Google Health Data projesi uzun süre oldukça konuşulacak projelerden biri ve tam olarak neyi ifade ediyor bilmek istiyorsanız şu an mevzuat ile korumaya çalıştığımız hemen hemen tüm kişisel verilerimizi kendi elimizle arama motoruna girdikten sonra dijital bir hastane modeline bürünecek bir Google’dan bahsediyoruz. Bugüne kadar Google ile ilgili bildiğimiz her şeyi unutturarak işlevini sadece bir arama motoru olmaktan çıkararak bizi el bebek gül bebek sağlıklı bir birey yapma yoluna baş koymuş bir distopya ile karşı karşıyayız. Biraz daha Türkçeleştirirsem, Google arama motoruna en çok kürtaj yazdı iseniz acaba kürtaj mı olmak istiyorsunuz bununla ilgili algoritma iyi çalışacak. Ya da HIV virüsü ile ilgili bir arama yaptınız artık HIV virüsü taşıyan biri gibi muamele görebilirsiniz.[2]

Amerikan sağlık sisteminden yola çıkarak, tüm tedarikçilerin bir hastanın tıp geçmişine bir sistemden değil ancak arama motorunun özenli çalışması ile ulaşmak nerede ise mümkün kılınacak.

Gündemi bugünlerde sıkça meşgul eden en önemli konulardan olan Kişisel Verilerimiz koruma yönü ile başta 108+ sözleşmesi, GDPR ve sonra Türkiye’de KVKK ile pamuklara sarılırken bir yandan da uygulamanın zurnanın zırt dediği yerden delinmesi, bilimsellikten oldukça uzak gibi görünüyor.

Bir arama motorunun giyilebilir teknoloji satın alması ile nabız sayınızdan tutun kan şekerinizi tahmin edebilir oluşu Elmyra’nın bizi çok sevmesi gibi bir duyguya denk geliyor. Google hem yeni inovasyonel teknoloji şirketleri ile hem de sigortacılarla işbirliği yapar ise daha ileri aşamada yeni bir sigorta müfettişi olmaya aday bile olabilir. Biliyorsunuz sigorta müfettişi olmak oldukça zor ve bir kişinin yalan söyleyip söylemediğini ya da eksik bilgi ile sözleşme akdettiğini öğrenmek için iyi bir hafiye olmak gerekiyor.

Bu demektir ki Google arama motorunu merak ettiğiniz bir hususta araştırma yapmak için kullanma alışkanlığınızı bir kez daha gözden geçirmeniz gerekiyor.

Google arama motorundan edindiği sağlık verileri ile ilgili aramalarımızı, ya da bir hastane için ödeme yapmamız gerektiğinde hesap bilgisini arama motorundan öğrendiğimiz durum vs. gibi anlarda yapay zeka sayesinde hastalığımızın seyir bilgisine bile ulaşabilecek. Burada esaslı mesele neden ulaşacak? Amaç ne olacak? Kamu kurumları ile birlikte ortak bir çalışma yürütmek mi ya da ne?

Biliyoruz ki GDPR[3] (Genel Data Regülasyonu) bir çok yeniliğe imza attı ve en güçlü şekilde de regülasyonda yer alan düzenlemeler uygulamaya konuldu. “Tasarımla veri koruma” , “Varsayılan Ayarlarla Veri Koruma” veri korumasının vazgeçilmez ilkeleri olarak belirlendi. Ürün ve hizmetler bu ilkeler ile kullanıcı dostu düzeyde sergilenecek ve daha tasarlama aşamasında veri koruma ilkeleri ile donatılacak. Unutulma hakkı ile ilgili getirilen düzenleme oldukça önemli bir yer aldı. Kişinin verilerinin işlenmesini istememe, tutma zamanı geçen verilerin silinmesini isteme, uzun zaman tutulan verilerin hiçbir işlevinin kalmaması nedeni ile silinmesini isteme hali unutulma hakkını ifade ediyor. Bu anlamda Google İspanya Kararı aklımıza geliyor. Avrupa Birliği Adalet Divanı’nın kararında bir kavramı arama motoruna girdiğinizde ya da genel arama motoru olan Google’ın diğer arama motorlarından haberi alıp kaydettiğinde başımıza nelerin gelebileceği ile ilgili önemli bir karar olan Gonzales kararı[4], Google Health Data uygulamasında da bizi böyle bir süreçle tanıştıracağa benziyor. Hayatın bize yaşamda beyaz bir sayfa açma hakkını da vermesi gerekiyor. Gonzales, sigorta borçları dolayısı ile satılığa çıkan ev ilanının halen Google arama motoru kayıtlarında görünmesinden oldukça rahatsız olup, unutulma hakkı kapsamında bu ilanın silinmesini istiyor. ABAD, verdiği kararda Google’ın arama motoru olarak aynı zamanda veri koruma sorumlusu olduğuna ve bireyin özel yaşamının her şeyden üstün olduğuna hükmetmiştir. Unutulma hakkı ile ilgili önemli kararlardan biridir.

Google Health Data teknolojisi bu anlamda aynı karara takılmadan nasıl işlerlik gösterecektir. Bu kez daha önemli bir sorumluluğu vardır çünkü aynı zamanda uluslar arası veri sorumlusudur ve kişinin kişisel verilerini en üst seviyede korumakla meşgul olmak durumundadır. Başka önemli bir ayrıntı çocukların kişisel verileri ve rıza durumu ile ilgili nasıl bir B planı vardır? Yani internete çocuklar da girmektedir ve arama motoruna girmiş olduğu bir kelime o an rızasını gösterse dahi bu verinin işlenmesi ve saklanması ile ilgili protokoller nasıl hazırlanmalıdır. Google arama motorunda aradığımız bir kelime ne kadar süre ile saklanmalıdır? Bu konuya benim vereceğim yanıt saklanmamalıdır şeklinde olacaktır. Nihayetinde Google sözleşme ilişkisi kapsamında ya da kanuni zorunluluklar nedeni ile veri toplamamaktadır. Bir ihtimal google arama motoruna suç unsuru ihtiva eden bir kelime girildiğinde burada bir uyarı sistemi kurulabilir ancak bu da yine bu alanda bir suç işlemeyi önleme ya da suçu bildirme yükümlülüğü kapsamında ortaya çıkmaktadır.

Genel Data Regülasyonu, “ilgilinin otomatik kararların konusu olmama hakkından” bahsediyor. Bu ne demek? Kişinin yaşamını tümü ile etkileyecek, iş performansını, toplumsal yaşama katılımını, güvenirliliğini gibi temel duygularla kişinin dışlanmasına neden olacak kararlar kişi adına otomatik olarak verilemez ve kişinin bu kararların ortadan kaldırılmasını isteme hakkı vardır. Kaldı ki bu tarz veri işlenmesi halinde güvenlik önlemlerinin en yüksek seviyede de sağlanması gerekecektir.[5]

Bu mealde şöyle bir öykü okudum: “Üniversiteden sonraki yaz, dul büyükbabama bakmak için eve taşındım. İşimin bir parçası da ilaçlarını yönetmekti. Ancak telefonla birisini bulmak yorucu oldu ve mahremiyet yasası, ilaç çağrısı hattı çalışanlarının bazı yan etkiler hakkındaki sorularıma cevap vermesini engelledi. Bu yüzden Google'a sorardım. Dizüstü bilgisayarımda oturup, endişelerimin yanı sıra arama çubuğuna metokarbamol veya meloksikam gibi anlaşılmaz kelimeler yazardım. Baş dönmesinin etkileri ya da yemek yemeden ilaçları aldığında ne olur? Diğer ilaçlarla karıştırabilir miyim? Peki ya kafein veya alkol alınabilir mi? Google arama motorunu tıbbi danışma hattı gibi kullandım.”

Böyle örnekler Amerika’da oldukça zor ve Google kısmi olarak bu tür ihtiyaçlar için de kullanılıyor. Google bu özelliğini daha da güçlendirmek için 2.1 milyar dolara giyilebilir teknoloji şirketi Fitbit’i satın aldı. Fitbit giyilebilir teknoloji içerisinde aktivite takipleri, kadın sağlığı takipleri, yakılan kalori miktarı gibi hizmetler yer almakta ve uygulamalar Googleplay, Appstore gibi mobil uygulamalardan indirilip kullanılmaktadır. Burada kaydedilen verilerin hepsi Google şirketine aktarılmıştır. Bu anlamda Fitbit’in bir kişisel veri politikası var mıdır ya da kişisel veriler konusunda imha politikası nedir ulaşılamamıştır. Şu an gündemde yer alan konu milyarlarca insanın verisi nasıl yönetilecek ve bu verileri aktarmak yasal mıdır? Veriler ticarileştirilebilir mi?

108 + sayılı Avrupa sözleşmesi ve GDPR’ye baktığımızda özellikle sağlık verilerinin işlenmesi bu konuda açıkça rıza alınması koşuluna bağlıdır. Üstelik bu verilerin saklanması ile ilgili de ciddi sorunlar mevcuttur. Sağlık verileri hassas veri tanımının içerisinde yer aldığından açık rıza beyan koşuluna bağlanmıştır. Peki istisna yok mudur? İstisnalar şöyle sıralanmıştır:

1- İlgilinin açık rızası

2- Veri işleme, veri sorumlusunun iş hukukundan kaynaklanan özel hak ve yükümlülüklerini yerine getirmesi için zorunlu ise,

3- Veri öznesinin ya da diğer bir kişinin yaşamsal çıkarlarının korunması için gerekli ise,

4- İşlemin ilgili kişi tarafından kamuya açıklanan verilere ilişkin ya da hakların kurulması, kullanılması ve korunması için gerekli olması,

5- Kar amacı gütmeyen bir kurum tarafından yasal etkinliklerini yerine getirmek için işlemenin gerekli olması,

6- Veri işlemenin önleyici hekimlik, tıbbi teşhis, tıbbi yardım veya bakım veya sağlık hizmetlerinin idari olarak yürütülmesi için gerekli olması ve ya sağlık personeli veya sağlık personeli gibi sır saklama yükümlülüğüne tabi kişiler tarafından işlenmesi.

Google’ın Fitbit şirketini satın alması ile sağlık datalarını işlemesi ve ise dijital bir hastane, sağlık danışmanı gibi hizmet vermeye başlaması yukarıda yer alan istisnalardan bugün yer alan koşullardan hiç birine girmediği için verileri işlemek için mutlaka açık rıza almak zorundadır. Genel kurallar hazırlaması ya da sözleşme onayı bunun için yeterli değildir. Arama motorunda yer alan geçmişin temizlendikten sonra işlenen datalardan da kişinin kendisi tarafından silinmesine ve bu aramaların oluşturduğu görsellerin de temizlenmesine izin veren bir sistem de mutlaka kurulmalıdır.

Wall Street Journal haberine göre, Google’ın bir makine öğrenmesi projesi kapsamında 2600’den fazla hastaneden hasta adları, laboratuar sonuçları, teşhis, hasta yatış formları gibi bilgileri gizlice topladığı ifade edildi. İlerleyişin böyle olacağı düşünüldüğünde teknoloji karşısında boynumuzun nasıl kıldan ince olduğu ortaya çıkıyor.

Hastaneye gitmeden size atanacak doktorun öğrenilmesi, ilaçların nasıl kullanılacağının öğrenilmesi, ameliyat olmanıza gerek olup olmadığı gibi bilgilerin öğrenilmesi kulağa hoş bile gelse bizi bekleyen tehlikeler tanımlanmadan peşin karar da vermemek gerekiyor. Google Health Data projesi yeni gibi görünse de 1996 yılından bu yana aslında temelleri yavaş yavaş atılan bir projeden bahsediyoruz.[6]

Tam yeri gelmişken veri madenciliği konusunu da gündeme getirmekte yarar görüyorum. Veri madenciliği, işlenen verilerden veriyi kazımak, kişiye özel hale getirmek, veriyi ortaya çıkarmak, belirginleştirmek, kişi ile ilişkilendirmek gibi çalışmaların bütünü olduğu gibi veri seçimi, ön işleme, indirgeme gibi de aşamaları vardır. Veriyi kaydedip sakladığınız datadan diğer işlediğiniz verilerle ortaya çıkan büyük veri karşınıza birleştirildiğinde en doğru veri tabakasını getirir ve kişi ile ilişkilendirilir. [7]

Doktorların hastası ile en doğru iletişimi kurması ve doğru tedaviyi uygulaması için diğer doktorla konsultasyon yapmak yerine Google ile konsultasyon yaptığını düşünmek bu durumda çok uzak olmasa gerekir. [8] Google kişisel verilerin gizliliğini ihlal etmeyeceğini ve anlaştığı danışman şirketlerle beraber veri koruma otoritelerinin kararlarına uyacağına dair taahhütler de vermiş olsa şu konu endişe yaratıyor. Özellikle hastanelerin bilimsel araştırmalar için ya da danışmanlardan görüş alabilmek için hastalardan kişisel sağlık verilerinin aktarılması ile ilgili aldıkları onaylardan hareket ederek Google ile bu hasta verilerini paylaşması doğru mudur? Google danışman olarak kabul edilebilir mi? Kanaatimce alınan açık rızalar geçerli olarak kabul edilmez ve burada mutlaka mahkemelerin inceleme yetkisine konu olacaktır.

Korkunç gelişmeler bir yandan biz kişisel veri koruma avukatlarını zora sokacak olsa da şimdiden buna karşı önlem almak gerekiyor. Her zaman söylediğim gibi teknoloji karşısında derhal olaya müdahale edecek bir yargı hızımız olmadığı gibi bu konuda donanımlı mahkememiz de henüz yok. Bir yandan tazminat hukuku da bu alanlarda gelişmiş değil ve kişilik hakları, kişinin manevi değerlerinin korunmasına ilişkin hükmedilen tazminat değerlerimiz oldukça düşük. Bir yandan Yapay zeka alanında çalışmalarımız yeterli sayıda olmadığı gibi bu alanda çalışan hukukçu sayısı da oldukça az. Teknoloji devlerinin durdurak bilmeyen hızlarına yetişmek mümkün olmasa da gelecekte bizi bekleyen sorunlar oldukça büyük ve insan hakları alanında da daralma yaratacak cinsten görünüyor.

---------------------------------

[1] The Nightingale Project

[2] https://www.nature.com/articles/d41586-019-03574-5, Heidi Ledford haberi, Nature

[3] https://dergipark.org.tr/tr/download/article-file/271091, Nilgün Başalp, Avrupa Birliği Veri Koruması Regülasyonu’nun Temel Yenilikleri, Dergipark.

[4] Küzeci, Elif, Kişisel Verilerin Korunması, Turhan Kitabevi, 2019, s.225

[5] Yılmaz, Sabire Sanem, Tıp Alanında Kişisel Verilerin Açıklanması Suçu, 2019, s. 65

[6] https://www.theguardian.com/technology/2019/nov/12/google-medical-data-project-nightingale-secret-transfer-us-health-information, Ed Pilkington in Newyork haberi.

[7] http://mgocenoglu.blogspot.com/2014/06/veri-madenciligi-asamalar.html

[8] https://www.theatlantic.com/technology/archive/2019/11/google-project-nightingale-all-your-health-data/601999/ SIDNEY FUSSELL is a staff writer at The Atlantic, where he covers technology.