Gizlilik öldü, yaşasın mahremiyet

Mayıs ayında işletmeler Y2K'nın yeniden düzenlendiğini gördü. Avrupa'nın Genel Veri Koruma Yönetmeliği geldi ve hiçbir şey olmadı. Dünya çapındaki ve sektörler arasındaki şirketler, yüksek para cezaları ve tüketici gazabından korkarak uyumluluğa ulaşmak için koşturdu.

Ancak düzenlemenin yürürlüğe girmesinden yaklaşık üç ay sonra, çok az eylem oldu.

Endüstri henüz düzenlemenin sonuçlarını görmemiş olsa da, GDPR birçok kuruluşun verileri nasıl toplayıp kullanacağını yeniden düşünmesine neden oldu. Daha fazla şirket, gizliliği sonradan bir düşünce olarak değil, bir iş meselesi olarak görüyor.

Ve bir kavram, verilerin nasıl ele alınması gerektiğini anlamayı kolaylaştırıyor, bu da yol boyunca daha fazla mahremiyet sağlıyor: verileri bir para birimi olarak ele almak.

Verilere fiyat koymak

Para birimi olarak veri kavramı, "veri yeni petroldür" ifadesinde bulunan daha fiziksel bir temsilin ardılıdır. 20 yıl önce Avrupa'da icat ettiği bir kavram olan Cisco'nun Başkan Yardımcısı ve gizlilikten sorumlu baş sorumlusu Michelle Dennedy, verilerin yeni petrol olduğunu, çünkü verilerin sistemler boyunca aktığını ve altından veya diğer para birimlerinden daha değerli olduğunu açıkladı.

Veriler yeni petrol olsaydı, o zaman şirketlerin yalnızca onu yönetmek için güvenliğe ihtiyacı olacak, bu da verilerin sızıntı yapmamasını ve yangın çıkarmamasını sağlayacaktı. Ancak bunun yerine veriler bir para birimi olarak görülüyorsa, CIO Dive ile yaptığı bir röportajda Dennedy, "tamamen zamana, kültürel anlayışa, koşullara ve bağlama bağlıdır" dedi.

Dennedy, her para biriminin bir "yalpalaması" olduğunu söyledi. Örneğin, seçim döngülerinin para birimi değerlemelerini nasıl etkileyebileceğini gösteren Euro dalgalanmalarında neler olduğunu ele alalım.

Kuruluşlar, varlıklara değer vermeyi öğrendiklerinde başarıya ulaşırlar. Veriler dikkatsizce ele alınırsa ve iç veya dış faktörler bir etki yaratırsa, kuruluşlar kendilerini düzenleyicilerin hedef noktasında bulabilir.

---

Veri bir para birimi olarak görülüyorsa, "tamamen zamana, kültürel anlayışa, koşullara ve bağlama bağlıdır".

Michelle Dennedy

Cisco'da VP ve baş gizlilik sorumlusu

---

Hukukta gizlilik ve veri güvenliği ortağı ve başkanı Tanya Forsheit, "Hassas verilerinize, gerçek fonlarınız, dolarlarınız kadar tehlikeye girdiğinde size zarar veren bir varlık olarak bakarsanız, farklı davranırsınız" dedi. Frankfurt Kurnit Klein ve Selz firması, CIO Dive ile bir röportajda.

Konsept ana akım desteği kazanırken, endüstri henüz orada değil. Verileri para birimi olarak kabul eden şirketler, verilerin kaybedilecek bir şey olduğuna inanarak hızla risk çağrışımlarına dönerler.

Diğer kısıtlama, düzenlemelerin kişisel verileri nasıl tanımladığıdır. GDPR geniş bir tanım sundu.

ABD'de kişisel veriler, kişisel olarak tanımlanabilir bilgiler (PII) olarak kabul edilir. Ancak GDPR kapsamında kişisel veriler, cihaz kimlikleri ve IP adresleri dahil olmak üzere bir kişiyi tanımlamak için kullanılabilecek her türlü bilgidir.

Kişisel verilerin kapsamının genişletilmesi, para birimi olarak ele alınmasına karmaşıklık katmaktadır. Örneğin sosyal güvenlik numaraları, bir e-posta adresinden çok daha fazla değere sahiptir. Bu, para birimi olarak veri kavramının ilişkili bir değer gerektirdiği anlamına gelir.

Forsheit, IP adreslerini kuruş ve sosyal güvenlik numaralarını yüz dolarlık banknotlar olarak ele alacak mekanizmalar varsa, bunun bir anlamı vardır, dedi. "Birisinin kavraması zor bir zihniyet."

Şirketler veriye aç kaldı

Firmalar fazla veri toplamamış olsaydı, bu verinin işlenmesini ve tanımını çevreleyen anlambilim anlamsız olurdu. Ama ne yazık ki, durum böyle değil.

The Privacy Professor adlı danışmanlık şirketinin CEO'su ve bir gizlilik ve güvenlik yönetimi danışmanlık firması olan SIMBUS'un kurucu ortağı ve başkanı Rebecca Herold, 1990'ların ortalarında internetin ticarete doğru dönmeye başladığını ve veri elde etmenin daha kolay hale geldiğini söyledi .

Herold, CIO Dive ile yaptığı bir röportajda, internetten önce şirketlerin potansiyel alıcılara ulaşmak için basılı reklamlara ve postalara güvenmek zorunda kaldıklarını söyledi. Ancak internet ticaretinin yükselişi, pazarlama çabalarını elden geçirdi ve şirketler artık müşteri verilerini istemek zorunda kalmadı. Bunun yerine, insanlar basitçe bilgi verdi.

---

"ABD'deki şirketler tarihsel olarak veri biriktiricileridir. Yaptıkları bu. Bazen nihai hedeflerinin ne olduğunu bilmeden bile tonlarca veri toplarlar."

Tanya Forsheit

Frankfurt Kurnit Klein ve Selz'de gizlilik ve veri güvenliği ortağı ve başkanı

---

Herold, endüstrinin "kuruluşların gerçekten ihtiyaç duyduklarından daha fazla veri toplamaya ne kadar istekli olduklarını" gördüğünü söyledi.

90'lar habercisi oldu. Günümüzde şirketler, büyük veri analitiği ve yapay zekanın analizi kolaylaştıracağını umarak, ne yapacaklarını bildiklerinden daha fazla veri toplayıp depoluyorlar. Bu aşırı toplamanın mahremiyet üzerinde doğrudan bir etkisi oldu.

Forsheit, "ABD'deki şirketler tarihsel olarak veri biriktiricileridir. Yaptıkları bu" dedi. "Bazen nihai amaçlarının ne olduğunu bilmeden bile tonlarca veri toplarlar."

Forsheit'e göre GDPR, şirketlerin verilerle nasıl etkileşime girdiğini değiştirmek ve tüketicilerin beklemediği veya bilmediği şekillerde kişisel verilerin kullanımını durdurmak için çalışıyor. Analistler, farklı veri kümelerini birbirine bağlayarak, bir kullanıcının bilgisi olmadan kişisel bilgileri belirleyebilir ve özetleyebilir; bu, GDPR'nin engellemeye çalıştığı bir eylemdir.

Gizlilik mümkün mü?

Verilerin olumlu ve olumsuz etkileri olabilir ve düzenleyici etkilerden ve yüksek cezalardan korkan kuruluşlar, veri toplama ve işlemeyi yeniden düşünmek için çalışıyor.

GDPR'nin ötesinde artan düzenleme de bir etki yaratıyor. ABD'li düzenleyiciler, Kaliforniya'nın son mevzuatında olduğu gibi, internet devleri tarafından sunulan hizmetlerin mahremiyet üzerindeki etkilerini dikkate alan bir ekosistem oluşturmaya ve hızlandırmaya çalışıyor .

Herold, sektörler arasındaki sektörlerin veri kullanımı için bir "uyanış döneminde" olduğunu söyledi. Facebook'un son zamanlarda - ve iyi duyurulan - veri kullanımı, sektörü uyardı. Facebook, verilerin nasıl satılacağını planlarken "direksiyonda uyuyordu", dedi Herold. "Fazla güveniyorlardı."

Herold, verilerle ilgili iki ana sorun olduğunu söyledi:

• Kuruluşlar, neyin kişisel veri olarak kabul edilip edilemeyeceği konusunda çok fazla varsayımda bulunuyor. Ve aynı firmalar, insanların bir birey hakkında kişisel içgörü elde etmek için veri setlerini analiz edebileceğini düşünmüyor.

• Çoğu uygulama geliştiricisi ve birçok teknoloji şirketi, çözümlerine ve ürünlerine mühendislik kontrolleri için yeterli zaman ayırmaz. Bunun yerine, yasaların gerektirdiği minimum şeyi yapıyorlar.

Herold, bu, şirketlerin yasal olarak yapmak zorunda oldukları ile yapmaları gereken arasındaki boşluğu vurguluyor.

Kesinlikle mahremiyet mümkündür, ancak şirketler bunu gerçeğe dönüştürmek için teşvikten yoksundur.

Forsheit, "Olan kötü şeyler, yasalarımızın olmaması ya da umursayan düzenleyicilerimizin olmamasından kaynaklanmıyor" dedi. "Çünkü şirketler veriye aç ve bazı durumlarda açgözlüydüler ve ellerinden geldiğince çok şeyi süpürdüler ve sonra yakalanana kadar bunu mümkün olduğunca kullanmaya çalıştılar, çünkü bu birçok yönden Amerikan tarzıdır. "