Salgın sonrası normale dönmek için elimizden gelen her şeyi yapmak istiyoruz ve bu nedenle temas takip uygulamaları bir süre daha hayatımızda yer edecek gibi duruyor. Hak savunucularına göre mahremiyetimiz salgının zaiyatlarından biri olmamalı. Ancak burada temas takip uygulamalarının sahip olması gereken bazı özellikler var.
Gözetim toplumu yaratma amaçlı kullanılabilmeleri tehlikesi nedeniyle kaygı uyandıran temas takip uygulamalarını incelediğimiz dosyanın ilk bölümünde, uygulamaların temel mantığı ve işlevselliğine odaklanmıştık. Bu ikinci bölümde, uygulamaların özgürlükleri ve mahremiyeti tehlikeye atmaması için gerekli şartlara bakacak ve bazı uygulamaları inceleyeceğiz.
İlginizi çekebilir: Temas takip uygulamaları: Halk sağlığı önlemi mi, gözetim çabası mı?
Gönüllülük
Alternatif Bilişim Derneği konuya ilişkin yayınladığı raporunda temas takip uygulamalarında gönüllülük prensibini şöyle açıklıyor: “Hem kişisel özgürlükler hem de etkili halk sağlığı müdahalesi nedeniyle kullanıcılar gözetim sistemlerine katılıp katılmamaya karar verme ve onay verme yetkisine sahip olmalıdır. Bu onay uygulamaların kullanılması için ön şart olmamalı; gönüllülüğe dayalı, spesifik ve detaylı bilgilendirilme içermeli, herhangi bir zamanda geri alınabilir olmalıdır.”
Hindistan, Katar, İsrail, Singapur ve Çin uygulamayı zorunlu kılan ülkelerden. Birleşik Arap Emirlikleri’nde uygulamayı indirmeyenler para cezası ile karşı karşıya kalıyor. Türkiye’de HES uygulamasını kullanmayanlar için açık bir yaptırım olmasa da, sosyal hayata katılım HES kodu olmadan fiilen çok zor. Uygulamanın gönüllü olduğu ülkeler şimdilik çoğunlukta.
Amerikan Sivil Özgürlükler Birliği’nde kıdemli teknoloji uzmanı olan Daniel Kahn Gillmor, "Gönüllülük önemli ve gerekli bir özellik. Hedef eğriyi bir şekilde düzleştirmekse, yüzde 100 katılım elde etmemize gerek yok.”
Hangi veriler toplanıyor?
Dijital veri güvenliği savunucuları uygulamalar aracılığı ile toplanacak verilerin yalnızca spesifik amaca (virüs etkileşimi) uygun olacak şekilde ve sadece gerektiği kadar toplanmasını tavsiye ediyor.
Temas takibinde insanlar arası mesafe önemli olduğu için, Bluetooth gerekli ve yeterli görülüyor. Ancak Türkiye, İzlanda, Hindistan, Endonezya, İsrail, Katar, Suudi Arabistan gibi ülkelerdeki uygulamalar GPS de kullanıyor.
HES uygulamasına ilişkin aydınlatma metnine göre kullanıcının kimlik bilgileri, cep telefonu numarası, konum, meslek ve sağlık bilgileri işleniyor. Uygulama indirilirken kullanıcıdan Bluetooth, kamera ve telefon rehberine ilişkin çeşitli erişim izinleri isteniyor. Bunlara ek olarak e-devlet kimlik bilgileri, e-nabız sistemi ve Mernis verilerine de erişim sağlanıyor. HES Türkiye'de faaliyet gösteren üç GSM operatörüyle çalışıyor ve operatörlerden alınan baz istasyonu bilgilerini de kullanıyor.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Ali Taha Koç, Mayıs ayında yaptığı açıklamada "Kamu olarak ne kadar fazla veri toplanırsa risk analizini daha doğru yapabileceğimizi söyleyebilirim. " dedi. Peki gerçekten ne kadar veri işlenirse o kadar iyi mi?
Uzmanlar ve sivil toplum örgütleri anonimliğin dikkate alınması gerektiğini belirtiyor. Anonimlik, verilerinizin bir kişi ile ilişkilendirilerek kullanılmaması anlamına geliyor. Alternatif Bilişim Derneği’ne göre temas takibi gerçek kimlikler yerine anonim kimlikler ile de sürdürülebilir, ancak mevcut HES uygulaması ile anonimliği korumak mümkün değil. BBC Türkçe’ye konuşan Alternatif Bilişim Derneği Başkanı Faruk Çayır "Merkezi sistemde toplanan verilerin güvenliğinin sağlanması zor. Ne kadar çok veri kaydederseniz, o kadar çok risk almış olursunuz" diyor.
Verilerin kullanılabileceği alanlar ve saklandığı süre sınırlanmalı
Uzmanlar uygulamalar aracılığı ile toplanan tüm verilerin yalnızca virüsün yayılmasını engellemek amacıyla kullanılması gerektiğini, başka bir amaçla üçüncü bir kişiyle paylaşılmamasını öneriyor. Diğer sınır ise verilerin saklanacağı süreye ilişkin. Veriler belirtilen amaca hizmet ettikten sonra makul olan en kısa sürede silinmeli, bu süre kesin ve net bir şekilde sınırlanmalı.
HES uygulaması aydınlatma metninde veri sorumlusunun Sağlık Bakanlığı olduğu belirtilmiş. Ancak izolasyon altında bulunması gereken bölgeyi terk eden kişilerin, bu uygulama ile elde edilen kimlik, iletişim ve konum verilerinin İçişleri Bakanlığı ve kolluk ile paylaşılacağı da yer alıyor. Verilerin merkezi bir sistemde toplanıyor olması başlı başına bir risk iken, kollukla paylaşılabiliyor oluşu, gözetim endişeleri ile veri güvenliği belirsizliğini büyütüyor. Verilerin farklı kurumlarla paylaşılmasının, etiketlenme şüphesi yaratabileceği, verileri alınanların hak ihlaline açık hale getirebileceği ihtimaline de işaret ediliyor.
Örneğin Singapur’da, verilerin cezai soruşturmalarda kullanılmak üzere polisle paylaşılabileceği açıklandı. Temmuz ayında Almanya’da restoran sahipleri ve müşterileri, polisin bu verileri tanıkların izini sürmek için kullandığını öğrenince tepki gösterdi. New York valisi Andrew Cuomo, Aralık 2020’de kolluk kuvvetleri ve göçmenlik makamlarının bu verilerine erişimini yasaklayan bir yasa imzaladı.
HES uygulaması aydınlatma metninde verilerin, belirli bir gün sayısı verilmeksizin, pandemi ile mücadele süresiyle sınırlı olmak üzere işleneceği belirtilmiş. HES gibi bu süreyi belirsiz bırakan uygulamalar olsa da kullanıcılara açık ve net sınırlar sunan örnekler de var.
Avustralya verileri, kuluçka ve testlerin sonuçlanma süresini dikkate alarak, 21 gün tutuyor. Fransa, Danimarka ve İsviçre 14 gün, Çek Cumhuriyeti ve Avusturya ise 30 gün sonunda siliyor.
Uygulamaya ilişkin politikaların şeffaflığı
Önemle vurgulanan diğer bir konu ise temas takip uygulamalarına ilişkin sürecin şeffafça yönetilmesi gerektiği. Alternatif Bilişim Derneği raporda devletlerin, ne tür idari, teknik ve hukuki önlemler aldıkları konusunda şeffaf olmaları gerektiğini hatırlatıyor. HES internet sitesinde ve bilgilendirme materyallerinde ise, uygulamanın çalışma prensibi, verilerin toplanma biçimi, kişisel veri güvenliğine önlemleri gibi alanlarda, şeffaf politikalar izleyen ülkelerin paylaştığı bilgilerin paylaşılmadığı görülebiliyor. “HES güvenli mi?” sorusunun yanıtı ise şu şekilde: “HES kodları size özel üretilmiş tekil kodlardır. HES kodunun kontrolü ve yönetimi tamamen sizin elinizdedir. TC Kimlik Numarası gibi değişmeyen bir numara yerine kimse tarafından bilinmeyen, her paylaşımınıza özel farklı kodlar oluşturabilir ve silebilirsiniz. HES kodlarınıza süre sınırları koyabilir, böylece unutsanız bile paylaşımları kontrol altına alabilirsiniz. Ayrıca HES kodu sayesinde kimlik numarası gibi kişisel bir veriyi başkasıyla paylaşmak zorunda kalmayacaksınız.”
Ancak endişeleri gidermek için bundan daha fazlasına ihtiyaç var. Avustralya’da kullanılan COVIDSafe ve Britanya’nın NHS uygulaması, iyi örnekler.
Gözetim nedir?
Gözetimi, egemen olabilmenin bir yolu ve bireyleri farklı gözetim teknikleriyle kontrol altında tutmanın bir aracı olarak tanımlarsak, temas takip uygulamaları, bu amacı taşıyıp taşımadıklarından bağımsız olarak, bu teknolojilerin son ve en yaygın örneklerinden.
Halk sağlığı ve kamu güvenliği gibi geçerli endişeler ve normalleşmeye olan özlem bazı kullanıcıları uygulamalara ılımlı yaklaşmaya itiyor. Özellikle HES gibi, merkezi yapıya sahip uygulamalardan söz ederken akıllara gelen en popüler örnek ise “Büyük Birader”.
Dr. Hülya Kendir gözetime dair endişeleri şöyle özetliyor: “Toplumun sağlığı için bütün bunlar yapılmak zorunda’ deniyor. Bu süreç iktidarların birtakım bilgileri toplamasına, nüfusu ayrıştırmasına, nüfusla ilgili bilgileri farklı şekilde kullanmasına neden oluyor. Yarın bir gün bu salgın bitecek. Ama bütün bu bilgilerin başka bir alanda gözetim için kullanılması, veri olması sonucu ortaya çıkabilir. Bu sürecin iktidarların olağanüstü güvenlik, gözetim uygulamak açısından ellerini rahatlattığını düşünebiliriz.”
DP3T grubu üyelerinden, Delft Teknik Üniversitesi öğretim görevlisi Doç. Dr. Seda Gürses’e göre merkezi sistemi benimseyen ülkelerde 'toplumu gözetleme olasılığı' da gerçek dışı değil. "Kurumsal olarak bu bilgileri toplayıp toplumu daha iyi kontrol edebilme, daha iyi yönetebilme ihtiyacı duyan bir çok kesimin ittirdiği bir durum var. Bu sistemler hayatımıza yerleşiyor, o yüzden etrafında çok tartışılması gerekiyor. Bence böyle bir altyapı kurulmamalı, kurulacaksa da kesinlikle merkezi olmamalı.”
Ayrımcılık ve damgalanma riski
Takip uygulamalarına dair kaygılardan biri de, sayılan prensipleri dikkate almadan geliştirilen uygulamaların ortaya çıkarabileceği ayrımcılık. Mevcut eşitsizliklerin daha da belirginleştiği, dezavantajlı grupların karşı karşıya kaldığı ötekileştirmenin katmerlendiği pandemi zamanında, olası bir güvenlik açığı veya kötüye kullanım, ayrımcılığı besleyebilir.
Veri güvenliğine ve mahremiyet hakkına önem vermeyen ve dolayısıyla kullanıcılarla arasında güven ilişkisi oluşturamayan uygulamaların benimsenmesinin zor olduğu gerçeği burada bir kez daha akla geliyor.
“Sağlıklı olalım da…”
Devletler uygulamaların amacının kamu sağlığının korunması ve salgının yayılmasını önlemek olduğunu hatırlatıyor. Barındırdığı riskler ortada olsa da bunun geçerli bir amaç olduğunu düşünen ve kişisel verilerini ikinci plana koyan kullanıcılar da var. Biyoetik alanında çalışan Prof. Dr. Effy Vayena’ya göre temas takip sürecinin idaresi ve şeffaflığına dair beklentilerimiz normal zamanlarda olduğundan daha düşük olmamalı.
Dijital haklar üzerine çalışan ABD merkezli sivil toplum kuruluşu Electronic Frontier Foundation “COVID-19 ile savaşmaya yardımcı olabilecek her şey iyidir. Fayda küçük olsa bile, zararı nedir?" diye soranlara “ İzleme teknolojilerine sihirli bir değnek olarak yaklaşmak, mevcut kaynakları ve dikkati yaygın testler, temas takibi ve izolasyon desteği gibi daha önemli şeylerden uzaklaştırma riski taşır. Potansiyel olarak yararlı teknolojinin varlığı, bu temel araçlara olan ihtiyacı değiştirmez” yanıtını veriyor.
Uluslararası Af Örgütü temas takip uygulamaları kullanan belli ülkeler arasında yaptığı inceleme sonucunda Bahreyn, Kuveyt ve Norveç’in inceledikleri en riskli uygulamalara sahip olduğunu belirtti. Katar yönetiminin kullanımı zorunlu kıldığı uygulamanın güvenlik açığı sebebiyle 1 milyondan fazla kullanıcının kişisel verilerinin açığa çıktığı belirtildi. Raporun ardından Norveç veri güvenliği politikaları ile uyuşmayan Smittestopp isimli uygulamayı kullanımdan kaldırdığını açıkladı. Hindistan’da kullanılan Aarogya Setu isimli uygulamanın kullanıcıların konum bilgilerinin sızdırılmasına neden olan bir açığa sahip olduğu ortaya çıktı.
Salgınla mücadelenin önemli bir adımı olan temas takibini kolaylaştıran uygulamaların elimizdeki önemli araçlardan biri olduğu kesin. Böylesi teknolojilere toptan karşı çıkmak bizi çözümden uzaklaştırabileceği gibi tek başına bir sihirli değnek muamelesi yapmak da uzun vadede karşımıza çıkabilecek güvenlik ve gizlilik problemlerini gözardı etmemize yol açıyor.
Veri güvenliği açısından pek çok sorun barındıran uygulamalar insanları bireysel özgürlükleri ve halk sağlığı arasında seçim yapmaya zorluyor. Uzmanlar kişisel verilerimizin bizim ve verileri işleyen kurumlar için ne anlama geldiğini, mahremiyetin neden vazgeçilmez olduğunu ve gözetim riskini hatırlatıyor. Dengenin daha şeffaf ve güvenli teknolojiler ile kurulabileceği vurgulanıyor.
