Kişiyle İlişkilendirilebilir Veriler
#2 Veri Güvenliği 101 Serisi
1. Kişiyle İlişkilendirilebilir Veriler Nelerdir?
IOT alanındaki gelişmeler, otomatik yollarla toplanan kişisel verilerin tanımını yapmayı bir o kadar zor ve kompleks hale getirdi ve bu nedenle yapılan tanımlar da geçmişten günümüze evrilmeye başladı.
Geleneksel anlamda kişisel veri, bireyleri doğrudan ya da başka bir bilgi ile birleştirildiğinde tanımlamaya / kim olduğuna anlamaya yarayan bilgiler olarak tanımlanmaktadır.
Örnek olarak “Galatasaray’ın 2019 yılındaki teknik direktörü” ifadesinde bahsedilen kişinin kimliği belirlenebildiği için bu bilgi kişisel veri olacaktır. Ancak “Virtus Pro Takımının Polonyalı taraftarları” bilgisinde bu tanıma uyan binlerce taraftar olduğundan ve doğrudan kimden bahsedildiği anlaşılamadığından dolayı doğrudan kişiye ulaşılması mümkün olmayacak ve kişisel veri olmayacaktır.
Yani kişisel veri mi yoksa değil mi tespitinde sorulması gereken soru aslında:
Bu bilgi kendi başına ya da başka bir bilgi ile birleştirildiğinde gerçekten bana verinin kime ait olduğunu anlama imkanı veriyor mu?
Teknolojierin gelişmesi ve giderek daha erişilebilir olması ile birlikte kişisel verilerin tanımı MAC adresi ya da IP adreslerini de kapsayacak şekilde genişledi.
IOT sensörleri ya da web üzerinde otomatik yolla toplanan kişisel verilerin (lokasyon ya da bir IP adresinin) bir kişiyle ilişki kurulabilmesi durumunda kişisel veri olduğunu hatırlayalım.
Bu ilişkinin kurulması da eğer kişisel verileri aynı veri tabanlarında tutulmuyor ise, hatta farklı kurumlar bu veri tabanlarının sahibi ise gerçek kişiye ulaşmanın çok da mümkün olmadığını anlamamız gerekiyor.
Bu ilişkinin kurulamadığı senaryolarda bu veriler kişisel veri değildir.
Kişinin kimliğini belirlemenin gerçekten mümkün olduğunu ve kişisel verileri elinde tutan kişilerin bu verileri doğrudan bir kişiyle ilişkilendirebilecek yetki, donanım ve erişime sahip olması gerektiğini unutmamalıyız.
Kişisel veri olarak tanımladığımız verilerin kapsamının bu kadar geniş olması sebebiyle, bir organizasyonun mahremiyet risklerini azaltması için yapması gereken şey topladığı kişisel verileri azaltmak olacaktır.Yani ihtiyacınız olmayan verileri bireylerden istememelisiniz.
Zaten çoktan ihtiyacınız olandan fazla veriyi topladıysanız bu durumda elinizdeki verileri anonimleştirmeyi seçebilirsiniz.
Anonimleştirmenin en güzel tarafı, mahremiyet risklerini azaltırken aynı zamanda hala elinizdeki veriden faydalanabilmenizi sağlıyor olmasıdır.
2. Peki anonimleştirmeyi nasıl gerçekleştireceğiz?
İlk olarak söylemem gereken şey anonimleştirme için maalesef her senaryoya doğrudan uygulanabilir bir formül yok.
Anonimleştirme birden çok teknik kullanılarak bir veri seti içindeki tanımlayıcıların geri döndürülemeyecek şekilde veri setinden çıkarılmasıdır.
Kullanılan tekniklerin maalesef hepsi elle tutulur sonuçlar vermiyor ve kişilerin çıkartılan veriler olmadan da tanımlanabilmesine olanak veriyorlar.
Burada en önemli noktalardan biri veri setinin büyüklüğü oluyor, 100 kişilik bir veri setinde yaptığınız anonimleştirme 10.000 kişilik bir veri setine kıyasla yüz kat daha verimsiz olacaktır.
Working Party 29, 05/2014 numaralı kararında özellikle genelleştirme ve değer düzensizliği sağlayan anonimleştirme tekniklerinin daha güvenilir olduğuna değindi.
Kişisel verilerin tanımının yanında ayrıca üzerinde durmamız gereken bir diğer husus ise kişisel verilerin işlenmesinin uygulamada ne anlama geldiğidir.
Gerçekten kişisel verileri koruyabilmek için verilerin hangi şekillerde saklandığı ve nerede konumladığını anlamamız gerekiyor.
Veriler temelde:
(1) depolanan / saklanan veri,
(2) kullanılmakta /aktif olarak üzerinde işlem yapılmakta olan veri ve
(3) hareket halinde / aktarımda olan veri
olmak üzere üç durumda tutulmaktadır.
Verilerin işlenmesi veri ya da veri seti üzerinde yapılan ya da yapılmayan herhangi bir işlem anlamına gelmektedir.
Verilerin toplanması, saklanması, kullanılması, paylaşılması, düzenlenmesi, görüntülenmesi, birleştirilmesi, aktarılması, silinmesi ya da anonimleştirilmesi gibi veri üzerinde yapılan işlemlerin hepsi verilerin işlenmesi kapsamına girmektedir.
Veriler kaynaktan varış noktasına giderken paketler halinde aktarılmaktadır. Bu paketler de çoğu zaman şifrelenerek aktarılmaktadır. Bu nedenle verinin akış anında içerisinde ne olduğunu anlamak pek mümkün olmaz.
Ancak her ne kadar içerik şifrelenmiş olsa da hangi noktadan çıkıp hangi noktaya ulaştığına ya da büyüklüğüne ilişkin meta data (veri hakkında veri) üzerinden birçok çıkarım yapılabilmektedir.
Bir örnek üzerinden incelersek:
Günümüzde kişiler hakkında en çok veri üreten cihazların başında mobil cihazlar gelmektedir.
Sabah uyandığınızda evinizin wifi ağında başlayarak, evden çıktığınızda 4G hücresel ağına, ofise gidince ofisin wifi ağına, yemek yerken ya da kahve içerken mekanların wifi ağına, mekanı terk edince tekrar hücresel ağa ve son olarak akşam eve gelince yine evin wifi ağına bağlanmaktadır. Saydığımız tüm bu ağlar aslında farklı kurumlar tarafından kurulmakta ve işletilmekteler.
Ayrıca kişiler genelde kurumlardan farklı her bir yeni ağa bağlandıklarında kendilerine yeni bir IP adresi atanmaktadır. Bunlar dinamik IP adresleri olarak adlandırılmaktadır ve şirketlerin ya da kurumların sahip olduğu her bağlantıda yenisi atanmayan statik IP adreslerinden farklıdırlar.
Bu ağlar üzerinde atanan her bir dinamik IP adresi birbirinden bağımsız kurumlar için kişilerin kimliğini belirlemek adına yeterli bir veri olmayacağından kişisel veri olarak kabul edilmemelidir.
Ancak, tüm bu ağlara giriş çıkışların takibini yapabilen bir kurum için bu IP adresi kişinin hastane ağına bağlandığında sağlığı, ya da bir cami / kilise wifi ağına bağlandığında din bilgisi hakkında çıkarım yapılabilmesine yol açabileceğinden yeri geldiğinde hassas veri olarak bile nitelendirilebilmelidir.
Şimdiye kadar mahremiyet ve veri güvenliği bakımından hapis cezası almış kişiler genelde hackerlar ve kimlik hırsızları olmuştur.
Ancak son dönemde şirketler özellikle GDPR, CCPA ve KVKK gibi kanunlar sebebiyle en çok medyaya yansıyan ve en ağır cezaları alan kurumlar olarak dikkatleri üzerlerine çektiler.
Amerikan Federal Ticaret Komisyonu’nun Facebook’a Cambridge Analytica skandalı yüzünden kestiği 5 milyar dolarlık rekor ceza artık yeni bir döneme girdiğimizi gösteriyor.
Kurum olarak veri güvenliği ve KVKK konularında yardıma mı ihtiyacınız var?
Size sağladığımız hizmetleri öğrenmek için web sitemizi buradan ziyaret edebilirsiniz: https://verilogy.com
Sorularınız için bize yazmaktan çekinmeyin: info@verilogy.com
