Clubhouse – een “praat-app” overgewaaid uit de Verenigde Staten – zag het aantal downloads de afgelopen weken razendsnel groeien. Door de specifieke focus op audio in plaats van video’s en foto’s lijkt de app zich te ontwikkelen als een potentiële concurrent van Instagram en Facebook. Aan de andere kant duiken er steeds meer berichten op waaruit blijkt dat de app privacyrechtelijk gezien niet zo waterdicht is.

Zo roepen de privacyvoorwaarden een hoop vragen op en zijn reeds berichten verschenen dat de gegevens van gebruikers niet alleen worden opgeslagen in de VS, waar het moederbedrijf Alpha Exploration Co., Inc. zich bevindt, maar ook worden opgeslagen op servers in China. Dergelijke gebreken lijken de populariteit vooralsnog echter niet te stoppen.

1. Wat gaat er mis?

1.1 Toepasselijkheid van de AVG

Het is onduidelijk of Clubhouse uit gaat van de toepasselijkheid van de Algemene Verordening Gegevensbscherming. In haar privacyvoorwaarden wordt namelijk wel gesproken over aanvullende rechten op basis van wetgeving in Californië, maar over de AVG wordt met geen woord gerept. Op grond van de territorialiteitsbepaling uit de AVG volgt echter dat er sprake is van toepasselijkheid. Via artikel 3 lid 2 AVG is de AVG namelijk onverkort van toepassing op partijen die zich buiten de Unie bevinden die:

1. Goederen en diensten aanbieden in de Unie; of
2. Gedrag van betrokkenen in de Unie monitoren.

In geval van Clubhouse is zowel sprake van a) als b). Het aanbieden van de app an sich kan immers worden gezien als aanbieden van een dienst. Echter maakt Clubhouse, zo blijkt uit de Privacy Policy, ook gebruik van online volgtechnieken zoals cookies en device fingerprinting. Dit soort technieken worden gezien als monitoring-activiteiten aldus de EDPB. Overigens noemde de WP29 – voorganger van de EDPB – technieken zoals device fingerprinting een serieuze dreiging voor de bescherming van persoonsgegevens.

Organisaties die onder artikel 3 lid 2 AVG vallen, zijn verplicht een vertegenwoordiger in de Unie aan te wijzen. Een niet in de Unie gevestigde verantwoordelijke of verwerker die wel onder de AVG valt, maar geen vertegenwoordiger in de Unie aanwijst, schendt dus de verordening. Het is onduidelijk of Clubhouse een vertegenwoordiger in de Unie heeft.

1.2 Opslag in de VS en China

Aangezien Clubhouse zich in de VS bevindt, worden de persoonsgegevens daar verzameld. Daarnaast werden gegevens van gebruikers opgeslagen op servers in China. Dit zonder dat er aanvullende maatregelen zouden zijn genomen om die persoonsgegevens te beschermen tegen een afwijkende wettelijke bescherming. Dit is te meer bezwaarlijk nu het Europese Hof van Justitie vorig jaar nog oordeelde dat extra maatregelen benodigd waren om een doorgifte überhaupt te kunnen rechtvaardigen en de VS en China landen zijn die qua passende gegevensbeschermingswetgeving wel vaker onder vuur liggen. In de Schrems II-zaak ging het specifiek over de Amerikaanse gegevensbeschermingswetgeving.

1.3 Minderjarigen

Net als TikTok lijkt Clubhouse de fout te maken niet goed te controleren of minderjarigen de app gebruiken. Ondanks dat uit de voorwaarden volgt dat de app niet gebruikt mag worden door minderjarigen, is het mogelijk om je zonder al te veel moeite aan te melden.

Overigens lijkt Clubhouse ook op andere punten niet (volledig) te voldoen aan de AVG. Zo is het onduidelijk hoe lang bepaalde gegevens worden bewaard. Daarnaast worden contactpersonen van gebruikers verzameld indien de gebruiker toestemming geeft. Het is echter de vraag of die toestemming voldoet aan de vereisten van de AVG: door middel van kleuren en grote tekstblokken wordt de gebruiker als het ware naar ‘toestemming’ gelokt. Dat klinkt niet bepaald vrij. Daarbij komt dat die contactpersoon hier helemaal geen invloed op heeft.

2. Handhavingsmogelijkheden

Steeds vaker zien we dat apps of online tools eerst aan populariteit winnen en daarna pas gaan kijken naar relevante wetgeving die op hen van toepassing is. Veel gebruikers lijken niet onder de indruk van onrechtmatige verwerkingen en onderzoeken van autoriteiten. Als die al aan de orde zijn. In hoeverre kunnen gebruikers nog beschermd worden tegen apps zoals Clubhouse?

2.1 Organisatie niet gevestigd in EU: vrij spel voor toezichthouders

Een organisatie opererend van buiten de EU en zonder vertegenwoordiger op EU-grondgebied, kan privacyrechtelijk gezien door alle lidstaten afzonderlijk worden aangesproken of worden onderzocht. Hier lijken een aantal Europese toezichthouders ten aanzien van Clubhouse al gebruik van te hebben gemaakt; de Belgische GBA liet al eerder weten dat zij de werkwijze van Clubhouse wil onderzoeken. Ook de Hamburgse toezichthouder heeft vragen gesteld aan Alpha Exploration Co. De Franse CNIL kondigde aan een onderzoek te willen starten. De Franse autoriteit geeft aan te willen onderzoeken of de AVG van toepassing is.

2.2 Organisatie gevestigd in EU

Mocht een organisatie zoals Clubhouse wel een vestiging hebben de in de EU, dan is het in beginsel aan de toezichthouder van dat land waar de hoofdvestiging van de organisatie zich bevindt. Organisaties zonder vestiging, maar met een vertegenwoordiger, profiteren niet van het one-stop-shop regime: zij krijgen via hun vertegenwoordigers te maken met lokale toezichthouders in iedere lidstaat waarin zij actief zijn. Ierland en Luxemburg zijn populaire landen voor grote techbedrijven. Enerzijds zou beargumenteerd kunnen worden dat deze toezichthouders bedreven zijn in onderzoeken naar soortgelijke bedrijven. Anderzijds kan de capaciteit van de autoriteiten in landen zoals Ierland ervoor zorgen dat tijdig onderzoeken en handhaven achterwege blijft. Dat zien we ook bij de Nederlandse Autoriteit Persoonsgegevens (AP).

Dergelijke capaciteitsproblemen leiden steeds vaker tot de vraag of toezichthouders wel in staat zijn om de AVG te handhaven. Er zijn echter ook nog andere opties.

• Consumentenorganisaties

Ook consumentenorganisaties kunnen een rol spelen bij het onder de aandacht brengen van mogelijke inbreuken op privacy wet- en regelgeving. Recent nog heeft de Europese consumentenorganisatie ‘BEUC’ een klacht ingediend bij de Europese Commissie over de omgang met persoonsgegevens door TikTok. De klacht over TikTok werd ingediend op grond van artikel 27 van de Verordening 2017/2394 betreffende samenwerking tussen de nationale autoriteiten die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming. De AVG is niet opgenomen in deze verordening. De klacht over TikTok hield echter niet enkel verband met de AVG, maar ook met inbreuken op andere consumentenregelgeving. De klacht moet er in dit geval toe leiden dat (nationale) autoriteiten alsnog actie ondernemen.

Wellicht dat de Wet Digitale Markten hier ook nog wat meer beweegruimte in zou kunnen brengen, als de Europese autoriteiten het eens zijn geworden over de verdeling van de macht.

• Klachten van betrokkenen

Betrokkenen kunnen ook een melding doen bij de AP (of een andere toezichthouder in een andere lidstaat). Daarbij dient een onderscheid gemaakt te worden tussen een tip en een klacht. Een tip kan te allen tijden worden gegeven, maar dan volgt geen reactie van de AP of aan de hand van die tip een actie wordt ondernomen. Voor een klacht geldt dat daadwerkelijk persoonsgegevens van de klager worden verwerkt indien het vermoeden bestaat dat de organisatie zich niet houdt aan vereiste beschermingsmaatregelen. Ondanks dat de AP onderzoeken kan starten naar aanleiding van klachten, en het in die zin een effectief middel kan zijn, zijn er ook drempels. Een van die drempels is dat de AP wel verwacht dat de betrokkene eerst zelf contact opneemt met de betreffende organisatie. Een andere barrière is dat de huidige capaciteit van de AP onvoldoende blijkt om alle binnenkomende klachten te behandelen. De AP geeft aan dat de gemiddelde wachttijd per klacht momenteel een half jaar bedraagt.

• Massaschadeclaims

Een andere optie is de opkomst van massaschadeclaims. Bij een grootschalige inbreuk waar veel mensen bij betrokken zijn waarvoor ‘een aantasting in de persoon’ kan gelden, is goed denkbaar dat ten behoeve van benadeelden een massaclaim wordt geïnitieerd, bijvoorbeeld op basis van de Wet Afwikkeling Massaschade in Collectieve Actie (WAMCA) die per 1 januari 2020 van kracht is geworden. Weliswaar kunnen dergelijke procedures worden gezien als het “afkopen van fouten”, maar aan de andere kant kan geld wel degelijk een stimulans zijn voor organisaties om de weg naar compliance te versnellen.

3. Handhaving versus bewustwording

De vraag is of gebruikers van populaire apps als Clubhouse zich bewust zijn van de privacyrisico’s. De snelle toename van het aantal gebruikers kan er op wijzen dat gebruikers zich niet bewust zijn van de risico’s. Het kan ook zijn dat zij deze risico’s aanvaarden. Zo hebben de vermeende schendingen van TikTok niet (direct) geleid tot een daling van het aantal nieuwe gebruikers. Tevens kan een onderscheid gemaakt worden tussen het gebruik van social media apps in maatschappelijke context en de gevaren daarvan enerzijds en de privacyrisico’s die het gebruik met zich meebrengen ten aanzien van de organisaties achter de app’s die op deze manier allerlei gegevens van je verzamelen anderzijds. Met name dit laatste is minder zichtbaar voor betrokkenen.

De eerdergenoemde handhavingsmechanismen zien op de situatie waarin een betrokkene of een belangenorganisatie zelf een actie heeft geïnitieerd. Echter kan in aanvulling daarop mogelijk een (deel van de) oplossing worden gevonden in bewustwording. Er bestaat geen wet- of regelgeving die aangeeft wie verantwoordelijk is om burgers meer bewust te maken van privacyrisico’s.

Bijvoorbeeld de AP, de Consumentenbond en Rijksoverheid trachten daar wel aan bij te dragen. Zo bevat de website van de AP een aantal bewustwordingscampagnes. Ook de Consumentenbond heeft daar een pagina aan gewijd. Ook Rijksoverheid heeft een bewustwordingscampagne op de planning.

Met de campagne wordt beoogd om:

• Het privacy bewustzijn onder burgers te vergroten;
• Het handelingsperspectief te vergroten;
• De normering te versterkten.

Ten aanzien van bewustzijn wordt specifiek benoemd dat het gaat om bewustzijn ten aanzien van het gebruik van digitale applicaties. Ook wordt in het kader van bewustzijn het curriculum voor het primair en voortgezet onderwijs aangepast. In februari liet (demissionair) minister Dekker weten dat de overheidscampagne Horizontale Privacy is uitgesteld tot 2022 in verband met de coronacrisis. Ten aanzien van publiekscampagnes richt de overheid zich nu met name op onderwerpen die te maken hebben met de coronacrisis. Juist nu mensen hun tijd grotendeels digitaal doorbrengen en er een toename van social media gebruik is als direct gevolg van de coronacrisis, zou het ons inziens een uitgelezen kans zijn om de campagne nu uit te voeren.

Tot slot

Er zijn dus meerdere routes naar handhaving, die wellicht in een gemende vorm gebruik kunnen worden om uiteindelijk zowel de tech-platformen in lijn met de AVG te krijgen en tegelijkertijd de consumenten meer bewust te maken van online risico’s. Uiteindelijk kan dat leiden tot een betere balans tussen tech-platformen en haar gebruikers. Een dergelijke beweging zal echter nog wat tijd kosten, verwachten wij.

Dit blog is geschreven door Sophie Hendriks, met co-auteur Malu Westdorp en verscheen eerder op PrivacyWeb.