Mehmet Yusufoğlu: Cumhurbaşkanı dahi kişisel verilerinize izinsiz ulaşamaz

DUVAR - Boğaziçi Üniversitesi Bilgi Teknolojileri Kurulu (BTK) üyeleri, öğrenci, mezun ve çalışanların kişisel verilerine 'onaysız erişim izni tespit ettiklerini' açıkladı, konu TBMM’ne taşındı.

İktidara yakınlığıyla bilinen medya kuruluşlarında, Prof. Dr. Tuna Tuğcu, Prof. Dr. Yavuz Akpınar, Prof. Dr. İbrahim Semiz ve Prof. Dr. Emre Otay'ın cuma günü üniversitenin ana kampüsünde bulunan Bilgi İşlem Merkezi'ne "baskın düzenlediği, personeli tehdit ettiği ve yetkisiz şekilde evrak gasp ettiği" iddia edildi, akademisyenler Bilgi Teknolojileri Kurulu'ndaki görevlerinden alındı.

Konu ile ilgili açıklama yapan akademisyenler ise iddiaları yalanlayarak, 'kişisel verilere onaysız erişim izni tespit ettiklerini' belirtti. 

Boğaziçi Üniversitesi’nde eğitimini tamamlayan ve şu anda robotik sistemler ve veri mühendisliği üzerine Almanya’da çalışmalarına devam eden ve Berlin Boğaziçi Dayanışması üyelerinden Dr. Mehmet Yusufoğlu konu ile ilgili değerlendirmelerde bulundu.

‘KURUL KARARLARI HİÇE SAYILIYOR’

Boğaziçi Üniversitesi’ndeki kişisel verilere onaysız erişim iddialarını değerlendiren Yusufoğlu,  "Kişisel verilere erişim hakkı ancak o verinin sahibi olan kullanıcılardan onay alınarak verilebilir. Cumhurbaşkanı bile sizin kişisel verinize sizin onayınız olmadan erişim hakkı veremez’’ ifadelerini kullandı.

Aynı zamanda ‘Boğaziçi Seçiyor’un alt yapısını hazırlayan Yusufoğlu, ‘’Onay alınmak kaydıyla bu erişim izninin verilmesi için Bilgi İşlem Merkezi'nin (BİM) öncelikle Bilgi Teknolojileri Kurulu’na (BTK) danışması gerekir. Ancak Melih Bulu’nun rektörlüğe geldiği günden beri üniversitede tüm kurul ve komisyonlar (Senato ve Üniversite Yönetim Kurulu (ÜYK) bile) devre dışı bırakılıyor. Kurul olarak alınan kararlar hiçe sayılıyor. BTK oluru ile bu bilgilere erişim hakkı verilebilirdi. Bu esnada zaten BTK, Rektörlük ve Hukuk Birimi ile iletişim kurar, fikir birliğine varırdı. Bu işin doğru yolu budur’’ dedi.

Bu gibi durumlarda kimlerin bilgilerine erişim sağlanacağına ilişkin sorumuzu yanıtlayan Yusufoğlu, "Boğaziçi Üniversitesi ile ilişkisi olan herkesin; hocalar, idari personel, araştırmacılar, öğrenciler, gelmiş geçmiş tüm mezunlar... Aslında rektörün bilgilerine bile erişim hakkı verildi ama olayın ciddiyetini anlamıyorlar" dedi.

Kişisel verilerin elde edilmesinin nasıl bir tehdit oluşturacağına ilişkin değerlendirmelerde bulunan Yusufoğlu, "Kişisel bilgiler özeldir. Sizin için pek rahatsızlık oluşturmuyor olabilir ama başkası için kabul edilmezdir. Örneğin; bir kadın ayrılmış olduğu eşinin soyadının bilinmesini istemiyor olabilir. Hiçbirimiz telefon numaramızın, adresimizin kim olduğunu bilmediğimiz kişilerin eline geçmesini istemeyiz. Örneğin; bir kadının hakkında uzaklaştırma kararı aldırdığı bir kişinin o kadının adresini bilmesi hayati risk yaratabilir. Ya da cinsel tacizcilere büyük kolaylık sağlanmış olabilir. Annemizin kızlık soyadının ele geçmesi çok ciddi güvenlik riskleri oluşturabilir. Üniversitedeki başarı durumunuzun işyerinizdeki kişiler tarafından ya da potansiyel işvereniniz tarafından onayınız olmaksızın bilinmesini istemiyor olabilirsiniz. Bu şekilde çok uzun bir liste söz konusu’’ ifadesini kullandı. 

‘VERİLERİN HACKERLARIN ELİNE GEÇMESİNE FIRSAT VERDİĞİNİZ İÇİN BİLE CEZALANDIRILIRSINIZ’

Yusufoğlu kişisel veri sahibinin haklarına ilişkin sözlerine şu şekilde devam etti:

"Kişisel verileriniz sizin izniniz olmadan hiç kimseyle paylaşılamaz. İzinsiz paylaşım KVKK’nın açık ihlalidir. Normalde sistemleri iyi koruyamadığınız ve kişisel bilgilerin hackerların eline geçmesine fırsat verdiğiniz için bile cezalandırılırsınız. Boğaziçi olayında üniversite bu bilgileri kendisi firmaya açıyor ve üstüne firmaya para bile veriyor bunun için. En başta teknik şartname hatalı. Şartnamede veri tabanı değil veri tabanı şemalarının verilmesi söylenmeliydi.

Daha da önemlisi, KVKK diyor ki 'Eğer kişisel bilgiler bir şekilde başkalarının eline geçerse en kısa sürede o kullanıcıları ‘hangi bilgilerin ne zaman ele geçirildiğini, bunun ne gibi güvenlik riskleri yaratabileceğini ve ne yapılması gerektiğini kullanıcılara bildireceksin.' Tabii ki kullanıcılardan özür de dilenmesi gerekir. Bizde ise rektörlük olayı halen inkar ediyor ve kullanıcılara açıklama yapmayarak KVKK’yı bir kez daha ihlal ediyor. Özür dilemek bir yana, bilgileri sızdırılan hocalar hakkında suçlamada bulunup soruşturma açıyor.

Gizlilik sözleşmesi bu açıdan zerre kadar koruyuculuk sağlamaz. Olayı şöyle açıklayayım: Boğaziçi bu bilgilere erişim hakkını X firmasına vermiş. Boğaziçi ile X firması arasında imzalanan gizlilik sözleşmesi “X firmasının bu bilgileri Y firmasına vermesini” engeller. Sorun zaten bu bilgilerin X firmasına vermiş olmasında; Y veya Z firmalarına karşı olan güvence X’e karşı koruyucu değil. Gizlilik sözleşmesinin koruyucu olduğunu iddia edenler ya gizlilik sözleşmesinin ne demek olduğunu bilmiyor ya da olayın üstünü örtmeye çalışıyor demektir.’’

‘HAVUZ BASINA ÇARPTIRILMIŞ BİLGİ SIZDIRILDI’

Boğaziçi Üniversitesi’nde iddia edilen veri paylaşımının sorumluluğunun kime ait olduğuna ilişkin konuşan Yusufoğlu, "En başta BİM’i tanımadan, göreve başladıktan birkaç gün sonra bu teknik şartnameyi hazırlayıp hizmet alımını yapan BİM daire başkanı" ifadelerini kullandı ve sözlerini şu şekilde sonlandırdı: 

"Ayrıca Rektör ve Genel Sekreter de aynı derecede sorumlu. Daire başkanı hata yaptığında araştırıp durumu anlamaya çalışmalı ve gereğini yapmaları gerekirdi. Oysa düşünmeden daire başkanının yaptıklarını destekleyerek tüm sorumluluğa ortak oldular. Eğer Rektör BTK’yı lağvetmeden önce BTK üyeleriyle konuşsa ve durumu anlamaya çalışsa bu iş sessiz sedasız ve üniversitenin zarar görmeyeceği şekilde sonuçlandırılırdı. Nedense bu yolu tercih etmediler.

Ayrıca Rektör ve Genel Sekreter başka hatalar da yaptılar. Bu süreçte havuz basınına çarptırılmış bilgi sızdırıldı. Bilgi güvenliğinden söz edilen bir olayda bilgi sızdırılmasının hiç durmadan devam ettirilmesi ve soruşturulmaması da ayrı bir problem. Bilgi güvenliği problemi konuşulmasın diye sürekli olarak olayı ortaya çıkaran hocalar hakkında yalan bilgilere dayalı bir karalama kampanyası yürütülüyor."