man ikke har forstand på bremser og derfor ikke kan vurdere, om der er et problem eller ej. Hvis man bliver opmærksom på et muligt problem, bør man lige nævne det, ik’? Og da i særdeleshed, hvis du ikke engang sælger bilen, men din viden om biler. 

 
En anden kritik af Clubhouse's er deres mangel på brug af "End to End kryptering". Foto: Getty 
 
Jeg har i denne artikel alene forholdt mig til delingen af kontakter. Men det er desværre langt fra det eneste problem med Clubhouse. Deres privatlivspolitik nævner ikke GDPR med et ord, og man forstår godt hvorfor, for mediet har så mange GDPR-defekter, at det aldrig vil kunne bestå et syn. Alexander Hanff har skrevet en glimrende artikel, der gennemgår de fleste af problematikkerne. Efter artiklen blev skrevet, er den første sag om hacking af rum i Clubhouse blevet rapporteret.
 

Ikke noget nyt problem

At videregive oplysninger som beskrevet her uden samtykke er en disciplin, som er blevet hyppigt dyrket, særligt med internettets indtog. Har jeg selv gjort det? Ja, da.
 
Men nu skriver vi 2021, og de sidste tre år har der været massiv fokus på persondatabeskyttelse. Markant mere end i de 18 år, den gamle persondatalov var gældende. På den baggrund havde jeg den naive tro, at bare lidt flere – særligt de professionelle SoMe-rådgivere – ville inddrage et absolut minimum af persondatabeskyttelse i deres rådgivning. Men vi har åbenbart langt endnu. 
 
Linda Hofstad Helleland fra Norge er en af dem, som har været med til at promovere Clubhouse. Da hun blev opmærksom på, at Clubhouse ikke overholdt GDPR, blev hun overrasket og udtalte: ”Men jeg legger til grunn at GDPR og europeisk lovgivning er fulgt når jeg bruker sosiale medier. Det er de også pliktige til å gjøre”. Der er lang vej endnu.
 
Fik jeg nævnt, at Linda Hofstad Helleland er Norges digitaliseringsminister. 

Del artikel

Tilmeld dig vores nyhedsbrev

Vær på forkant med udviklingen. Få den nyeste viden fra branchen med vores nyhedsbrev.

Forsiden lige nu

Læs også

Job