Geçtiğimiz aylarda Norveç Veri Koruma Otoritesi; okul çalışanlarının, ailelerin ve öğrencilerin birbirleri ile iletişimi için kullanılan bir mobil uygulamanın güvenliğinin zayıf olması sebebiyle Oslo Belediyesi’nin Eğitim Birimine 120 bin avro idari para cezası vermişti. Söz konusu kararda Otorite tarafından belirtilen hususlar; uygulamaların kişisel veri mevzuatına uygun olarak nasıl geliştirilmesi gerektiği ve hangi ilkelerin dikkate alınması gerektiği konusunda önemli tespitler içermektedir.
Uygulama kapsamında temel olarak öğrencilerin okula gelmedikleri zamanlarda velileri tarafından okul yetkililerine haber vermesi amaçlanmıştı. Ancak ilk olarak, uygulamada boş bir metin alanı da bulunduğu için velilerin devamsızlık bilgisinin yanı sıra çocukların hastalıklarına ilişkin detaylı bilgileri de paylaştığı tespit edildi. İkinci olarak, uygulamaya giriş yapılırken güvenlik önlemlerinin zayıf olması sebebiyle birinci sınıftan onuncu sınıfa kadar 63.000 öğrencinin kişisel verisine yetkisiz kişiler tarafından erişim sağlanabildiği görüldü. Üçüncü olarak ise uygulama yapılırken yetersiz test uygulandığı ve çok bilinen güvenlik önlemlerinin bile alınmadığı tespit edildi. Bu sebeple Belediye’nin riske uygun bir güvenlik sağlamak için gerekli teknik tedbirleri almadığı tespit edildi.
Otorite tarafından tespit edilen eksiklikleri incelemeden önce bu karar çerçevesinde dikkate alınması gereken iki önemli ilkeye ilişkin olarak kısa bir bilgilendirme yapmak uygun olacaktır. Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 25. maddesinde kabul edilen ilkelerden biri, tasarım aşamasından itibaren veri koruma kurallarına uygunluk (data protection by design) ilkesidir. Bu ilke ile bir yazılımın yapım aşamasından itibaren kişisel verilerin korunması kuralları ve gizliliğin göz önünde bulundurulması ve buna uygun sistemlerin entegre edilmesi amaçlanmaktadır. GDPR’ın 25. maddesinde kabul edilen diğer ilke ise varsayılan ayarların veri korumaya uygunluğu (data protection by default) ilkesidir. Bu ilke ile uygulamanın varsayılan ayarlarının kişisel verilerin korunmasını sağlayacak şekilde kurgulanmış olması ve gerektiğinde fazla veri işlenmemesi amaçlanmıştır. Böylece kullanıcılar zorunlu olmayan kişisel verilerin işlenmesini önlemek için ilave bir işlem yapmaya gerek duymayacaktır. Söz konusu iki ilke her ne kadar ülkemizdeki 6698 sayılı Kanun’da doğrudan düzenlenmese de, Kurum tarafından yayımlanan rehberlerde ve bazı kararlarda yer almaktadır. Örneğin Kişisel Verileri Koruma Kurulu’nun Marriott International Inc. hakkında verdiği 16.05.2019 tarih ve 2019/143 sayılı kararında “sistemin tasarım aşamasından itibaren doğru bir şekilde planlanmadığı ve gerekli kontrollerin yapılmadığı…, bu durumun ilgili kişiler açısından olumsuz etki oluşturabilecek bir güvenlik açığı olduğu” belirtilmiştir. Söz konusu referans, Kurul uygulamasında da belirtilen ilkelerin önemli bir yer tuttuğunu göstermektedir. Bu ilkelerin uygulanması açısından iyi bir örnek teşkil etmesi sebebiyle kararda belirtilen üç temel eksiklik detaylı olarak değerlendirilecektir.
1) Metin Alanının Gereksiz Şekilde Uygulamada Yer Alması
Otorite’nin kararında, velilere sunulan sistemde çocukların okula gelip gelmeyeceği bilgisi ile birlikte içine detaylı bilgilerin girilebileceği bir metin alanının da uygulamada yer aldığı belirtilmiştir. Böylece öğrencilerin hastalıklarının ne olduğu veliler tarafından yazılmış ve çocukların özel nitelikli kişisel verileri istenmediği halde sisteme işlenmiştir. Otorite, bu uygulama bağlamında bu şekilde bir metin alanının kullanılmasının gereksiz şekilde özel nitelikli veri kullanılmasına sebep olduğunu belirtti. Dolayısıyla uygulamanın yukarıdaki iki ilkeye uygun olarak geliştirilmediğini tespit etti.
Esasen tasarımcıların, bu tarz bir uygulamanın amacına uygun olarak hazırlanmasında yalnızca kutucuk sistemleri vb. tercih etmesi mümkündür. Böylece uygulama kapsamında gerekli olan okula gelmeme bilgisi toplanmış olacak ve kullanıcıların farkında olmadan detaylı bilgi vermelerinin önüne geçilebilecektir. Uygulamanın kullanım amacı itibariyle açıklama için böyle bir metin alanını gerektirdiği durumlarda ise bu kısımda kullanıcılara yönelik olarak özel nitelikli kişisel verilerin paylaşılmamasına dikkat edilmesini belirten bir uyarı yapılabilir.
2) Yetkisiz Erişimi Engelleyecek Tedbirlerin Alınmaması
Otorite tarafından tespit edilen bir diğer eksiklik ise uygulamaya yetkisiz erişimin mümkün olması ve öğrencilere ait kişisel verilere erişilebilmesidir. Sistemlere yetkisiz şekilde erişimler genel olarak zayıf şifre kombinasyonları yahut şifrelerin başkalarıyla paylaşılması sebebiyle gerçekleşmektedir. Bununla birlikte söz konusu durum, veri sorumlularının bu konudaki sorumluluğunu ortadan kaldırmamaktadır. Nitekim uygulama geliştiricileri tarafından uygulamaya yetkisiz erişime ilişkin risk değerlendirmeleri yapılmalı ve buna uygun olarak kimlik doğrulama mekanizmaları ve kontroller tesis edilmelidir.
Bu doğrultuda yukarıda belirtilen ilkelere uygun olarak aşağıda belirtilen yöntemlerin uygulanması söz konusu olabilir:
- Uygulamaya giriş yapılırken yetkisiz erişimlerin önlenmesi için kullanıcılara çok faktörlü kimlik doğrulaması yapılması gerekmektedir. Bu yöntemin özel nitelikli verilerin işlendiği ortamlara giriş için kullanılması zorunludur.
- Uygulamada gerçek kullanıcıların dışında oluşan bot trafiğinin azaltılması için güvenlik duvarları kurulmalıdır.
- Uygulamada kötü amaçlı kullanımların tespit edilebilmesi için kullanıcıların hesaplarındaki önemli değişikliklerde kullanıcılara bildirim mesajları veya e-postalarının gönderilmesi sağlanmalıdır.
3) Yeterli Güvenlik Testlerinin Yapılmaması
Otorite son olarak uygulamanın oldukça yaygın güvenlik eksiklikleri içerdiğini zira kullanılmaya başlanmadan önce uygulamanın yeterince test edilmediğini belirtmiştir. Güvenlik testlerinin uygulanması, güvenli bir yazılımın geliştirilmesi için oldukça önemli bir role sahiptir; ancak çoğu zaman söz konusu testler uygulamanın kullanılması aşamasına kadar geciktirilmektedir. Ancak “tasarımdan itibaren ve varsayılan şekilde kişisel verilerin korunması” ilkeleri uyarınca yeterli test aşamasından geçmemiş yazılımların kullanılmaması gerekmektedir. Bilhassa özel nitelikli verilerin işlendiği yazılımların kullanılmasında bu durum fazlasıyla önem arz etmektedir. Bu kapsamda gerekli statik ve dinamik test yöntemleri ile penetrasyon testlerinin uygulanması sağlanmalıdır.
Burada belirtilen hususlar çerçevesinde yazılımların tasarlanması aşamasında kişisel verilerin korunmasına ve güvenliğine ilişkin anılan iki ilkenin etkin bir şekilde uygulanması oldukça önem taşımaktadır. Böylelikle şirketlerin sistemleri için gerekli teknik tedbirleri hayata geçirmesi mümkün olabilecektir.