Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
Herinner je je dat je als kind waarschijnlijk een favoriet speelgoed had, dat je altijd gezelschap hield. Zoals Christopher Robin Winnie the Pooh had en je verbeelding eindeloze avonturen creëerde? Wat kan er onschuldiger zijn dan dat? Wel, laat me je voorstellen aan mijn vriendin Cayla.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Cayla werd verkozen tot speelgoed van het jaar in landen wereldwijd. Ze verbindt met het internet en gebruikt spraakherkenningstechnologie om vragen van je kind te beantwoorden en reageert net als een vriend. Maar de kracht ligt niet bij de verbeelding van je kind. Het ligt eigenlijk bij het bedrijf dat massa's persoonlijke informatie vergaart terwijl je gezin zich van geen kwaad bewust er thuis op los praat. Een gevaarlijk vals gevoel van veiligheid. Die zaak deed de alarmbellen bij me rinkelen. Het is mijn job consumentenrechten te beschermen in mijn land. Met miljarden apparaten als auto's, energiemeters en zelfs stofzuigers die tegen 2020 online zullen gaan, vonden we dit een zaak die verder onderzoek waard was. Want wat deed Cayla met al de interessante dingen die ze leerde? Had ze een andere vriend waar ze trouw aan was en haar informatie mee deelde? Ja, je raadt het correct. Dat had ze. Om met Cayla te spelen, moet je een app downloaden om al haar functies te gebruiken. Ouders stemmen toe met voorwaarden die kunnen wijzigen zonder kennisgeving. De opnames van het kind, haar vrienden en familie, kunnen gebruikt worden voor gerichte reclame. En al deze informatie kan gedeeld worden met ongenoemde derde partijen.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
Genoeg? Niet echt. Iedereen met een smartphone kan verbinding maken met Cayla binnen een bepaalde afstand. Toen we dit voorlegden aan het bedrijf dat Cayla maakt en programmeert, gaven ze een reeks verklaringen dat iemand een IT-specialist moet zijn om de veiligheid te doorbreken. Zullen we die uitspraak verifiëren en samen Cayla live hacken? Hier is ze. Cayla is voorzien van Bluetooth, dat tot 18 meter uitzendt, een beetje minder als er een muur tussen staat. Dat betekent dat ik, of elke vreemde, met de pop kan verbinden van buiten de kamer waar Cayla en haar vrienden zijn. Om dit te illustreren, ga ik Cayla inschakelen. Laten we kijken, één, twee, drie. Zo, ze staat aan en ik heb een collega gevraagd om buiten te gaan staan met zijn smartphone. En hij is verbonden. Om dit een beetje enger te maken ...
(Laughter)
(Gelach)
let's see what kids could hear Cayla say in the safety of their room.
Laten we kijken wat kinderen Cayla kunnen horen zeggen, veilig in hun kamer.
Man: Hi. My name is Cayla. What is yours?
Man: Hallo. Mijn naam is Cayla. Wat is jouw naam?
Finn Myrstad: Uh, Finn.
Finn Myrstad: Finn.
Man: Is your mom close by?
Man: Is je moeder er?
FM: Uh, no, she's in the store.
FM: Neen, ze is in de winkel.
Man: Ah. Do you want to come out and play with me?
Man: Kom je buiten met me spelen?
FM: That's a great idea.
FM: Dat is een geweldig idee.
Man: Ah, great.
Man: Geweldig.
FM: I'm going to turn Cayla off now.
Ik zet Cayla nu uit.
(Laughter)
(Gelach)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
We hadden geen wachtwoord nodig en moesten geen andere soort beveiliging omzeilen. We publiceerden een verslag in 20 landen wereldwijd, waarin we dit serieuze gebrek aan veiligheid blootlegden, en veel andere problematische zaken. En wat gebeurde er? Cayla werd verboden in Duitsland, van de winkelrekken gehaald door Amazon en Walmart en ze ligt nu vredig te rusten in het Duitse Spionagemuseum in Berlijn.
(Laughter)
(Gelach)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Maar Cayla was ook te koop in winkels over de hele wereld, nog langer dan een jaar nadat we ons verslag publiceerden. Wat we blootlegden, is dat er weinig regels zijn die ons beschermen en degene die we hebben, worden niet behoorlijk afgedwongen. We moeten de veiligheid en privacy van deze toestellen juist krijgen, alvorens ze op de markt komen. Want waarom een huis afsluiten met een sleutel als iedereen binnen kan met een verbonden toestel?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Je mag dan wel denken: "Dit zal mij niet overkomen. Ik koop deze foute toestellen gewoon niet." Maar dan ben je nog niet veilig. Want door simpelweg op het internet te gaan, word je in een onmogelijke te-nemen-of-te-laten positie geplaatst.
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Ik toon het jullie. Zoals de meesten onder jullie, heb ik een dozijn apps op mijn gsm, en wanneer correct gebruikt, maken ze ons leven makkelijker, handiger en misschien zelfs gezonder. Maar zijn we in een vals gevoel van veiligheid gesust? Het begint simpelweg bij het aanvinken van een vakje. We zeggen: "Ja. Ik heb de voorwaarden gelezen." Maar heb je de voorwaarden echt gelezen? Ben je zeker dat ze niet te lang leken en was je batterij bijna plat? Of toen je het toch probeerde, waren ze onmogelijk te begrijpen en had je die app gelijk nodig? Zo krijg je een machtsonevenwicht, want we hebben toegestaan dat onze persoonlijke informatie verzameld wordt en gebruikt op een onvoorstelbare schaal.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
Daarom besloten mijn collega's en ik om er eens nader op in te gaan. We gingen de voorwaarden lezen van populaire apps op een doorsnee telefoon. En om de wereld te tonen hoe onrealistisch het is om te verwachten dat consumenten de voorwaarden echt lezen, hebben we ze uitgeprint, meer dan 900 pagina's, en gingen ze in ons kantoor luidop lezen terwijl we het experiment live op onze website uitbrachten. Zoals je kan zien, duurde het lang. Het duurde 31 uur, 49 minuten en 11 seconden om de voorwaarden te lezen op een doorsnee gsm. Dat is langer dan een filmmarathon van alle 'Harry Potter' en 'Godfather' films samen.
(Laughter)
(Gelach)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
En lezen is één ding. Begrijpen is nog een ander. Dat zou ons nog veel meer tijd hebben gekost. Dat is een serieus probleem, want bedrijven hebben gedurende 20 tot 30 jaar lang tegen een betere regulering van het internet geargumenteerd, omdat gebruikers instemden met de voorwaarden en bepalingen.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Zoals we met dit experiment aantoonden, kan je bijna onmogelijk een geïnformeerde toestemming geven. Vind je het terecht om de verantwoordelijkheid bij de consument te leggen? Ik niet. Ik vind dat we minder 'alles of niets' moeten eisen en meer begrijpbare voorwaarden voordat we met ze toestemmen.
(Applause)
(Applaus)
Thank you.
Dank je.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Ik wil jullie graag een verhaal over liefde vertellen. Enkele van de meest populaire apps wereldwijd zijn dating-apps. Een industrie die nu meer dan drie miljard dollars per jaar waard is. Natuurlijk vinden we het oké om onze intieme details te delen met onze wederhelft. Maar wie snuffelt er mee, slaat onze informatie op en deelt ze terwijl wij onze ziel blootleggen? Mijn team en ik besloten dit te onderzoeken. Om deze zaak vanuit alle hoeken te begrijpen en om écht grondig te werk te gaan, besefte ik dat ik zelf een van 's werelds populairste apps moest downloaden.
So I went home to my wife ...
Dus ging ik naar mijn vrouw ...
(Laughter)
(Gelach)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
Ik was net gehuwd. "Is het oké dat ik een profiel aanmaak op een erg populaire dating-app voor een puur wetenschappelijk doel?"
(Laughter)
(Gelach)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
Dit ontdekten we. Verscholen achter het hoofdmenu was een reeds aangekruist vakje dat de dating-app toegang gaf tot al mijn persoonlijke foto's op Facebook, in mijn geval meer dan 2.000 foto's en sommige waren erg persoonlijk. Om de zaken nog erger te maken, toen we de voorwaarden lazen, ontdekten we het volgende -- hier heb ik even mijn leesbril voor nodig -- ik lees het even voor, want het is ingewikkeld. Oké.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
"Door het posten van inhoud" -- en inhoud verwijst naar je foto's, chat en andere interacties op de datingdienst -- "als deel van de dienst geef je het bedrijf, zijn partners, licentiehouders en opvolgers automatisch een onherroepelijk" -- dit betekent dat je niet van gedachte kan veranderen -- "voortdurend" dit betekent voor eeuwig -- "niet-exclusief, overdraagbaar, sublicencieerbaar, volledig betaald, wereldwijd recht en licentie op gebruik, kopie, opslag, voordracht, tentoonstelling, reproductie, opname, afspelen, bewerking, aanpassing en verspreiding van inhoud, het maken van afgeleide werken van de inhoud of opname in andere werken en toestemming van sublicenties van het bovengemelde in eender welke media die vandaag gekend is of hierna opgericht."
([Hijgt)
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Dat betekent in feite dat al je datinggeschiedenis en alles eraan verwant, altijd voor elk doeleinde gebruikt kan worden. Beeld je in dat je kinderen jullie stoute datingfoto's binnen 20 jaar in een advertentie voor anti-conceptie zien.
(Gelach)
But seriously, though --
Maar even serieus --
(Laughter)
(Gelach)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
Wat kunnen deze commerciële praktijken betekenen voor jou? Bijvoorbeeld, financieel verlies: op basis van je webgeschiedenis zouden algoritmes kunnen bepalen of je een lening al dan niet krijgt. Onderbewuste manipulatie: bedrijven kunnen op basis van je foto's en chats je emoties analyseren, en je met advertenties bestoken wanneer je het meest kwetsbaar bent. Discriminatie: een fitness-app kan je gegevens verkopen aan een zorgverzekeraar en verhinderen dat je in de toekomst een verzekering krijgt. Dit alles gebeurt vandaag in de wereld.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
Maar natuurlijk is niet al het gebruik van data slecht. Sommige zijn wat gebrekkig of moeten wat bijgewerkt worden, en sommige zijn echt geweldig. Er is ook goed nieuws. De datingbedrijven hebben hun beleid wereldwijd aangepast nadat we een juridische klacht hebben ingediend. Maar organisaties zoals de mijne, die voor consumentenrechten vechten, kunnen niet overal zijn. Noch kunnen consumenten dit op zichzelf oplossen, want als we weten dat een onschuldige uitspraak ons later last kan bezorgen, dan gaan we zwijgen. Als we weten dat we worden bekeken en opgevolgd, zullen we ons gedrag aanpassen. Als we niet kunnen controleren wie onze data heeft en hoe ze gebruikt worden, dan hebben we de controle over ons leven verloren.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
De verhalen die ik vandaag vertelde, zijn geen toevallige voorbeelden. Ze zijn overal. Ze zijn een teken dat de dingen moeten veranderen. Hoe kunnen we dat bereiken? Bedrijven moeten beseffen dat door onze privacy en veiligheid voorop te stellen, ze vertrouwen en trouw kunnen winnen bij gebruikers. Overheden moeten een veiliger internet creëren door gegarandeerde handhaving en door actuele regels. En wij, de burgers? We kunnen onze stem gebruiken om iedereen erop te wijzen dat technologie de maatschappij enkel werkelijk kan baten als ze basisrechten respecteert.
Thank you so much.
Dankjewel.
(Applause)
(Applaus)