Almanya ‘nın Hessen Eyaleti’nden Microsoft’a Yasak

Hessen Eyaletine göre Ofis 365 bulutunda işlenen Alman öğrenci ve öğretmenlerin kişisel verileri Amerikan istihbarat kurumlarının erişimine açık kalıyor.  #gdpr #yurtdışı_aktarım #microsoft #eğitim

ENDÜSTRİYEL BULUT: NEDEN HEDEF TAHTASINDA?

---

İş dünyasında, endüstriyel bulut çözümleri büyük bir hızla yaygınlaşıyor ve Veeva, Rootstock ve benzeri pek çok tarafından endüstriyel bulut çözümleri sunuluyor. Ancak  bulut çözümler, yeni bir hukuksal rejim olarak ortaya çıkan “veri koruma” alanı açısından bakıldığında ciddi bir sorun olarak görülüyor.

Bu kaygıların somutlaştığı bir örnek Almanya’nın Hessen eyaletinde yaşandı. Hessen eyaleti Veri Koruma Otoritesi, bulut bilişim platformlarının standart konfigürasyonunun öğrenci ve öğretmenlerin kişisel verilerini açık hale getirdiğini ve Amerikalı kamu görevlilerinin muhtemel erişimine imkan verdiği yönünde karar verdi. 

Bu karar size, Avrupalıların veri mahremiyeti konusundaki hep süregelen kaygılarının bir yansıması olarak veya ABD’nin mevcut yönetiminin dış politikasına bir tepkiymiş gibi gelebilir. 

Ama aslında Hessen Veri Koruma ve Bilgi Özgürlüğü Kurumu’nun bu kararını, yıllardır Almanya içinde süren okulların ve kamu kurumlarının Microsoft yazılımlarını kullanıp kullanmaması yönünde süregelen tartışmanın bir parçası olarak görmek daha doğru bir yaklaşım olabilir. 

Microsoft Ofis 365 yalnızca kullanıcıların kullanım detaylarını tutmakla kalmıyor aynı zamanda verileri ABD hakimiyetindeki alana da aktarıyor. 

Geçen yıl Hollandalı denetçiler bu verilerin içinde standart yazılım tanılama bilgilerinden tutun da yazılımların içinde oluşturulan kullanıcılara ait bilgiler, örneğin metinlerin içindeki cümleler, elektronik postaların konu satırı gibi bilgileri de içerdiklerini tespit etmişler. Hollandalılara göre bu durum doğrudan Avrupa Birliği’nin Genel Veri Koruma Regülasyonu’nun ya da daha çok bilinen adıyla GDPR’ın kapsamına giriyor. 

Almanya’nın Federal Bilgi Güvenliği Kurumu da geçenlerde Windows işletim sisteminin gönderdiği veriler hakkındaki kaygılarını açıkça dile getirmişti. 

Almanya’da giderek büyüyen veri güvenliği kaygılarını yatıştırmak isteyen Microsoft ise bulut çözümlerini Almanya içerisinde yürütecek bir alt yapı kurmak için milyonlarca dolar harcadılar. Aslında bu çabaları uygun gören Hessen eyaleti yetkilileri 2017 yılında buna dayanarak okulların Ofis 365 kullanmasına izin veren bir karar da almışlardı. Hessen Veri Koruma Otoritesi yetkilisi Michael Ronellenfitsch’e göre Alman verileri Almanya toprakları içerisinde kaldığı sürece ortada bir sorun olmayacaktı. 

Ancak Microsoft Ağustos 2018 yılında Almanya’daki sunucularını kapatma kararı aldı. Böylece bir kez daha Ofis 365 verileri Atlantik ötesindeki sunuculara aktarmaya başladı. Öte yandan Amerikalıların 2018 Bulut Yasası ve 2015 ABD Özgürlük Yasası gibi yasaları Amerikan hükümetine teknoloji şirketlerinden verileri isteme yetkisi veriyor. 

Avusturya dijital haklar savunucusu olan ve yakın bir süre önce AB ile ABD arasındaki veri transferlerine ilişkin bir dava açan Max Schrems’e göre, aslında burada anlaşılmayacak bir şey yok. 

Öğrenciler verilerinin kullanılması konusunda yaşları ve tecrübeleri bakımından genellikle “açık rıza” verebilecek durumda olmuyorlar, eğer bu öğrenciye ait veriler Microsoft’un Amerika’daki sunucularına aktarılıyorsa ve bu veriler ABD’nin kitle takip yasalarına maruz kalıyorsa, bu tam olarak AB hukukunun ihlal edilmesi oluyor.

Hessen Veri Koruma Otoritesi Ronellenfitsch’in bir açıklamasında belirtildiği üzere, eğer böyle olmasaydı bile Almanya’daki bütün kamu kurumlarının, okullarda dahil kişilerin verileriyle ne yaptıklarına ilişkin açıklama yapmak ve bu konuda ne kadar şeffaf olduklarını göstermeleri gerekli. Nitekim GDPR’a göre veri sorumlusu olan kurumların sadece veri koruma önlemleri hakkında şeffaf olması değil, aynı zamanda bunu tüm kamuoyuna göstermeleri (gerekli politikaları yayınlamaları, başvuru süreçlerini oluşturmaları vs.) de gerekiyor. 

Microsoft ile Alman otoriteleri arasında bu konularda görüşmeler devam etmesine rağmen, Microsoft bu tür sorumluluklarını karşılamayı başaramadı. 

Bu konuda ZDNet’e açıklama yapan bir Microsoft yetkilisi konu hakkında çalışmaya devam ettiklerini söyledikten sonra “Hessen Otoritesine bu konu hakkındaki kaygılarını dile getirdikleri için müteşekkiriz ve kaygılarını daha iyi anlayabilmek için kendileri ile çalışmayı dört gözle bekliyoruz.” diye ekledi. 

Microsoft temsilcisi iyiniyetli bu çabalarına ek olarak müşteri bilgilerinin verilerinin korunması ve okul ve işyeri hesaplarının hangi bilgilerin Microsoft sistemleri ile paylaşılıp, paylaşılamayacağına ilişkin kendi veri politikalarını belirleme imkanı verilebilmesi için Amerikan hükümetini dava ettiklerini de söyledi. Bununla birlikte tüm veri akışının kapatılmasının da sistemin çalışma mantığı gereği mümkün olmadığını de eklemeden geçemedi. 

Almanya’da Microsoft’la sorun yaşayan kamu kurumları okullarla sınırlı değil. 2019 yılının başında, Almanya’da yerel IT hizmeti sağlayıcısı bir federal kurum olan Vitako, Ofis 365’in yerel meclisler tarafından kullanılmasının hangi Alman vatandaşının sürücü belgesi için başvurduğu veya evlilikle ilgili konular gibi  kişisel verilerinin Amerikan hükümetinin burnunu sokmasına açık hale geldiğini söyleyerek bir şikayette bulundu. 

Ofis 365’in Durumu

---

Peki Microsoft abonelerini  bu konuda rahatlatmak için neler yapıyor? Kuruluşun açtığı yeni bir blog bu soruya bazı cevaplar veriyor ve Ofis 365 abonelik ve hizmet modelini savunarak Köln kentinden üst düzey bir IT yöneticisi, yazılım lisansları için harcadığımız miktarlar göz önüne alındığında, daha az yönetim çabası gerektiren ve daha fazla güvenlik sunan çözümler beklerken bunun yerine yerel yönetimler için büyük maliyetleri olan riskler ortaya çıktığını belirtiyor.

Almanya’da 2018 yılında federal bakanlıklar ve onlara bağlı kurumlar Microsoft’a yaklaşık 73 milyon Avro lisans ücreti ödemişler. Muhtemelen süresi dolan lisanslar yüzünden olsa gerek bu rakam bütçede öngörülen miktarı 26 milyon Avro aşmakta. 

Konu hakkında İçişleri Bakanı tarafından yazılan bir mektupta her ne kadar açık kaynak kodlu yazılımlar gibi alternatifleri deniyor olsalar da, Almanya’da bakanlıkların Microsoft dışında pek de bir seçeneklerinin olmadığını söyledi.

Aslında bütün bu olup bitenler Avrupalıların verilerini Çinlilerin ve Amerikalıların gözlerinden uzakta ve güvende tutma çabalarının bir parçası. Almanya’da kamuoyunda “dijital bağımsızlık” için yapılan çağrıların artmasının bir sebebi de bu. 

Almanya’da siyasal ortam bulut sistemlerinin ülke içinde çözülmesi için giderek artan bir baskı ortamı doğuruyor. Yasal durumda bundan farklı değil. Geçtiğimiz ay içinde Avusturyalı aktivist Schrems tarafından açılan bir dava Avrupa Adalet Divanı’nda görüşüldü. Schrems, 2015 yılında AB ve ABD arasındaki veri aktarımlarını düzenleyen “Güvenli Liman” yasasının iptali ile sonuçlanan bir davayı kazanarak manşetlerde yer almayı başarmıştı. 

Yeni açtığı davanın  2016 yılında Güvenli Liman anlaşmasının yerini alan Güvenlik Kalkanı adlı anlaşmayı da zorlayabileceğine inanıyor. Kendi anavatanı olan İrlanda’da davanın ilerleyişi sayesinde, şu anda verinin Atlantik ötesi hareketliliğini düzenleyen “standart sözleşme maddeleri”ni de tartışmaya açıyor. 

Microsoft’un veri transferlerinin bazıları bu iki anlaşmanın da kapsamına giriyor ve bu anlaşmalarda gerçekleştirilebilecek muhtemel değişiklikler uluslararası veri akışlarında büyük bir kargaşaya sebep olabilir. 

---