Pandemide gözetim: Korona uygulamaları büyük risk içeriyor

Pandemi nedeniyle yurttaşların kullandığıtemas izleme uygulamalarının getirdiği riskleri Alternatif Bilişim Derneği Başkanı Faruk Çayır ile konuştuk Elif Akgül COVID-19 pandemisi ile ilgili en büyük sorunlardan biri salgınla mücadelede kullanılan gözetim teknolojilerinin kişilerin mahremiyetini riske atması. Konum verileri, sağlık bilgileri gibi birçok kişisel bilgiye ulaşan “virüsle mücadele” uygulamaları özel hayatın gizliliği, kişisel verilerin güvenliği konusunda endişe yaratıyor. Alternatif Bilişim Derneği Başkanı Faruk Çayır, “‘Korona uygulamaları aracılığıyla toplanabilecek temas ve sağlık verileri nedeniyle büyük bir risk içerir” diyerek uyarıyor.

“Korona ile mücadelede” gözetim teknolojileri

Gözetim teknolojilerini koronavirüsle mücadelede ilk defa kullanan ülkeler de yine bu teknolojileri en yaygın kullanıma geçiren otoriter ülkeler. Virüsün ilk yayıldığı ülke olan Çin Halk Cumhuriyeti’nde bireyler hükümetin geliştirdiği uygulamaya vatandaşlık bilgileriyle giriş yapıyor, sağlık durumlarına göre renk kodu alıyor, çevrelerindeki insanların COVID-19 virüsü taşıyıp taşımadığını öğrenebiliyor. Dahası Çin hükümeti potansiyel COVID-19 taşıyıcılarını tespit edebilmek içinn yapay zeka teknolojisiyle geliştirilmiş vücut ısısı ölçümü yapabilen kamera ve drone’lar kullanıyor. İsrail ise iç istihbarat servisi Şin Bet’e salgınla mücadele amacıyla vatandaşların verilerini toplama izni verdi. Virüsün en çok etkili olduğu İtalya’da ise vatandaşlar, Cy4Gate isimli teknoloji firmasının hükümete ücretsiz olarak hazırladığı uygulamayı kullanıyor. Uygulamanın kullanımı gönüllülük ilkesine bağlı olsa da, vatandaşların uygulamayı kullanırken girdiği şifreleri hükümetin kaldırması mümkün. Bu da ciddi bir mahremiyet ihlali oluşturuyor. Dünyada resim buyken, Türkiye de koronavirüs gerekçesiyle her bir yurttaşın cep telefonuna girmeyi başaracak hamlelerde bulundu. Sağlık Bakanlığı COVID-19 pandemisi nedeniyle üç uygulama üretti. Bunlardan Korona Virüs Kontrolü Uygulaması 19 Mart’ta, Pandemi İzolasyon Takip Projesi 8 Nisan’da ve Hayat Eve Sığar uygulaması 18 Nisan’da hayata geçti. Bunlardan en yaygın kuklanılanı ise Hayat Eve Sığar uygulaması. Vatandaşların gönüllü olarak indirdiği Hayat Eve Sığar uygulaması Türkiye’deki üç GSM operatörünü de kapsıyor. Uygulama, Sağlık Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve GSM operatörlerinin işbirliği ile hayata geçti. Hayat Eve Sığar uygulamasıyla programı indiren abonelerin konum verilerine göre bulundukları konumu değiştirip değiştirmedikleri izleniyor, izolasyon kurallarını ihlal edenlerin cep telefonlarına uyarı mesajı gönderiliyor. Evde izolasyon altında bulunması gereken kişiler, uygulama aracılığı ile evlerini terk ettiklerinde kısa mesaj servisi aracılığıyla uyarılıyor. İzolasyon altındayken evinden uzaklaşan kişilerle anında iletişime geçilerek, izolasyon altında bulunmaları gereken yere dönmeleri isteniyor, uyarıya uymayan ve ihlale devam edenlerin durumlarının ilgili emniyet birimleriyle paylaşılarak gerekli idari önlem ve yaptırımların uygulanması sağlanıyor, yol kontrolü yapan emniyet ekiplerinin, kişinin bilgilerini sorgulayarak izolasyon ihlali yapıp yapmadığını öğrenebiliyor. Uygulama ile Sağlık Bakanlığı ve Mernis bilgilerine, E- Nabız sistemine erişilebiliyor.

Kamera ve tam ağ erişimi

Hayat Eve Sığar Uygulaması’nın T.C. kimlik numarası, baba adı ve doğum tarihi bilgileri ve konum verilerini işlediğini belirten Çayır, uygulamanın hücresel telefonlarda yer alan kamera, fotoğraf, video, tam ağ erişim bilgileri gibi çeşitli verilere de erişebildiğini ekliyor. Hayat Eve Sığar Uygulaması’nın aydınlatma metnine göre uygulamada işlenen kişisel verilerin veri sorumluluğu Sağlık Bakanlığında bulunuyor. Uygulamada kimlik ve lokasyon bilgileri dışında, “hastalık risk seviyesini belirlemek için”, sağlık ve meslek verileri de işleniyor. Ayrıca, Aydınlatma Metni’nde “Kişisel Verilerin Aktarımı; izolasyon altında bulunmanız gereken bölgeyi terk etmeniz halinde bu uygulama ile elde edilen kimlik, iletişim ve konum verileriniz, kamu sağlığının korunması ve salgının yayılmasını önleme amaçlarıyla İçişleri Bakanlığı ve Kolluk kuvvetleri ile paylaşılmaktadır” ifadesi yer alıyor. Türkiye’de toplaman verilerin toplanıp işlenmesinde merkezi sistemin benimsendiğini vurgulayan Çayır, “Temel bir ilke olarak, kullanıcıların verileriyle ilgili herhangi bir kişi veya kuruma 'güvenmesi' gerekmemeli, belgelendirilmiş ve test edilmiş teknik güvenlik önlemleri alınmalıdır” diyor ve şöyle bir alternatife işaret diyor: “Her şeyin kaydedildiği ve toplandığı merkezi sunucular olmadan, tamamen anonim bir kişi takibi teknik olarak mümkündür. Kullanıcı gizliliğinin, merkezi altyapı operatörünün güvenilirliğine ve yeterliliğine bağımlı olması teknik olarak gerekli değildir. Dolayısıyla merkezi depolamanın güvenli olduğunu temel alan uygulamalar kullanılmamalıdır. “Merkezi sistemlerin vaat edilen güvenliği ve güvenilirliği kullanıcılar tarafından etkili bir şekilde doğrulanamaz. Bu nedenle sistemler, yalnızca şifreleme ve anonimleştirme kavramları ve kaynak kodun doğrulanabilirliği yoluyla kullanıcı verilerinin güvenliğini ve gizliliğini garanti edecek şekilde tasarlanmalıdır.”

İdari veya hukuki düzenleme eksikliği

Hayat Eve Sığar uygulamasının etkinlikleri hakkında kullanıcılara bilgilendirme yapılmadığını, uygulamanın kullanımına ilişkin politikalar yayınlanmadığını hatırlayan Çayır, uygulamanın etkililiği ve kötüye kullanımı konusunda bağımsız uzmanlar tarafından herhangi bir denetim yapılmadığına, bu uygulamaya ilişkin herhangi bir idari, teknik ya da hukuki önlem alınmadığını vurguladı. “Prensip olarak, bir "Korona Uygulaması" kavramı, toplanabilecek temas ve sağlık verileri nedeniyle büyük bir risk içerir” diyen Çayır, “Aynı zamanda son yıllarda kripto ve gizlilik toplulukları tarafından geliştirilen ‘gizlilik ilkesine göre tasarı’ ilkelerine bağlı kalınarak, bu teknolojilerin yardımıyla, bir gizlilik felaketi yaratmadan temas izleme uygulamalarının potansiyelini ortaya çıkarmak da mümkündür” diye ekliyor. Çayır, bu uygulamaların şeffaflığı ve geliştirilebilirliği için Özgür Yazılım’ın önemine dikkat çekiyor: “Özgür Yazılımlar, eksiksiz bir veri korumasını ve uyumlu bir kullanımı doğrulamak için yeterli şeffaflık sunar, böylece güvenli bir sistem kurulabilir. Güvenli bir ortamda küresel kod geliştirme işbirliğini mümkün kılan yalnızca Özgür Yazılım'lardır. Herhangi bir sahipli yazılım çözümü kaçınılmaz olarak sayısız veri sızıntısına yol açacak ve böylece enerji ve zaman israfına neden olacaktır. Özgür Yazılım lisansları evrensel bir işbirliğinin yanı sıra herhangi bir yetki alanında yazılım kodlarının paylaşılmasına izin verir. Böylelikle bir ülkede geliştirilen çözümler başka bir ülkede yeniden kullanılabilir, benimsenebilir olacak ve kollektif bir yapı ortaya çıkacaktır. “Tüm bu nedenlerle de Corona Uygulamaları tam anlamıyla güvenli olmamasına karşın gönüllü, şeffaf, verilerin kullanıcı tarafından tutulduğu, yine teşhis ve tedavi için gönüllü olarak kullanıcı tarafından resmi kurum ve kurullar ile paylaşılabildiği Özgür Yazılım bir uygulama olması daha güvenli görünmektedir. Türkiye’deki mevcut konum ve mesafe uygulaması Özgür Yazılım olmadığından geliştirilmesi, açıklarının tespiti ve bu açıkların kapatılması büyük oranda mümkün gözükmemektedir.” Pandemi takip uygulamalarının toplanabilecek konum verileri ve sağlık verileri nedeniyle büyük bir risk içerdiğinin altını çizen Çayır, akıllı telefon kullanıcılarının zaten halihazırda çeşitli donanım ve uygularla gözetime maruz kaldığını ekleyerek, söz konusu koronavirüs olduğunda pandemiye yönelik uygulamaların enfeksiyon zincirlerinin hızlı izlenmesi ve virüs etkileşiminin kesilmesine olanak sağlayacağı düşünüldüğünü söylüyor. Bununla birlikte Çayır şu uyarıda bulunuyor: “Bu uygulamaların kullanılması COVID-19 pandemisinin sona ermesini yahut halk sağlığı krizine kesin çözüm üretilmesini sağlamayacaktır. Bu uygulamalar hükümetler tarafından gerekli sosyal güvenlik önlemleri alınmadan ve yeterli sağlık olanakları sağlanmadan, yurttaşların işlerini kaybetme gibi ekonomik kaygılar ortadan kaldırılmadan; kişilerin evde kalmalarını, sokağa çıkmamalarını, yakın temastan kaçınmalarını veya hastalığın sona erdirilmesini sağlamaz. Dolayısıyla asıl bu sosyal ve ekonomik önlemler alınmadan yalnızca teknolojik çözümler ve uygulamalar vasıtası ile halk sağlığı krizine çözüm üretilebilmesi mümkün değildir. Bu anlamda teknolojik önlemler ve pandemi takip uygulamaları açısından hükümetler tarafından belirtilen önlemlere ve vaatlere güvenmek yeterli değildir. Temas izleme uygulamaları hükümetlerin büyük bir gözetim yetkisine sahip olmasını sağlayacağı gibi; kişilerin sağlık, cinsiyet, yaş, dil, din, ırk, etnik köken, milliyet, göçmenlik statüsü veya engellilik gibi hassas verileri işlendiğinden toplumda ciddi ve bir önyargı ve ayrımcılık yaratılması riski içerir. Uluslararası sözleşmeler ve Anayasa ile tanınan temel hak ve hürriyetlere ilişkin güvenceler halk sağlığı gerekçe gösterilerek bertaraf edilmemeli; özel hayatın gizliliği, kişisel verilerin korunması ve ifade özgürlüğü gibi hakların kullanımın engellenmesine ilişkin geniş kapsamlı istisnalar ve gözetimi derinleştirecek teknolojik uygulamalar kullanılmamalıdır.” Çayır son olarak ekliyor: “Hayat Eve Sığar uygulamasının bir an önce, şeffaf ve denetlenebilir şekilde, Türkiye’nin de taraf olduğu uluslararası sözleşmelerdeki kuruluşlarını tavsiyeleri doğrultusunda tanzim edilmesi gereklidir.”