Koronavirüs: Türkiye ve dünyadaki temas takip uygulamaları güvenli mi? Hak ve mahremiyet ihlallerine yol açar mı?

Türkiye dahil dünya genelinde birçok ülke Covid-19 salgınını kontrol altına almak için cep telefonlarına temas takip uygulamaları indirilmesini istiyor. Ama çok sayıda veri toplayan bu modellerin insan hakları, mahremiyet ve kişisel veri güvenliğine tehdit oluşturduğu kaygısı da var. Çağıl Kasapoğlu'nun haberi.

BBC Türkçe
Getty Images

Dünya genelinde Türkiye dahil birçok ülke, koronavirüsle mücadele için akıllı cep telefonlarına yüklenmek üzere temas takip uygulamaları geliştirdi.

Çin, Singapur, Güney Kore, Tayvan'ın öncülük ettiği Asya ülkelerinde başlayan uygulama artık Avrupa ülkelerinin de gündeminde.

Covid-19 salgınının kontrol altına alınabilmesi için geliştirilen bu cep telefonu uygulamaları, bireylerin özel verilerine erişim sağladığı için mahremiyet, kişisel veri güvenliği ve insan hakları açısından ihlallere yol açabileceği kaygıları da dile getiriliyor.

Üstelik verilerin nerede toplanacağı, ne kadar süreyle tutulacağı ve amacından saptırılmadan kullanılması için alınacak güvenlik önlemlerine ilişkin küresel bir uzlaşı olmadığı için suiistimale de açık olabileceği ifade ediliyor.

Merkezi ve merkezi olmayan temas takip uygulamaları

Ülkelere göre bazı değişiklikler gösterse de genel olarak ortak özellikleri cep telefonundaki Bluetooth teknolojisini kullanıyor olmaları.

İki cihaz arasındaki veri aktarımıyla bireylerin verileri toplanıp eşleştiriliyor ve hastalık riski haritası ortaya çıkıyor. Risk tespit edilmesi durumunda da alınması gereken önlemler konusunda bireyler uyarılıyor.

Bu kaygılar da özellikle iki tip uygulamalar çerçevesinde tartışılıyor: Merkezi ve merkezi olmayan temas takip uygulamaları.

Mahremiyet ve kişisel veri güvenliği hakkı savunucuları merkezi olmayan sistemlerin kullanılması tavsiyesinde bulunuyor.

Merkezi sistemde veriler hükümet kurumlarının erişimine açılıyor ve risk ölçümü için bireylerden alınan veriler bu merkezde eşleştiriliyor. Merkezi olmayan sistemde ise hükümetlerin veriye erişimleri kısıtlı oluyor ve eşleştirmeler bireyin kendi cihazı içinde yapılıyor. Dolayısıyla bireyin verileri üzerinde kontrol hakkı daha fazla oluyor.

Merkezi olmayan bu yöntemi destekleyenler arasında ortak model geliştiren Google ve Apple ile DP3T adlı uluslararası konsorsiyum var.

Türkiye'deki uygulama merkezi

Türkiye'deki 'Hayat Eve Sığar' uygulaması verilerin hükümet kurumlarının doğrudan erişimine ve kontrolüne açan merkezi bir sistem kullanıyor. İngiltere'nin Wight Adası'nda test aşamasında olan uygulaması da merkezi. Ama İngiltere'nin veri mahremiyeti kaygıları nedeniyle, paralel olarak merkezi olmayan Google ve Apple ile uyumlu bir uygulama da geliştirdiği bildiriliyor. Norveç ve Fransa da şimdilik kendi üretimleri olan uygulamayı kullanıma açmaya hazırlanıyor.

BBC
Merkezi ve merkezi olmayan uygulamalar

Merkezi olmayan yöntemi benimseyeler arasında da Almanya, İtalya, İrlanda, Avusturya ve İsviçre var. İspanya ise şimdilik kararsız.

Mahremiyet hakkından dolayı merkezi olmayan yöntemleri savunan ve geliştiren DP3T grubu üyelerinden, Hollanda Delft Teknik Üniversitesi öğretim görevlisi Doç. Dr. Seda Gürses kişisel verilerin teknik olarak korunması konusunda uzman.

BBC Türkçe'nin sorularını yanıtlayan Dr. Gürses merkezi ve merkezi olmayan sistemler arasındaki farkı şöyle anlatıyor:

"Merkezi sistemde, Covid-19 testi pozitif çıkan bir kişinin verilerini telefon topluyor ve merkeze iletiyor. Bu merkez bireyin kiminle temasta olduğuna merkezi bir altyapıda bakabiliyor.

"Dolayısıyla veriler merkezi bir otoriteye görünür oluyor. Bunun getirdiği zararları karşılaştırınca, yapılmaması gerektiğini düşünüyoruz.

"O yüzden merkezi olmayan bu tasarımı oluşturduk. Ama birey, bu sistemle kiminle iletişimde olduğuna kendi cihazından bakabiliyor. Merkeze telefon rehberi gitmiyor."

Merkezi olmayan yöntemleri destekleyen Google ve Apple da ortak teknoloji geliştirdi. Apple, iOS işletim sisteminin geliştiricisi, Google da Android. Bu iki şirket, API olarak bilinen uygulama programı ara yüzünü Mayıs sonundan önce ilan etmeyi planlıyor.

'Toplumu gözetleme ihtimali'

Dünya genelinde akıllı cep telefonlarının çoğunun bu iki işletim sistemini kullandığı göz önünde bulundurulduğunda, kendi uygulamalarını seçen ülkelerin kendi sistemlerinin Google ve Apple ara yüzlerine uyumlu olup olmayacağı konusu da belirsiz.

Dr. Gürses'e göre bu merkezi sistemi seçen ülkelerde 'toplumu gözetleme olasılığı' da var:

"İstihbarat teşkilatları kesinlikle resmin içindeler (...) Kurumsal olarak bu bilgileri toplayıp toplumu daha iyi kontrol edebilme, daha iyi yönetebilme ihtiyacı duyan bir çok kesimin ittirdiği bir durum var.

"Bu sistemler hayatımıza yerleşiyor, o yüzden etrafında çok tartışılması gerekiyor. Bence böyle bir alt yapı kurulmamalı, kurulacaksa da kesinlikle merkezi olmamalı."

İngiltere'de ise test aşamasına alınan merkezi uygulamayı savunan Oxford Üniversitesi'nden Prof Christopher Fraser ise, BBC'ye açıklamasında bu yöntemle insanların test sonuçlarını beklemeden teşhisi kendilerinin koyabileceğini söyledi.

Getty Images

Ulusal Sağlık Sistemi teknoloji birimi NHSX'in de danışmanlığını yapan epidemiyolog Prof. Fraser, ayrıca sürece yönelik kitlesel suiistimal girişimlerinin de merkezi yöntemle önüne geçilebileceğini savunuyor.

Prof Fraser, "Toplanan veriler, hesaplanan risk ölçümlerine bağlı olarak farklı uyarılar gönderilmesi için sisteme ince ayarlar vermek için kullanılabilir" dedi.

İngiltere'nin Google ve Apple ile temaslarının sürdüğünü de hatırlatan Fraser mahremiyet ve kişisel verilerin güvenliğine ilişkin kaygılar için de şu yorumu yapıyor:

"Haklı olarak mahremiyetle ilgili çok tartışma var. Ama diğer yandan hayat kurtarma özelliği de var ve ayrıca milyonlarca kişinin karantinaya alınmaması için de özellik sunuyor. Bu farklı taleplerin değiş tokuşunu yapabilecek optimal bir sistemin nasıl oluşturulacağı şimdilik ucu açık bir soru."

Birleşik Krallık Parlamentosu İnsan Hakları Ortak Komitesi de yürürlüğe konmak istenen merkezi sistemi eleştirip bireylerin kimliklerinin anonim olarak tutulacağı söylenen kimliklerin, teoride tespit edilebileceklerine dair kanıtlar olduğunu söyledi.

Bu da hükümet yetkililerinin, hackerların başka amaçlar için bireylerin sosyal çevrelerine erişim sağlayabilecekleri anlamına geliyor.

BBC

Hayat Eve Sığar hangi verilere erişiyor?

Benzer bir durum yine merkezi temas takip uygulaması benimseyen Türkiye'deki Hayat Eve Sığar uygulaması için de geçerli.

Her ne kadar bazı verilerin gizli tutulacağı söylense de, toplanan verinin miktarı çok olursa, bireylerin anonimleşmesinin de o kadar olacağı düşünülüyor.

Uluslararası insan hakları örgütleri ve dijital veri güvenliği savunucuları merkezi otoritelerin bireylerden toplayacağı verilerin kısıtlı ve yalnızca spesifik olarak amacına uygun toplanması tavsiyesinde bulunuyor.

Covid-19 takibi için de insanlar arası mesafe önemli olduğu için yalnızca Bluetooth özelliği yeterli görülüyor. Ama Türkiye'deki uygulama Küresel Konumlama Sistemi'den (GPS) kameraya kadar birçok veriye erişim sağlıyor.

Hayat Eve Sığar uygulamasını indirirken kullanıcıdan alınan izinler ve erişimler şöyle: GPS ve ağ tabanlı konum bilgilerine erişim, telefon rehberi, kamerada resim çekme ve görüntü kaydetme, kablosuz bağlantılar, tam ağ erişimi, Google hizmet yapılandırmasını okuma, Bluetooth ayarları, internetten veri alma.

Bunlara ek olarak hali hazırda kayıtlı olan e-devlet kimlik bilgileri, e-nabız sistemi ve Mernis (nüfus ve vatandaşlık işleri) verilerine de erişim sağlanıyor. Hayat Eve Sığar uygulaması Türkiye'de faaliyet gösteren üç GSM operatörüyle çalıştığı için cep telefonunun kayıtlı olduğu operatörle paylaşılan tüm veriler yine bu uygulama aracılığıyla devlet sistemlerine doğrudan erişim veriyor.

'Ne kadar çok veri, o kadar güvenlik' mi?

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Ali Taha Koç, 6 Mayıs'ta 'Dijital Gündem' adlı internet sitesinin düzenlediği video konferansında Türkiye'de geliştirilen Hayat Eve Sığar uygulamasını 6 Mayıs itibariyle yaklaşık 5 milyon kişinin indirdiğini söylemiş, veri toplanmasının 'halkın faydasına olacağını' şu sözlerle dile getirmişti:

"Kamu olarak ne kadar fazla veri toplanırsa risk analizini daha doğru yapabileceğimizi söyleyebilirim (…) Her gün yeni özellikler ekliyoruz. Yakında bir barkod uygulaması getireceğiz. Bu sayede Covid-198 pozitif tanısı olduğunda bu özellik sayesinde girilen yerler ve zamanları takip edilecek. Salgının yayılmasını önleme açısından kişi bazlı takip çok önemli."

Ama yalnızca bireylerin mesafeleri ve fiziksel temasları üzerinden ölçüm yapılan risk hesaplamalarında bölgesel haritaların çıkarılmasının ne kadar faydalı olacağına dair de soru işaretleri var. Dolayısıyla fazla veri toplanmasının da bireysel hakları ihlal edebileceği eleştirisi yapılıyor.

Alternatif Bilişim Derneği Yönetim Kurulu Başkanı Avukat Faruk Çayır'a göre "merkezi sistemde toplanan verilerin güvenliğinin sağlanması zor" dolayısıyla "Ne kadar çok veri kaydederseniz, o kadar çok risk almış olursunuz" diyor.

Verilerin anonimliği konusunda da endişeleri dile getiriyor:

"Diğer veriler bir yana, konum verilerinin tamamen anonim hale dönüştürülmesi bile çok zor. Konum verileriyle birlikte 3 ya da 4 veriyi birleştirdiğinizde rahatlıkla kişileri tanımlanabilir hale getirebilirsiniz. Tek bir konum verisinin bile kaydedilmesi tehlikeliyken, 'Biz ne kadar çok veri toplarsak o kadar iyidir' anlayışı yanlıştır ve güvenliğinin ne kadar sağlanabileceğini de tartışmalı hale getirir."

Konum verilerini kullanan özel uygulamalar da son yıllarda güvenlik açısından tartışma yaratmıştı. Her ne kadar bazı uygulamalarda bireyin kendi onayıyla bu özellik erişime açılsa da, gizlilik sözleşmesine rağmen kimlerin eline geçebileceği belirsiz.

Strava adlı cep telefonunda kullanılan spor uygulamasının, 2018'de Suriye'deki ABD askerlerinin konumlarının 'ısı haritasında' gösterdiği ortaya çıkmıştı. Askerlerin üslerinin açığa çıkmasıyla Beyaz Saray ve Pentagon akıllı cep telefonu ile akıllı saatlerin kullanımını yasakladı.

Türkiye'deki Hayat Eve Sığar uygulaması da GPS'e erişim sağlıyor. Böylece ısı haritasıyla hangi bölgede Covid-19'un yoğun olarak görüldüğü anlaşılabiliyor. Sosyal forumlarda bu uygulamayı faydalı gören olduğu kadar, neden gerek görüldüğünü sorgulayanlar da var.

Hayat Eve Sığar uygulamasının aydınlatma metninde de kişisel verilerin işlenme amaçları ayrıntılı yer alıyor.

Metnin 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 10. maddesi uyarınca hazırlandığı belirtiliyor.

Uygulama merkezi olduğu için, metnin başında "Bu uygulamada işlenen kişisel verileriniz bakımından veri sorumlusu T.C. Sağlık Bakanlığı'dır" deniyor. Merkezi olmayan sistemleri savunanlar ise veri sorumlusunun bireyin kendisi olması gerektiğini ifade ediyor.

Uygulamada 'sağlığı koruma' amacıyla elde edilen kimlik, iletişim, konum verilerinin de kolluk kuvvetleri ile paylaşıldığı belirtiliyor.

Dolayısıyla sağlık takibi de kolluk kuvvetleri ve emniyetin kontrolüne veriliyor. Bu kurumlar, merkezi sistem uygulandığı için, bireylerin telefon rehberlerini de merkezi sistem sunucusunda toplayıp temas takip eşleştirmesini bu merkezde yapıyor. Yine mahremiyet hakkı savunucuları bu eşleştirmenin bireyin kendi telefonunda, kendi rehberinde yapılması gerektiği görüşünde. Teknik olarak bunu sağlayan da DP3T konsorsiyumun geliştirdiği model ve Apple ile Google teknolojisi.

İnsan hakları ihlalleri

Bu tip gözetim ve takip uygulamaların insan hakları ve ifade özgürlüğü ihlallerine de yol açtığı kaygısı var.

Alternatif Bilişim Derneği Yönetim Kurulu Başkanı Avukat Faruk Çayır "Olağanüstü önlemler, olağanüstü yetkiler verilmiş olsa dahi insan hakları hukuku hala geçerli. Temel anlamda devletler halk sağlığı kriziyle mücadele ediyor ama gizlilik ve ifade özgürlüğü gibi temel hakları da göz ardı etmemeleri gerekiyor" diyor.

Bu tip krizlerde devlete güvenin de önemli olabileceğini belirten Çayır'a göre "insan hakları, gizlilik ve ifade özgürlüğüne saygı gösteren uygulamaların geliştirilmesi, insanların devlete daha fazla güven duymasını sağlar ve insanlar bu özgürlük haklarıyla pandemiyle daha fazla etkin mücadele edilmesine yardımcı olur."

Belçika merkezli Avrupa Dijital Haklar grubu da temas takip uygulamalarıyla insan haklarının tehdit edilmemesi uyarısında bulundu.

Grup, ortak tavsiye mektubunda teknolojinin hayat kurtarmada belirgin bir rol oynamasının önemli olduğunu vurguladı ama şu uyarıyı da yaptı:

"Cep telefonu konum verilerine erişim gibi devletin gözetim güçlerini artıracak uygulamalar mahremiyeti, ifade özgürlüğünü ve dernekleşme özgürlüğünü tehdit, hakları ihlal eder ve kamu yetkililerine güveni azaltır, bu da kamu sağlığına yönelik çabaları baltalar. Bu tip önlemleri ayrımcılık riski taşıyor ve halihazırda ötekileştirilen topluluklara orantısız bir zarar veriyor."

Avrupa Komisyonu da yayımladığı araç kutusunda uygulamaların Avrupa Birliği veri korunması mahremiyet kurallarına uyumlu olması gerektiğini belirtti.

Ayrımcılık riski

Dünya genelinde Covid-19'dan en çok etkilenenlerin toplumun daha dezavantajlı kesimlerinden ve daha yoksul kesimlerinden olduğuna ilişkin tartışmalar sürüyor. İngiltere'de siyah, Asyalı ve etnik gruplar, ABD'de siyahlar, İsveç'te Somalili göçmenler ve dünya genelinde dar gelirli gruplar... Her ne kadar bu orantısızlığın nedenleri henüz bilimsel araştırmalarla kanıtlamış olmasa da temas takip uygulamalarının da yine bu grupları etkileyeceği düşünülüyor.

The Atlantic dergisinde Kaveh Waddell, "Amerika'da en çok gözetim sisteminde tutulanlar düşük gelirli toplumlar" yazmıştı. Merkezileşen sosyal hizmetlerden faydalananların daha çok dar gelirli kesimler olduğu göz önünde bulundurulduğunda verileri de en çok toplananlar yine bu gruplar oluyor.

Avukat Faruk Çayır da ayrımcılık riskine ilişkin şu yorumu yapıyor:

"Cinsiyet, dil, din, ırk, bu tarz veriler işleniyor. Bu veriler ciddi bir ayrımcılık riski taşır. Ötekileştirilmiş topluluklara ilişkin orantısız bir şekilde zarar verebilir bu bilgilerin toplanması çünkü ne şekilde kullanılacağına ilişkin elimizde veri yok."

Getty Images

Çayır, Türkiye'de Covid-19'un yaşlılar, kargo çalışanları, inşaat işçileri gibi toplumun bazı kesimleriyle ilişkilendirilmeleri nedeniyle toplanan bu verilerle yeni bir sosyal yapı yaratılıp ayrımcılık yapılabileceği kaygısını dile getiriyor.

Temas takip altyapılarının pandemi süresince kullanılacağı açıklanmasına rağmen geleceğe ilişkin de soru işaretleri doğuruyor.

Delft Teknik Üniversitesi'nden Dr. Seda Gürses bazı dijital uygulamaların 'itibar ölçümlerine' atıf yapıp bu temas takip sistemlerinin de 'yeni bir sosyal yapı oluşturabileceğini' ifade ediyor:

"Şimdiye kadar 'itibar ölçümleri' vardı. Mesela Uber'e bindiğinizde karşınızdaki kişiye puan veriyordunuz. Şimdi iletişimde olduğunuz, temasta olduğunuz kişiler üzerinden de bir puan oluşacak. Bu yeni bir pazar olarak şirketler tarafından da görülebilir ve devletler tarafından toplumsal kontrol için de kullanılabilir."

Bazı araştırmacıların iki birey yan yana geldiğinde 'telefonlara uyarıcı sinyal gitmesi' gibi uygulamalar hakkında da çalışmalar yürüttüğünü söyleyen Dr. Gürses teknolojinin kullanılma şekilleriyle yeni bir toplum yaratabileceğini söylüyor:

"Böyle bir gerçeklik olmayabilir ama insanlar ister istemez sokağa çıktıklarında biraz daha mesafeli duracaklar. Sosyallik biraz daha garip olacak. Bu şimdiki uygulamalarda öngörülen şeyler değil ama bu alt yapı, yani Bluetooth üzerinden kim kime yakın gösteren alt yapı ve bunun üzerinden oluşturulan bir risk puanlamasının tuhaf bir sosyal yapılaşma yaratma olasılığı var. O puanlama sistemi kötüye kullanılabilir."

'İşin ucunda kamu sağlığı varsa...'

İnsan hakları, sosyallik, mahremiyet ve veri güvenliği kaygılarına rağmen, birçok kişi de "İşin ucunda ölüm varsai kamu sağlığı varsa ifade özgürlüğü, kişisel veri güvenliği ikincil kalır" diyebiliyor. Türkiye'de de e-devlet üzerinden hali hazırda birçok verinin merkezi sistemde kayıtlı olması nedeniyle temas takip uygulamalarının 'meşru ve herhangi bir risk taşımayan bir sistem' olduğunu düşünenler de var.

Dr. Gürses'in buna cevabı şöyle:

"Birincisi, daha önce insanların temasları üzerinden bu kadar rafine bilgiler veren bir sistemimiz olmadı.

"İkincisi bu temasın ölçümünü normalleştiren bir uygulamadan bahsediyoruz. Normalde insanlar Bluetooth'ları kapalı geziyorlardı. Ama eğer gerçekten toplumun büyük bir kısmı Bluetooth'u açarsa, o zaman yakın teması ölçecek yeni uygulamaların da önünü açmış olacağız. İnsanlar arası ilişkileri ölçüme açmış olacağız."

Bu uygulamalarla insanların birbirlerine olan güven ilişkilerinin de sorgulanmaya açılabileceğini ifade eden Dr. Gürses risklere dikkat çekiyor:

"Bilinçli olarak suiistimale yol açmayacak bir tasarı kurmaya çalışıyorlar ama, suiistimal edilmesi de çok olası bir sistem.

"Sadece bilgi üzerinden değil, halkların veya insanların birbirlerine olan güvenini etkileyecek bir şey de yapıyorlar. 'Aa sen de yok mu, niye yüklemedin?' diyecek insanlar birbirlerine."

Veri güvenliği savunucularına göre bu sosyal yapıyla da henüz insan hakları ihlalleri, ifade özgürlüğü, mahremiyet ve kişisel veri güvenliğine ilişkin uluslararası bir uzlaşı sağlanamayan uygulamalar aracılığıyla 'insanların kendi rızalarıyla' verilerini merkezi devlet yapılarıyla paylaşmaları sağlanacak.