Amazon stuurt verkeerde WAV-bestanden van Alexa door bij data-aanvraag GDPR
Iedereen heeft, na ingang van de GDPR-wetgeving eerder dit jaar, het recht om zijn data op te vragen bij een organisatie die jou, als Europese gebruiker, toelaat tot zijn service. Als het gaat om data, dan gaat het ook echt om alle vormen van data die een bedrijf van jou op kan slaan. Zonder dat gebruikers het doorhebben slaan zowel Google als Amazon ook je vragen aan hun slimme assistenten op, of het nu gaat om een stembestand of vragen die je hebt getypt naar de assistent. Een Duitser heeft bij Amazon zijn data opgevraagd en het bedrijf leverde hem ook daadwerkelijk bestanden aan, waarmee ze zouden voldoen aan de wetgeving. Was het niet op een ‘klein’ pijnpuntje na, de webwinkelgigant stuurde namelijk met de aanvraag de bestanden van een andere Amazon klant mee, zo blijkt uit onderzoek van het Duitse CT.
In het onderzoek van het Duitse CT is het magazine op zoek gegaan naar de gebruiker waarvan de data per ongeluk naar de foute klant is gestuurd. Het slachtoffer schrok van het datalek, en dat zijn data van zijn Echo-speakers dus bij een andere klant terecht is gekomen. Het gaat echter niet alleen om audiobestanden, ook pdf’s en zoekopdrachten van de webwinkel zijn doorgestuurd naar de aanvrager van de data. In hoeverre er persoonlijke gegevens van de man zijn aangeleverd in het zip-bestand is niet bekend. Inmiddels zijn de bestanden wel verwijderd, dit werd al redelijk snel uitgevoerd na de melding van de klant, communicatie naar het slachtoffer kwam echter pas op gang na tussenkomst van het magazine.
Overtreding GDPR
Het is niet bekend of Amazon het datalek al bij de autoriteiten bekend heeft gemaakt, het zou het bedrijf immers wel eens geld kunnen gaan kosten. Amazon zegt dat het gaat om een menselijke fout, en dat dit slecht eenmaal heeft plaatsgevonden. Dat maakt echter niet minder dat Amazon hiermee in overtreding is van de GDPR, daarin staat namelijk dat bedrijven alles in hun macht moeten doen om datalekken te voorkomen. Is er toch een datalek, dan kan de rechter oordelen dat er een boete opgelegd moet worden, de hoogte van de boete is afhankelijk van de overtreding die het bedrijf begaat. Daarnaast kan het slachtoffer Amazon ook aanklagen voor het, zonder toestemming, verspreiden van zijn data. De kans is groot dat we nooit meer iets van deze zaak gaan horen, maar dat maakt het zeker niet minder ernstig.
Iedereen heeft, na ingang van de GDPR-wetgeving eerder dit jaar, het recht om zijn data op te vragen bij een organisatie die jou, als Europese gebruiker, toelaat tot zijn service. Als het gaat om data, dan gaat het ook echt om alle vormen van data die een bedrijf van jou op kan slaan. Zonder dat gebruikers het doorhebben slaan zowel Google als Amazon ook je vragen aan hun slimme assistenten op, of het nu gaat om een stembestand of vragen die je hebt getypt naar de assistent. Een Duitser heeft bij Amazon zijn data opgevraagd en het bedrijf leverde hem ook daadwerkelijk bestanden aan, waarmee ze zouden voldoen aan de wetgeving. Was het niet op een ‘klein’ pijnpuntje na, de webwinkelgigant stuurde namelijk met de aanvraag de bestanden van een andere Amazon klant mee, zo blijkt uit onderzoek van het Duitse CT.
In het onderzoek van het Duitse CT is het magazine op zoek gegaan naar de gebruiker waarvan de data per ongeluk naar de foute klant is gestuurd. Het slachtoffer schrok van het datalek, en dat zijn data van zijn Echo-speakers dus bij een andere klant terecht is gekomen. Het gaat echter niet alleen om audiobestanden, ook pdf’s en zoekopdrachten van de webwinkel zijn doorgestuurd naar de aanvrager van de data. In hoeverre er persoonlijke gegevens van de man zijn aangeleverd in het zip-bestand is niet bekend. Inmiddels zijn de bestanden wel verwijderd, dit werd al redelijk snel uitgevoerd na de melding van de klant, communicatie naar het slachtoffer kwam echter pas op gang na tussenkomst van het magazine.
Overtreding GDPR
Het is niet bekend of Amazon het datalek al bij de autoriteiten bekend heeft gemaakt, het zou het bedrijf immers wel eens geld kunnen gaan kosten. Amazon zegt dat het gaat om een menselijke fout, en dat dit slecht eenmaal heeft plaatsgevonden. Dat maakt echter niet minder dat Amazon hiermee in overtreding is van de GDPR, daarin staat namelijk dat bedrijven alles in hun macht moeten doen om datalekken te voorkomen. Is er toch een datalek, dan kan de rechter oordelen dat er een boete opgelegd moet worden, de hoogte van de boete is afhankelijk van de overtreding die het bedrijf begaat. Daarnaast kan het slachtoffer Amazon ook aanklagen voor het, zonder toestemming, verspreiden van zijn data. De kans is groot dat we nooit meer iets van deze zaak gaan horen, maar dat maakt het zeker niet minder ernstig.