Tüm yönleriyle WhatsApp krizi: Kişisel verilerimizi nasıl koruyacağız?

WhatsApp'ın kullanım koşullarındaki değişiklikle veri toplanması ve internette gizlilik yeniden tartışmaya açıldı. Farklı ülkelerdeki kişisel veri kanunlarını ve alternatif sohbet uygulamalarını derledik

Telegram'ın kurucularından Pavel Durov, "Tarihin en büyük dijital göçüne tanık oluyoruz" demişti (Reuters)

Sohbet uygulaması WhatsApp'ın, 4 Ocak'ta yeni kullanım koşulları ve gizlilik ilkelerini yayımlamasıyla kişisel verilerin gizliliğine dair tartışmalar bir kez daha gündeme geldi.

Kişisel veri, kimlik numarasından banka hesap bilgilerine, parmak izinden sağlık bilgilerine kadar bir kişiye ait geniş kapsamdaki veriyi nitelendiren bir kavram.

Özel hayatın gizliliği ilkesi çerçevesinde değerlendirilen kişisel verilerin korunması, aslında özel hayat ve mahremiyeti korumakla eşdeğerde. Dolayısıyla kişisel verilerin ihlaline dair her türlü eylemin, özel hayata yönelik müdahale niteliğinde olduğu söylenebilir.

WhatsApp'ın gizlilik politikasında gittiği değişikliğe tepkiler de bu anlayış temelinde şekilleniyor.

fazla oku

Bu bölüm, konuyla ilgili referans noktalarını içerir. (Related Nodes field)

WhatsApp, kullanıcının güncellenen ilkeleri kabul etmesi durumunda verilerinin Facebook'la paylaşılacağını belirtti. İlk açıklamada değişikliği 8 Şubat'a kadar kabul etmeyen kişilerin uygulamayı kullanamayacğı belirtilmişti fakat tepkilerin üzerine şirket bu tarihi 15 Mayıs'a erteledi.

2014'te Facebook'un satın aldığı WhatsApp, 2016'da uçtan uca şifreleme teknolojisi olarak bilinen güvenlik sistemini kullanmaya başladı. Sistemin temel özelliği, içeriklerin yalnızca gönderici ve alıcı tarafından okunabilmesini sağlayıp, üçüncü tarafların bunlara erişimini engellemek.

Öte yandan, WhatsApp'ın kullanım koşulları ve gizlilik ilkelerindeki değişiklikle yepyeni bir uygulamaya geçtiğini söylemek zor. Wired'da yer alan haberde de belirtildiği gibi aslında şirket, 2016'dan beri Facebook'la veri paylaşımı yapıyor.

25 Ağustos 2016'da WhatsApp'ın yayımladığı gizlilik ilkesi metninde, Facebook'la bilgi paylaşımı açıkça şöyle ifade edilmişti:

Facebook şirketler ailesinin bir parçası olan WhatsApp, bu şirketler ailesinden bilgi alır ve bu şirketlerle bilgi paylaşır. Hizmetlerimizin ve bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler.

Aynı metinde veri paylaşımıyla ilgili kullanıcılara bir seçenek de sunulmuştu:

Eğer mevcut bir kullanıcıysanız, Facebook reklam ve ürünleriyle ilgili deneyiminizin iyileştirilmesi amacıyla WhatsApp hesap bilgilerinizin Facebook'la paylaşılmamasını seçebilirsiniz.

Bir aylık süre tanınan bu seçenek kapsamında paylaşıma izin vermeyen kişilerin verileri üçüncü taraflara iletilmemişti. Ancak tanınan süre içerisinde kararını belirtmeyen tüm kullanıcılar veri paylaşımını kabul etmiş sayıldı. Bu tarihten sonra uygulamayı kullanmaya başlayan en az 1 milyar kişi de veri paylaşımını onayladıklarının ön kabulüyle WhatsApp'a giriş yapabildi.

Bu soruya nasıl yanıt verdiğinizi hatırlamıyorsanız, öğrenmek için uygulama üzerinden hesabınızın raporunu talep edebilirsiniz.

Kısacası, 4 Ocak'taki değişiklikle uzun süredir mevcut bir uygulama açık şekilde resmileştirildi.

Durum böyle olsa bile, WhatsApp'ın açıkladığı güncelleme büyük tepki topladı ve çoğu kişiyi alternatif sohbet uygulamaları aramaya yönlendirdi.

Türkiye'de seçenekler arasında değerlendirilen 4 uygulamanın temel özellikleriyse şöyle:

BiP

Yerli sohbet uygulaması BiP, Turkcell grup şirketi olan Hollanda merkezli Lifecell Ventrues tarafından yönetiliyor.

BiP'in gizlilik politikasında uygulamayı kullananlardan birtakım bilgilerin toplanıp paylaşıldığı belirtiliyor.

Bu kapsamda kişinin kimlik ve iletişim bilgileri başta olmak üzere favoriler, konum, ödeme, cihaz, trafik, yedekleme ve adres defteri verileri uygulama tarafından toplanıyor.

Gizlilik politikasında bu bilgilerin "Avrupa Birliği (AB) veya Avrupa Ekonomik Bölgesi (AEB) dışındaki ülkeler dâhil olmak üzere kullanıcıların bulunduğu yetki alanı dışındaki ülkelere" aktarılıp burada saklanabileceği de belirtiliyor. 

Bunlara ek olarak şirket BiP'in uçtan uca şifleme özelliği sunduğunu da belirtiyor. Fakat yazılım kodları kapalı olduğu için şifreleme detayları tam olarak bilinmiyor.

Hem kapalı yazılım kodları hem de Türkiye dışındaki üçüncü kişilerle bilgi paylaşımı nedeniyle uygulama kişisel verilerin güvenliği konusunda şüphe uyandırıyor.

Telegram

Rus girişimci kardeşler Nikolai Durov ve Pavel Durov tarafından 2013'te piyasaya sürülen Telegram'ın şu anki merkezi Dubai'de.

"Bugüne kadar, hükümetler de dahil olmak üzere üçüncü taraflara 0 bayt kullanıcı verisi açıkladık" diyen uygulamada uçtan uca şifreleme özelliği normal mesajlaşmalarda varsayılan seçenek olarak sunulmuyor.

Bu güvenlik özelliğinden yararlanmak isteyenler "gizli sohbet" seçeneğini kullanmak zorunda.

Telegram'ın açıklamasına göre gizli sohbetlerdeki mesajlaşmalar sunucularda hiçbir iz bırakmıyor. Ayrıca "kendi kendini silen" mesaj özelliğiyle gönderiler her iki tarafın ekranından da belirli bir süre sonra silinebiliyor.

Uygulama gizli sohbetlerde kendi şifreleme protokolü olan MTProto'yu kullanıyor. Fakat sistemin kaynak kodu kapalı olduğundan güvenilirliğine dair net bir bilgi edinmek zor.  

23 Aralık'ta Pavel Durov, Telegram üzerindeki paylaşımında uygulamanın hiçbir zaman reklam almayacağı ve şirketin WhatsApp gibi başkasına satılmayacağını yazmıştı.

Uygulama için masrafları kendi servetinden ödediğini belirten Durov, iş amaçlı eklenecek bazı özellikler haricinde programın her zaman ücretsiz kalacağını da temin etmişti.

Yaklaşık 500 milyon kişinin kullandığı Telegram, WhatsApp'a kıyasla daha güvenli olsa bile, şifreleme sistemine dair bilinmeyen noktalar nedeniyle kafalarda soru işareti uyandırıyor.

Signal

Signal, WhatsApp'a alternatif olarak güvenlik açısından en popüler seçeneklerden biri.

SpaceX ve Tesla'nın kurucusu Elon Musk, "Signal'i kullanın" diye bir tweet atarak uygulamaya destek vermişti.
 


Musk'ın ardından Twitter CEO'su Jack Dorsey de programı takipçilerine önermişti.
 


Signal, Moxie Marlinspike olarak da bilinen kriptograf Matthew Rosenfeld'le WhatsApp'ın ortak kurucu ve eski CEO'su Brian Action tarafından 2014'te piyasaya sürüldü.

Uygulamayı dünya çapında en az 10 milyon kişi kullanıyor.

ABD merkezli Signal'i güvenlik açısından öne çıkaran özelliklerden biri, mesaj ve aramaların yanı sıra meta verilerin de şifrelemesi. Verilerin yedeklenmesi varsayılan ayarlarda kapalı olsa bile, özellik aktif hale getirildiğinde bilgiler yalnızca uygulamanın kullanıldığı cihazda saklandığı için başka hiçbir sunucuda depolanmıyor.

Ayrıca "sealed sender" adlı güvenlik protokolü sayesinde mesajlaşma ve aramaların kimler arasında yapıldığı ya da içeriğine ilişkin şirket dahil kimse bilgi sahibi olamıyor.

Programda kullanılan güvenlik sistemi açık kaynak kodlu olduğu için sağlamlığı herkes tarafından rahatça denetlenebiliyor. 

Uçtan uca şifreleme özelliğinin bulunduğu yazılımda depolanan tek bilgi hesap açma ve uygulamayı son kullanma tarihleri. Bunun dışında hiç kimsenin, Signal çalışanları da dahil, herhangi bir bilgiye ulaşılmasına izin verilmiyor.

Program kar amacı gütmeyen kuruluş Signal Teknoloji Vakfı ve Basın Özgürlüğü Vakfı tarafından fonlanıyor.

Kullanıcıdan telefon numarası dışında bir bilgi istemeyen Signal, güvenlik açısından en uygun seçeneklerden biri olarak değerlendiriliyor.
 


Öte yandan, Signal ve WhatsApp gibi uygulamaların temelini oluşturan uçtan uca şifreleme sisteminin ne ölçüde bağımsız olduğuysa tartışmaya açık bir konu.

Bu şifreleme sistemi, ABD yönetimine bağlı Open Technology Fund'ın (OTF) finansal destek sağladığı Open Whisper Systems (OWS) programı kapsamında geliştirildi. OSW ise 2018'de Rosenfeld ve Action tarafından dönüştürülerek Signal Vakfı adı altında iş yapmaya başladı.

OTF, 2019'da "tamamıyla bağımsız" hale geldiklerini belirtse de ilk başta Radio Free Asia bünyesinde bir pilot program olarak yer alıyordu. Ayrıca OTF, OWS'ye 2 milyon 955 bin dolar (yaklaşık 22 milyon TL) fon vermişti.

Sistemin ABD menşeli olması, bazı kesimlerde Signal ve WhatsApp'ın sunduğu veri gizliliği ve şifreleme sisteminin güvenilirliğine dair şüphe uyandırdı.

Dedi

Bilgi Teknoloji Kurumu'nun (BTK) sunduğu Dedi uygulamasında, arama ve mesajlaşmalar uçtan uca şifreleme yöntemiyle korunuyor.

Signal'in sisteminin temel alınarak hazırlandığı belirtilen Dedi'de kullanıcıların hiçbir verisinin kayıt altına alınmadığı, sunucularda sadece transfer amacıyla anlık olarak tutulduğu belirtiliyor.

"Türkiye'nin verisi Türkiye'de kalsın" sloganıyla piyasaya çıkan uygulamada veriler yurtdışına aktarılmıyor. Abonelik, mesajlaşma ve içerik sunucularının tamamı yurtiçinde yer alıyor.

Bu özellikleriyle Dedi, BiP'e kıyasla daha güvenli bir seçenek gibi görünüyor.

Ülke bazında kişisel veriler nasıl korunuyor?

İnternet sitelerinin denetimi ve kişisel verilerin korunması konusunda her ülke farklı bir politika uyguluyor.

Çin

Çin internet kullanımına yönelik en katı kısıtlama ve düzenlemeleri uygulayan ülkelerin başında.

Ülkede Facebook, Twitter ve WhatsApp gibi popüler sosyal medya uygulamalarına erişim yasak.

Birçok kişi VPN programları aracılığıyla yasaklı site ve uygulamalara erişmeye çalışıyor. Öte yandan Şi Cinping'in 2013'te başa geçmesiyle hükümet çoğu VPN sistemini de yavaşlatmaya veya doğrudan engellemeye başlamıştı.

Ülkedeki katı siber denetim nedeniyle uluslararası sosyal medya platformlarının yerli muadilleri kullanılıyor. Örneğin, WhatsApp yerine WeChat, Twitter yerine Sina Weibo, Google yerine Baidu, Facebook yetine QQ, YouTube yerine Youku sık kullanılan uygulamalar arasında.

Bu programlarsa hükümet tarafından sıkı şekilde kontrol ediliyor. Birçok sansür, erişim yasağı, içerik kaldırma ve gözetleme yöntemiyle Çin internet ve sosyal medya kontrolünü toplumsal denetim aracı olarak kullanıyor. 

Avrupa Birliği

Avrupa Birliği'nde (AB) internet ve sosyal medya uygulamalarına yönelik veri depolama ve kullanım şartları Genel Veri Koruma Düzenlemesi'yle (General Data Protection Regulation -GDPR) belirleniyor.

GDPR kapsamında AB vatandaşlarının verileri AB sınırları içinde tutuluyor ve istisnai durumlar haricinde kişinin onayı olmadan kimseyle paylaşılmıyor.

Kurallara uymayan şirketlereyse 20 milyon euroya (yaklaşık 179 milyon TL) kadar para cezası kesilebiliyor.

GDPR kapsamında getirilen ciddi şartlar nedeniyle WhatsApp da AB'de diğer ülkelere göre farklı hizmet şartları ve gizlilik politikaları uyguluyor.

ABD

ABD'de internet içeriklerinin düzenlemesi için 1996'da ABD eski başkanı Bill Clinton döneminde kabul edilen İletişim Uygunluk Yasası (Communications Deceny Act -CDA) son dönemde sık sık gündeme geldi.

Yasanın 230. maddesi kapsamında, sosyal medya şirketleri ve ağ sağlayıcıları "yayıncı" değil "dağıtımcı" olarak değerlendiriyor. Böylelikle şirketlere, üçüncü tarafların paylaşımları nedeniyle dava açılamıyor.

Twitter ve Facebook, ABD Başkanı Donald Trump'ın Kovid-19 pandemisi, 2020 ABD başkanlık seçimleri ve Siyahların Hayatı Önemlidir hareketiyle ilgili çeşitli paylaşımlarına uyarı etiketleri koymuş, bazı paylaşımları da kısıtlamıştı.

Trump ise 230. maddenin değiştirilmesi ve sosyal medya şirketlerine karşı hukuki yaptırım uygulanabilmesi için bir kararname imzalamıştı. Ne var ki kararnamenin onaylanması epey zor görünüyor.

Trump taraftarlarının geçen hafta ABD Kongresi'ne düzenlediği baskının ardından Facebook ve Twitter başkanın hesaplarını süresiz askıya aldı. 

Türkiye

Sosyal medya düzenlemesi olarak da bilinen 7253 sayılı "İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'da Değişiklik Yapılmasına Dair Kanun" 1 Ekim 2020 itibarıyla yürürlüğe girdi.

Kanun kapsamında günlük erişimi 1 milyondan fazla olan sosyal medya sağlayıcılarının temsilcilik açması zorunlu kılındı. Buna uymayan şirketlere de toplamda 30 milyon liraya kadar ceza verilebiliyor.

Ayrıca kişilik hakkı ihlali durumunda temsilciye başvuru yapılıyor, temsilciden 48 saat içinde gerekçeli cevap gelmemesi durumunda da şirkete 5 milyon lira ceza verilebiliyor.

Bunlara ek olarak ağ sağlayıcılarına reklam yasağı, bant daraltma, erişim engeli ve içerik kaldırılması gibi cezalar da uygulanabiliyor.

Türkiye'de kişisel veriler, Kişisel Verileri Koruma Kanunu'yla (KVKK) korunuyor.

KVKK'ya göre internet siteleri ve sosyal medya sağlayıcıları, kişisel verileri kullanıcıların izni olmadan toplayamıyor ya da yurtdışındaki kaynaklara aktaramıyor. Şirketler de kanun gereği kişisel verilerin güvenliği ve gizliliğini sağlamak için gerekli tedbirleri almakla yükümlü.

İnternette güvenliğinizi nasıl sağlayabilirsiniz? 

Tüm kanun, prosedür ve yaptırımlara rağmen internet ve iletişim teknolojilerindeki gelişmelerle siber suçların da sayısı her geçen gün artıyor.

Sanal ortamda kişisel verilerinizi korumak için belirli önlemler alabilirsiniz.

E-mail adresinize gelen mail ve dosyaları antivirüs uygulamalarıyla kötü niyetli yazılımlara karşı denetleyebilirsiniz. İnternette sık kullandığınız, üye olduğunuz, kişisel veri ve kart bilgilerinizin bulunduğu sitelerdeki şifrelerinizi güçlendirebilirsiniz.

Sitelerin size sunduğu çerez seçeneklerini kabul etmeden önce iyice gözden geçirin. Bazı çerezler internet üzerindeki hareketlerinizin üçüncü kişiler tarafından takip edilmesine yol açabilir. Ayrıca sosyal medya hesaplarınızdan paylaştığınız bilgileri mümkün mertebe asgari düzeyde tutmaya çalışın.

Her şeye rağmen ne kadar önlem alınsa da dijital ayak izi bırakmadan internette bulunmanın imkansız olduğu aşikar. 

Farklı sohbet uygulamaları, yazılımlar, prosedürler ya da kanunlar kullanıcılara verileri üzerinde yalnızca sınırlı ölçüde kontrol imkanı sağlıyor.

ABD'li eski casus ve bilgisayar programcısı Edward Snowden, 2019'da Portekiz'in başkenti Lizbon'da düzenlenen Web Zirvesi'nde "Asıl sorun verilerin korunması değil toplanması" demişti.

Verilerin korunması ve düzenlenmesine yönelik uygulamalar, ilk başta kişilerden veri toplanmasının herhangi bir tehlike ya da tehdit oluşturmadığı ön kabulüne dayanıyor. 

Gündemden düşmeyen kişisel verilerin korunması ve özel hayata müdahale bağlamında sorunun bu daha temel boyutunu da gözden kaçırmamak gerekiyor.

© The Independentturkish

DAHA FAZLA HABER OKU