21. yüzyılın en değerli madeni insan bedeni: yeni oyuncağımız DNA test kitleri ne kadar güvenli?


Türkiye'nin ilk KVKK arama motoru: KVKK Arar "Acaba aynı veri ihlali Avrupa'da yaşansaydı GDPR kapsamında nasıl bir karar verilirdi?" diye soran yüzlerce kişinin ihtiyaç duyduğu GDPR karar arşivine KVKK ARAR sayesinde ulaşabilirsiniz. İlgilendiğiniz konudaki KVK Kurumu kararı ile aynı konularda verilmiş onlarca kararın Türkçe özetlerine saniyeler içerisinde erişebilirsiniz. Yirmiden fazla dilde GDPR kapsamında verilmiş kararların tamamının Türkçe özetlerine KVKK ARAR ile hemen şimdi ulaşabilirsiniz. Verini Koru okurlarına özel ilk 15 gün sadece 1 TL ile burayı ziyaret ederek deneyebilirsiniz. Elbette dilediğiniz zaman iptal garantisine sahipsiniz. ŞİMDİ DENEYİN
Daha fazlasını öğren →
Yirmi birinci yüzyılın en ünlü madenlerinde artık kıymetli taşlar değil kişisel veriler aranıyor. Gelişen teknoloji ile birlikte hayatımıza giren veri madenciliği, büyük veri, yapay zekâ, veri güvenliği gibi kavramlar günümüzün altını olan ‘veri’nin işlenmesi, analizi ve korunmasında sık karşımıza çıkan kavramlar olarak hayatımızda önemli bir yer edinmeye başladı.
Kişisel verilerimiz bu madenlerden, veri sahibi olan bizlerin rızası ile toplanıp işlenmekte; en azından yasalar bu şekilde. Bu sebeple bireylerin kişisel verilerine ilişkin farkındalıklarının yüksek olması, mahremiyet duvarlarında delikler açılmasının önüne geçmek için yapılması gerekenler listesinin en başında yer alıyor. İnternete bağlı olduğumuz her an fikirlerimizden alışveriş örüntülerimize kadar bıraktığımız her izi toplayan ve bunları birer metaya dönüştüren teknoloji elitleri bu sürece artık bedenlerimizi ve hatta DNA’mızı da dahil etmek için büyük bir yarıştalar.
Bizi bizden daha iyi tanıyan algoritmaların, bizi saatlerce akıllı cihazlarımızın ekranlarına odaklanmış halde tutmak için yılmadan yorulmadan çalışması elbette ücretsiz ve kârsız bir uğraş değil. Ne kadar çok reklam tüketir ve bizzat kullanıcılar olarak kişisel verilerimizin kullanımına ne kadar sınır koymazsak günün sonunda oldukça yüklü bir ödeme yapmış şekilde platformlardan ayrılmış oluyoruz. Ancak elbette bu ödeme verilerimiz ile çarkları dönen şirketler için yeterli değil. Şirketlerin gözlerini diktiği yerde artık daha hassas, daha gizli ve daha detaylı bilgilerimize ulaşabilecekleri genetik verilerimiz var.
21. yüzyılın başları DNA testlerinin yaygınlaştığı ve bununla birlikte DNA veri tabanlarının oluşmaya başladığı bir dönem olarak karşımıza çıkıyor. Son yıllarda ise oldukça yaygınlaşan ev tipi DNA testleri bizlere soy bağımız ve sağlığımız hakkında oldukça önemli bilgiler sunmayı ve genetik yatkınlıklarımız bakımından belirlenebilen riskler için erken tedbir alabilmeyi vaadediyor. Bireyler daha sağlıklı bir yaşamı mümkün kılabilmek için ulaşılabilirliği giderek kolaylaşan bu testleri edinmek ve deneyimlemek konusunda oldukça hevesli davranıyorlar. Ancak sorun şudur ki bu testler aracılığıyla erişime açtığımız genetik verilerimizin analizi sonucu erişebildiğimiz bilgilere, arka planda mahremiyetimizden verdiğimiz büyük bir ödün ile ödeme yapıyoruz.
Amerikan Federal Ticaret Komisyonu (FTC) tarafından Haziran ayında ilk kez bir genetik test şirketine, veri gizliliğini ihlal ettiği ve tüketicilerini aldattığı gerekçesi ile suçlamalarda bulunuldu. San Francisco merkezli ve önceden Vitagene olarak bilinen ve tüketicilere sağlıkları ile soy geçmişleri hakkında bilgi vermek için genetik veri işleyen bir test yöntemi sunan 1Health.io şirketi, FTC’nin genetik verinin gizliliğine ve güvenliğine odaklanan ilk uyarısının muhatabı oldu. Şirket, tüketicilerin DNA test sonuçlarını tanımlayıcı bilgiler ile saklanmadığı yani anonimleştirilerek saklandığı ve müşterilerin dilediklerinde bu verileri silebilecekleri yönündeki vaatlerini gerçekleştirmediği gibi müşterilere ait hassas verilerin paylaşılabileceği üçüncü taraf türlerini, gizlilik politikasında geçmişe dönük değişiklikler yaparak ve tüketicilere bildirimde bulunmayarak genişlettiği iddiaları ile FTC tarafından mercek altına alındı.
Bu münferit vaka bizlere öncelikle genetik verilerimizin neden yasal düzenlemelerle hassas veriler arasında sayıldığını ve daha özenli bir korumaya muhtaç olduğunu hatırlatmalıdır. Vücudumuzun her hücresi yarısı annemizden yarısı ise babamızdan gelen 23 çift kromozom barındırır ve bu kromozomlar birbirine bağlı ve bazıları eşsiz olan dizilimlere sahip kimyasal moleküllerden oluşur. Bu dizilimler, Adenin (A), Guanin (G), Sitozin (C), Timin (T) ve RNA’ya özgü Urasil (U) adı verilen kimyasal moleküller tarafından oluşturulmaktadır. DNA’mızın bizi biz yapan eşsiz dizilimleri olduğu gibi belli gruplara ait olduğu bilinen dizilimlere de sahip olması nedeniyle bizim haricimizde dahil olduğumuz soy ağacındaki bireyleri de belirlenebilir kılabilen dizilimleri barındırmaktadır ve bu durum genetik verilerin neden hassas veriler kabul edilmesi gerektiğine ışık tutmaktadır. Zira günümüz teknolojisi ile bir kişiye ait DNA örneği üzerinden o kişinin yer aldığı soy ağacındaki üçüncü ve dördüncü dereceden akrabaları kolaylıkla tanımlanabilmektedir. Yani bu sayede elimizde DNA verisi olmayan kişilerin uzak bir akrabasının DNA verisi ve kolaylıkla ulaşılabilen sosyal platformlardaki gönderileri ile bazı kamu kayıtları yapay zekâ aracılığıyla kişinin gerçeğe oldukça yakın bir profilini oluşturmak için yeterli olacaktır.
‘Nesnelerin İnterneti’ (IoT) her türlü akıllı cihaz ile günlük yaşamımızda etrafımızı çevreledikten sonra, sürece ‘Davranışların İnterneti’ni (IoB) de dahil ederek kişilerin hangi durumlarda nasıl davranışlar sergileyebileceğini öngörebilmeyi mümkün kıldı. Nesnelerin İnterneti insan davranışını, cihazların sağladığı hız ve kolaylık ile yönlendirirken Davranışların İnterneti ile bireylerin karar verme süreçleri yönlendirilebilir hale geldi. Nesnelerin İnterneti bu hizmeti kullanıcı hakkında topladığı ve sakladığı veriler karşılığında verirken IoT uzantısı olarak gelişen IoB, kullanıcıların doğrudan davranış biçimlerine ilişkin verilere gözünü dikmekte ve insanı oldukça tahmin edilebilir kılmakta. Teknoloji elitleri ise bu verileri satış ve pazarlama stratejilerinin belirlenmesinde kullanılacak yeni ve etkili birer araç olarak görmekte.
Biyoteknolojinin hızla gelişiyor olması ve makine öğrenmesi, bizi bizden daha iyi tanıyan algoritmalar ile karşılaşma olasılığımızın artabileceğine işaret etmekte. Sandığımızın aksine bu karşılaşma öyle kuytu köşelerde değil Instagram keşfetimizde, Twitter akışımızda yani rutinimize dahil olmuş internet adımlarımızın izlenmesi ile gerçekleşmekte.
Nöro-teknolojinin gelişimi ve yapay zekâ ile entegrasyonunun sağlanması da beyin aktivitelerimizi sürece dahil etmek için çalışmalarını sürdürüyor. Göz hareketlerimizi, zihinsel aktivitelerimizi, kalp atışımızı, odak süremizi takip ederek bizi profillemeye çoktan başlayan teknolojik elitler bunu bir adım öteye taşıyabilmek için genetik verilerimizi sürece dahil etmeyi elbette büyük bir coşkuyla istemekte ve bunu destekleyecek ve nöro-veri yakalayabilecek yeni teknolojileri ve cihazları ürünlerine eklemekten geri durmamaktalar. Bu noktadan sonra ise kontrol edilecek olan tek şey insan iradesi olmayacak, bu gözetim ve kontrol sürecine yaşamın bizzat kendisi ve onu deneyimleme şeklimiz de dahil edilebilecek.
Elbette DNA teknolojilerinin günümüzde kullanımının yaygınlaşmasının oldukça hayati yararları bulunuyor. Bunlara örnek olarak sağlık tehditlerinin önceden tanımlanabilir olmasını sağlamaları, soruşturma ve kovuşturma faaliyetleri sırasında olaylara ışık tutabilecek bilgilere ulaşılmasına destek olmaları gösterilebilir. Ancak DNA numunelerinin, bireyin iradi ve davranışsal tepkilerini tahmin edilebilir kılacak profiller oluşturulmasına hizmet edebilecek genetik verileri sürece dahil etmesi, yüzyıllar önce semai Tanrılardan koparılıp bizzat insanın kendisine aktarılan otoritenin kaynağını çok geçmeden algoritmalara teslim etmek ile sonuçlanabilir. Yani yakında bedenlerimizin ‘hack’lenmesi ile karşılaşmamız imkânsız bir senaryo olmaktan çıkabilir.
Peki DNA’mız aracılığıyla erişilebilen kişisel verilerimizi korumak için farkında olmamız gereken riskler nelerdir?
Olduğumuz kişiye ilişkin bir nevi ‘kullanım kılavuzu’ sunan genetik verilerimizin korunması oldukça önemli. DNA testleri günümüzde bir saç veya tükürük örneği ile kolaylıkla genetik anomalilerimiz ve yatkınlıklarımız, mensup olduğumuz soy ağacına ilişkin ipuçları, sağlık koşullarımız ve sağlığımızı ilgilendiren risk faktörleri hakkında bizlere kapsamlı bilgiler sunabilmekte. Bu bilgilere ulaşmak bizlere oldukça cazip görünmekte ve geleceğimize yönelik belli tedbirleri önceden alabilme imkânı ilgimizi bu alanlar üzerine toplayabilmekte.
Yeni trendlerimizden olan evlerimizde uygulayabildiğimiz DNA test kitleri, tükürük gibi genetik verilerimizi barındıran bir örneğin test sağlayıcısı şirkete gönderilmesi ve yapılan analiz sonucu vadedilen bilgilerin tüketicilere sunulması yöntemi ile çalışmakta. İlgili test şirketlerine rızamızla verdiğimiz bu küçücük örneğin üzerinde mahremiyetimizin en zor ulaşılabilen noktalarına giriş bileti olan genetik verilerimiz taşınıyor. Dolayısıyla bu değerli madeni kimlere, hangi amaçla kullanmak üzere verdiğimiz konusunda dikkatli olmak mühim.
Genetik verinizi korumanın en kolay ve güvenli yolu elbette mecbur kalmadıkça verilerinizi kimseye teslim etmemek. Ancak DNA test kitleri gibi genetik veriye erişim sağlayan araçların kullanımının söz konusu olduğu durumlarda verilerinizin güvende olup olmadığından emin olmak için çoğunlukla es geçtiğimiz bir aşama olan hizmet aldığınız şirkete ait gizlilik politikasını okumak ve verilerinizi vermeye bu politika çerçevesinde razı olup olmayacağımızı değerlendirmek önemli. Zira bu gizlilik politikası şirket tarafından hangi verilerinizin toplandığını, nasıl kullanıldığını, nasıl saklandığını ve tüketici olarak bu verileriniz üzerinde hangi kontrollere sahip olduğunuzu size açıklamakta. Dolayısıyla böyle bir sürece dahil olmadan önce şirketin gizlilik politikasına hâkim olmanız gerekir.
Bir diğer önlem, şirketin verilerinizi anonimleştirerek analiz edip etmediğinin belirlenmesidir. Şirkete gönderilen DNA örneğiniz ile benzersiz genetik yapınızın tanımlanması kişisel bilgileriniz kullanılmadan yani anonimleştirme işlemi yapılarak da gerçekleştirilebilmekte. Ancak bu da yeterince güvenli bir yöntem değil zira anonimleştirilmiş verilerin dahi genetik verilerdeki eşsiz dizilimler aracılığıyla insanların kimliklerinin belirlenmesine imkân tanıdığı örnekler mevcut. (Bkz. Golden State Katili Davası)
Verilerinizi paylaşmadan önce dikkat etmeniz gereken diğer önemli husus hizmet aldığınız şirketin verilerinizi üçüncü taraflarla paylaşıp paylaşmadığı ve bunu kontrol edebilme imkanınız. Zira verilerinizin üçüncü taraflarla paylaşımı halinde kontrol edilmesi oldukça zorlaşacak. Bu sebeple veri aktarımına ilişkin risklere hâkim olmak önem arz eder. Özellikle sigorta şirketleri genetik yatkınlıklarınız hakkında bilgi sahibi olabilmek için can atıyorlar. Bu aktarımı kontrol edebiliyor olmak mahremiyetiniz bakımından elinizi güçlendirecektir.
Son olarak DNA numunenizin hizmet aldığınız şirket tarafından saklanması konusunda sahip olduğunuz kontrol gücünü bilmek de böyle bir hizmet almaya karar vermek bakımından önemli. Zira şirketler gelişen teknoloji ile ilerde daha farklı teknikler kullanarak daha kapsamlı bilgilere ulaşabileceklerini ileri sürerek numunelerinizin saklanması yönünde sizi teşvik edeceklerdir. Tüketici olarak bu talebi yönetebilme imkanına sahip olmak, dilediğiniz zaman verilerin imhası için talepte bulunabilmek ve diğer tüm haklarınızın farkında olmak sizi mahremiyetinizi tehdit edecek ihlallerden koruyacaktır.
Özetle, DNA örneğiniz genetik verinizi barındırdığından sizi kişisel mahremiyetiniz bakımından birçok risk ile karşı karşıya getirebilir. Kolluk kuvvetleri, sigorta şirketleri, grup şirketler ve benzeri üçüncü taraflara aktarılabilecek olan genetik verilerinizin kontrolünü elinizde tutmanız bir seviyeden sonra imkânsız hale gelebilecektir. Alacağınız hizmeti veren şirketin gizlilik politikasında bu verilerin hangi amaçlar için kullanılacağını açıklayacak, anonimleştirme süreçleri hakkında bilgi verecek, verilerin saklanmasını engelleyebilmenizi sağlayacak veya verilerin imhasına ilişkin bir yol haritası belirleyecek hususların olup olmadığını bilmek bu sebeple önemlidir. Bu noktada şirket tarafından iyi bir gizlilik politikası planlanmış olsa dahi ‘hacker’lar tarafından da bu bilgilerinizin altın değerinde olduğu bilinmektedir. Bu sebeple siber saldırılar durumunda oluşabilecek dışsal tehditleri de göz önünde bulundurmak genetik verinizi teslim ederken aklınızda bulunması gereken bir soru işareti olmalıdır. Sonuç olarak, temelde sizin için bir kaynak kod niteliği taşıyan DNA örneğinizi paylaşmamayı tercih etmek başlangıç için makul bir tercih olabilir.
Sizin dahi farkında olmadığınız sırlarınızı açığa çıkarabilecek nitelikte olan genetik verilerinizi paylaşmadan önce tekrar tekrar düşünmenizde yarar vardır. Karar vermeden önce kendinize şu soruyu sorabilirsiniz: Satın alacağım bu hizmet, mahremiyetimle ödeme yapmaya değer mi?
Bu yazı Verini Koru gönüllüsü Edanur Okumuş tarafından hazırlanarak, 10.07.2023 tarihli bültenimizde yayınlanmıştır.
Kaydet
Okuma listesine ekle
Paylaş
İLGİLİ BAŞLIKLAR
NEREDE YAYIMLANDI?
İrlanda'dan çok tartışılacak Bölüm 26A yasa değişikliği, 7 gate-keeper açıklandı, Brezilya'dan Threads'e inceleme, Manchester Üniversitesi'nde veri ihlali, Google Analytics kullanana ceza ve çok daha fazlası...
10 Tem 2023

YAZARLAR

Edanur Okumuş
Yazar @ Verini Koru

Veri Koruma ve Mahremiyet Gündemi
Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.
İLGİLİ OKUMALAR



