İBB’nin 29 Ekim’de duyurduğu kişiselleştirilmiş İstanbulkart zorunluluğu 1 Ocak 2023’te başlayacak. Aktarma, mesafe bazlı ücret iadesi ve resmî tatillerde ücretsiz ulaşım gibi haklar sadece kişiselleştirilmiş İstanbulkart kullanıcıları için geçerli olacak. Ancak İstanbulkartlarını kişiselleştirmek zorunda kalan kullanıcılar, veri güvenliğinin ve seyahat özgürlüğünün kısıtlanacağı kaygısı yaşıyor.
İstanbul’da ulaşımda yeni bir dönem başlıyor; İstanbul Büyükşehir Belediyesi’nin ulaşım için kullanılan İstanbulkart’ının “kişiselleştirme” zorunluluğu 1 Ocak 2023’te yürürlüğe girecek. “Kişiselleştirme” ile birlikte, kişisel veri güvenliğinin korunup korunamayacağı da tartışma yarattı.
Kişisel bilgileri de kapsayacak İstanbulkart için İBB, MasterCard ile anlaşmıştı. 1 Ocak’tan itibaren kartlarına kişisel bilgilerini de ekleyen kullanıcılar, MasterCard logolu İstanbulkart kullanmaya başlayacaklar. Bu kartlar, yurt içi ve yurt dışı tüm ödeme ağında da geçerli olacak.
“Kişiselleştirme” hangi avantajları getiriyor?
İstanbulkart’ını kişiselleştirenlere, aktarma, mesafe bazlı ücret iadesi ve resmi tatillerde ücretsiz ulaşım gibi haklar sağlanacak. İstanbullulara özel bu haklardan faydalanmak isteyen kullanıcıların ise anonim İstanbulkart’ını kişiselleştirmesi gerekiyor.
Kişiselleştirme işlemi yapmak istemeyen kullanıcılar İstanbulkart’ını ulaşım ve alıverişlerde kullanmaya devam edecek, ancak özel kampanyalardan ve indirimlerden faydalanamayacak.
Kişiselleştirme işlemi sadece kırmızı renkli anonim İstanbulkart için yapılıyor. Öğrenci, öğretmen, anne, 60 ve 65 yaş üstü özel statüdeki İstanbulkartlar ise zaten kişisel olduğu için kişiselleştirme yapılmaya gerek kalmadan kampanyaların hepsinden faydalanılmaya devam edecek.
Veri güvenliği tartışması
29 Ekim’de İBB’nin İstanbulkart kişiselleştirme zorunluğunu duyurmasının ardından “anonim seyahat etme hakkı”, “veri güvenliği” gibi konular ciddi tartışma yaratmış durumda. İstanbul Büyükşehir Belediyesi Ulaşım Dairesi Başkanı Utku Cihan 9. Köy’e yaptığı açıklamada, İBB’nin ulaşım kartlarının kişileştirilme uygulamasını iki amaca bağladı. Cihan, kartların kişiselleştirilmesi ile hem “bakiye güvenliğinin sağlanmasını”, hem de “ulaşım planlamasının daha iyi yapılmasını” amaçladıklarını söyledi.
İstanbulkart’ın bir çok zincir marketlerde ya da alışverişte kullanılan bir kart haline geldiğini belirten Cihan, büyüyen bir kart bakiyesinin olduğunu vurgulayarak, “Kişiselleştirme yöntemiyle beraber kartın güvenliğini de sağlamış oluyoruz. Kayıp-çalıntı halinde vatandaşlarımız başvuru yaparak kartı kullanıma kapattırabilirler ve eski bakiyelerini geri alabilirler. Ayrıca yaptığımız kampanyalardan kimin yararlanıp yararlanmadığını takip etmek istiyoruz” dedi.
“Kişiselleştirme zorunlu değil”
Kişiselleştirme uygulamasının zorunlu tutulmadığına da dikkat çeken Cihan, şöyle konuştu;
“Biz kişiselleştirmeyi tamamen kullanıcının tercihine bırakıyoruz. Ancak kartlardaki bakiyeleri güvence altına almak için kişiselleştirme teşvik ediliyor. İBB bu uygulama ile aslında İstanbul halkından aldığı kamu kaynaklarını yine orada ikamet eden vatandaşlara harcamak istiyor. Biliyorsunuz İstanbul çok fazla yabancı turist çeken bir kent. Bu manada dini ve milli bayramlardaki ücretsiz geçişleri İstanbullulara özel hale getirmek istiyor. İstanbullular kartlarını kişiselleştirdiğinde, İBB’nin birçok kampanyasından faydalanabilecek.”
“Verileri sadece bir numara olarak alıyoruz…”
Cihan, İstanbul’da toplu taşımadan anonim şekilde seyahat etmenin tek alternatifinin “Sınırlı Kullanımlı Kartlar” olduğunu da belirtti.
Veri güvenliği konusundaki kaygılara ilişkin ise Cihan, vatandaşların kişisel verilerinin nasıl korunacağını şöyle anlattı;
“Kişisel veriler BELBİM’in veri tabanında, EPDK tarafından denetlenen bir sistem tarafından korunuyor. Verilerin dışarı çıkarılması kesinlikle mümkün değil. Verilerin kime ait olduğuna göre değil, sadece onu temsil eden bir numara olarak alıyoruz ve değerlendiriyoruz”
“Bu veriler ne kadar saklanıyor ne amaçla kullanılıyor bilmiyoruz…”
İBB verilerin güvende olduğunu ve başka amaçlarla kullanılamayacağını söylese de, ulaşım verilerinin toplanması ve bir finans kuruluşu olan MasterCard ile paylaşılması vatandaşta kaygı yaratıyor. Kaygılara cevap veren dijital güvenlik uzmanlarına göre, “gerekli aydınlatmanın yapılması ve rızanın alınmasına” özel vurgu yapıyorlar.
9. Köy’e konuşan İletişim Uzmanı Şevket Uyanık, temel sorunun, vatandaşların verilerini emanet ettiği otoritelerin, bunları ” hukuka ve dürüstlük kurallarına göre koruyup korumadığı” olduğunu vurguladı.
Türkiye’nin bu anlamdaki sicilinin yeterince temiz olmadığını savunan Uyanık, şöyle konuştu;
“İstanbulkartı’nın kişiselleştirilmesi kişisel verilerimizi elbette riske ediyor. Yıllar önce tüm vatandaşların kimlik bilgilerine ulaşabiliyordunuz. Çeşitli forumlarda bu bilgiler yer alıyordu ya da sağlık verilerimizin DATAMED isimli yabancı bir firmaya satıldığını biliyoruz. İnsanların da şüphe duyduğu ve huzursuz hissettiği tamamen bu. Bir diğer taraftan da, şeffaflık yok. Bu veriler ne kadar saklanıyor, ne zaman siliniyor, bu veriler ne amaçla kullanılıyor bilmiyoruz. Bilgi edinme hakkından yararlansak bile, belli bir noktaya kadar öğrenebiliyoruz. Büyük şirketler için de aynı durum geçerli. Kısaca insanlar güvenmiyor. Bu sebeple internette denildiği gibi ‘ne kadar az dijital ayak izi bırakırsak o kadar iyi’ herhalde.”
“Seyahat ederken izlendiğini bilmek hoş olmasa gerek…”
Anonim seyahat etmenin anayasal bir hak olduğunu belirten Uyanık, kişiselleştirilen İstanbulkart’ın mahremiyeti ihlal etiğini de söylyerek, şöyle konuştu:
“Anonim kalma hakkı çoğu alanda olduğu gibi ulaşımda da olmalı. İnternette bu hak Avrupa’da bildiğim kadarıyla 2000’li yılların başından beri var. Belki pahalı bir yöntem ama tek binişlik kartlarla bu hala sağlanabiliyor. Burada bence en doğrusu vatandaşlara seçenekler sunmak. İstersen anonim, istersen aylık kart istersen kredi kartı. Diğer türlü dayatmalar seyahat özgürlüğüne karşı yapılmış hamlelerdir. Anayasa’ya göre, seyahat hürriyeti ancak suç soruşturma ve kovuşturması sebebiyle, ya da suç işlenmesini önlemek gibi amaçlarla sınırlanmıştır. Anonimlik hakkının insanların mahremiyete bakış açısı ile ilgili olduğunu düşünüyorum. Bazı insanlar için önemsiz olabilir. Ama seyahat ederken izlendiğini bilmek hoş bir duygu olmasa gerek. Bu durum, şehirlerin her yerine takılan ve sayıları gün geçtikçe artan kamera sistemlerini andırıyor biraz da. Güvenlik diye tüm vatandaşlarınızı izleyemezsiniz. Bu konuda yapılan araştırmaların çoğunda zaten gözetim teolojilerinin istenildiği düzeyde başarı sağlayamadığını görüyoruz.”
“Verilere sahip olunacağını biliyoruz”
Kişiselleştirilen İstanbulkart’ın taşıdığı bir diğer güvenlik riski ise iktisadi veriler. İstanbulkart ve MasterCard arasında yapılan entegre protokolünün detayları kamuoyuna açıklanmış değil.
Konu güvenlik açısından tartışıldığı gibi, maddi açıdan da tartışılıyor. Dijital Güvenlik Uzmanı Uyanık bu protokolle iktisadi ilişkilerin denetim altına alındığına da dikkat çekerek, bu protokolünün vatandaşların rızası alınmadan hayata geçtiğini söyledi. Uyanık, şöyle konuştu: “Veri çağımızdaki en önemli olgulardan biri ve parasal değeri yüksek olan bir kavram. Bu anlamda yapılan anlaşma ile elbette ki firmanın verilere sahip olacağını biliyoruz. Visa, MasterCard gibi oluşumlar, kripto paraların aksine merkezi finans modelleridir ve ekonomik rekabette merkezi modeller kazanır ve gözetimi/veri işlemeyi zorunlu kılar. İfade özgürlüğünde olduğu gibi iktisadi ilişkilerde de özgürlük ve gizlilik önemlidir. Bu merkezi model kartları düşününce aklıma Wikileaks’ten Jullian Assange ve arkadaşlarının yazdığı “Şifrepunk” isimli kitapta bahsedilen şu cümle geldi: “Yani (Rusya Devlet Başkanı Vladimir) Putin çıkıp -kartıyla- bir kola aldığında, 30 saniye sonra Washington bundan haberdar oluyor”. Evet, izlendiğimiz doğru ama bunu ne için kullandıklarını şeffaf olarak bilemememiz sorun bence. Bu tarz kararları alırken şehirdeki insanlara, STK’lara ve diğer oluşumlara sormalısınız. Sonrasında da net olarak halka açıklamalısınız.”
Konunun bir başka boyutunun ise, bu tarz kart maliyetlerinin halka yüklenmesi olduğuna dikkat çeken Uyanık, “Bu da doğru değil. Kartlarımızın arasına yeni bir kart eklemek teknolojik bir çözüm gibi gelmiyor. Hepimizin telefonlarında ödeme sistemleri var, toplu taşıma araçlarındaki cihazları buna uyumlu hale getirselerdi çok daha mantıklı bir iş yapmış olurlardı” dedi.
“Açık rıza vermeden bunu uygulayamazsınız”
İBB’nin Masterpass anlaşması kişisel verilerin korunması yasaları ve uluslararası sözleşmelere aykırı aykırı olduğunu da savunan Uyanık şunları söyledi:
“Gördüğüm kadarıyla MasterCard bir karbon ayak izi ölçümü yapıyor. Diyelim ben birçok farklı toplu taşıma aracına binerek, aktarmalar yaparak 12-13 saat boyunca İstanbul’un gezebildiğim kadar yerini gezmek istiyorum. Karbon ayak izi aşımı olarak sistem bunu algılayıp seyahatimi sonlandıracak mı? Estonya, İsveç gibi ülkelerde birçok teknolojik çözüm var keşke onları inceleselerdi. Açık rıza ifadesi vardır. Vatandaşlar açık rıza vermeden bunu uygulayamazsınız. Hatta Avrupa’daki GDPR kapsamında bu ifade “açık ve olumlu rıza” diye geçer. Bu sebeple bir inisiyatif ya da Sivil Toplum Örgütü tarafından KVKK’ya yapılacak toplu bir itiraz başvurusu, İBB yönetimini tekrar düzenlemeye zorlayabilir.”
Veriler kötü niyetli gruplar için cazip bir hedef
9. Köy’e konuşan Dijital Güvenlik Uzmanı Ahmet Sabancı ise kişiselleştirilen İstanbulkart’la birlikte kişisel verilerin bir noktada toplanıyor olmasının kaçınılmaz bazı riskler doğurduğunu söyledi. Sabancı bu riskleri şöyle açıkladı;
“İBB’nin kişisel verileri işleyip tutacağı sistemlerin teknik kapasitesini ve Aydınlatma Metninde yer alan gereken tüm makul idari ve teknik tedbirleri bilmiyoruz. Bu konuda yeterli bilgi sağlanmadığı sürece de yapılacak her yorum tamamen tahminlere dayalı olacaktır. Ancak bütün İstanbul’un toplu ulaşım verilerinin bir noktada toplanıyor olmasının kaçınılmaz bazı riskleri var. Herhangi bir teknik hata bu verilerin hepsini riske girmesine neden olabilir. Ayrıca kötü niyetli gruplar için böyle bir veri yığını cazip bir hedef olacağı için muhtemelen saldırıya uğrama ihtimali de yüksek olacaktır. Bu yüzden verilerin güvenliğine dair planlama ve önlemlerin bu tarz yüksek risk senaryolar gözetilerek alınması gerekir.”
Yasa kapsamında seyahat verilerimiz devlet kurumlarıyla paylaşılabilir
Kişiselleştirilen İstanbulkartları’nın seyahat özgülüğünü kısıtladığına dikkat çeken Sabancı, “kişisel verilere dair yönetmelik kapsamında olan ve gerekli görülen durumlarda yasa kapsamında herhangi bir bakanlık veya devlet kurumunun veri talebinin karşılanması gerekiyor. Bu gerçekleştirdiğimiz tüm seyahatlerde olduğu gibi burada da geçerli olacaktır ancak bunun dışında özel bir yaptırım ya da düzenleme söz konusu değil” dedi.
Anonimlik olmadığı anda faydadan çok zarar görmeye başlıyoruz
Sabancı, anonim seyahat etmenin önemine de dikkat çekerek şöyle konuştu;
“Teknolojinin giderek hayatımızda daha fazla yer kaplaması ve akıllı teknolojiler dediğimiz alanın büyümesiyle birlikte karşımıza çıkan akımlardan birisi de akıllı şehirler. Burada şehirde yaşayanlara sunulan temel vaat kendileri ve gündelik yaşamlarıyla ilgili toplanan bu verilerin daha verimli ve optimize edilmiş bir şehir düzenlemek için kullanılacağı. Yani size ve gün boyunca şehirde yaptıklarınıza dair verileri toplayarak “kolaylık” sağlayacağız. Bu her ne kadar kulağa cazip gelse de başta Toronto gibi şehirler olmak üzere birçok yerde bunun ters teptiğini ve iptal edildiğini gördük. Bunun sebebi ise insanların takip edildiklerini ve kendilerine dair verilerin toplandığını öğrendikleri andan itibaren davranışlarını bilinçli ya da bilinçsiz bir şekilde değiştirmeye başlaması. Genellikle basit tekno-çözümcü argümanlar ile bu tarz gelişmelerin sadece pozitif yanları anlatılıyor ve potansiyel riskleri ve sorunları göz ardı ediliyor. Bu verilerin ne kadar güçlü olabileceği, nasıl farklı şekillerde kullanılabileceği ya da şehir hayatında nasıl hesaba katmadıkları sonuçlara yol açabileceği asla konuşulmuyor. Bunları çoğu zaman iş işten geçtikten sonra ya da başımıza kötü bir şey geldikten sonra konuşmaya başlıyoruz. Elbette bu tarz verilerin şehirleri geliştirmek ve ihtiyaçlarını anlamak için toplanabileceği senaryolar olsa da anonimlik olmadığı anda bunun faydasından çok zararını görmeye başlıyoruz.”
