Geçtiğimiz ay Cumhurbaşkanlığı tarafından “Bilgi ve İletişim Güvenliği” başlığı ile bir genelge yayınladı. Bu genelgenin son derece yerinde ve gecikmiş olduğunu yazmıştık [1]. Benzer bir hareket Avrupa Birliği’nden geldi.
Alman eyaleti Hesse, Office 365’in mevcut halinin, Avrupa Birliği’nin Alman Okullarında kullanılması için uyması gereken “Genel Veri Koruma Yönetmeliği (GDPR)” [2] yönergeleriyle uyumlu olmadığını tespit etti.
Veri Koruma ve Bilgi Özgürlüğü Komisyonu Hessen üyesi 9 Temmuz’da , Office 365’in Alman okullarında kullanımı konusunda bir açıklama yayınladı[3]. Bu açıklamada, Alman devlet okullarında Office 365 kullanan çocukların kişisel verilerinin bir Avrupa bulutunda saklanacağı ve bu nedenle de Amerikalı yetkililer tarafından erişilebilir olacağı uyarısı yapıldı.
Diğer bir sorun ise, Windows 10 gibi, Office 365’in Microsoft’a “çok sayıda telemetri verisi” iletmesi ve Komisyon’un uyardığı üzere Microsoft’un, “tekrarlanan sorulara rağmen” bu verinin içeriğini açıklığa kavuşturmadığı şeklinde geldi.
Bu telemetri verilerinin, yazılım tanılama verilerine ek olarak “Office uygulamalarından kullanıcı içeriği” gibi kişisel bilgiler veya hatta e-posta konu satırları içerebileceğini belirtiliyor. Ve bu tür kişisel verilerin toplanması, AB’nin GDPR kurallarına göre yasak. Bu verilerin toplanması için bireysel izin verildiğinde sorun ortadan kalkıyor. Ancak çocuklar izni veremediklerinden, bu verileri Office 365 kullanımlarından toplamak hala yasa dışı.
Sonuç olarak komisyon üyesi Office 365 ve Windows 10’un GDPR uyumlu olmadıkları için okullarda kullanılamayacağına karar vermiş durumda.
Komisyon Üyesi Alman devlet okullarında, Office 365 kadar, Google ve Apple bulut hizmetlerinin kullanımının da kabul edilebilir bir alternatifi olmadığını yazdı. Çünkü bu bulut hizmetlerinde aynı sorunlar var. Üstelik aynı derecede şeffaf değiller.
Komisyon üyesi, okulların, Office 365 ve benzeri bulut hizmetleri GDPR ile uyumlu hale gelinceye kadar Microsoft Office uygulamalarının “şirket içi” yazılım sürümlerinin kullanılmalarını tavsiye etti.
Bütün bu gelişmelere karşı Microsoft yayınladığı bir blog mesajında şunları söyledi [4]:
“Politikalarımızı ve veri koruma uygulamalarımızı netleştirerek müşteri endişelerini gidermek için rutin olarak çalışıyoruz ve endişelerini daha iyi anlamak için Hessian Komiseriyle birlikte çalışmayı dört gözle bekliyoruz.
Office 365 bir iş veya okul hesabına bağlandığında, yöneticilerin Microsoft’a veri göndererek etkinleştirilen özellikleri sınırlamak için çeşitli seçenekleri vardır. Son zamanlarda müşteri geri bildirimlerine, bu verileri paylaşma konusunda daha fazla şeffaflık ve kontrol için yeni adımlar attığını duyurduk .
Müşteri verilerini korumak için attığımız adımları belgeliyoruz ve ABD hükümetine Avrupa’daki müşteri verilerine erişim konusunda bile başarılı bir şekilde dava açtık. Kısacası, komisyon üyesinin bu endişeleri dile getirmesine teşekkür ediyor ve Komisyon üyesi ile daha fazla ilgilenmeyi dört gözle bekliyoruz. ”
[1] Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Hakkında Düşünceler
[2] General Data Protection Regulation GDPR
[4] How Microsoft works with customers to keep their trust: A story from the Netherlands
