De dating-app Grindr moet zich gaan opmaken voor een groepsvordering, oftewel: een class action lawsuit. In het Verenigd Koninkrijk is een claim neergelegd door Austen Hays, een advocatenkantoor. De reden? Grindr deelde de gevoelige informatie van zijn gebruikers met derde partijen. Dit ging zelfs zo ver als hun HIV-status.
Grindr is een dating-app die vooral groot is onder homomannen. Het is wat meer seksueel ingestoken dan Tinder, wat ook te zien is op de profielfoto’s die wat meer naakt laten zien. Juist op een app die zo op vooral het seksdeel van daten is gefocust kan iemands HIV-status belangrijk zijn. Echter zou dat uiteraard nooit bij derde partijen terecht moeten komen, zeker niet als je daar geen nadrukkelijke toestemming voor hebt gegeven. De data werd gedeeld met onder andere marketing/advertentieplatforms Apptimize en Localytics.
Het advocatenkantoor schrijft: “De vordering beweert het misbruik van privé-informatie van duizenden getroffen Britse Grindr-gebruikers, waaronder zeer gevoelige informatie over hun HIV-status en laatst geteste datum.” Er zijn inmiddels een kleine 700 mensen die zich hebben aangemeld voor de class action. Het advocatenkantoor verwacht per persoon duizenden euro’s te kunnen claimen, omdat wat er is gebeurd in strijd is met de databeschermingswetten in het Verenigd Koninkrijk.
Deze rechtszaak is geen kwestie van of Grindr verkeerd zat. Dat weet het al. Het bedrijf heeft ook al aangegeven dat het inderdaad dit soort data deelde. Het zegt daarbij dat het niet voor adverteren was en zou inmiddels sinds 2019 geen gevoelige data meer delen. Opvallend is dat de bedrijven met wie de data werd gedeeld nooit aan de bel trokken, terwijl een HIV-status toch wel een heel duidelijk voorbeeld is van zeer gevoelige informatie waar je al gauw je wenkbrauwen bij zou optrekken, zou je denken. Het waren onafhankelijke onderzoekers die met dit nieuws kwamen, zo is te lezen op Github.
Grindr zegt dat het nooit persoonlijke gebruikersinformatie verkoopt of heeft verkocht aan derde partijen of adverteerders. Of dat echter zoveel beter is, dat een bedrijf je gevoelige data gratis rondstrooit, dat is een tweede. Het idee is juist dat je dat zelf moet kunnen delen als je dat wil, en dat is ook hoe het in eerste instantie was ingestoken. Je kunt met één druk op de knop met een potentiële date delen wat je HIV-status is en wanneer je dit voor het laatst hebt getest. Grindr deed dat echter ook voor je, weliswaar niet met je potentiële dates, maar wel met andere bedrijven, die Grindr in zijn statement nog wel ‘vertrouwde bedrijven’ noemt. De twee bedrijven zouden hebben geholpen met het testen en implementeren van een nieuwe functie voor de app genaamd HIV Testherinnering, waardoor de data met ze gedeeld werd. Uiteraard had Grindr hier op zijn minst voor geanonimiseerde data moeten kiezen, of misschien gewoon verzonnen data.
Op de nieuwe rechtszaak zegt Grindr dat het zich toelegt op het volgen van de dataprivacyregels die gelden, inclusief in het Verenigd Koninkrijk. “Grindr heeft nooit door gebruikers gerapporteerde gezondheidsinformatie gedeeld voor ‘commerciële doeleinden’ en heeft dergelijke informatie nooit te gelde gemaakt. We zijn van plan om krachtig te reageren op deze bewering, die lijkt te zijn gebaseerd op een onjuiste voorstelling van praktijken van meer dan vier jaar geleden, vóór begin 2020.”
De advocaten zien dat echter anders. Bovendien ging het niet alleen om de HIV-status, maar ook om de etniciteit van gebruikers en data over hun seksuele voorkeuren. In Noorwegen is Grindr al aangepakt door het delen van data met derden. Toen ging het niet om HIV-informatie, maar wel om IP-adressen, gender, leeftijd en de aanwezigheid op Grindr. Daar moest Grindr 6,5 miljoen euro door betalen. Het ligt dus in de lijn der verwachting dat Grindr ook het Verenigd Koninkrijk niet zomaar wegkomt met zijn statements. Maar daarover mag het hoger gerecht in Londen zich buigen.
