Özlem Baysal Sezgin: Teknolojik dönüşümü hedeflerken veri koruması için önlem alıyor musunuz?

Teknolojideki hızlı ve güçlü değişim geçtiğimiz senelerde sigorta sektöründe de etkisini göstermiş ve dönüştürmeye başlamıştı. Türkiye Sigorta Birliği’nin (TSB) küresel gelişmeler ışığında sektörün stratejilerini belirlemek üzere Şubat 2019’da düzenlediği Çalıştay’da masaya yatırılan konulardan biri sektörü etkileyen yapay zeka, blockchain gibi yeni teknolojik gelişmelerdi.

Gelinen noktada sigorta sektöründeki şirketler, hem kendileri için iş süreçlerine ve verimliliklerine yardımcı olacak hem de müşteriler için memnuniyeti sağlayacak yeni teknolojilere doğru yol alıyorlar, almaya da devam edecekler.

Kullanımının katlanarak artacağı öngörülen bu teknolojilere adapte olan şirketlerin kendilerine ve müşterilerine sağlayacağı fayda ve memnuniyetin yanında veri koruma perspektifinden bakıldığında beraberinde getirdiği birtakım endişe ve riskler de bulunmakta. Sonuçta bir tarafta veri odaklı bir sektör diğer tarafta da veriyi ne kadar çok tüketirse o kadar iyi sonuç verecek teknolojilerden bahsediyoruz.

Blockchain ve veri koruması konusundaki kaygıları sonraki yazıya bırakacak olursak, şirketlerin yapay zeka ve uygulamalarını tasarlarken ve geliştirirken kişilerin kişisel verilerinin korunmasına ilişkin haklarına hassasiyet göstererek ve zarar vermediğinden emin olarak ilerlemeleri ve önlemleri baştan almaları -sonrasında birtakım risk ve çıkmazlarla karşılaşmamaları için- büyük önem taşımakta.

Yapay zeka veri koruma ilkelerine uyumlu tasarlanmalı

 Peki şirketler bunun için ne yapmalı? Bu konuda 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR) yer alan düzenlemeler büyük ölçüde yol gösterici. Şöyle ki;

 

  • GDPR’ın 25. maddesinde düzenlemesini bulan “Data protection by design and by default” (Genellikle; tasarımdan ve başlangıçtan itibaren veri koruması olarak kullanıldığını görüyoruz) yaklaşımının uygulanması ve gerekliliklerin yerine getirilmesinin, yapay zeka ve uygulamaları kapsamında işlenen kişisel verilerin korunmasına ilişkin riskleri önlemeye/olumsuz etkilerini azaltmaya yardımcı olacağını söyleyebiliriz.

Tasarımdan ve başlangıçtan itibaren veri koruması temelde tasarım aşamasında ve sonrasında yaşam döngüsü boyunca işleme faaliyetlerinizin ve uygulamalarınızın her alanına gizlilik ve veri korumasını entegre etmeniz, göz önünde bulundurmanız ve yalnızca belirli amacınıza ulaşmak için gerekli olan verileri işlediğinizden emin olmanız anlamına gelir. Bu kapsamda ana hatlarıyla yapay zeka uygulamalarının veri koruma ilkelerine uyumlu olmasını sağlayacak şekilde tasarlanması, kişisel verilerin işlenmesi bağlamında gerçek kişilerin hak ve özgürlüklerinin korunması amacıyla gerekli teknik ve organizasyonel önlemlerin alınması gerekir.

 

  • GDPR’ın 35 ve 36. maddelerinde düzenlemesini bulan “Veri Koruma Etki Değerlendirmesi”nin (DPIA) yapılması ve değerlendirme sonucunda, mevcut teknoloji ve uygulama maliyetleri açısından uygun tedbirlerle hafifletilemeyecek yüksek bir risk içerdiğinin ortaya çıkması durumunda, veri işleme faaliyetinden önce otoriteye danışılmasının yapay zeka uygulamaları kapsamındaki veri koruma endişelerinin giderilmesine yardımcı olabilecek bir diğer önlem olduğunu söyleyebiliriz.

DPIA’lar, işleme faaliyetinin veri koruma risklerini tanımlama ve azaltmak için kullanılabilecek bir araç ve tasarımdan ve başlangıçtan itibaren veri korumasının ayrılmaz bir parçasıdır. Örneğin işlemenizin veri koruma ilkelerine uygun olmasını sağlamak için ihtiyacınız olan teknik ve organizasyonel önlemleri belirleyebilirsiniz. [1]

 

Yukarıda kısaca açıkladığım GDPR düzenlemelerinin Kişisel Verilerin Korunması Kanunu’muz kapsamında uygulaması bulunmuyor. Bununla birlikte bu düzenlemelerin detaylı ve dikkatlice değerlendirilmesi ve uygulanmasının, yapay zeka ve uygulamalarını geliştiren/tasarlayan şirketler için teknolojik dönüşüm ile birlikte sağlayacakları kısa vadedeki kazancı -olası riskleri baştan bertaraf yada minimize etmeleri sebebiyle- uzun vadeli bir yatırıma ve güce dönüştüreceği fikrindeyim. Son olarak Avrupa Konseyi’nin Kişisel Verilerin Otomatik Olarak İşlenmesine İlişkin Bireylerin Korunması Sözleşmesi Danışma Komitesi tarafından hazırlanan 25 Ocak 2019 tarihli “Yapay Zeka Ve Veri Koruması Rehber İlkeleri”ni (Guidelines On Artificial Intelligence And Data Protection) yayınladığını da hatırlatarak daha önce yapay zeka ve veri koruması ile ilgili yazdığım yazıyı okumanızı öneririm.

 

[1]https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/

[2] http://www.cio.com.tr/blog/yapay-zeka-ve-veri-korumasi/