Yeni Eğitim Döneminde Muhtemel Veri İhlalleri

Okulların açılmasına az bir süre kaldı. Ancak bu yılki eğitim öğretim dönemi önceki yıllara göre oldukça farklı ilerleyecek. Bu farklılığın nedeni sadece kullanılacak maskeler olmayıp aynı zamanda benimsenecek yeni pandemi tedbirleridir. Öğrenciler arasında sosyal mesafe kurallarına uyulup uyulmadığını denetleyen güvenlik kameraları ya da ateşlerini ölçen termal kameraların okullara yerleştirilmesi yahut haftanın bazı günleri için uzaktan eğitim sistemine devam edilmesi bu tedbirlerden bazılarıdır. Kısaca pandemi süreciyle birlikte eğitim sektöründe yaşanan gözetim teknolojisi akımı etkisini artırmıştır. Gerçekten de öngörülen tedbirler, uzaktan eğitimler sırasında kimlik ve iletişim bilgileri gibi genel nitelikli kişisel verileri toplanmasını gerektirdiği gibi kamera ve mikrofona erişimin mümkün olması halinde ses ve görüntü gibi özel nitelikli veri olan biyometrik verilerin de toplanılmasına imkan tanıyacaktır. Benzer şekilde okullara yerleştirilecek kameralar sayesinde öğrencilerden biyometrik veri ve sağlık verisi toplanacaktır.

Veri İhlalleri ve Alınabilecek Tedbirler

Okulların zengin kişisel veriye sahip olması ve çoğu okulun savunmasız güvenlik sistemleri, siber saldırganlar için okulları önemli bir hedef haline getirmektedir. Bu doğrultuda, özellikle gelecek dönemde uzaktan eğitime devam etme kararı alan okullar veri güvenliğine dikkat etmelidir. Zira muhtemel bir ihlalde öğrencinin ad-soyadı, e-posta adresleri, okulları / üniversiteleri, telefon numaraları, hesap bilgileri ve okul kayıt bilgilerinin ele geçirilmesi mümkündür. Nitekim, ABD’de yaşanan veri ihlalinde yukarıda sayılan verilerin yanı sıra öğrencilerin sosyal güvenlik numaraları, giriş bilgileri ve tıbbi bilgilerin de ele geçirildiği belirtilmiştir. Ayrıca uzaktan eğitim sırasında kameraya erişim mümkünse, kişisel veri ihlalinin yanında özel hayatın gizliliğinin ihlali de gündeme gelmektedir. Bu nedenlerden ötürü, okullar işledikleri kişisel verilerin güvenliğini sağlamalı ve buna ilişkin teknik ve idari tedbirleri alma yükümlülüklerini yerine getirmelidir (KVKK m.12). Bu doğrultuda, geçtiğimiz eğitim döneminde acelece tercih edilmiş olan ücretsiz araçlar ve çevrimiçi hizmetler değiştirilebilir. Zira bu tür yazılımların sağladığı güvenlik zayıf düzeyde kalmakla beraber kötü amaçlı yazılım içerme ihtimalleri de mevcuttur. Ayrıca öğretmenlere ve öğrencilere (son kullanıcılar) siber saldırılardan nasıl kaçınılacağı konusunda eğitim vermek, siber güvenliği sağlamak adına önemli bir adımdır. Güvenlik sisteminizde en iyi sistemler mevcut olsa bile, şüpheli bir e-postadaki bağlantıya tıklanma olasılığı belki de en büyük güvenlik tehdidini oluşturabilir. Bu yüzden, son kullanıcı genellikle zincirdeki en zayıf halkadır. Veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınmaması durumunda ise KVKK’nın 18/1-b maddesinde 15.000 Türk lirasından 1 milyon Türk lirasına kadar idari para cezası yaptırımı öngörülmüştür.

Güvenlik açıkları kadar öğrencilerden toplanan verilerin hukuka uygun işlenmesi de önemlidir. Uzaktan eğitimler ya da okullardaki verilen eğitim sırasında toplanan verilerin kategorik olarak değerlendirilmelidir. Ardından işlenen verinin niteliğine göre kişisel veri işleme şartının tespit edilmesi gerekir. Genel nitelikli kişisel veriler işlemek için KVKK’nın 5 nci maddesindeki şartlar dikkate alınırken; özel nitelikli veriler için 6 ncı maddedeki şartlar dikkate alınacaktır. Değinilmesi gereken önemli bir diğer husus, uzaktan eğitimlerde kullanılan çoğu yazılımın, bulut hizmet sağlayıcılar aracılığıyla hizmet vermeleridir. Bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında bulunmasından dolayı bu platformların kullanılması durumunda yurt dışına veri aktarımı söz konusu olacaktır. Bu durumda veri sorumlusundan KVKK’nın yurt dışına veri aktarımını düzenleyen 9 uncu maddesinde sayılan şartları yerine getirmesi beklenmektedir.

Yapay Zeka da Suçlu!

Uzaktan eğitim sisteminin barındırdığı tek risk kişisel verilerin ele geçirilme ihtimali değildir. Özellikle Norveç ve İngiltere’de veri koruma otoritelerinin yaptığı öğrencilerin notlarına ilişkin açıklamalar önem arz etmektedir. Zira ortada işlenen verilerin haksızlığa yol açma ve öğrencilerin gelecekteki hayatlarını etkileme ihtimali mevcuttur. Belirtmek gerekir ki, AB Genel Veri Koruma Tüzüğü’nde (GVKT) öğrencilerin notları kişisel veri niteliğini haiz olup, bu verilerin doğru, şeffaf ve adil bir şekilde işlenmesi gerekmektedir. Norveç Veri Koruma Otoritesi, uzaktan eğitim sürecinde Uluslararası Diploma Organizasyonu’nun (IBO) öğrencilerin ders notlarını adil olmayan bir şekilde işlenmiş olabileceğini ve bunun yanlışlıklara yol açabileceğini belirtmiştir. Bu sistemde öğretmenler sınavları değerlendirmemekte, notlar algoritmalar tarafından verilmektedir. Norveç Veri Koruma Otoritesi gerekçesinde IBO’nun kullandığı derecelendirme modelinde öğrencilerin geçmiş notlarının baz alınıp verilen notların tahmini olduğu, bunun farklı okullara giden öğrenciler arasında ayrımcı uygulamaya yol açabileceği hususlarını saymıştır. Bundan hareketle, Norveç Veri Koruma Otoritesi IBO’dan verdiği notları gözden geçirilmesi talebinde bulunmuştur. Zira verilen notların öğrencinin akademik seviyesini tam olarak yansıtmadığını belirtmiştir.

İngiltere’de de benzer tartışmalar mevcuttur. Üniversiteye geçecek öğrencilerin notlandırılması için öngörülen algoritmik modelin, yüz yüze yapılan sınavlardan elde edilecek sonuca göre daha düşük değerlendirmeler yaptığı iddia edilmiştir. Değerlendirmelerin hatalı ve adil olmayan şekilde yapıldığı ve bunun öğrencilerin geleceği için ciddi sonuçlar doğuracağı ifade edilmiştir. Değerlendirme modelinin öğrenciler tarafından protesto edilmesi üzerine notların yeniden öğretmenler tarafından değerlendirilmesine karar verilmiştir.

Alışageldiğimiz dünyayı değiştiren COVID-19 eğitim sektöründe de bir dönüşüme neden olmuştur. Çocukların bu dönemi olabildiğince güvende atlatmasını sağlayan okul idareleri ve hükümetler, çocukların sağlığı kadar kişisel verilerinin güvenliğini de düşünmelidir. Bu doğrultuda alınacak önlemlerin hukuka uygun, şeffaf ve adil olması gerekir.