Yıllar önce girdiğiniz numaranın başkasının telefonunda nasıl kayıtlı olduğunu gösteren bir uygulama vardı; hatırladınız mı?
O uygulama ve benzerleri büyüdü, gelişti, iş modeline dönüştü ve gün geldi Resmi Gazete’de yayınlanan bir Kişisel Verileri Koruma Kanunu kararı oldu.
Geçen hafta, KVK Kurumu’nun muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkan tanıyan yazılım, program veya uygulamaları kullananlar hakkında savcılıklara suç duyurusunda bulunacağı açıklandı.
Diğer bir deyişle, bu zamana kadar gerek kullanıcı hatası ve ihmali nedeniyle (telefon rehberine erişim isteyen bir uygulamaya izin vererek) gerekse de çeşitli siber saldırılar sonucu ele geçirilen kişisel verilerin satılması ile öyle bir havuz oluşturdu ki, bu veri havuzundan istenilen kişi ile ilgili neredeyse her türlü bilgiye ulaşılabiliyor.
Nasıl mı?
Mesela bir sigorta şirketi poliçe hazırladığı potansiyel müşterisi hakkında bilgi edinmek istiyor. Ele geçirilen verilerde bu kişinin farklı bilgileri de bulunuyor. Bir kimlik numarası ile mevzubahis yazılım ya da uygulama ile potansiyel müşterinin geçmişte icra takibi yaşayıp yaşamadığından, hastane geçmişine kadar kayıtlar şirketin önüne dökülebiliyor.
Benzer örnekleri kredi çekmek isteyen banka müşterilerinden hukuk bürolarına başvuran vatandaşlara kadar genişletebilirsiniz.
Dillere pelesenk olmuş ‘Data is the new oil’ ifadesinden birileri ilham alıp geniş bir iş ağı kurmuş bile. Öyle bir iş ağı ki sonunda gelen ihbarlarla KVKK duruma el koymak zorunda kalmış. Resmi Gazete’de yayımlanan KVKK kararında, yapılan ihbarlar kapsamında avukatlar, hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta ve benzeri sektörlerde faaliyet gösteren bazı kişi ve kuruluşların bu programları kullandığının tespit edildiği belirtildi.
Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12’nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesi için bu mahiyetteki yazılım, program veya uygulamaları kullandığı tespit edilenler hakkında, Türk Ceza Kanunu kapsamında gerekli adli işlemlerin yapılması için cumhuriyet başsavcılıklarına ihbarda bulunulmasına karar verildi.
Peki suç sadece verileri alıp-satan ve/veya bunlarda gerekli sorgulamaları yapabilen yazılımlar üretenlerde mi? Verilerin yeterince güvende saklanmaması bu sistemin kurulmasındaki en büyük açığı oluşturmuyor mu?
VERİ HIRSIZLIKLARI BÜYÜK SKANDAL OLARAK GÖRÜLMÜYOR
Okurlarımızdan hatırlayanlar olacaktır. 2016 yılında milyonlarca vatandaşın bilgisinin bulunduğu seçmen veri tabanı çalındığında Türkiye’de yer yerinden oynamamıştı.
Siber Bülten’e konuyla ilgili bilgi veren uzmanlar Türkiye’de birçok kritik kurumda vatandaşların hassas bilgilerinin bulunduğuna dikkat çekti. İsmini vermek istemeyen bir uzman, Ankara’da bulunan bir üniversite hastanesinin geçmiş yılları da kapsayan hasta veri tabanına ulaşmanın ne kadar kolay olduğunu hayretle tecrübe ettiğini aktardı.
Okuyucularımıza henüz KVKK’nın hayatta olmadığı zamanlardan skandal bir haberimizi de hatırlatmadan geçmeyelim:
SGK’nın halkın kişisel verilerini sattığı resmen tescillendi
Siber Bülten abone listesine kaydolmak için formu doldurunuz