Türkiye’de 5 milyon kişi Hayat Eve Sığar uygulamasını telefonuna indirdi. Kişisel veri güvenliği suistimale açık biçimde tek merkezde toplanıyor.
Çin’in başlattığı koranaya karşı cep telefonu aplikasyonu diğer ülkelere de yayılıyor. Türkiye dahil birçok ülke, koronavirüsle mücadele için akıllı cep telefonlarına yüklenmek üzere temas takip uygulamaları geliştirdi.
Çin, Singapur, Güney Kore, Tayvan’ın öncülük ettiği Asya ülkelerinde başlayan uygulama artık Avrupa ülkelerinin de gündeminde. Ama burada kişi güvenliğini sağlayan ve tüm verileri devlete veren olmak üzere iki farklı yöntem var.
Siber Bülten’in yayınladığı analize göre; Covid-19 cep telefonu uygulamaları, bireylerin özel verilerine erişim sağladığı için mahremiyet, kişisel veri güvenliği ve insan hakları açısından ihlallere yol açabilecek nitelikte.
Üstelik verilerin nerede toplanacağı, ne kadar süreyle tutulacağı ve amacından saptırılmadan kullanılması için alınacak güvenlik önlemlerine ilişkin küresel bir uzlaşı olmadığı için suiistimale de açık olabileceği ifade ediliyor.
MERKEZİ VE MERKEZİ OLMAYAN TAKİP UYGULAMALARI
Ülkelere göre bazı değişiklikler gösterse de genel olarak ortak özellikleri cep telefonundaki Bluetooth teknolojisini kullanıyor olmaları.
İki cihaz arasındaki veri aktarımıyla bireylerin verileri toplanıp eşleştiriliyor ve hastalık riski haritası ortaya çıkıyor. Risk tespit edilmesi durumunda da alınması gereken önlemler konusunda bireyler uyarılıyor.
Bu kaygılar da özellikle iki tip uygulamalar çerçevesinde tartışılıyor: Merkezi ve merkezi olmayan temas takip uygulamaları.
Mahremiyet ve kişisel veri güvenliği hakkı savunucuları merkezi olmayan sistemlerin kullanılması tavsiyesinde bulunuyor.
Merkezi sistemde veriler hükümet kurumlarının erişimine açılıyor ve risk ölçümü için bireylerden alınan veriler bu merkezde eşleştiriliyor. Merkezi olmayan sistemde ise hükümetlerin veriye erişimleri kısıtlı oluyor ve eşleştirmeler bireyin kendi cihazı içinde yapılıyor. Dolayısıyla bireyin verileri üzerinde kontrol hakkı daha fazla oluyor.
Merkezi olmayan bu yöntemi destekleyenler arasında ortak model geliştiren Google ve Apple ile DP3T adlı uluslararası konsorsiyum var.
TÜRKİYE’DEKİ UYGULAMA MERKEZİ
Türkiye’deki ‘Hayat Eve Sığar’ uygulaması verilerin hükümet kurumlarının doğrudan erişimine ve kontrolüne açan merkezi bir sistem kullanıyor. İngiltere’nin Wight Adası’nda test aşamasında olan uygulaması da merkezi. Ama İngiltere’nin veri mahremiyeti kaygıları nedeniyle, paralel olarak merkezi olmayan Google ve Apple ile uyumlu bir uygulama da geliştirdiği bildiriliyor. Norveç ve Fransa da şimdilik kendi üretimleri olan uygulamayı kullanıma açmaya hazırlanıyor.
Merkezi olmayan yöntemi benimseyeler arasında da Almanya, İtalya, İrlanda, Avusturya ve İsviçre var. İspanya ise şimdilik kararsız.
Mahremiyet hakkından dolayı merkezi olmayan yöntemleri savunan ve geliştiren DP3T grubu üyelerinden, Hollanda Delft Teknik Üniversitesi öğretim görevlisi Doç. Dr. Seda Gürses kişisel verilerin teknik olarak korunması konusunda uzman.
BBC Türkçe’nin sorularını yanıtlayan Dr. Gürses merkezi ve merkezi olmayan sistemler arasındaki farkı şöyle anlatıyor:
“Merkezi sistemde, Covid-19 testi pozitif çıkan bir kişinin verilerini telefon topluyor ve merkeze iletiyor. Bu merkez bireyin kiminle temasta olduğuna merkezi bir altyapıda bakabiliyor.
“Dolayısıyla veriler merkezi bir otoriteye görünür oluyor. Bunun getirdiği zararları karşılaştırınca, yapılmaması gerektiğini düşünüyoruz.
“O yüzden merkezi olmayan bu tasarımı oluşturduk. Ama birey, bu sistemle kiminle iletişimde olduğuna kendi cihazından bakabiliyor. Merkeze telefon rehberi gitmiyor.”
Merkezi olmayan yöntemleri destekleyen Google ve Apple da ortak teknoloji geliştirdi. Apple, iOS işletim sisteminin geliştiricisi, Google da Android. Bu iki şirket, API olarak bilinen uygulama programı ara yüzünü Mayıs sonundan önce ilan etmeyi planlıyor.
HAYAT EVE SIĞAR UYGULAMASI HANGİ VERİLERE ERİŞİYOR?
Benzer bir durum yine merkezi temas takip uygulaması benimseyen Türkiye’deki Hayat Eve Sığar uygulaması için de geçerli.
Her ne kadar bazı verilerin gizli tutulacağı söylense de, toplanan verinin miktarı çok olursa, bireylerin anonimleşmesinin de o kadar olacağı düşünülüyor.
Uluslararası insan hakları örgütleri ve dijital veri güvenliği savunucuları merkezi otoritelerin bireylerden toplayacağı verilerin kısıtlı ve yalnızca spesifik olarak amacına uygun toplanması tavsiyesinde bulunuyor.
Covid-19 takibi için de insanlar arası mesafe önemli olduğu için yalnızca Bluetooth özelliği yeterli görülüyor. Ama Türkiye’deki uygulama Küresel Konumlama Sistemi’den (GPS) kameraya kadar birçok veriye erişim sağlıyor.
Hayat Eve Sığar uygulamasını indirirken kullanıcıdan alınan izinler ve erişimler şöyle: GPS ve ağ tabanlı konum bilgilerine erişim, telefon rehberi, kamerada resim çekme ve görüntü kaydetme, kablosuz bağlantılar, tam ağ erişimi, Google hizmet yapılandırmasını okuma, Bluetooth ayarları, internetten veri alma.
Bunlara ek olarak hali hazırda kayıtlı olan e-devlet kimlik bilgileri, e-nabız sistemi ve Mernis (nüfus ve vatandaşlık işleri) verilerine de erişim sağlanıyor. Hayat Eve Sığar uygulaması Türkiye’de faaliyet gösteren üç GSM operatörüyle çalıştığı için cep telefonunun kayıtlı olduğu operatörle paylaşılan tüm veriler yine bu uygulama aracılığıyla devlet sistemlerine doğrudan erişim veriyor.
TÜRKİYE’DE BEŞ MİLYON KİŞİ İNDİRDİ
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Ali Taha Koç, 6 Mayıs’ta ‘Dijital Gündem’ adlı internet sitesinin düzenlediği video konferansında Türkiye’de geliştirilen Hayat Eve Sığar uygulamasını 6 Mayıs itibariyle yaklaşık 5 milyon kişinin indirdiğini söylemiş, veri toplanmasının ‘halkın faydasına olacağını’ şu sözlerle dile getirmişti:
“Kamu olarak ne kadar fazla veri toplanırsa risk analizini daha doğru yapabileceğimizi söyleyebilirim (…) Her gün yeni özellikler ekliyoruz. Yakında bir barkod uygulaması getireceğiz. Bu sayede Covid-198 pozitif tanısı olduğunda bu özellik sayesinde girilen yerler ve zamanları takip edilecek. Salgının yayılmasını önleme açısından kişi bazlı takip çok önemli.”
Ama yalnızca bireylerin mesafeleri ve fiziksel temasları üzerinden ölçüm yapılan risk hesaplamalarında bölgesel haritaların çıkarılmasının ne kadar faydalı olacağına dair de soru işaretleri var. Dolayısıyla fazla veri toplanmasının da bireysel hakları ihlal edebileceği eleştirisi yapılıyor.
Alternatif Bilişim Derneği Yönetim Kurulu Başkanı Avukat Faruk Çayır’a göre “merkezi sistemde toplanan verilerin güvenliğinin sağlanması zor” dolayısıyla “Ne kadar çok veri kaydederseniz, o kadar çok risk almış olursunuz” diyor.
Verilerin anonimliği konusunda da endişeleri dile getiriyor:
“Diğer veriler bir yana, konum verilerinin tamamen anonim hale dönüştürülmesi bile çok zor. Konum verileriyle birlikte 3 ya da 4 veriyi birleştirdiğinizde rahatlıkla kişileri tanımlanabilir hale getirebilirsiniz. Tek bir konum verisinin bile kaydedilmesi tehlikeliyken, ‘Biz ne kadar çok veri toplarsak o kadar iyidir’ anlayışı yanlıştır ve güvenliğinin ne kadar sağlanabileceğini de tartışmalı hale getirir.”
Konum verilerini kullanan özel uygulamalar da son yıllarda güvenlik açısından tartışma yaratmıştı. Her ne kadar bazı uygulamalarda bireyin kendi onayıyla bu özellik erişime açılsa da, gizlilik sözleşmesine rağmen kimlerin eline geçebileceği belirsiz.
Strava adlı cep telefonunda kullanılan spor uygulamasının, 2018’de Suriye’deki ABD askerlerinin konumlarının ‘ısı haritasında’ gösterdiği ortaya çıkmıştı. Askerlerin üslerinin açığa çıkmasıyla Beyaz Saray ve Pentagon akıllı cep telefonu ile akıllı saatlerin kullanımını yasakladı.
