Kişisel Sağlık Verileri | DDK Raporu'dan Çarpıcı Tespitler

DDK Raporu'dan Çarpıcı Tespitler

Zaman-15 Aralık 2013

Devlet Denetleme Kurulu (DDK) tarafından hazırlanan rapor, vatandaşın kişisel verilerinin muhafazası konusundaki ihmalleri ortaya çıkardı.

DDKnın raporuna göre, denetimler, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı, Adalet Bakanlığı bünyesinde gerçekleştirildi. Raporun sonuç bölümü, Kişisel verilerin korunması hakkı, temel insan hak ve özgürlükleri arasında yer almakta olup, insanın şahsiyetinin korunması, hukuk devleti ilkesi ve demokrasinin derinlik kazanması açısından hayati öneme sahiptir. tespitiyle başlıyor. Raporda kişisel verilerin korunması hakkının 2010 tarihinde yapılan referandum sonucunda Anayasal güvence altına alındığı belirtiliyor. Fakat bu hakkın etkin bir şekilde korunması için kanunun bulunmamasına dikkat çekiliyor.

Raporda, fiziki güvenlik konusunda ciddi eksikliklerin mevcudiyeti tek tek eleştiriliyor. Yine bazı kurumların çağrı merkezinden sadece ad, soyad ve TC kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan doktor, ilaç alınan eczane, alınan ilacın adı, ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabildiği kaydediliyor. Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile bu ortamlar şifrelenmeden ve başkaca herhangi bir güvenlik önlemi alınmadan paylaşılabiliyor. Bir örnekte CD ortamında 13,8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığının tespit edildiğinin altı çiziliyor.

Raporun sonuç bölümünde 39 tespit ve öneri sıralanıyor. Kişisel verilerin üçüncü şahısların eline geçmesiyle alakalı hiçbir güvenliğin olmadığı ve çok büyük açıkların bulunduğu anlatılıyor. Aynı bölümde, kişisel verilerin silinmesi ile ilgili kanuni sınırların (5 yıl) aşıldığı, imhaların yapılmadığına vurgu yapılıyor. Kişisel verilerin üçüncü kişilerin eline geçmemesi için güvenli şekilde silinmesi gerektiği aktarılıyor. Şöyle deniliyor: Denetim kapsamındaki kurumlardan sadece birinde kullanım dışı kalan elektronik kayıt ortamlarının güvenli imhası ile ilgili yazılı politikanın bulunduğu, ancak bu kurumda da imha işlemini yerine getirmesi gereken personelin politikadan habersiz olduğu ve politikayı uygulamadığı tespit edilmiştir.

Milyonlarca kişinin bilgileri 1 CDde

Raporda öne çıkan tespitlerden bazıları şöyle: Türkiyede pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst kontrol yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür. Kurumların çoğunun, bilişim sistemlerinin kurulması veya işletilmesi nedeniyle bilişim sistemlerine ve bu sistemlerde bulunan verilere ilişkin bilgilere sahip olan bilişim hizmeti alınan firmalarla gizlilik sözleşmesi imzalamadıkları, imzalanan bazı gizlilik sözleşmelerinin ise içerik olarak yeterli güvenceyi sağlamaktan uzak olduğu tespit edilmiştir. Bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği tespit edilmiştir.

Kişisel veri paylaşımı hukukî dayanaktan yoksun

Kişisel verilerin kamu kurumları ve özel sektörde veri paylaşımı ve hukuki dayanağının bulunmadığı da raporun bir başka önemli tespiti. Kişisel Veri Paylaşımına İlişkin Tespit ve Öneriler başlığı altında bu hususta şunların hayata geçirilmesi isteniyor: Diğer kamu kurumları ve özel kesim ile veri paylaşımında, hukuki dayanağın bulunup bulunmadığı gibi hususlarda yeterli analizin yapılmadığı ve etkin karar mekanizmalarının oluşturulmadığı görülmüştür. Kişisel verilerin paylaşımında öncelikle; paylaşımın amacının net olarak belirlenmesi, bilgi talebinde bulunan kurumun söz konusu kişisel veriler ile sunduğu hizmet arasındaki ilişki ve bu verilerin paylaşımına ilişkin gereklilik durumu, veri talebinde bulunan kurum veya kuruluşların yasal olarak bu verileri almaya yetkili olup olmadıkları, hukuki dayanakları ve gerekçeleri gibi hususların değerlendirilmesi ve değerlendirmenin, konunun hukuki, idari ve teknik boyutlarının tümünü kavrayacak bilgi ve uygun yetki düzeyine sahip bir kurul tarafından gerçekleştirilmesi gerekmektedir.

DDK RAPORU'DAN ÇARPICI TESPİTLER

GSM operatörlerinde 68 milyon kişinin verileri var

5809 sayılı Elektronik Haberleşme Kanununun 56. maddesi ve Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliğinin 15. maddesi uyarınca, abonelik sözleşmesinin yanında T.C. kimlik numarası ile kimlik belgesinin bir suretinin abonelik sözleşmesi ile muhafaza edilmesi zorunludur. Türkiyede Haziran 2013 itibariyle mobil abone sayısının 68.025.878 olduğu düşünüldüğünde, 9 yaş üzeri nüfusun önemli bir kısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu anlaşılmaktadır.

Bankalar, kanuna rağmen kimlik fotokopisi alıyor

Kimlik Paylaşımı Sistemi Yönetmeliğinin 11. maddesinin 3. fıkrasında; Kimlik Paylaşımı Sistemi çerçevesinde kimlik bilgisine erişebilen kamu kurum ve kuruluşlarınca ve 5411sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan bankalarca kişilerden ayrıca nüfus cüzdanı örneği veya kimlik bilgilerine ilişkin başkaca bir belge istenemez. düzenlemesine ve Ocak 2013 itibariyle Kimlik Paylaşım Sistemine online erişebilen kamu kurumu ve özel kuruluş sayısının 2.478 olmasına rağmen, pek çok işlemde kişilerin kimlik fotokopisinin alınması uygulamasına devam edilmektedir.

50 milyon seçmenin kütük kayıtlarının paylaşımını engelleyen bir mekanizma yok

Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında Kanunda yer alan düzenleme kapsamında her seçim döneminde, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini Yüksek Seçim Kurulu ile paylaşmakta, talep etmeleri halinde de Yüksek Seçim Kurulu söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın, adı, soyadı, ana ve baba adı, doğum yılı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiştir. Bu verileri alan partilerin bu verileri koruma yeterlilikleri ve almaları gereken önlemler konusunda da herhangi bir belirleme yapılmamıştır. Adli makamlara da intikal etmiş olan bazı olaylarda 18 yaş ve üzerindeki kişilerin T.C. kimlik numaraları ile kimlik ve adres bilgilerinin sorgulanmasına imkân veren yazılımların üretildiği ve satıldığı bilgisi, bu tür uygulamaların doğurabileceği sonuçlar açısından dikkat çekicidir.

Seçmen kayıtları internete kadar düştü

Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi üzerinden ve mobil uygulamalarla sorgulanabildiğine ilişkin bir örnekle de karşılaşılmıştır. Söz konusu sorgulamalar T.C. kimlik numarası ve bir adet doğrulama kriteri (baba adı) ile yapılmakta, kişilerin il, ilçe ve mahalle bilgisi ile bulunduğu binadaki seçmen niteliğine sahip kişilerin listesine ulaşılabilmektedir.

500 bilgisayar bir saatte ele geçirildi

Bünyesinde hassas kişisel veriler bulunan bir kamu kurumundaki güvenlik testi sonucunda, yama eksiğinden dolayı kuruma ait 500 sunucunun bir saat gibi kısa bir sürede ele geçirilebildiğinin görülmesi, kurumların yama politika ve süreçlerine vermeleri gereken öneme işaret etmektedir.

Kişisel veriler belleklerde CD lerde taşınıyor

Denetim çalışmaları sırasında kamu kurumlarının sahip oldukları pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıkları görülmüştür. Çevrimiçi veri paylaşımında sorgu kayıtları aracılığı ile kontrol imkânı bulunmasına rağmen, çevrimdışı paylaşılan veriler üzerinde herhangi bir kontrol imkânı da kalmadığından, bu verilerin paylaşımına ilişkin gerekli güvenlik önlemlerinin alınması büyük önem taşımaktadır. Buna rağmen, bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden, kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği; söz konusu verilerin ilgili kurumda hangi güvenlik önlemleri alınarak muhafaza edileceği ve kullanılabileceği, çoğaltılıp çoğaltılamayacağı, söz konusu bilgilere olan ihtiyacın ortadan kalkması durumunda taşınabilir elektronik ortamın ne şekilde imha edileceği gibi hiçbir güvenlik hususunun belirlenmediği tespit edilmiştir.

Türk Tabipleri Birliği

Yayınlar

Kişisel Sağlık Verileri 4. Ulusal Kongresi

Kişisel Sağlık Verileri 3. Kongresi

Tüm Yayınlar

DDK Raporu'dan Çarpıcı Tespitler

DDK RAPORU'DAN ÇARPICI TESPİTLER