Türk Mühendis ve Mimar Odaları Birliği'ne (TMMOB) bağlı Bilgisayar Mühendisleri Odası (BMO); WhatsApp'ın güvenlik sözleşmesii ve alternatif uygulamaları değerlendirdiği bir yazılı açıklama yaptı. Yapılan açıklamada yetkililere bazı taleplerde bulunan BMO, yurttaşlara verilerinin korunması yönünde tavsiyelerde bulundu.

WhatsApp, mesajlaşma uygulamalarındaki şifreleme ve gizliliğin değişmediğini, üst verilerin sadece ortaklarla paylaşıldığını belirtmesine karşın bu iddianın bağımsız kurumlarca kanıtlanamamakta olduğunu belirten BMO, ''İstemciler arası iletişim tümüyle şifrelenmiş olarak gerçekleşse bile istemci düzeyinde gerçekleşen işlemlerin de şirketin kontrolünde olduğu gözden kaçırılmamalıdır. Diğer yandan, WhatsApp uygulamasının sahibi olan Facebook’un sicili, topladığı kişisel verileri kullanma konusunda temiz değil. Geçmişte kullanıcılarından topladığı bilgileri resmi otoritelerle, ABD’de CIA ve NSA gibi istihbarat örgütleriyle paylaştığı çok sayıda habere konu olmuş; dahası, bir önceki ABD seçimlerinde bu bilgilerin başkan adaylarından biri yararına kullanıldığını gösteren “Cambridge Analytica” skandalı unutulmamıştır.'' dedi

Telegram, Signal ve Bip uygulamalarının güvenirliğine değinen BMO, bu uygulamalar için şu ifadeleri kullandı: 

Telegram uygulamasında ön tanımlı mesajlaşmada veriler istemciden sunucuya şifrelenmiş olarak iletilmekte ve şifrelenmiş veri sunucuda çözülüp alıcının istemcisine yeniden şifrelenerek gönderilmektedir. Telegram, sunucularında bulunan kullanıcı verilerine erişilmek istendiği takdirde veriye erişim için birçok farklı hukuk sisteminden izin alınması gerektiğini öne sürmektedir. Uygulamada gizli mesajlaşma seçeneği kullanıldığında ise uçtan uca (E2E) şifreleme yapılmakta, yani göndericinin iletisi şifrelenmiş olarak alıcıya iletilmekte ve alıcının uygulamasında çözülmektedir. Telegram’ın özgür yazılım olan mobil, web, masaüstü uygulamalarına karşın tüm iletişimin akışını sağlayan sunucu yazılımları özgür yazılım değildir, yani kaynak kodları kamusal erişime açık değildir. Ayrıca bu uygulamanın da bir şirketin sahipliğinde olması ileride gizlilik politikasını değiştirme riskini taşımaktadır.

Signal uygulaması, gerek istemci ve sunucu yazılımları düzeyinde bütün olarak özgür yazılım olmasıyla gerekse yazılı, sesli ve görüntülü veri aktarımında uçtan uca (E2E) şifreleme kullanmasıyla kişisel verilerin korunması yönünden daha güvenli bir seçenek olarak görünmektedir. Signal’in, kimin kiminle mesajlaştığı üstverisi (metadata) gibi verileri yalnızca kullanıcı uygulamasında tutması, gizlilik özellikleri için önemli bir avantajdır. Kâr amacı gütmeyen bir vakfın kontrolünde olması nedeniyle de şirketlerin kâr odaklı değişen politikalarının oluşturduğu risklerle karşı karşıya değildir. Özgür yazılım olması, kamusal erişime açık olan kaynak kodlarının gelecekte de erişilebilir olacağının ve yeni sürümlerinin de aynı özellikleri taşıyacağının güvencesidir. Dolayısıyla saydamlığı ve sürekliliği güvence altındadır.

Güvenlik ve saydamlık konusunda doyurucu açıklamaları bulunmayan, “yerli” olma iddiasıyla ortaya çıkan ve dünya genelinde olmasa da ülkemizde gündeme gelen “Bip” ve “Dedi” gibi bazı uygulamalar, açık kaynak kodlu ya da özgür yazılım olmamaları nedeniyle kullanıcılara güven verememektedir. Ayrıca hiçbir üçüncü tarafla veri paylaşmamak gibi bir taahhütleri de söz konusu değildir.

WhatsApp'ın gizlilik sözleşmesinin Avrupa Birliği (AB) ülkelerinde zorunlu olmadığını belirten BMO, ''Yurttaşlarımızın, WhatsApp uygulamasının yeni gizlilik politikası dayatmasına tepkilerinin yoğunlaştığı bir başka nokta ise bu değişikliğin Avrupa Birliği (AB) ülkelerinde zorunlu değilken ülkemizde zorunlu tutulmasıdır. Birçok yurttaşımız şirketin bu tutumunu “çifte standart” olarak değerlendirerek tepkilerini şirkete yöneltmiştir. Oysaki uygulamanın aynı dayatmayı AB üyesi ülkelerde yapmamasının nedeni keyfi bir tercih değil; AB vatandaşlarının kişisel verilerinin, kısaca GDPR (General Data Protection Regulation) olarak bilinen, kişi hak ve özgürlükleri temel alınarak oluşturulan, 1990’lı yıllardan bu yana güncellenerek geliştirilen yasal düzenlemeyle sıkı biçimde korunuyor olmasıdır. Beri yandan ülkemizde 2016’dan bu yana yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK); GDPR’nin ilk düzenlemeleri baz alınarak oluşturulduysa da sonrasındaki teknolojik ve hukuksal gelişmeler doğrultusunda gerekli güncellemeler yapılamamıştır. Dolayısıyla KVKK, GDPR’nin AB vatandaşlarına sağladığı koruma düzeyini yurttaşlarımıza sağlamaktan uzaktır.'' dedi

Kişisel verilerin  evrensel standartlarda korunması gerektiğini belirterek, ''İletişim ve kişisel verilerin gizliliği, her birey için temel bir gereksinim ve korunması gereken bir haktır.'' ifadelerini kulanan BMO, taleplerini sıraladı: 

TBMM başta olmak üzere ilgili kurumlardan ve yetkililerden aşağıdaki konularda ivedi adımlar atılmasını istiyoruz:

1) Kişisel veriler üzerinden büyük kazançların elde edilmesinin engellenmesi, bu alanda tekelleşmenin önüne geçilmesi için KVKK’nin iyileştirilmesi başta olmak üzere gerekli yasal düzenlemeler yapılmalıdır.

2) Kişisel verilerin korunması için yapılacak düzenlemelerde, uygulamalarda ve denetimlerde başta meslek odalarımız olmak üzere konuyla ilgili demokratik kitle örgütleriyle işbirliği yapılmalıdır.

3) Milyonlarca yurttaşın verilerini içermesi itibarıyla kamusal varlık olarak değerlendirdiğimiz büyük veri kümelerini işleyen kamu bilişim sistemleri (örneğin: sağlık bilişim sistemleri, UYAP, MERNİS, SEÇSİS); anayasal sorumluluklarından biri kamusal denetim olan meslek odalarımızın bağımsız denetimine açılmalıdır.

Kişisel verilerin korunması konusunda duyarlılığın artması gerektiğini söyleyen BMO, ''WhatsApp uygulaması nedeniyle gündeme gelmiş olması ve yurttaşlarımızca bu denli önemsenmiş olması sevindirici olmakla birlikte, kişisel verilerin korunması konusunda bu verilerin sahibi olan yurttaşlarımızın dikkat etmesi gereken başka önemli noktalar da bulunmaktadır. WhatsApp uygulaması dışında da yurttaşlarımızca yaygın olarak kullanılan birçok uygulama, benzer şekilde kişisel verileri kaydetmekte, işlemekte ve başka kişi ya da kurumlarla paylaşmaktadır. Birçok uygulama hiçbir paylaşım yapılmasa bile kullanıcılarını işaretlemekte; ekranlardaki gezinmeleri, hangi sayfaya ya da paylaşıma ne kadar süre bakıldığını, nelerin beğenilip nelerin hızla geçildiğini, ne kadar süre bağlı kalındığını, nelerin aratıldığını, kimlerle etkileşime girildiğini izlemektedir.'' dedi

BMO ayrıca kişisel verilerin korunmasına yönelik yurttaşlara bazı tavsiyelerde bulundu. BMO'nun tavsiyeleri şu şekilde:

1) Aygıtlarınıza (bilgisayarınıza, telefonunuza, tabletinize vb.) kurduğunuz uygulamaların erişmek istediği bilgileri ve izinleri mutlaka kontrol edin; vermek istemediğiniz bilgileri ve izinleri edinmek isteyen uygulamaları kurmaktan kaçının. Halihazırda kurulu olan uygulamalarınıza verilmiş izinleri düzenli aralıklarla gözden geçirin.

2) Veri aktarımı sağlayan anlık ileti uygulamaları ve sosyal medya uygulamalarında, gerekli ya da zorunlu olmadıkça kritik kişisel bilgilerinizi (örneğin: sağlık bilgileri, kredi kartı bilgileri, ev adresiniz vb.) paylaşmaktan kaçının. Kişisel sır ya da ticari sır olarak değerlendirdiğiniz bilgileri, anlık ileti ve sosyal medya ortamlarında paylaşmaktan kaçının. Bu tür bilgileri paylaşmanızın gerekli olduğu durumlarda ise gereklilik ortadan kalktığında paylaşımınızı silin.

3) Çocuklarınızın kullandıkları aygıt ve uygulamaları kontrol ve takip edin, onları kişisel verilerin gizliliğinin önemi konusunda bilgilendirin.

4) Özgür yazılımları tercih edin. Gereksinim duyacağınız birçok uygulamanın özgür yazılım olan bir alternatifini bulabilirsiniz. Özgür yazılımlar herkesin katılabildiği saydam bir geliştirme süreciyle, kaynak kodları tüm insanların erişimine açık olarak geliştirilirler; sahipleri ise kişi ya da şirketler değil tüm insanlıktır.