Benim Bedenim, Benim Verim

Frederick Winslow Taylor, 1856 yılında Philadelphia’da, varlıklı bir ailenin çocuğu olarak dünyaya geldi. Harvard Üniversitesi’ne girerek babası gibi bir avukat olmayı planlıyordu. 1874’te Harvard’a giriş sınavlarını başarıyla geçmesine karşın gözlerindeki sorun nedeniyle okulu bırakmak zorunda kaldı ve okumanın daha az önemli olduğu bir kariyere yönelerek aile dostlarına ait bir atölyede çıraklığa başladı. Dört yıllık çıraklık eğitimin sonunda işçi olarak girdiği Midvale Steelworks şirketinde hızla yükselerek sırasıyla zaman denetçisi, makinist, takım şefi, ustabaşı, yardımcı mühendis ve başmühendis pozisyonlarına getirildi. Bu hızlı yükselişte, Taylor’un yeteneklerinin yanında Midvale Steelworks’un ortaklarından ve yöneticilerinden Edward Clark’ın oğlunun Taylor’un kız kardeşiyle evli olmasının da payı olmuş olabilir. Ama son tahlilde Taylor, kapitalist işletmedeki akılcılaştırmayı gerçekleştiren başarılı bir mühendisti.

Taylor, Midvale Steelworks’te daha makinist ve işçi olarak çalışırken bile işçilerin makineyle ilişkisini gözlemliyor ve işçilerin yeterince sıkı çalışmadığını ve bunun da emek maliyetini artırdığını düşünüyordu. Daha sonra, ustabaşı olduğunda da işçilerden daha çok veri toplayarak işçilerin ve makinelerin verimliliği üzerine çalışmaya devam etti. Taylor, 1890’dan 1893’e kadar Philadelphia’da büyük kağıt fabrikalarını işleten Manufacturing Investment Company’de yönetici ve danışman mühendis olarak çalıştı. 1893’te kendi danışmanlık firmasını açtı. Kartvizitinde şöyle yazıyordu: Danışman Mühendis – İşyeri yönetimini ve üretimi sistematikleştirmek uzmanlık gerektirir.

1898 yılında Taylor, önemli bir kapasite sorununu çözmek üzere Bethlehem Steel’de çalışmaya başladı ve burada hem kendisini zenginleştirecek hem de ününü artıracak çalışmalar yaptı. 1901’de Bethlehem Steel’den ayrıldığında artık zengin bir adamdı. Bundan sonra hayatını bilimsel yönetim ilkeleri adını verdiği yönetim ilkelerini yaygınlaştırmaya adadı.

Köse ve Öncü’nün (2000) belirttiği gibi bilim tarihinde, bilimsel bilginin ne olduğu hakkındaki tartışmalar düşünüldüğünde Taylor’un bilimselliği trajikomik bir nahifliğe sahip görünüyordu. Fakat şüphesiz kapitalizm açısından en doğru bilim anlayışını temsil ediyordu. Taylor’ın bilimi aşağıdaki aşamaları içeriyordu:

  1. Yaklaşık 10-15 tane, tercihen ülkenin farklı yerlerinden ve farklı kuruluşlarından, analiz edilecek özel bir iş için uygun adam bulun.
  2. Bu adamların incelenecek işi yaparken kullandıkları araç ve gereçler ile tüm temel hareket ve faaliyetler bütününü inceleyin.
  3. Tüm bu temel hareketlerin yapılması için gereken zamanı bir kronometre yardımıyla belirleyip, işin yapılması için gereken en hızlı yolu seçin.
  4. Tüm yanlış, yavaş ve faydasız hareketleri eleyin.
  5. Bütün gereksiz hareketleri eledikten sonra, en hızlı ve uygun hareketlerle en uygun araçları bir araya getirin.

Bir diğer deyişle, Taylor’ın bilimselliği elinde kronometreyle işçileri gözetlemeye dayanıyordu. Taylor’ın mühendise biçtiği görev “sermayeyi büyütmek amacıyla işçiyi sermayeye dönüştürmekti” (age). Fakat işin neden en hızlı zamanda tamamlanması gerektiği sorgulanmıyordu. İşçileri, Taylor’ın bilimsel yönetim ilkeleri doğrultusunda çalıştıran bir mühendisin işçilerin hareketlerini disipline ederken yaptığı kuşkusuz acımasız ve insanlık dışıydı. Günümüzde de Taylor’ın mirasçıları çağa ayak uyduran bilimsel yöntemleriyle verimlilik peşinde koşuyorlar. Bu yazıda asıl tartışmak istediğim ise insan bedeninin bir işletme olarak görüldüğü, kronometreli mühendisle disipline edilmek istenen işçinin aynı bedende bir araya geldiği nicelleştirilmiş benlik hareketi (quantified self movement). İnsanlar, neden kendileri hakkında veri topluyorlar ve sürekli bir şeyleri ölçme ihtiyacı içindeler?

Öztakip

Nicelleştirilmiş benlik hareketi, öztakip (selftracking) yoluyla kişinin kendini tanıyabileceğini savunuyor. Bu nedenle, insan yaşamının kalp atış hızı, solunum, uyku süresi, gün içerisindeki hapşırık ve aksırık sayıları gibi parçaları kayıt altına alınıyor. Günümüzde insanlar çeşitli cihazlarla gündelik hayatları hakkında veri topladıktan sonra verideki örüntü ve ilişkiler üzerine yoğunlaşıyorlar. Bazıları da verilerini sosyal medyaya yüklüyor ve diğerleri ile karşılaştırıyor.

Öztakip araçları çok çeşitli ve insanlar farklı motivasyonlarla bu araçlara yöneliyorlar. Neff ve Nafus (2016) öztakibin ardındaki motivasyonları üçe ayırıyor: sağlığı iyileştirmek, hayatın diğer yönlerini geliştirmek ve yeni yaşam deneyimleri bulmak. Kuşkusuz bu motivasyonlar içinde en yaygın olan ve öztakibe meşruluk kazandıran sağlık uygulamaları. Kan şekeri takibinde olduğu gibi sağlıkla ilgili bir durumu kontrol altında tutabilmek için öztakibe başvurulabiliyor. Ya da kilo verme gibi bir hedef belirlendikten sonra bunun ölçümüne odaklanılıyor. Öztakip bazen kişide hangi rahatsızlığı neyin tetiklediği hakkında kolayca tespit edilemeyecek ilişkileri ortaya çıkarabiliyor. En uygun ilaç dozu, öztakip cihazlarından sağlanan geribildirimlerle ayarlanabiliyor. Egzersiz, kilo, kas kütlesi ve vücut yağını takip ederek aralarındaki ilişki belirlenebiliyor ve egzersiz programları bu ilişki doğrultusunda yeniden yapılandırılabiliyor. Uyku ve egzersiz kayıt altına alınarak bir denge sağlanabiliyor.

İnsanlar bazen kendilerinin Taylor’u oluyorlar ve iş performanslarını artırmak için öztakibi tercih edebiliyorlar. Bunun dışında gündelik yaşamda değişen ruh hallerini takip etmeye yardımcı olan uygulamalar da var (bkz. https://www.everydayhealth.com/columns/therese-borchard-sanity-break/the-6-best-mood-apps/). Örneğin bu uygulamalardan MoodKit iki klinik psikolog tarafından geliştirilmiş ve uygulamanın bilişsel davranışçı tedavinin ilke ve tekniklerine dayandığı iddia ediliyor. Moodkit, sadece ruh halinizi değil, genel olarak esenliğinizi de geliştirmeyi hedefliyor. CNet bu uygulamayı yanınızda kendi psikoloğunuzu taşımaya benzetiyor (https://www.cnet.com/news/moodkit-can-an-app-improve-your-mood/).

Neff ve Nafus’un (2016) yazdığı gibi bazen öztakibin nedeni sadece yeni şeyler denemek olabiliyor. Öztakip cihazları sadece merak ve eğlence için kullanılabiliyor. Yürüdükleri her sokağı takip ederek şehri keşfetmeyi deneyenler çıkabiliyor. Herhangi bir sağlık sorunu olmadan kalp atış hızını takip eden ve veriden ilginç şeyler çıkarmaya çalışanlar da var.

Öztakip ve onun farklı biçimleri olan hayat kaydı tutma (life logging), özdeneyleme (self-experimentation) gibi uygulamaların tamamen yeni olduğu söylenemez. 18. yy’da yaşamış bir siyasetçi olan Benjamin Franklin, çizelge ve notlarla zamanını nasıl geçirdiğinin kaydını tutuyordu. İletişim bilimci Lee Humphreys 18. ve 19. yy’da bu tip kişisel kayıtlar tutmanın ve insanlarla paylaşmanın yaygın olduğunu yazıyor ve bunu günümüzdeki twitter paylaşımlarına benzetiyor. 20. yy mucitlerinden Buckminster Fuller de 1920’de koca bir deftere her 15 dakikada bir hayatını kaydetmeye başlamış ve 1983’te öldüğünde arkasında faturaların, gazetelerden kesilen kupürlerin, yazışmaların, notların ve karalamaların olduğu 80 metrelik bir defter bırakmış. Öztakip ve hayat kaydı tutmanın yanı sıra ibuprofen, sıtma aşısı ve sinirbiliminin gelişiminde olduğu gibi özdeneylemenin de tarihte önemli bir yeri var. Hatta bu uğurda bazı bilimciler yaşamlarını tehlikeye atmış (https://evrimagaci.org/bilim-adina-hayatini-riske-eden-10-bilim-insani-1630).

Öztakip daha önce de varsa günümüzdeki uygulamaları öncekilerden farklı kılan ne? Neff ve Nafus (2016) bu farklılığı teknolojideki değişim ve biyomedikalleşme ile açıklıyor. Son yıllarda bilimciler ve mühendisler çok çeşitli olguların elektronik olarak algılanabilirliği üzerine çalışıyorlar ve bu alanda önemli ilerlemeler kaydedildi. Akıllı telefonların yaygınlaşması, algılayıcı ve algılayıcı sistemlerini oluşturan diğer bileşenlerdeki minyatürleşme, bağlantı ve depolama altyapısındaki gelişmeler algılayıcıların yaygınlaşmasını sağladı. 1980’lerde filizlenen, bilgisayarın sadece ofislerde değil, insan bedeni de dahil olmak üzere her zaman ve her yerde olabileceği (ubiquitous computing) düşüncesi son yıllarda giyilebilir teknolojilerle hayata geçiriliyor. Giyilebilir teknolojilerin tasarımını etkileyen bir başka önemli karar ise bilgisayarların insanları belirli davranışları gerçekleştirmeye yönlendirmek amacıyla kullanılması (persuasive computing). Oyunlaştırma stratejisiyle giyilebilir teknolojilerin yönlendiriciliği artırılmaya çalışılıyor. Örneğin, GymPact adlı uygulamaya abone olan kullanıcılardan belirlenen günlerde spor salonuna gitmeleri isteniyor. Gitmeyenler, GPS verileri sayesinde tespit ediliyor ve ceza olarak kredi kartlarından para çekiliyor. Daha sonra bu para, başarılı, spor salonuna gitmeyi aksatmayanlar arasında paylaştırılıyor (https://www.theatlantic.com/magazine/archive/2012/06/the-perfected-self/308970/). Oyunlaştırmanın yanında sosyal ağlar da öztakibi geçmişteki örneklerinden farklılaştıran ve yaygınlaştıran bir başka teknolojik gelişme. Bir çok uygulama ve cihaz, kullanıcıların etkinliklerini yakın çevreleriyle paylaşmasını, onları yarışmaya ya da desteğe çağırmasını sağlıyor.

Neff ve Nafus’un (2016) işaret ettiği ikinci farklılık, biyomedikalleşme ise şeylerin biyolojik ve tıbbi terimlerle açıklandığı kültürel bir değişimi ifade ediyor. Ruh halleri ve duygulardan hayattaki başarıya kadar insan yaşamı biyolojik terimlerle açıklanıyor. Biyomedikalleşme şeylerin neden öyle değil de böyle olduğuna dair zihinsel bir model sunuyor. Biyomedikalleşen bir dünyada, insanların davranışlarını bir grup nöronun etkisiyle açıklamak kültürün ya da toplumun etkisiyle açıklamaktan daha makul görünüyor. Bu yeni dünyada sağlık, bedensel bir durumu anlatmanın ötesinde makul olanı ve olmayanı ifade ediyor. Örneğin, bir kişinin davranışını sağlıklı bulmamak o kişinin biyomedikalleşmiş bir dünyanın toplumsal kurallarını çiğnediğini anlatıyor. Neff ve Nafus’un (2016) vurguladığı gibi öztakip araçlarının ufak bir kısmı doğrudan tıbbi amaçlar için kullanılsa da bu araçların çoğu biyomedikal anlayış ve çerçevelere dayanıyorlar.

Bu bağlamda, sağlıklı yaşamın bir takıntı haline gelmesinin öztakip için elverişli bir kültürel ortam hazırladığını da atlamamak gerekiyor. Cederström ve Spicer (2017), Sağlık Hastalığı adlı kitaplarında sağlıklı yaşam ideolojisinin nasıl hayatın her alanına sızdığının örneklerini veriyorlar. Cederström ve Spicer’in (2017) vurguladığı gibi sağlıklı yaşam ideolojisi insanlara cazip ve çekici gelen, karşı çıkılması imkansız fikir ve inançlar bütünü sunuyor. Sağlıklı bir bedenin daha üretken ve dolayısıyla iş hayatı için daha yararlı olacağı söyleniyor. Cederström ve Spicer’ın (2017) dikkati çektiği gibi artık siyasetçiler, aktivistler ve entelektüeller çağımızın önemli kişileri olarak görülmüyor. Onların yerini televizyonlarda, gazetelerde ve web sitelerinde durmadan sağlıklı yaşam ve mutluluk vaazları veren ünlü diyetisyenler, şefler ve sağlık guruları aldı.

Sağlıklı olmak isteyen insanların organik besinler yemesi isteniyor. Ama buna düşük gelirli ailelerin nasıl ulaşılabileceği ya da insanların son yıllarda neden organik olmayan besinleri tüketmek zorunda kaldığı konularına pek girilmiyor. Cederström ve Spicer’in (2017) yazdığı gibi günümüzde “dünya üzerine ciddi bir şekilde düşünmektense, kendi kabuğuna çekilmek ve bedenin sinyallerini evrensel hakikatin yerini tutabilecek bir ikame olarak görmek, giderek daha cazip bir seçenek haline geldi.”

Buna karşın, öztakibin neoliberalizmin içinde ve onun kültürünü destekler biçimde gelişiminin öztakip uygulamalarına tümüyle karşı çıkmayı gerektirdiğini düşünmüyorum. Öztakip, hem hasta hem de doktor için daha iyi bir tıbbi bilgi sağlayabiliyor. Bazı hastalıkları önceden teşhis etmek ve erken tedavi mümkün olabiliyor. MIT Technology Review’deki yazısında Rachel Metz, depresyonda olduğunuzu siz bunun farkında olmadan teşhis edebilme iddiasında olan bir telefon uygulamasını anlatıyor (https://www.technologyreview.com/s/612266/the-smartphone-app-that-can-tell-youre-depressed-before-you-know-it-yourself/). Telefonda yazı yazma veya ekranı kaydırma biçiminiz bir psikolojik test kadar ruhsal durumunuzu açığa çıkarabiliyor. Palo Alto’da, içlerinden biri ABD Ulusal Ruh Sağlığı Enstitüsü’nün eski yöneticilerinden olan üç doktor tarafından kurulan Mindstrong Health, yalnız depresyon değil şizofreni, bipolar bozukluğu, travma sonrası stres bozukluğu ve madde bağımlılığı gibi sorunların da akıllı telefonlara kurulacak Mindstrong uygulaması ile teşhis edilebileceğini iddia ediyor. Metz, daha önce de sayısız şirketin uygulama tabanlı terapiden psikolojik destek sunan oyunlara kadar sayısız iddiayla ortaya çıktığını hatırlatıyor. Telefon etkinliklerindeki ve konuşmadaki ipuçlarıyla depresyonu algılayabileceğini iddia eden uygulamalar da geliştirilmiş. Ama Metz’e göre durum bu sefer farklı. Çünkü Mindstrong, önceki denemelerden farklı olarak insanların telefonla ne yaptığıyla değil telefonu nasıl kullandıkları ile ilgileniyor. Sadece ABD’de akıl hastalığı olanlarının sayısının 45 milyon civarında olduğu düşünülürse Mindstrong’un önemi daha iyi anlaşılacaktır. Veri toplamak bir zamanlar sadece uzmanların işiyken şimdi herhangi bir uzmanlığı olmayan sıradan insanlar da veri toplayıp yorumluyor, hatta yeni şeyler keşfedebiliyor. Ev ile klinik, sağlık uygulamaları ile özbakım arasındaki ayrım silikleşiyor. Bir ivmeölçer verisi adımları tespit edebilmek için kullanılırken bu verinin farklı bir algoritmayla olası bir parkinson hastalığını ortaya çıkarmak için de kullanılabileceği öne sürenler çıkabiliyor.

Fakat öztakibin bu yararları yaşamımızın neredeyse her anının kaydedilmesinin doğurduğu sorunların görmezden gelinebileceği anlamına da gelmiyor. Verinin varlığı mahremiyet ihlali ihtimalini güçlendiriyor. Şirketler, kullanıcıların verilerini özenle koruduklarını söyleseler de kurumlar arası veri alışverişi, bilgisayar korsanlarının saldırıları ve bu verilerin amaç dışı kullanımı büyük bir tehlike. Neoliberal bireyi yaratan koşullar öztakip araçlarının kullanımının yaygınlaşmasını sağladığı gibi bu araçlar gündelik hayatın metalaşması, sağlığın fetişleştirilmesi, bireyin kolektif çözümlerden uzaklaşarak kendine yoğunlaşması gibi neoliberal bireyi yaratan koşulları güçlendiriyor (Cederström ve Spicer, 2017).

Bu sorunlara karşı ne yapılabilir sorusuna geçmeden önce öztakibin kullanım alanlarına, şirketlerin stratejilerine, kullanıcı ve şirket çıkarları arasındaki çelişkiye bakmakta fayda var.

Öztakip Araçlarının Kullanım Alanları

Öztakip araçlarının kullanım alanlarını beşe ayırabiliriz:

  • İzlemek ve değerlendirme
  • Hisleri açığa çıkarma
  • Sanat
  • Bir problemi çözme
  • Bir alışkanlık kazanma

Öztakip araçları en çok izlemek ve değerlendirme için kullanılıyor. Yeterince adım atılıp atılmadığı veya zamanın verimli geçirilip geçirilmediği değerlendiriliyor ve uygulamanın belirlediği hedef (örneğin günde 10000 adım) gerçekleştirilmeye çalışılıyor. Kullanıcılar, öztakip araçlarına bakarak etkinliklerini incelediklerini ve bunu motive edici bulduklarını söylüyorlar. Adımları saymak kolay olsa da yiyecek gibi şeylerin ölçümü daha zor olabiliyor. Paketlenmiş gıdaların kalori miktarlarını bildiren uygulamalar var. Fakat işlenmiş gıdalar, sağlıklı yaşam hedefinden bir sapma olarak görüldüğünden pek tercih edilmiyor. Ayrıca ağırlık takibi yaparken sayıların bazen cesaret kırıcı olduğunu düşünen, buna karşı tartının ayarını kilodan pounda çevirerek sadece değişime odaklanmayı tercih edenler de var. Bazı kullanıcılar öztakip cihazlarını o kadar içselleştirmişler ki yanlarında öztakip araçları olmadan yaptıkları egzersizlerin geçerli olmayacağını düşünebiliyorlar. Ayrıca araç geliştiricilerin belirlediği normal değerlere de dikkat etmek gerekiyor: Neden günde 10000 adım? Sağlık için herkesin atması gereken adım sayısı aynı mı? Bu sayı, neye göre belirleniyor?

Öztakip araçlarının hisleri açığa çıkarmak için kullanımında ise insanlar bedenlerinden yayılan sinyallere kulak vererek bedenlerini daha iyi anlamaya çalışıyorlar. Neff ve Nafus (2016) bunun için 30’lu yaşlarındaki sağlıklı bir adamın yaptığı denemeyi örnek gösteriyor. Adam vücudunun şekere nasıl tepki gösterdiğini anlayabilmek için glikoz düzeyini ölçmüş. Daha sonra, glikoz düzeyinin psikolojik durumunu nasıl etkilediğini araştırmış. Neff ve Nafus’un (2016) vurguladığı gibi en uygun glikoz düzeyini bulmak gibi bir hedefi olmadan sadece kendi bedenini daha iyi tanımaya odaklanmış. Bu amaçla yapılan öztakip, kullanıcıların çeşitli hipotezler geliştirebilmesine yardımcı oluyor. Dolayısıyla, olasılıkları en aza indirmeye çalışan tıbbi tanı sürecinden farklı bir işleyişe sahip.

Man Ray’in 1930’larda matematiksel hesaplamalardan yararlanarak yaptığı heykel, resim ve fotoğraf çalışmaları (https://www.youtube.com/watch?v=a3QqKBWHarA) gibi bu sefer öztakip verilerini kullanarak sanatsal üretimde bulunan sanatçılar da var. Laurie Frick, veri estetiğinin öncülerinden. Frick, telefonundan elde ettiği GPS verilerini soyut kalıpların kolaj benzeri görüntülerine dönüştürmüş. Frick, veriyi bilim veya bir şeyi kanıtlamak için değil, sanatının bir dokusu olarak kullanıyor. Frick’in çalışmalarına http://www.lauriefrick.com/work/ adresinden erişilebilir. Stephen Cartwright ise dünyadaki konumunun enlem ve boylamlarına dayalı bir çalışma yapmış: http://www.stephencartwright.com/#/latitude-and-longitude-project/

Öztakip, “Evet, migrenin var. Ama nedenini tam olarak tespit edemedik” gibi tıbbi teşhislerin yetersiz kaldığı durumlarda bir çözüm bulmak ya da elektrik faturalarının neden kabarık geldiğini bulmak için de kullanılabiliyor. Burada bilimsel çalışmalardan faklı olarak bir tezi ispatlamaya çalışmak yerine bir soruna çözüm bulmak hedefleniyor. Hastalar tedavi ve teşhis sürecine daha aktif katılabiliyorlar.

Bir alışkanlık kazandırmaya çalışan öztakipte ise veriden yararlanarak yeni alışkanlıklar kazandırmak ya da var olan alışkanlıkları değiştirmek hedefleniyor. B.F. Skinner’ın insan davranışlarını şekillendirmek için ödüllere başvuran davranışçı psikolojisi öztakip, özellikle de oyunlaştırma stratejisiyle yeniden karşımıza çıkıyor.

Girişim Sermayesi, Bilişim Tekeleri, Sigorta Şirketleri, İlaç Şirketleri ve Hastane Zincirleri

Öztakip araçlarının ilk günlerinde kullanıcı ve üretici rolleri net çizgilerle ayrılmıyor ve Silikon Vadisi’nden uzakta, bireyler, aktivistler ve hasta grupları tarafından geliştiriliyordu. Bazen de bu araçlar üniversitelerde geliştirildikten sonra ticarileştiriliyorlardı. Dolayısıyla öztakip araçlarının pasif kullanıcılarından değil, çeşitli algılayıcıları kullanarak yeni öztakip araçları geliştiren, şirketlerin geliştirdiği öztakip araçlarını farklı amaçlar doğrultusunda kullanmayı deneyen ve kimi zaman onları farklı işlevlerle donatan aktif, üreten kullanıcılardan söz ediyoruz. Fakat son yıllarda Sequoia, Andreessen Horowitz, Kleiner Perkins, Caufield Byers ve Khosla Ventures gibi girişim sermayesinin ve Google, Merck (ilaç şirketi), Qualcomm (teknoloji şirketi), Cambia (sigorta şirketi) gibi farklı alanlarda faaliyet gösteren şirketlerin öztakip pazarına yöneldikleri görülüyor. Sermaye, dijital sağlık çalışmaları kapsamında büyük veri, tüketicilerin sağlık hizmetlerine katılımı, dijital tıp hizmetleri, teletıp (telekomünikasyon teknolojisi kullanılarak hastalara uzaktan teşhis koyma ve tedavi uygulanma yöntemleri), kişiselleştirilmiş tıp ve nüfus sağlığı yönetimi gibi alanlara fon sağlıyor. Özellikle öztakip araçlarının üretimi ve bu araçlardan sağlanan verinin kullanımı üzerinde duruluyor. Artık sadece amatörlerden oluşan bir öztakip sektörü yok. Şimdi oyunda teknoloji devleri, büyük tıbbi cihaz satıcıları, ilaç şirketleri, sigorta şirketleri, büyük hastane zincirleri, spor giyim şirketleri ve lüks markalar var. Amatörler ve özellikle bu araçları yeniden yaratma gücüne sahip olan hackerlar (bilgisayar korsanı değil, bilgisayarı farklı amaçlar doğrultusunda değiştiren, dönüştüren kişi) hala sınırları zorluyorlar. Ama kimi zaman farklı ve çelişen çıkarlara sahip taraflar bu sınırlarda, özellikle veri mülkiyeti hakkında, karşı karşıya geliyorlar.

Neff ve Nafus (2016), bu yeni aktörlerin ilgisinin arkasında çeşitli etkenlerin olduğunu ve bunun da sektöre bakışlarını etkilediğini belirtiyor. Bu etkenlerin başında, teknolojinin artık hem belirli bir olgunluğa erişmiş hem de ucuzlamış olması geliyor. Akıllı telefonlar, bluetooth, GPS ve ivmeölçerlerdeki yenilikler insanların bu cihazları yanlarında taşıyabilmelerini ve böylece insan yaşamın her alanında veri toplanabilmesinin önünü açtı. İlk başta bu kadar veriyle ne yapılabileceği hakkındaki kısa süreli bir belirsizlikten sonra veri, yeni kapılar açtı. İkincisi, biyomedikalleşme ve veri merkezli kültürün öztakibi çekici ve dolayısıyla şirketlerin veri toplama politikalarını daha kabul edilebilir hale getirmesi. Tıbba yapılan göndermeler insanlar üzerinde etkili oluyor. Üçüncü etken ise şirketlerin geliştirdikleri teknolojilerin gerçekten sorunları çözebileceği hakkındaki derin inanç. Evgeny Morozov’un teknolojk çözümcülük adını verdiği bu yaklaşımın temelinde karmaşık toplumsal problemlerin sadece teknolojiyle çözülebileceği düşüncesi var. Günümüzde oldukça yaygın olan bu düşünce biçimi teknoloji firmaların karmaşık toplumsal problemlerin çözümündeki önemini artırırken çözüme katkıda bulunabilecek diğer aktörlerin konumunu zayıflatıyor. Time dergisinin Google ile ölümü karşıya getiren kapağı (http://time.com/574/google-vs-death/) abartılı görünebilir ama teknolojik çözümcülüğün etkisi altındaki firmalar verinin karşı karşıya oldukları problem için en uygun çözüm olup olmadığına bakmadan veriye dayalı cüretkar çözümler geliştiriyorlar. Dördüncü etken ise sektördeki merkezileşme eğilimi. Son yıllarda şirketlerin kendilerinin merkezde olduğu, çağımızın yakıtı veriden beslenen platformlar geliştirmeye çalışıyorlar. Amazon, alıcılar ile satıcılar arasında; Facebook ise arkadaş ve tanıdıkların olduğu bir platform işlevine sahip. Bu nedenle veri, hem şirketler arasında hem de şirketlerle kullanıcılar arasında bir mücadele alanı haline gelmiş durumda.

Verinin Ekonomik Değeri

Mahremiyet tartışmalarının ötesinde verinin günümüzde ekonomik bir değerinin olduğunu unutmamak gerekiyor. Birincisi, kalp atış hızı izleyicilerinde, koşu takip araçlarında ve doğrudan tüketiciye yönelik kan örnek analizinde olduğu gibi veri, tüketiciye sunulan bir ürün. İkincisi, firmalar topladıkları verileri sundukları hizmetleri iyileştirmek ve kişiye özel hizmetle geliştirmek için kullanıyorlar. Kullanıcılara koçluk hizmeti sunan ya da psikolojik tavsiyeler veren bir öztakip aracı, yalnız o anda hizmet verdiği kullanıcının verilerinden değil elindeki daha geniş veri kümelerinden yararlanıyor. Üçüncüsü ise verinin hedefli reklamcılık ya da kullanıcıyı belirli bir biçimde hareket etmeye yönlendirmek için kullanılması.

Bu bağlamda, kullanıcılar ve şirketler arasındaki mücadelenin temelinde verinin kontrolünün kimde olduğu sorusu yatıyor. Dana Lewis ve Hugo Campos’un başından geçen iki farklı olay veri sahipliğinin önemini göstermekte.

Birçok insan, yazılımın kaynak koduna erişim ve onu değiştirebilme hakkının yalnızca bilgisayar programcılığı hakkında bilgi sahibi (hatta ileri bilgi sahibi) olanlar için anlamlı olduğunu düşünüyor. Öztakip cihazlarında saklı veri için de çoğu insan aynı şekilde, bundan sadece sınırlı sayıda insanın yararlanabileceğini düşündüğünden ürünü piyasaya süren şirket dışındaki aktörlerin üretici etkinliklerinin kısıtlanmasını önemsemiyor. Dana Lewis ve Scott Leibrand’ın yaptıkları bunu doğruluyor ama aynı zamanda insanların kendi verilerine erişiminin yaşamsal önemini de gösteriyor.

Lewis ve Leibrand, bilgisayar bilgilerini kullanarak Lewis’in gece hipoglisemisi için bir çözüm bulmak isterler ve bunun için de bir algoritma geliştirirler. Ancak algoritmayı gerçekleştirebilmek için veriye yalnız glikoz izleme cihazının ekranından değil başka bir yazılımla da erişebilmelerine gerek vardır. Yeni model glikoz monitörleri bu tip veri alışverişine izin vermediğinden eski model bir cihaz kullanırlar ve böylece Lewis için yaşamsal bir soruna çözüm geliştirirler. Şirket yeni modellerde veri alışverişine neden izin vermemektedir?

Lewis ve Leibrand’ın öyküsü veri sahipliği konusundaki önyargıları destekler nitelikte. Fakat Lewis ve Leibrand’ın bilgisayar bilgisinden bağımsız olarak, böyle bir ihtiyaç varsa veriye erişebilen başka bir firmanın da yenilikçi bir çözüm geliştirebileceğini, veriye erişimin öztakip aracını üreten firmaya bağımlılığı ortadan kaldırdığını göz önünde bulundurmak gerekiyor. Şirketlerin verinin kendilerinin olduğundaki ısrarı diğer firmaların geliştirdikleri araçlarla birlikte çalışabilecek yeni teknolojilerin gelişimini engelliyor. Ayrıca öztakip aracını üreten firmanın piyasadan çekildiği ya da başka bir alana yoğunlaştığı, kullanıcıları kimsesiz öztakip araçlarıyla ve tam erişemedikleri verileriyle baş başa bıraktıkları hikayeler de var.

Hugo Campos da kalp ritim düzenleyicisinin ürettiği veriye erişmek isteyen bir hasta. Amacı sadece stresli toplantılar veya bazı yemekler gibi gündelik etkinliklerin kalp üzerindeki etkisini öğrenmektir. Talebini üretici şirkete iletir. Sağlık için kullanılan öztakip araçları kullanıcılara kendi sağlıklarını kontrol edebilmeyi vadeder. Fakat şirket Campos’un bir sağlık profesyoneli olmadığı gerekçesiyle Campos’u bu hak için yeterli görmez ve talebini reddeder. Campos’un başka bir yoldan bu engeli aşmaya çalışarak teknik bir çözüm geliştirmesi de telif hakkı ihlali olacaktır. Yasalar Campos’un umurunda değildir, sadece bedenine ait verileri geri istemektedir. Campos uzun mücadelelerden sonra kendi bedenine ait veriye ulaşır ama bu sadece Campos için geçerlidir. Aynı durumda olan hastaların, yine mücadele etmeleri gerekmektedir.

Kısacası yazılımda olduğu gibi veride de kullanıcının mülkiyet hakları ile sınırlandırılması kullanıcının teknolojiden tam anlamıyla yararlanabilmesini kısıtladığı gibi tekelleşmeye de zemin hazırlıyor. Üstelik burada söz konusu olan doğrudan insan yaşamıyla ilgili teknolojiler.

Şirketlerin, kullanıcıların veriye erişimini kısıtlaması ya da tamamen engellemesinin yanında şeffaf olmayışları da bir başka sorun. Şirketlerin iş modelleri sonucunda öztakip araçları insanların kara kutularına dönüşüyorlar. Pasquale (2015) Kara Kutu Toplumu adlı kitabında kara kutu terimini hem uçaklardaki hem de mühendislikteki anlamıyla kullanır. Aynı benzetme öztakip araçları içinde geçerli. Öztakip araçları da uçaklardaki kara kutular gibi insan yaşamını en ince ayrıntısına kadar kaydediyor ve saklıyor. Mühendislikteki kara kutular ise iç işleyişini bilmeden kullandığımız ama belirli bir görevi yerine getiren araçlar. Kara kutu toplumunun olumsuzlukları ise özellikle verinin ikincil kullanımında ortaya çıkıyor. Örneğin, öztakip cihazlarından elde edilen akıl sağlığınız hakkındaki bir veri kredi puanını etkileyebilir ve bu etki öztakip cihazı kullanıcısı tarafından hiç bilinmeyebilir.

Sigorta şirketlerinin öztakip sektörüne ilgisi de boşuna değildir. Sigorta şirketleri toplamda hep kazansalar da bazı poliçelerden kazançlı çıkarlar bazılarından da zarar ederler. Normal şartlarda sigorta yaptıran kişi gelecekteki sağlığı hakkında daha bilgilidir. Ailesindeki kanser ve kalp hastalığı vakalarını, ne kadar sık hastalandığını, zararlı alışkanlıkları olup olmadığını, sağlıklı bir yaşam sürüp sürmediğini bilir. Sağlık sigortası yaptırdığında kendisi hakkında daha bilgili olduğu için daha avantajlıdır. Ancak öztakip cihazlarından gelen veriler de dahil olmak üzere sağlık verilerinin sigorta şirketlerinin eline geçmesi sigorta şirketlerini daha avantajlı yapacaktır. Sigorta şirketleri yalnız bugünümüz hakkında değil yarınımız hakkında da bizden daha bilgili olabilecek. ABD’de bazı şirketlerde çalışanların sağlık sigortasına hak kazanabilmesinin önkoşulu sağlık programlarına katılımdır. Yakın zamanda öztakip araçları da sağlık sigortası için bir önkoşul olabilir.

Ne Yapmalı?

Bedenimizden elde edilen verinin sahibi şirketler değil biz olmalıyız. Sahip olmak derken sadece veriyi indirmekten ya da ona çeşitli arayüzlerle erişmekten bahsetmiyorum. Hugo Campos örneğinde olduğu gibi veriye sahip olmak ya da Dana Lewis gibi glikoz monitöründeki veri değerlerini başka bir yazılımla okuyabilmek önemli ve gereklidir. Bazı üretici şirketler kullanıcıların verilerini indirebilmelerine izin vermekte ya da başka yazılımların cihazdaki veriye erişebilmesi için kendileri bir arayüz (Application Programming Interface) geliştirmektedir. Kamuoyu baskısı şirketleri bu arayüzleri sunmaya zorlayacaktır. Microsoft, Facebook ve Apple böyle bir veri politikasına razı görünmektedir. Apple’dan Tim Cook, yakın zamanda yaptığı bir konuşmada şirketlerin, verilerin kullanıcılara ait olduğunu bilmeleri gerektiğini söylüyordu (https://www.computerworld.com/article/3315623/security/complete-transcript-video-of-apple-ceo-tim-cooks-eu-privacy-speech.html). Fakat bunun yeterli olacağını düşünmüyorum.

25 Mayıs 2018’de Avrupa Birliği’nde yürürlüğe giren GDPR’den (General Data Protection Regulation – Genel Veri Koruma Tüzüğü) sonra ABD’de de benzer bir hazırlık var. Martin Tisne, ABD’deki yeni veri politikası tartışmaları hakkında yazdığı yazıda (https://www.technologyreview.com/s/612588/its-time-for-a-bill-of-data-rights/) veri sahipliğinin var olan problemleri çözemeyeceğini ve yeni problemlere neden olacağını savunuyor. GDPR’de olduğu gibi şirketlerin bu veriyi kullanımının da düzenlenmesi ve sınırlandırılması gerekiyor. Tisne’ye katılıyorum.

Toplanan verilerin kişinin bilgisi dışında, başka taraflarla paylaşımı ve toplanma amacının dışında kullanımı denetlenmeli, kişinin talebi doğrultusunda işleme faaliyetleri kısıtlanmalı. Öztakip araçlarından elde edilen veri, kredi taleplerinde, iş başvurularında ve sigortacılıkta ayrımcı biçimde kullanılmamalı; kullanıcılar verilerini paylaşmaya zorlanmamalı.

***

Öztakibin sonucu ortaya çıkan verinin mülkiyeti bir sorundur. Ama öztakibin kendisi de o kadar masum görünmüyor…

Belki Cederström ve Spicer’ın (2017) yazdığı gibi “… en azından bir başlangıç olarak, takıntılı bir şekilde bedenimize kulak vermeyi bırakabilir, sağlık ve mutluluğumuzu saplantı haline getirmekten vazgeçebilir ve insan potansiyelinin sınırsız olduğu yanılsamasından kurtulabiliriz.”

Sağlıklı bir yıl dileklerimle…

Kaynaklar

Cederström, C., Spicer, A. (2017). Sağlık Hastalığı, Güncel Bir Sendrom (Çev.Erdem Gökyaran). Yapı Kredi Yayınları.

Köse, A. H., Öncü, A. F. (2000). Kapitalizm, insanlık, ve mühendislik: Türkiye’de mühendisler, mimarlar. Türk Mühendis ve Mimar Odaları Birliği.

Neff, G., Nafus, D. (2016). The Self-Tracking. MIT Press.

Pasquale, F. (2015). The black box society: The secret algorithms that control money and information. Harvard University Press.

23 Şubat 2019

Posted In: Açık Standartlar, biyomedikalleşme, Emek, Fikri Mülkiyet, Frederick Winslow Taylor, Gözetim, Mahremiyet, nicelleştirilmiş benlik, Özgür yazılım, Öztakip, Sağlık Hastalığı, sosyal ağlar, Teknoloji Tarihi

Life saving Bash Settings

I saw this settings on a tweet flood. I did not want to lose them. I copied all of content in here. Thanks @kadirsert 

If you are continuously running shell commands on more than one Linux terminal, probably you want all of the shell (mostly bash) prompts to remember any command from any terminal.

With the following environmental variables to in the .bashrc file, you can do it so

Ignoring duplicate entries: 
export HISTCONTROL=ignoredups:erasedups

large history size:
export HISTSIZE=102400

This is for a big history file:
export HISTFILESIZE=100000

Appending commands to history file:
shopt -s histappend

Last but not least, this is for saving and reloading the history after each command is run:
export PROMPT_COMMAND=“history -a; history -c; history -r; $PROMPT_COMMAND”

Source: https://twitter.com/kadirsert/status/1092694397441978369

5 Şubat 2019

Posted In: bash, bashrc, linux, shell

Kamu kurumları özgür yazılımdan ne anlıyor?

Son dönemde "yerli ve milli yazılım"dan bahsedildiğini sıkça duyuyoruz. Bu konuya bir açıklık getirmek için bir cümleyle özetlenebilecek bir yazı yazmıştım [1]: "Özgür yazılım yerli ve milli yazılımlardan bütün beklentilerimizi karşılama potansiyeline sahiptir." Evet özgür yazılımın bu potansiyeli var ama ülke olarak bunu değerlendiriyor muyuz? Bence hayır! Özgür yazılımın getirdiği dört özgürlükten [2] sırasıyla bahsedip bu iddiamı temellendirmek istiyorum.

Yazılımı istenilen amaç için, istenilen şekilde çalıştırma özgürlüğü

Bu özgürlük son kullanıcı açısından bakınca en temel olanı [3]. Peki kamunun özgür yazılıma (onlar hep açık kaynak diyorlar ama bence esas önemli konu bu değil) olan ilgisi gerçekten bazıları sahipli yazılımları kullanamıyor diye itiraz edişinden mi? Yoksa özgür yazılımların çok büyük oranda lisans bedeli verilmeden kullanılabiliyor olmasından mı? Burada kamunun sadece maliyet odaklı yaklaşımı özgür yazılımdan çok hızlı bir dönüşü beraberinde getirir. Bunu kendi ülkemizde yaşadığımız tecrübelerden de çok iyi biliyoruz. Bununla ilgili daha önce yazdıklarımı tekrar etmemek için linkini bırakıyorum [4].

Yazılım nasıl çalıştığını anlama ve onu istediği gibi değiştirme özgürlüğü

Kamu bu özgürlüğü neredeyse hiç kullanmıyor. Tamam özgür yazılımların kaynak kodları açık ve kamu onu değiştirebilir durumda ama bunu yapmıyor. Nereden biliyoruz yapmadığını? Özgür yazılımların geliştirme süreçleri tamamen açık olduğu için istediğiniz özgür yazılıma bakın geliştiricileri arasında kaç tane .tr uzantılı eposta adresi var. Üşenmeyen isimlere tek tek de bakabilir. Sizi yormamak için söyleyeyim çok büyük oranda hiç yok. Oysa Pardus temel olarak Debian üzerine inşa edilmiş bir dağıtım, bir tane bile Debian geliştiricisi istihdam etmesi gerekmez mi? Dağıtımla birlikte dağıtılan ofis paketi LibreOffice, bir tane olsun LibreOffice geliştiricisi çalıştırması gerekmiyor mu? Ankara'da postgresql konferansı düzenlendiğinde akın akın koşan TÜBİTAK birimlerinde bir tane olsun, ilaç niyetine postgresql geliştiricisi bulunmamasında bir gariplik yok mu?

Peki TÜBİTAK kendisi geliştirici çalıştırmıyor ama Debian vakfının, Belge vakfının, Postgresql vakfının destekçisi mi? Bunun da cevabı hayır. Böyle yazınca sadece TÜBİTAK hakkında yazıyorum gibi anlaşılmasın isterim. Her yerde adı geçen Havelsan, Aselsan ya da herhangi bir kamu kurumu için de durum aynı.

Bütün özgür yazılım kullanan kurumlar onun gelişimine katkıda bulunsun demiyorum ama hiçbirinin katkıda bulunmaması olacak şey değil. Bu özgürlüğü hiç değerlendirmediğimiz için buradan edineceğimiz bilgi birikimi diye bir şeyden bahsedemiyoruz. Ülkemiz insanının "ben de yapabilirim" hissine zerre katkısı olmuyor özgür yazılım kullanımının. Bu büyük bir kayıptır.

Yazılımın kopyalarını yeniden dağıtabilme özgürlüğü

Bu özgürlüğü kullanıyoruz ve kurumlar lisans ücreti ödemiyor ama yazılımı yapılandırmak ve özelliştirmek ayrıca bir emek istiyor. Yazılımın kendisine para vermemiş kurumlar bakımı ve ayakta tutulması için ücret ödemek istemiyor genellikle. Microsoft'a, Oracle'a her yıl düzenli ödenen bakım ücretlerini yerli firmalara verip sorunlarını çözdürmekte çok isteksiz kamu kurumları.

Yazılımın değiştirilmiş hallerini yeniden dağıtılabilme özgürlüğü

Kamu kullandığı özgür yazılımları geliştirmeye çalışmadığı için elinde değiştirilmiş bir hali de olmuyor ve bunu dağıtamıyor. Eğer bir özgür yazılımı kendi ihtiyaçları için kaynak kodunda bir değişiklik yaparak kullanıyorsa bile bunu özgür yazılım topluluğu ile paylaşmadığından bu özgürlük tamamen işlevsiz bir hale geliyor.

Açık kaynak yazılımlarla kendi problemlerini çözen kamu kurumları kendi yazılımlarının kaynak kodlarını açıp başka kurumların kullanımına da sunmuyor. Neredeyse aynı problemleri çözmek için her kurum kendi açık kaynak (!) çözümünü kendi geliştiriyor.

Bütün bunlara rağmen özgür yazılım kullanımı ülke için bir avantajdır ama sürdürülebilir bir durum değildir. Yazılım tekelleri ile fiyat konusunda mücadele etmek mümkün değildir. Yukarıda bahsettiğim [4] numaralı yazıdaki acı tecrübelerimizi unutmamalıyız. Özgür yazılım sadece bedava yazılım değildir, onu böyle anlayanlar Microsoft ve Oracle "sizden para almayalım" dediklerinde ilk geri dönenler olacaktır.

Özgür yazılım kendi başına bir amaç değil, daha iyi bir dünya için bir araç. Biz ülke olarak sadece tüketen bir ülke olmayı hedeflemiyorsak bu yolda bize yardımcı olabilecek bir araç. Üreten bir ülke olabilmenin de ilk şartı yüzümüzü üretime çevirmek olmalı.

Maalesef yanlış yoldayız!

[1] https://www.nyucel.com/2017/03/yerli-yazlm-milli-yazlm.html
[2] http://www.gnu.org/philosophy/free-sw.en.html
[3] https://www.nyucel.com/2017/03/son-kullanc-icin-ozgur-yazlm-neden.html
[4] https://www.nyucel.com/2012/07/bedava-m-ozgur-mu.html

26 Ocak 2019

Posted In: bedava, Gezegen, Özgür yazılım

Stubby ile DNS-over-TLS nasıl yapılandırılır?

8.8.8.8 için DNS over TLS‘in duyurulmasının ardından, stubby kullanarak kullanıcı tarafında nasıl yapılandırılacağını inceliyoruz.

Öncelikle stubby‘yi Ubuntu 18 yazılım deposundan kuralım;

sudo apt install stubby

Stubby kendi içinde gelen ön tanımlı ayarlar ile doğrudan çalışmaya başlayacak. Google DNS 8.8.8.8’i eklemek için aşağıdaki satırları ayar dosyasına ekleyelim;

/etc/stubby/stubby.yml
# Google
- address_data: 8.8.8.8
  tls_auth_name: "dns.google"
  tls_pubkey_pinset:
    - digest: "sha256"
      value: nxmRHK4Oq08HNWWYZwakeCHmiKvsDsEaBPS3blQ+nSE=
- address_data: 8.8.4.4
  tls_auth_name: "dns.google"
  tls_pubkey_pinset:
    - digest: "sha256"
      value: nxmRHK4Oq08HNWWYZwakeCHmiKvsDsEaBPS3blQ+nSE=

Pinsetin doğrulaması aşağıdaki komut çalıştırılarak yapılabilir;

openssl s_client -connect '8.8.8.8:853' 2>/dev/null | openssl x509 -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

Stubby‘nin 53 portunu dinlediğinden emin olduktan sonra ağ ayarlarımızdan DNS tanımını 127.0.0.1 olarak değiştirerek kriptolu DNS kullanmaya başlayabiliriz.

sudo netstat -lnptu | grep stubby

11 Ocak 2019

Posted In: lkd, teknik, tr

Hangi Masaüstü Ne Kadar Türkçe Konuşuyor? -11-

Büyük masaüstü ortamlarının Türkçe çeviri oranları hakkında en son bir yıl önce yazdığımdan son durumu tekrar gözden geçirmek istedim. Özgür yazılımlar için genel olarak Türkçe çeviri eksikliğinin kullanıma engel olmayacak durumda olduğunu söylemek mümkün. Bu çevirilerin çok az sayıda gönüllüyle sürdürüldüğünü hatırlatmak isterim. Çeviri oranlarının yüksek olması sanki bu konuda yapılacak bir şey kalmamış izlenimi doğursa da yazılım çevirisi süreklilik isteyen bir alan.

KDE: Geçen yıl %94 olan Türkçe çeviri oranı %82'ye gerilemiş durumda. Uzun yıllar boyunca hiç çevirilmemiş olan yardım içeriği geçen yıl bir atılımla %8 seviyesine ulaşmıştı. Bugün bu oranın %22 olması güzel ama yapılması gereken çok şey var bu konuda.

GNOME: Geçen yıl %99 olan arayüz çevirileri hala %99'da. Aradan geçen bir yılda eklenen her şeyin çevrildiği anlamına geliyor bu. Yardım içeriği hiç çevrilmeden duruyor. Bu konuda enerji ve motivasyon bulmak gerçekten çok zor.

Enlightenment: Geçen yıl %73 olan çeviri oranı %100'e ulaşmış durumda.

XFCE: Geçen yıl tamamı çevrilmiş olan xfce projesinin bugünkü çeviri oranı yine %100 seviyesinde.

LXDE: Geçen yıl olduğu gibi %100 çeviri oranına sahip.

LibreOffice: Özgür ofis paketi olan LibreOffice çevirileri de geçen yılın oranlarına çok yakın. Kullanıcı arayüzü %99, yardım içeriği ise %92 oranında Türkçe kullanılabilir durumda.

Bu çalışmaları sürdürenlerin ellerine sağlık!

21 Aralık 2018

Posted In: Çeviri, Enlightenment, Gezegen, Gnome, kde, libreoffice, Lxde, Xfce

"Kod yazabiliyorum ama algoritmasını yazamıyorum"

Yıllardır bilgisayar mühendisliği öğrencilerine algoritma ve programlamaya giriş anlatıyorum. Bütün eğitim hayatları boyunca sadece problem çözmeye odaklanmış olan öğrenciler için problemi çözme süreci üzerinde düşünmek çok zor geliyor. Öğrencilerin bir kısmı üniversiteye gelmeden önce de kodlamayı bir miktar biliyor olmasına rağmen bir problemi hangi süreçleri takip ederek çözdükleri üzerine neredeyse hiç düşünmemiş oluyorlar. Bu elbette bireysel olarak onların eksikliği değil, onları bu hale eğitim sistemimiz getiriyor.

Algoritma üzerinde düşünmek aslında problemi çözmek değil de onu çözümlemek anlamına geliyor. Üniversiteye gelene kadar problem çözümlerinde hep kısa yollar, formüller öğrenmiş; kavramları, tanımları önemsememiş gençler için bunları öğrenmek ve üzerinde düşünmek zorlu bir süreç oluyor. Hemen kod yazmaya geçmek istiyorlar ama problemi çözümlemeden kodunu yazmak işlevsiz bir çaba oluyor. Algoritma yazmak veya akış şeması çizmek için harcanan zaman boşa geçiyormuş gibi geliyor genç arkadaşlara.

Bu denizi doldurmak için yapılan çalışmalara benziyor biraz. Kayaları taşıyan ilk kamyonların döktüklerinin suyun içinde kaybolup gittiğini görürüz başlarda. Sanki bir sonsuzluğun içine bıraktığımız bu kayalar asla kıyının seviyesine gelemeyecek gibidir. Eğer yeterince kayayı suya dökersek zamanla suyun yüzeyinden görülebilir olduklarını görürüz. Bu işleme sabırla devam edince kayalar suyun yüzeyini de aşarlar. Programlama öğrenme sürecinin başında algoritma üzerinde düşünürken, yazarken işte bu kayaları denize döküyoruz. Hemen ortaya bir şey çıkarmak isteyenler, for'ları, while'ları ve if'leri yazmak ve o denizi hemen doldurmak istiyorlar.

Karl Marx'ın en kötü mimarı en iyi arıdan ayıran özelliğinin mimarın yapacağı işi önce aklında inşa etmesi olarak vurgulamasını yazılım dünyası için de düşünmek hatalı olmayacaktır. 



İşin doğrusu bazı durumlarda çözülecek problem üzerinde çokça düşünmeye değecek kadar derinlikli olmuyor. Hele iş hayatında insanın karşısına sürekli meydan okumalarla dolu sorunlar çıkmıyor. Süreç üzerinde düşünme disiplini olmayan biri için her sorun böyle kolayca çözülebilir gibi geliyor olabilir ama elbette her zaman böyle olmuyor.

Bir örnekle problemin önce akılda çözülmesinin önemini göstermek istiyorum. Aşağıda bir üçgen şeklinde dizilmiş sayılara bakalım. Bize yukarıdan aşağı doğru sadece birbirine temas eden sayılarla elde edebileceğimiz en büyük toplam soruluyor olsun.
Takip edilebilecek rotaların sayısı sadece 8 olduğundan olası bütün rotaları hesaplayıp en büyüğünü seçersek 308 toplamını bulmak zor olmayacaktır. Şimdi bu sayı dizisini biraz büyütelim.

Yukarıdaki şekilde 15 satır var, yani takip edilebilecek rotaların sayısı 2^14 tane. Bu da 16384 farklı rota demek oluyor. İlkine göre bir hayli fazla olsa da burada da tüm rotaları hesaplayıp en büyüğünü seçmek imkanı var. En yavaş bilgisayarlarda bile oldukça kısa sürede hesaplanabilecek şekilde kodlamak mümkün bu yöntemi.

Peki ya satırların sayısı 100 olsaydı? Bu durumda hesaplanacak farklı rota sayısı 2^99 olacaktı. Bu da 633825300114114700748351602688 farklı rota demek olur. Bu 30 basamaklı bir sayı olduğundan bütün rotaları hesaplayarak sonuca ulaşamayacağımız herkes için çok açık olmalı. Ne bu kadar farklı rotayı hesaplayabilir ne de, hesaplasak bile, bunları bir yerde saklayabiliriz. İşte "kod yazabiliyorum ama algoritmasını yazamıyorum" diyenlerin tıkandığı nokta burasıdır. Yöntem üzerinde düşünmeyen ancak sonucu apaçık görünen problemleri çözebilir.

Buraya kadar sabırla okuyanlar için çözümü de yazıp öyle bitirmek istiyorum bu yazıyı. Çözümü 8 farklı rotanın olduğu durum için anlatacağım ama kolayca genişletebilirsiniz. Problemi yukarıdan aşağıya doğru değil de aşağıdan yukarı doğru çözmeye çalışalım. En alttaki satırın bir üstüne kadar gelmiş olsaydık en alt satırdakilerden hangisini seçerdik diye düşünelim. Yani bir şekilde 17'ye gelmiş olsaydık, en büyük toplamı elde etmek için 18'e mi, 35'e mi giderdik? Elbette 35'e gitmeliydik. Aynı şekilde 47'den de 87'ye gitmeliydik. Son olarak 82'den de 87'ye giderdik. O zaman üçüncü satırdaki her sayıdan altındaki satırdaki ulaşabildiği sayıların en büyüğüne gideceğimizi görmüş olduk. Şimdi problem şu hale geldi.

                                   75
                       95                       64
17+max(18,35)  47+max(35,87)  82+max(87, 10)

İşlemleri yapınca:

     75
   95 64
52 134 169

Aynı işlemi ikinci satır için yapalım:
                         75
95+max(52,134) 64+max(134,169)

Burada işlemleri yapalım:
     75
229 233

Aradığımız sonuç böylece 75+max(229,233)=308 olacaktır. Bir kere böyle düşünmeyi akıl ettiğimizde satır sayısının ne kadar fazla olduğunun bir önemi kalmayacaktır. Yazacağımız kod 100 satır için bir saniyede çözüm bulacakken, bunu düşünmeyenlerin yazacağı kod milyarlarca yılda sonlanmayacaktır. Algoritma hakkında düşünmek ve düşünmemek arasındaki fark işte bu büyük uçurumdur.

11 Aralık 2018

Posted In: algoritma, Gezegen, yazılım

LibreOffice için Türkçe imla denetimi eklentisi: zemberek-extension

Zemberek-NLP Ahmet A. Akın ve Mehmet D. Akın'ın 10 yıldan uzun zamandır geliştirdikleri bir özgür yazılım projesi. Proje Türkçe için doğal dil işleme araçları içeriyor [1]. Bir dönem Pardus tarafından kullanımı ile çok bilinen bir projeydi ama bir süre hem Pardus sahipsiz kaldı, hem de Zemberek geliştiricileri gönüllü olarak yaptıkları işe bir süre ara verdiler. Zemberek sadece imla denetimi işini yapmıyor olsa da son kullanıcıya en çok ulaştığı yer burası. Özellikle LibreOffice kullanıcılarının imla denetimi yaptırabilmeleri ciddi bir ihtiyaç.

Zemberek-NLP bu yıl içinde yeniden geliştirilmeye başlandı. Uzun yıllardır el değmemiş olan LibreOffice eklentisi de baştan hazırlandı [2]. Eklentiyi hazırlama kısmında Okan Özdemir ve Talha Kanyılmaz da çalıştılar. Eklenti henüz ilk sürümünde olduğundan hatalar içerebilir. Deneyip geri bildirimde bulunulursa çok iyi olur. Kurulum ve diğer konular için eklentinin sayfasına bakılabilir.


[1] https://zembereknlp.blogspot.com
[2] https://github.com/COMU/zemberek-extension

4 Aralık 2018

Posted In: Gezegen, libreoffice, Özgür yazılım, zemberek, zemberek-extension

Linux için F5 Ssl Vpn Client i Kurulumu ve Kullanımı

Windows için Windows Store da, android için Google Play de client i bulunan F5 Ssl VPN linux için herhangi bir repo ya katılmış gözükmüyor. Eğer siz de benim gibi linux kullanıcısı iseniz, kuruluşunuz tarafından size verilen vpn geçidi adresine firefox ile eriştiğinizde karşınıza çıkan sayfaya kullanıcı adı ve şifreniz ile giriş yapabilirsiniz.

Giriş yaptığınızda karşınıza şöyle bir sayfa çıkacak
Bu sayfada işaretli olan yerden manual olarak yüklemeyi seçip indirdiğiniz tgz uzantılı dosyayı açtığınzda
karşınıza şu dizin gelecek. Burada sağ tıklayıp terminalde açtıktan sonra;

sudo ./Install.sh 
komutu ile kurulumu başlatabilirsiniz. sadece bir kere kurayım mı diye soracak size "yes" yazıp entera basıp geçtikten sonra vpn clientiniz hazır. Kullanmak için sadece komut satırında (terminalde)

sudo f5fpc -s -t "https://sslvpnadresiniz.com"

yazarak başlatmanız

sudo f5fpc --stop 

yazarak durdurmanız mümkün olacaktır.

Detaylı bilgi için f5fpc --info yazmanız yeterli....

Kolaylıklar dilerim.

29 Ekim 2018

Posted In: F5 VPN Client, linux, ubuntu

Zemberek 0.16.0 Text Normalizasyonu ve gRPC sunucusu

Zemberek NLP 0.16.0 yayınlandı.  Bu sürümdeki yeni özelliklerden bazıları:

Metin Normalizasyonu
Bu özellik ile sosyal medya, forum ve mesajlaşma yazlımlarında kullanılan cümlelerdeki hatalar düzeltilmeye çalışılır. Bu işlem, metne daha sonra uygulanacak işlemlerin başarımını arttırabilir. Örnek:

Yrn okua gidicem
yarın okula gideceğim

Tmm, yarin havuza giricem ve aksama kadar yaticam :)
tamam , yarın havuza gireceğim ve akşama kadar yatacağım :)

ah aynen ya annemde fark ettı siz evinizden cıkmayın diyo
ah aynen ya annemde fark etti siz evinizden çıkmayın diyor
Bu ilk denememiz olduğu için sıklıkla hata yaptığı durumlar olacaktır. Detaylar için dokümantasyona bakınız.

gRPC sunucusu
gRPC, açık kodlu, yüksek hızlı bir uzaktan fonksiyon çağrı mekanizmasıdır. Zemberek fonksiyonlarının bir kısmına başka programlama dillerinden hızlı erişim sağlamak için kullanılabilir. Bu ilk sürümde grpc sunucusu ve kısıtlı fonksiyonlara python ile erişim kütüphanesi yayınlandı. Dokümantasyon.

Yeni morfolojik analiz modları:
Normalizasyon türü işlemler için faydalı olabilecek iki yeni analiz modu eklendi. Bunlardan ilki "informal" analiz. Bu şekilde özellikle konuşma dilinde kullanılan "yapıcam, edicem, geliyo, gidek" türü kelimelerin analiz edilip formal şekillerine dönüştürülebilmesi için mekanizmalar hazırlandı. Bu mekanizmanın kapsamını ilerki sürümlerde arttırmayı düşünüyoruz.

Diğer mod ise türkçeye özgü harfleri ihmal eden analiz mekanizması. Bu şekilde "kisi" kelimesi "kişi, kışı" çözümleri bulunabiliyor.

Yeni analiz modları için dokümantasyonu inceleyebilirsiniz.

Bu sürümde önceki sürümlerdeki API'yi bozan değişiklikler de oldu ve bazı hatalar giderildi. Eğer projeyi kullanıyorsanız güncelleme yapmadan değişiklik listesini incelemenizi öneririz. Bu sürümde yardımı olan herkese, özellikle morfoloji hatalarını bildiren Müge ve lm modelindeki problemi gideren bojie'ye teşekkürler.

29 Ekim 2018

GDPR: Kişisel Verilerin Korunmasında Yeni Dönem

GDPR (General Data Protection Regulation – Genel Veri Koruma Tüzüğü) 25 Mayıs 2018’de Avrupa Birliği’nde yürürlüğe girdi. GDPR, bireylerin kendi haklarında toplanan ve paylaşılan veriler üzerinde daha çok kontrol sahibi olabilmesini hedefliyor ve kullanıcılara yeni haklar tanıyor. GDPR’ye uygun hareket etmeyen şirketleri ise ağır cezalar bekliyor. Bu nedenle GDPR, bugüne kadarki en güçlü dijital mahremiyet hakları koruyucusu olarak nitelendiriliyor. GDPR, ilk başta sadece AB vatandaşlarını ilgilendiriyormuş gibi görünmesine karşın internetin sınırsız doğası nedeniyle AB sınırları dışındaki internet kullanıcıları da GDPR’nin getirilerinden yararlanacak. Ayrıca başka ülkeler de GDPR’yi örnek alan kanunlar hazırlıyorlar.

Avrupa, mahremiyet hakkında ABD’ye göre çok daha hassas bir tutuma sahip. Naziler’in vatandaşların özel verilerini, Yahudiler’i ve diğer azınlıkları tespit etmek için kullanmış olması hâlâ akıllarda. Kapı kapı dolaşan Alman nüfus memurları, delikli kartlara (punch cards) insanların milliyetlerini, anadillerini, dinlerini ve mesleklerini girmiş ve daha sonra bu delikli kartların sayımında ilk veri işlemcilerden olan IBM’in Hollerith makinelerinden yararlanmışlardı. Naziler ve IBM arasındaki işbirliğinin ayrıntıları 2001’de yayımlanan IBM and the Holocaust: The Strategic Alliance Between Nazi Germany and America’s Most Powerful Corporation adlı kitapta anlatılıyor. Naziler ve IBM arasındaki işbirliğinin boyutu hakkında bazı tarihçilerin itirazları olsa da nüfus sayımı verilerinin yalnız devletin işleyişi için değil insanlara zarar vermek için de kullanılabileceği hakkında hemfikirler.

Soğuk savaş yıllarında da (özellikle Doğu Almanya’da) hükümetler, insanların arkadaşlıklarından cinsel alışkanlıklarına kadar çeşitli konularda veri toplamaya devam ettiler. 1970’lerde Batı Almanya’da kişisel verilerin korunmasını hedefleyen adımlar atıldı ve 1983’te Federal Anayasa Mahkemesi, GDPR’nin temeli olarak kabul edilen ‘veri üzerinde öz belirlenim hakkı’nın temel bir hak olduğunu ilan etti. 1990’larda iki Almanya’nın birleşmesi ve soğuk savaşın sona ermesiyle beraber Avrupa Topluluğu’na üye devletler arasında veri paylaşımını kolaylaştırmak amacıyla bir veri koruma standardının oluşturulması gündeme geldi. Veri koruma kanunlarındaki farklılıklar devletler arasındaki veri paylaşımında yasal belirsizliklere neden oluyordu. 1995 yılında, 95/46/AT sayılı AB Veri Koruma Direktifi bu sorunu çözmek amacıyla yürürlüğe girdi. Direktif, kişisel verilerin işlenmesinde bireylerin haklarının korunması ve verinin üye devletler arasında serbest dolaşımı hakkında bir çerçeve sunuyordu.

Ancak AB Veri Koruma Direktifi sadece bir çerçeve sunmakla kalıyor ve AB üyesi devletlere doğrudan uygulanamıyordu. Bu direktiflerin ulusal kanunlara aktarılması gerekiyordu. Veri Koruma Direktifi’nin aktarımında farklılıklar olması kaçınılmazdı ve Direktif, devletlerin farklı veri koruma standartlarını uyumlulaştırmada başarılı olamadı. Bir AB ülkesinde yasal olan veri işleme etkinliği bir başka AB ülkesinde yasadışı olabiliyordu. Direktifin yetersizliğinin yanında sosyal ağlar, bulut bilişim ve elbette büyük veri (verinin hacmindeki, verinin analiz ve birikim hızındaki, veri çeşitliliğindeki artış) kavramının ortaya çıkışı 2012 yılında AB veri koruma kurallarında bir reforma gidilmesini gündeme getirdi. Reform önerisi AB Konseyi’nde ve AB Parlamentosu’nda tartışılmaya başlandı. 2014’te önce AB Parlamentosu, hemen ardından da AB Konseyi reform hakkında görüş birliğine vardı. Bu reforma karşı dijital ekonomi şirketlerinin yoğun kulis faaliyetleri vardı. Ayrıca Akıncı’nın (2017) belirttiği gibi AB’nin karar organları Avrupa Komisyonu, Konsey ve Parlamento’nun farklı güdüleri arasındaki çelişkiler de süreci etkiledi. Örneğin Komisyon, ekonomik gelişme ve güvenliği öncelikli görürken Parlamento için temel bireysel haklar daha ön plandaydı. Ayrıca üye devletler arasında mahremiyetin ne olduğu hakkında da görüş ayrılıkları vardı. Sonuçta, “insanın evi kendi kalesidir” gibi dar bir mahremiyet tanımının ötesinde, güncel teknolojilerdeki gelişmelerin ve içerdiği risklerin farkında olan ve buna karşı önlem almaya çalışan bir metin ortaya çıktı.

2016 yılının Nisan ayında da 95/46/AT sayılı AB Veri Koruma Direktifi yerini GDPR’ye bıraktı. GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girdi. Fakat AB üyesi ülkelere GDPR’yi kendi iç hukuklarına eklemeleri için iki yıl süre tanındı ve 25 Mayıs 2018 tarihinde internette GDPR dönemi başladı.

Bu bağlamda, AB’de tüzükler (regulations) ile direktifler (directives) arasındaki farka dikkatinizi çekmek isterim. Tüzükler, AB üyesi her devlette hukuki zorunluluğa sahiptir ve tüm üye devletlerde belirli bir tarihte yürürlüğe girer. Direktifler ise ulaşılması gereken belirli hedefleri ortaya koyar ama üye devletler, direktiflerin ulusal yasalara nasıl dönüştürüleceğine karar vermekte serbesttir. Bu nedenle GDPR, AB Veri Koruma Direktifi’ne göre daha bağlayıcı ve etkili olacaktır (http://www.usda-eu.org/eu-basics-questions/difference-between-a-regulation-directive-and-decision/).

Mayısın son haftasında AB sınırları içinden de erişilebilen çeşitli web siteleri kullanıcılarına mahremiyet politikalarını değiştirdiklerini bildiren e-postalar göndermeye başladılar. Örneğin, bilişim teknolojileri hakkında yayımladığı kitaplarla tanınan Amerikan şirketi O’Reilly Media müşterilerine/kullanıcılarına (herhangi bir nedenle O’Reilly Media’ya e-posta adresini vermiş olanlara) gönderdiği 26 Mayıs 2018 tarihli e-postada 25 Mayıs 2018 tarihinde mahremiyet politikasını GDPR doğrultusunda güncellediğini duyurdu. Ne e-postayı gönderen O’Reilly Media ne de onu alan kişilerden biri olan ben, AB sınırları içindeyiz. Ama AB sınırları içindeki müşterilerine ulaşmak isteyen O’Reilly Media’nın mahremiyet politikasını GDPR’ye uyumlu olacak biçimde güncellemesi gerekiyordu. Ben de AB sınırları içinde yaşamıyor olmama rağmen bu güncellemeden yararlanabiliyorum. O’Reilly Media gibi birçok şirket AB için ayrı diğerleri için ayrı bir mahremiyet politikası hazırlayarak içinden çıkılmaz bir duruma düşmektense genel bir politikayı tercih ediyor. GDPR’den en çok başı ağrıması beklenen (ve umulan!) Google ve Facebook uzun süredir mahremiyet politikalarını GDPR’yle uyumlu hale getirmek için çalışıyorlar. Los Angeles Times, Chicago Tribune ve New York Daily News gibi ödevini vaktinde yapmayan web siteleri, Avrupalı ziyaretçilerine kapılarını kapattılar. USA Today ise Avrupalılar’ı ziyaretçilerden daha az veri toplayan, kendilerine ait başka bir siteye yönlendirmeye başladı (https://www.theverge.com/2018/5/25/17393894/gdpr-news-websites-down-europe).

Peki GDPR’yi bu kadar önemli yapan ne? GDPR, internetin işleyişini nasıl değiştirecek?

GDPR’nin Temel İlkeleri

99 maddeden oluşan GDPR’nin orjinal metnine https://gdpr-info.eu/, Türkçe çevirisini de https://www.kisiselverilerinkorunmasi.org/mevzuat/avrupa-birligi-genel-veri-koruma-tuzugu-gdpr-turkce-ceviri/ adreslerinden erişilebilir. Kısaca GDPR, bireylere haklarında toplanan ve paylaşılan veriler üzerinde daha fazla kontrol hakkı sağlayan ve buna uymayan şirketlere caydırıcı cezalar getiren bir düzenleme. GDPR’ye aykırı hareket eden bir şirket 20 milyon Avro veya küresel cirosunun %4’üne varan para cezaları (bu ceza Facebook için 1.6 milyar dolar anlamına geliyor) ödemek zorunda kalabilir. GDPR hakkındaki haberler genellikle bu büyük ceza üzerinde duruyor ve AB sınırları içinde iş yapmak isteyen şirketlerin GDPR’ye uyum için yapması gerekenleri tartışıyor. Ama GDPR’nin asıl ruhunu oluşturan bireylere tanınan haklar. Bu yazıda, GDPR’nin üzerinde yükseldiği temel ilkeleri ve bireylerin haklarını aktarmaya çalışacağım. Hukukçu değilim, GDPR’deki maddeleri layıkıyla aktaramayabilirim. Ama en azından yazıyı tamamladığınızda BBC’de GDPR hakkındaki bilginizi test eden sınavdan (https://www.bbc.com/news/technology-44224802) iyi bir not alabileceğinizin garantisini verebilirim :).

GDPR, kişisel verilerin şirketler, devlet kuruluşları ve diğer örgütler tarafından nasıl işlenebileceğini düzenliyor. ‘Kişisel verinin’ ve ‘işleme’nin (processing) GDPR’de nasıl tanımlandığı önemli bir konu. 4. maddeye göre kişisel verinin tanımı şöyle: “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi”. Bu tanıma göre ad, soyad, doğum tarihi, pasaport numarası, banka hesapları, bireye ait görüntü kayıtları, sosyal ağdaki postalar, sağlık kayıtları, ip adresi gibi veriler GDPR kapsamında değerlendiriliyor. İşleme faaliyeti (processing) ise yine aynı maddede verinin çok çeşitli kullanımlarını içerecek biçimde açıklanıyor: “otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri kümeleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisi”.

5. Maddede GDPR’nin aşağıdaki yedi temel ilke üzerine kurulu olduğu belirtiliyor:

  1.  Hukuka uygunluk, adalet ve şeffaflık
  2.  Amacın sınırlandırılması
  3.  Verilerin en az seviyeye indirilmesi
  4.  Doğruluk
  5.  Saklama süresinin sınırlandırılması
  6.  Bütünlük ve gizlilik (güvenlik)
  7.  Hesap verebilirlik

Hukuka Uygunluk, Adalet ve Şeffaflık

GDPR’de yer alan bu ilkeler aslında birbirini destekleyen iç içe geçmiş ilkelerdir. Hukuka uygunluk, GDPR’nin 6. maddesinde ayrıntılı olarak açıklanmakta ve veri işlemenin hukuka uygun olabilmesi için aşağıdaki durumlardan en az birini sağlaması gerekmektedir:

  • Kişinin belirli bir (veya daha fazla) amaç için verilerinin işlenmesine izin vermesi (Rıza),
  • Veri öznesinin taraflarından biri olduğu bir sözleşmenin yerine getirilmesi için gerekli olması (Sözleşme),
  • Yasalara uyum için gerçekleştirilmesi (Yasal Zorunluluk),
  • Veri öznesi ya da bir başka gerçek kişinin hayatını korumak için olması (Yaşamsal Çıkarlar),
  • Kamu çıkarları doğrultusunda bir görevin yerine getirilmesi için gerekli olması (Kamu Görevi),
  • Veri kontrolörünün veya üçüncü tarafların (bireyin kişisel verilerini korumak için daha geçerli bir nedenin olmadığı durumlarda) meşru çıkarlarının olması (Meşru Çıkarlar)

Adaletlilik ise kişisel verinin insanların beklentileri doğrultusunda kullanılmasıdır. Kişisel verilerden yararlanan kuruluş bunu yapmaya hakkı olup olmadığını da dikkate almalıdır. Bu bağlamda, kişisel verilerin nasıl elde edildiği adaletliliğin değerlendirmesinde önemli bir parametredir. Şeffaflık da bununla ilişkilidir. Veriyi işleyenler en başından itibaren kim oldukları, verileri nasıl ve hangi amaçla kullanacakları hakkında dürüst olmalı, hedeflerini açık ve yalın bir dille ifade etmelidir.

Amacın Sınırlandırılması

Veriyi toplayan ve işlem için bireyin rızasını alan kuruluş, veri toplarken açıkladığı amacına sadık kalmalıdır. Veri işleme süreci içinde ilk baştakinden farklı bir amaç ortaya çıkmışsa bireyin bunun için de rızasının alınması gerekmektedir. Örneğin bir doktorun hasta listesini seyahat acentesi işleten eşiyle paylaşması ve eşinin bu verileri hastalara tatil paketi satmak için kullanması GDPR’nin bu ilkesine aykırı bir durumdur.

Verilerin En Az Seviyeye İndirilmesi

Kuruluşların verdikleri hizmetin işleyişi için gerekli olmayan bir veriyi bireylerden paylaşmalarını istememesi gerektiğini ifade etmektedir. İşlenen veri, yeterli, yerinde ve gerekli olanla sınırlı olmalıdır. EFF (Electronic Frontier Foundation) yöneticisi Danny O’Brien bu durumu açıklamak içim doğum günü pastası örneğini veriyor. Diyelim ki doğum günü pastaları yapan bir şirket pastanın üzerine adınızı yazmak için adınızı istedi. Bunun gerekli olduğunu düşünmüyorsanız adınızı vermeyi reddedebilirsiniz. GDPR’ye göre bu ret, şirketten pasta hizmetini almanızı engelleyebilecek bir durum değildir. Pasta şirketi, “adınızı söylemediğiniz için size pasta satamıyorum” diyemez. GDPR, artık kanıksanan, “alınan hizmete karşılık kişisel veriler” zorlamasının önüne geçecek ve şirketleri, iş modellerinde değişiklik yapmaya zorlayacak gibi görünüyor. Örneğin, doğum tarihi, bir web sitesinden alınan hizmetin verilmesi için gerekli değilse kullanıcı bunu girmeye zorlanamayacak ve kullanıcı “bu bilgiyi vermiyorsan hizmetlerimden yararlanamazsın” denilerek reddedilemeyecek (https://www.nytimes.com/2018/05/23/technology/personaltech/what-you-should-look-for-europe-data-law.html).

Doğruluk

Verinin işlenme amacı göz önünde bulundurularak güncel ve doğru tutulması ile ilgilidir. ICO’nun işaret ettiği gibi GDPR’de doğrunun (accurate) ne olduğu tanımlanmamıştır. Ancak 2018 Veri Koruma Kanunu’na göre doğru olmayan (inaccurate), yanlış veya bir konuda yanıltıcı olan anlamına gelmektedir. Verinin kullanılış amacı da doğruluğunu etkileyen bir parametredir. Buna göre herhangi bir kişisel kaydın zaman içinde değişmesi, ilgili kayıt tarihsel bir kayıt olarak değerlendirildiği sürece kaydın doğruluğunu etkilemez. Örneğin kişi Ankara’dan İstanbul’a taşınmışsa kişinin şu an Ankara’da yaşadığını belirten kayıt doğru değildir ama kişinin belirli bir zamanda Ankara’da yaşadığı doğrudur. Bunun yanında GDPR’nin doğruluk ilkesi doğrultusundaki en önemli adımı bireylere haklarındaki yanlışlığı düzeltme hakkı sunmasıdır.

Saklama Süresinin Sınırlandırılması

Veri toplayan kuruluşlar gereğinden fazla veri sakladıkları gibi topladıkları veriyi hiç silmemeye eğilimlidir. GDPR’de ise artık gerek duyulmayan kişisel verinin yalnız işlenme amaçlarının gerektirdiği sürece saklanması gerektiği belirtilmektedir. “Bir gün belki gerek olur” diye veri istiflenmemelidir. Kişiler artık gerek duyulmayan verilerinin silinmesini talep edebilirler. Ancak kişisel veri anonimleştirildiğinde silme işlemine gerek kalmayabilir. Ayrıca veri, kamu yararı için arşivleniyor, bilimsel ve tarihsel araştırmalar veya istatistiksel amaçlar için tutuluyorsa bu ilke gevşetilebilmektedir. Ancak bu amaçlar için saklanan veri, daha sonra başka amaçlar için kullanılmamalıdır.

Bütünlük ve gizlilik

Saklanan verilerin güvenliği ile ilgilidir. GDPR’ye göre veri “uygun teknik ve düzenlemeye ilişkin tedbirler” göz önünde bulundurularak güvenli biçimde işlenmelidir. Bu bağlamda, GDPR önceki kişisel veri koruma kanunlarını takip etmektedir. Fakat GDPR farklı olarak veri işlemenin güvenliği, ne yapılması gerektiği, enformasyon risklerinin nasıl değerlendirileceği ve uygun güvenlik önlemlerinin uygulanması hakkında daha ayrıntılı bir yaklaşım içermektedir. Ayrıca daha önceki düzenlemelerde genel olarak iyi ve en iyi pratikler önerilirken şimdi bunlar yasal gereklilik haline gelmiştir.

Kişisel verilerin, bilgisayar korsanlarının hedefinde olması kaçınılmazdır. GDPR, saldırılara ve sızıntılara karşı kullanıcıların kişisel verilerini depolayanlara çeşitli sorumluluklar yüklemektedir. GDPR’nin 33. ve 34. maddelerinde, bu tip durumlara karşı ve veri ihlali sonrasında neler yapılması gerektiği yazmaktadır. Hiçbir şey olmamış gibi olayın üzerini örtmek yerine ihlalin etkilerini en az düzeye indirmek için veriyi işleyenlerin “ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini” yetkili makamlara bildirmeleri gerekmektedir.

Hesap Verebilirlik

Tanımlar bölümünde yer alan ‘kontrolör’ (controller) ve ‘işleyici’ (processor) tanımları da kuruluşların sorumluluklarını tariflemek açısından önemlidir. Kontrolör, “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ”, işleyici ise “kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak tanımlanmaktadır.

Yukarıdaki altı ilke kontrolörlere verilmiş öğütler değildir; yine 5. maddede kontrolörlerin bu ilkelere uygun davranmaları ve bunu göstermek zorunda oldukları yazmaktadır. 1998 Kanunu’nda bu sorumluluklar üstü kapalı olmasına karşın GDPR’de açık seçik belirtilmektedir. 24. Maddede, “Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.” denilmektedir. Ayrıca Akıncı’nın (2017) yazdığı gibi,

GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır.

GDPR ve Haklar

GDPR, bireylerin var olan haklarını genişletiyor ve onlara yeni haklar sağlıyor: Bilgilendirilme hakkı (right to be informed), erişim hakkı (right of access), düzeltme hakkı (right to rectification), silme hakkı (right to erasure), işleme faaliyetini kısıtlama hakkı (right to restrict processing), veri taşınabilirliği hakkı (right to data portability), itiraz hakkı (right to object), profilleme de dahil olmak üzere otomatik işlemelere ilişkin haklar (Rights related to automated decision making including profiling).

Bu hakların AB sınırları dışında yaşayan bizler için bir anlam ifade etmediği düşünülebilir. Ama bu haklar iki açıdan önemlidir. Birincisi, şirketlerin interneti sınırlara göre bölmesi zor olacağından çoğu şirket tüm kullanıcılar için geçerli tek bir mahremiyet politikası oluşturmayı tercih etti. Microsoft (https://www.microsoft.com/en-us/servicesagreement/faq.aspx), Twitter (https://help.twitter.com/en/rules-and-policies/update-privacy-policy), Facebook (https://newsroom.fb.com/news/2018/04/terms-and-data-policy/), LinkedIn (https://blog.linkedin.com/2018/march/8/updates-to-our-terms-of-service) ve Google (https://www.blog.google/topics/public-policy/our-preparations-europes-new-data-protection-law/) GDPR’yle uyumluluk doğrultusunda kişisel veriler hakkındaki politikalarını güncellediklerini duyurdular. Bu güncellemelerden biz de yararlanıyoruz. Fakat bu hakların ihlali durumunda ülkemizde kişisel veriler GDPR ile değil 24/03/2016 tarihinde TBMM Genel Kurulu’nda kabul edilen “6698 sayılı Kişisel Verilerin Korunması Kanunu” ile korunduğundan GDPR’de belirtilen bazı haklardan yararlanamayacağız. GDPR’nin ikinci önemi de tam bu noktada ortaya çıkıyor. GDPR’de belirtilen haklar kişisel veriler hakkındaki ufkumuzu genişletiyor ve 6698 sayılı Kanunu’nun ilerletilebileceğini ve ilerletilmesi gerektiğini gösteriyor.

Bilgilendirilme Hakkı

GDPR’nin 12-14. maddelerinde yer alan bilgilendirilme hakkı, şeffaflık ilkesiyle ilişkilidir ve kişilere verileriyle ne yapıldığı hakkında bilgi vermeyi zorunlu kılmaktadır. Kontrolörler ve işleyiciler şimdiye kadar yaptıkları gibi karmaşık ve hukukçu olmayanların anlamakta zorlandığı bir üslupla yazılmış, araya tuzak maddeler sıkıştırılmış gizlilik metinleriyle bireylerin karşısına çıkamayacaklar. Artık bu bilgiyi açık, anlaşılabilir ve kolay erişilebilir bir biçimde sunmaları gerekiyor.

Eğer kontrolör, kişisel verileri satmak veya başka bir kuruluşla paylaşmak istiyorsa (istisnai bir durum yoksa) insanları bunun hakkında bilgilendirmelidir. Verileri alan kuruluş da bir ayı aşmadan gizlilik politikasını verileri toplanan bireylere iletmelidir. Eğer veri, toplanırken belirtilenden farklı bir amaç için kullanılacaksa ya da farklı kaynaklarda yer alan verilerle birleştirilecekse bunun mutlaka bildirilmesi gerekmektedir. Kişisel verilere YZ (yapay zeka) uygulanacaksa YZ’nin kullanım amaçları hakkında dürüst olunması, işleme sürecinde amacın değişmesi durumunda kişilerin bu amaç değişikliği hakkında bilgilendirilmeleri gerekmektedir. YZ, bireyler üzerinde hukuki veya benzer etkileri olabilecek otomatik karar verme süreçlerinde kullanılacaksa bunun için hangi enformasyonun kullanıldığı, yapılan işlemle neden ilgili olduğu ve olası etkilerinin nasıl olacağı açıklanmalıdır.

Bireyler bu haklardan yararlanmak için ek bir ödeme yapmazlar. Ama taleplerin asılsız ve ölçüsüz olduğu durumlarda kontrolör makul bir ücret talep edebilir ya da talebi tamamen reddedebilir. Kontrolör, talebin asılsızlığını ve ölçüsüzlüğünü göstermekle yükümlüdür.

Erişim Hakkı

GDPR’nin 15. maddesi veri sahibine kişisel verilerinin bir kopyasına ulaşabilme, verilerinin nasıl ve neden kullanıldığını anlayabilme ve yapılanların yasal olup olmadığını kontrol edebilme hakkı sağlamaktadır. Bu maddeye göre bireyler, kişisel verilerinin işlenip işlenmediğinin teyidini ve kişisel verilerinin bir kopyasını talep edebilirler. Kontrolörler ve işleyiciler ayrıca aşağıdaki konulardaki taleplere yanıt vermelidir:

  •  işleme amaçları
  • ilgili kişisel veri kategorileri
  • kişisel verilerin açıklandığı veya açıklanacağı alıcılar veya alıcı kategorileri
  • kişisel verilerin saklanması açısından öngörülen süre veya bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler
  •  bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.

Bireylere bu kapsamda sağlanan bilginin özlü, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dilde olması gerekmektedir. Örneğin, bireyin talebi üzerine gönderilen raporda A, B, C gibi kodlar kullanılmışsa bunların karşılığı raporda açıklanmalıdır.

Örneğin Twitter’a bu hak doğrultusunda eklenen bir sayfa var (“Ayarlar ve Gizlilik”e tıklandıktan sonra açılan sayfanın sol tarafındaki menüde yer alan “Twitter Verilerin” adlı bağlantıya tıklanarak erişilebilir). “Twitter Verilerin” başlıklı sayfanın başında kullanıcı hesabı hakkında kullanıcı adı, e-posta, hesap oluşturulma tarihi gibi temel bilgiler var. Twitter’a cinsiyetinizi veya doğum tarihinizi yazmadıysanız Twitter paylaşım ve takipleriniz doğrultusunda istatistiksel tahminlerde bulunarak sizi profilliyor. Örneğin, benim hesabımda cinsiyet kısmında erkek yazıyor ve altında da şu not var: “Cinsiyet eklemediysen, profiline ve etkinliğine dayanarak hesabınla en güçlü ilişkiye sahip bilginin bu olduğunu bilmeni isteriz. Bu bilgi herkese gösterilmeyecektir.” Yaş bölümünde, “13-54, >65” yazıyor ve altına da “bu yaş aralıkları, deneyimini kişiselleştirmek için kullanılır. Bunlar profiline ve etkinliklerine dayalıdır” notu düşülmüş. Doğru değilse profilimde düzeltebileceğim belirtiliyor. Cinsiyet ve yaş bilgisinin yanında “Twitter’a göre belirlenen ilgi alanları”m da profillenmiş ve 105 ilgi alanım olduğu belirtilmekte. Yine aynı sayfanın sonunda, “Twitter verilerini indir” başlığının altında şunlar yazmakta: “Senin için en uygun ve en yararlı olduğuna inandığımız bilgileri içeren bir dosya isteyebilirsin. İndirilmeye hazır olduğunda bildirim alırsın”. Bu bilgiler birkaç saat içinde hazırlandıktan sonra tüm Twitter geçmişinizi indirebiliyorsunuz.

GDPR’ye uyum için kullanıcıların kişisel verilerini toplayan web siteleri Twitter’daki gibi açıklayıcı sayfalar yapmak ve kullanıcıların kişisel verileri nasıl kullandıklarını açıklamak zorundalar.

Düzeltme hakkı

GDPR’nin 16. maddesine göre bireyler haklarındaki yanlış bilgilerin düzeltilmesini veya eksik bilgilerin tamamlanmasını talep edebilirler. Bu hak, 5. maddede belirtilen doğruluk ilkesiyle ilişkilidir. Örneğin, doktor hastaya bir teşhis koydu. Daha sonra bu teşhisin yanlış olduğu ortaya çıktı. Yanlış teşhisin veritabanında yer almasında bir sorun yoktur. Ama teşhisin yanlış olduğu ortaya çıktıktan sonra, teşhisin yanlış olduğu bilgisi de girilmelidir. Hastanın bu düzeltmeyi talep etme hakkı vardır. Ayrıca hastane, hastanın verisini paylaştığı diğer kuruluşlara da bu düzeltme talebini iletmelidir.

Silme Hakkı

Bireyler düzeltmenin yanında, kişisel verilerinin tamamen silinmesini de talep edebilir. Bu hak, unutulma hakkı olarak da bilinmektedir. Unutulma hakkı, yeni değildir; en azından 1974’te İngiltere’deki Suçluların Rehabilitasyonu Yasası’na kadar geriye gitmek mümkündür. Bu hakka göre kişi geçmişteki bir suçunun cezasını çektikten sonra sabıkası yaşamının geri kalanını etkileyecek biçimde (örneğin iş başvurularında) tekrar tekrar karşısına çıkmamalıdır. Unutulma hakkı, internetle beraber yeni bir boyut kazanır. 2014 yılında İspanya vatandaşı Mario Costeja Gonzalez’in Google İspanya ve Google Inc. şirketine karşı açtığı dava unutulma hakkında önemli bir kilometre taşı olur. Gonzalez, 1998 yılında bir gazetede yapılan habere ilişkin kısayolun arama motoru sonuçlarından kaldırılmasını talep etmektedir. Mahkeme arama motorlarını veri kontrolörü olarak değerlendirir ve Gonzalez’in talebini kabul eder.

Unutulma hakkının temelinde, kişilerin kendi gelecekleri hakkında özerk olması ve geçmişte yaptıklarının bunu olumsuz etkilememesi vardır. Daha öncesinde de bu hakkı tanıyan mahkeme kararları olmuştur. Fakat GDPR, bireylerin kendilerine ait kişisel verileri kontrol edebilme hakkı doğrultusunda (belirli koşullar altında) söz konusu verilerin veritabanlarından tamamen silinmesini de talep edebileceğini güvence altına alan bir hukuki düzenleme getirmektedir. 17. maddede bu hakkın hangi koşullarda geçersiz olabileceği açıklanmaktadır.

İşleme Faaliyetini Kısıtlama Hakkı

18. ve 19. maddelerde bireylerin verilerinin tamamen silinmesi yerine veri işleme faaliyetinin kısıtlanmasını da talep edebileceği ve bunun hangi koşullarda geçerli olduğu belirtilmektedir. İşleme faaliyetinin kısıtlandığı durumlarda veri saklanır ama kullanılmaz. Kısıtlama çoğunlukla belirli bir süre içindir. Örneğin, “kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi halinde, kontrolörün kişisel verilerin doğruluğunu teyit etmesini sağlayan bir süre boyunca” işleme faaliyeti kısıtlanabilir. Kişinin rızası, diğer şahısların hakları, yasal gerekçeler ve kamu çıkarları dışında veri sadece saklanabilir; başka bir işleme faaliyetinin içine giremez. Kontrolör, verinin işleme faaliyetini kısıtlamak istediğinde bunu,

  • veriyi geçici olarak bir başka işleme sistemine taşıyarak
  • veriyi kullanıcılar için kullanım dışı yaparak
  •  yayınlanmış bir veriyi web sitesinden çıkararak

yapabilir.

Veri Taşınabilirliği Hakkı

Özel mülkiyetli platformlardaki en büyük sorunlardan biri de verilerin bu platformların sınırları dışına çıkamamasıdır. GDPR’nin 20. maddesi bu sorunun aşılabilmesi için önemli bir adım atmaktadır. 20. maddeye göre, “veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı” ve “kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı” bulunur.

Web sitesi kullanım tarihçesi veya arama etkinlikleri, trafik ve konum verisi, akıllı sayaçlar ve giyilebilir teknolojiler gibi bağlı cihazlardan elde edilen ham veriler bir platformdan diğerine taşınabilir. Ancak bu verilerden türetilen veya çıkarılan veriler taşınabilirlik kapsamında değildir.

Veri taşınabilirliği hakkı, platform değiştirmenin zorluğundan yararlanarak rekabeti engelleyen Facebook, Uber, Airbnb gibi şirketlerin iş modelini sarsabilir.

İtiraz Hakkı

21. maddeye göre bireyler, kişisel verilerinin işlenmesine itiraz edebilirler. İtiraz hakkı her koşulda aynı derecede geçerliliğe sahip değildir. Örneğin veri sahibinin, doğrudan pazarlama amacıyla yapılan işleme faaliyetine itiraz hakkı mutlaktır. Bireyler, veri toplamanın amacının kamu çıkarları veya daha başka meşru çıkarlar olması durumunda da itiraz hakkına sahiptir. Ama bu durumda itirazın gücü daha zayıftır. Ayrıca verinin işlenme amacı bilimsel veya tarihsel araştırmalar, istatistiksel amaçlar ise itiraz hakkı daha sınırlı olacaktır.

Profilleme de Dahil Olmak Üzere Otomatik İşlemelere İlişkin Haklar
Veriyi düzeltme, silme veya işlenmesine itiraz gibi haklar son derece önemli olmakla beraber gündelik yaşamın algoritmik düzenlenmesi ayrıca üzerinde durulması gereken bir konudur. Yasal düzenlemeler doğal olarak teknik gelişmelerden sonra gelirler. Buna rağmen GDPR’nin güncel olduğunu, henüz yeni yeni filizlenen ve müdahale edilmediğinde çeşitli toplumsal sorunlara neden olan algoritmik düzenlemelere karşı kritik bir adım olduğunu düşünüyorum. Bireyleri profilleyen (kişisel verileri, bireyler hakkında bazı değerlendirmeler yapmak için değerlendiren) ve otomatik kararlar alan (insan müdahalesi olmaksızın çeşitli algoritmalara göre alınan kararlar) sistemler karşısında bireylerin hakları önemli bir sorunsaldır. Kredi taleplerinde, iş başvurularında, sigortacılıkta profillemeden ve otomatik kararlar alan algoritmik sistemlerden yararlanılmaktadır. Bu yaklaşımın çeşitli avantajları olmasına karşın Cathy O’Neil’in Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy kitabında ayrıntılı olarak ele aldığı ve benim de 4. Endüstri Devrimi ve toplum mühendisliği yöntemleri: Nasıl yönlendiriliyoruz? (Bilim ve Gelecek, sayı 166) başlıklı yazımda bazı örneklerini aktardığım gibi bu sistemler sorumsuzca kullanıldığında yıkıcı sonuçlar doğuruyorlar.

Bu nedenle bireylerin algoritmik düzenlemelere karşı haklarını ifade eden 22. maddenin özel bir önemi var. Fakat Dickson’un (2018) işaret ettiği gibi verinin günümüzdeki bir çok yapay zeka uygulamasının temeli olduğu düşünülürse yalnız 22. maddenin değil genel olarak GDPR’nin YZ üzerinde yükselmeye başlayan iş modellerini olumsuz etkilemesi kaçınılmazdır. YZ şirketleri şimdiye kadar kişisel veriler hakkındaki zayıf düzenlemelerden sonuna kadar yararlandılar. Kullanıcılar aldıkları ücretsiz hizmetlerin karşılığını kişisel verileriyle ödediler. Şirketler bu verileri YZ algoritmalarını eğitmek, kullanıcılarının dijital profillerini oluşturmak, davranışlarını tahmin etmek ve daha iyi hizmet sağlamak için kullandılar. Böylece milyar dolarlar kazandılar.

Dickson (2018) yeni koşulların YZ şirketlerine üstesinden gelinemeyecek bir sorun yaratmadığını öne sürmektedir. YZ şirketleri bir yandan insanların mahremiyet hakkına saygı gösterirken diğer yandan YZ teknolojilerini geliştirmenin yeni yollarını bulmak zorundalar. GDPR oyunun kurallarını değiştiriyor. Şirketler çalışmalarında şeffaf olmalılar ve kendi verisine ulaşmak ya da onu tamamen silmek isteyenlerin taleplerine kulak vermeliler. Dickson (2018), bu yeni durumun şirketler için iki temel zorluk içerdiğini düşünüyor. Birincisi şirketler, kişiler platformlarından ayrılsalar bile ayrılan kişilerin verilerini diğer kullanıcıların davranış örüntülerini tahmin etmek için kullandıklarından silmek istemezler. Ama şimdi bu verileri ya silmek ya da anonimleştirmek zorunda kalacaklar. Ayrıca silinmek istenen veri şirketin YZ algoritmalarını eğitmek için üçüncü taraflarla da paylaşılmaktaydı. Şimdi bu verilerin de izini sürmek gerekecek.

Dickson’un (2018) işaret ettiği ikinci zorluk ise kullanıcılar bu algoritmaların işlevselliğine maruz kaldıklarında bunun hakkında bilgilendirilmelerinin gerekmesi. Ayrıca algoritmik kararların arkasındaki mantığın da açıklanması lazım. Bilgilendirme işlemi kolay olmasına karşın algoritmaların mantığının açıklanmasına karşı şirketler bunun ticari sırları olduğunu öne sürebilirler ya da isteseler de algoritmaların nasıl çalıştığını açıklayamayabilirler. Çünkü bazen kara kutu (blackbox) olarak adlandırılan derin öğrenme ve derin sinir ağlarının davranışlarını açıklayabilmek onları inşa edenler için bile karmaşık ve kimi zaman da olanaksızdır. YZ, sağlık, hukuk, krediler ve eğitim gibi alanlara uygulandığında kara kutu sorunu daha ciddi olumsuzluklara neden olmaktadır. Artık bireyler, insanların yaşamı üzerinde büyük etkileri olan algoritmik kararların nasıl alındığına dair açık seçik bir açıklama talep etme hakkına sahip olacaklarından yıkıcı YZ uygulamaları kontrolsüz bir biçimde yaygınlaşamayacak.

YZ şirketlerinin insanların açık rızası olmadan topladığı ve işlediği veriler üzerine kurulu iş modelleri GDPR’yle başlayan yeni dönemde devam edemeyecek. Bundan sonra GDPR’nin (çağımızın sihirli kelimesi) inovasyonların ortaya çıkmasını engellediği hakkında haberler okumaya hazırlıklı olalım. Ama Dickson’un (2018) vurguladığı gibi YZ şirketlerinin halihazırdaki çalışma tarzları alternatifsiz değildir. İnsanlara verilerinin nasıl kullanıldığı hakkında açıklamada bulunabilen şeffaf çözümler mümkündür. Şeffaflığı ve katılım kolaylığını savunan ademi merkeziyetçi YZ (https://bdtechtalks.com/2018/01/10/decentralized-ai-blockchain/) ve insanların anlayabileceği yapay zeka algoritmaları geliştirmeyi hedefleyen açıklanabilir YZ (https://en.0wikipedia.org/wiki/Explainable_Artificial_Intelligence) gibi farklı seçenekler oluşmaktadır.

GDPR’den eMahremiyet’e

Türkiye’de kullanıcıların kişisel verilerini koruyan “6698 sayılı Kişisel Verilerin Korunması Kanunu”nun hazırlanışı sırasında o zaman yürürlükte olmayan GDPR’den değil, 95/46 sayılı Direktif’ten yararlanıldı. GDPR’nin “sorumluluklar, yaptırımlar, kişi hakları ve veri koruma tedbirleri açısından daha sıkı ve kapsamlı düzenlemeler getirdiğini” belirten ve “başta veri işleyen tarafların artırılmış sorumluluk rejimi, unutulma hakkının kanunla tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması yoluyla caydırıcılığın güçlendirilmesi olmak üzere veri taşınabilirliği ve etki değerlendirmesi ile tasarımdan itibaren güvenlik gibi yenilikçi yaklaşımların 6698 sayılı Kanun’a ve uygulamaya yansıtılmasının faydalı olacağı”nı savunan Akıncı’ya (2017) katılıyorum. GDPR yeni haklar için de bir ilham kaynağı olacaktır.

GDPR benzeri yasalar Avrupa’yla sınırlı kalmayacak gibi görünüyor. Brezilya, Japonya, İsrail ve Güney Kore, AB’yi takip ediyorlar ve daha şimdiden benzer kanunlar hazırladılar. Avrupalı yetkililer de Silikon Vadisi’nin ancak birleşik küresel bir yaklaşımla engellenebileceğini düşündüklerinden dolayı GDPR’nin diğer devletler tarafından kopyalanmasını teşvik eden bir çalışma yürütüyorlar. AB, teknoloji devlerine daha sıkı antitröst yasaları ve vergi politikalarıyla karşı koymaya hazırlanıyor (https://www.nytimes.com/2018/05/24/technology/europe-gdpr-privacy.html).

GDPR kişisel verilerin izinsiz ve şeffaf olmayan biçimlerde kullanımından kaynaklı sorunları hemencecik çözemeyecek; kişisel verileri GDPR’ye aykırı biçimlerde kullanmak isteyenler yine olacaktır. Ama cezaların caydırıcılığı birçok kötü niyetli girişimi durduracak ve daha önce olduğu gibi yasal boşluktan yararlananlar eskisi gibi rahat hareket edemeyecekler. Üstelik Avrupa, GDPR’den sonra eMahremiyet Tüzüğü ile yeni bir hamle yapma hazırlığında. eMahremiyet iletişimin gizliliğini koruyor ve GDPR’ye göre daha sıkı kurallar getiriyor. eMahremiyet, Avrupa Parlamentosu’nda kabul edildi ve AB Konseyi’nde görüşmeler devam ediyor.

GDPR ve eMahremiyet birbirini tamamlayan yasalar olmasına karşın kapsamları farklı. GDPR şirketlerin ve kuruluşların işlediği kişisel veriler hakkındayken eMahremiyet Direktifi’nin devamı olan eMahremiyet Tüzüğü’nün hedefi elektronik iletişimin gizliliğini korumak. eMahremiyet Tüzüğü, WhatsApp, Facebook Messenger, Skype, iMessage ve video oyunlarında oyuncular arası mesajlaşmalar gibi kişiler arası iletişimin yanında nesnelerin interneti (IoT) cihazlarını da kapsıyor. İletişime ait üstveriyi (metadata) koruma altına alıyor. eMahremiyet’e göre şirketler kullanıcıların cihazlarına takip kodu yerleştirmeden veya iletişim verilerini toplamadan önce açık izinlerini almak zorunda kalacak. Birkaç yıl önce GDPR’yi engellemeye çalışan şirketler şimdi de eMahremiyet’e karşı yoğun kulis faaliyeti yürütüyorlar ve eMahremiyet’in Avrupa’nın dijital ekonomisinin gelişimini baltalayacağını öne sürerek yasaya karşı bir kamuoyu oluşturmaya çalışıyorlar. Bu şirketlere göre internet kararacak, bağımsız medya ve dijital büyüme yenilgiye uğrayacak (https://www.nytimes.com/2018/05/27/technology/europe-eprivacy-regulation-battle.html).

eMahremiyet yasa taslağını sunan AP üyesi Birgit Sippel, Cambridge Analytica skandalını hatırlatarak bir tıkla, yüz binlerce veya milyonlarca insanın yönlendirilebildiğini (manipulate), bu nedenle mahremiyetin korunmasının özellikle dijital ortamda daha önemli hâle geldiğini savunuyor. Ayrıca Sippel’in oylama öncesinde Avrupa Parlamentosu’nda yaptığı konuşmada ifade ettiği gibi lobicilerin yaydığı yalanların aksine yasanın temel amacı, iletişim verilerinin kontrolünü kullanıcılara geri vermek ve dijital ortamda iletişimin gizliliğini sağlamak. eMahremiyet, her türlü reklamı değil gözetim odaklı reklamı kısıtlıyor ve kullanıcı izlenmeyi kabul ettiğinde bu kısıtlama da ortadan kalkıyor. Şirketlerin telaşının asıl nedeni kullanıcının haberi olmadan yapılan gözetimin artık yasadışı olması.

GDPR ve eMahremiyet, Avrupa’nın insanlığın karşı karşıya olduğu tehlikenin farkında olduğunu gösteriyor. Bu farkındalıkta ekonomik çıkarlarının da etkisi var. Lobi faaliyetlerinin arkasındaki güçler hemen pes etmeyecektir. 26 Ekim 2017’de Avrupa Parlamentosu’nda yapılan oylamada 318 kişi eMahremiyetin lehinde, 280 kişi de aleyhinde oy kullandı; fark azdı. Şirketler politikacıları, mahremiyetin çağımızda gereksiz olduğuna ve eMahremiyet’in daha iyi hizmet verebilmelerini engellediğine ikna etmeye çalışacaktır.

Her şeye rağmen mahremiyetin büyük veri, YZ, nesnelerin interneti gibi güncel teknolojiler ışığında tartışılması ve güçlü yasaların hazırlanması umut verici bir gelişme. GDPR’nin ve AB Konseyi’nden geçerse eMahremiyet’in ne kadar etkili olacağını insanların bu haklarına ne kadar sahip çıktıkları belirleyecek.

Kaynaklar

Akıncı, A. N. (2017), Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler Ve Türk Hukuku Bakımından Değerlendirilmesi, T.C. Kalkınma Bakanlığı, Yayın No: 2968

Dickson, B. (2018), GDPR is an opportunity for AI companies to build trust, https://thenextweb.com/syndication/2018/06/08/gdpr-is-an-opportunity-for-ai-companies-to-build-trust/, son erişim 14 Haziran 2018

 

17 Ekim 2018

Posted In: Algoritmalar, eMahremiyet, GDPR, Gözetim, Kişisel Veriler, Mahremiyet, Özgür yazılım

WP Twitter Auto Publish Powered By : XYZScripts.com