İstanbul Büyükşehir Belediyesini tartışıyoruz. Bu kez “İstanbul Senin” uygulaması üzerinden bazı ülkelerin istihbarat teşkilatlarına bilgi aktarılması boyutlarıyla… Bu tartışmalar yapılırken yine klasik alışkanlıklar devreye giriyor ve ideolojik, partizan yaklaşımlar öne çıkıyor, meselenin özü kaçırılıyor… Oysaki yakın zamanlarda gördük ki, önemsiz gibi görünen bilgiler, veriler ülkeler için hayati sorunlara kapı aralayacak kadar önemli…

Dijitalleşme çağında kamu verileri yalnızca idari işlemlerin aracı değil, aynı zamanda devlet egemenliğinin dijital izdüşümü haline gelmiştir.

Bilgi çağının temel gerçeği şudur: devlet gücü artık yalnızca coğrafi sınırlar üzerinde değil, veri akışları üzerinde de tanımlanır. Veri, 21. yüzyılın “stratejik kaynak” kategorisine dahil edilmiştir. Bu dönüşüm, kamu yönetimi sistemlerini klasik idari denetimden çıkararak, siber güvenlik ve ulusal egemenlik düzlemine taşımıştır. Özellikle büyük şehirler, milyonlarca vatandaşın demografik, ekonomik ve davranışsal verisini topladıkları için, bu alan dijital istihbarat açısından yüksek stratejik değere sahiptir.

İstanbul gibi bir mega kentte, bu verilerin üçüncü taraf sistemlere, özellikle de yabancı teknoloji firmalarına veya bulut depolama merkezlerine yönlendirilmesi, “veri sızması” tartışmasını sadece teknik bir sorun olmaktan çıkarır. Bu durum, egemenliğin yeni parametreleri bağlamında doğrudan milli güvenlik ve hukuki sorumluluk boyutlarıyla incelenmelidir.

Türkiye’de kişisel verilerin korunmasına ilişkin 6698 sayılı Kanun, birey düzeyinde mahremiyetin teminatı niteliğindedir. Ancak kamu verileri açısından bu çerçeve yeterli değildir. Kamu tüzel kişilikleri tarafından toplanan veriler, çoğu zaman “anonim” ya da “kurumsal” kategoride değerlendirilmekte, dolayısıyla kişisel veri koruma mevzuatının dışında bırakılmaktadır. Oysa bu verilerin birikimli biçimde analizi, bireylerin davranış örüntülerini, toplumsal eğilimleri ve şehirsel zafiyet noktalarını açığa çıkarabilir.

Bu nedenle, kamu verilerinin izinsiz veya denetimsiz biçimde yurtdışına aktarılması, Türk Ceza Kanunu’nun 326–330. maddeleri çerçevesinde “devletin güvenliğine ilişkin bilgilerin açıklanması” veya “casusluk faaliyetine teşebbüs” kapsamında değerlendirilebilir. Yani bu tür bir eylem, salt idari hata değil, ulusal güvenlik suçu kategorisine girer. Hukuken “veri” artık yalnızca dijital bir unsur değil, egemenliğin hukuki konusu haline gelmiştir.

“Dijital egemenlik” (digital sovereignty) kavramı, özellikle 2010’lu yıllardan itibaren uluslararası hukuk ve güvenlik literatüründe hızla yükselmiştir. Bu kavram, bir devletin kendi dijital altyapısı, veri kaynakları ve bilişim ağları üzerinde tam denetim hakkına sahip olması anlamına gelir. Fransa, Almanya ve Çin gibi ülkeler, bu kavramı anayasal ve stratejik belgelerine dahil etmiş; kamu verilerinin yurtdışına aktarımını sınırlayıcı yasal düzenlemeler yürürlüğe koymuştur.

Dijital egemenlik, üç temel sütun üzerinde yükselir: Teknik bağımsızlık yani verilerin depolandığı ve işlendiği altyapının yerli veya denetlenebilir nitelikte olması, hukuki denetim yani veri aktarımı, paylaşımı ve işlenmesine ilişkin açık, hesap verebilir yasal mekanizmaların bulunması ve kurumsal karkındalık olarak ifade edeceğimiz kamu kurumlarının veri güvenliği konusunda kurumsal bilinç geliştirmesi.

Bu üç unsurdan biri zayıf olduğunda, egemenlik zincirinde kırılma meydana gelir.
Bu nedenle, dijitalleşme politikaları yalnız teknolojik değil, stratejik bir planlama alanıdır.

Avrupa Birliği (GDPR), veri aktarımını yalnız birey mahremiyeti açısından değil, uluslararası güvenlik perspektifinden de düzenlemektedir. AB içinde toplanan veriler, güvenlik seviyesi yeterli olmayan ülkelere gönderilemez. Benzer şekilde, ABD, 2018 tarihli Cloud Act ile Amerikan merkezli şirketlerin yurtdışında tutulan verilere erişimini federal bir güvenlik meselesi haline getirmiştir. İsrail, ulusal güvenlik stratejisinde “cyber-resilience” (siber dayanıklılık) kavramını kullanarak, her kamu kurumunu bir “siber savunma birimi” olarak tanımlamıştır.

Bu örnekler, devletlerin veri güvenliği konusunda merkezi bir farkındalığa ulaştığını göstermektedir. Veri artık sadece ekonomik bir kaynak değil, jeopolitik bir varlık olarak değerlendirilmekte; kontrolü, devlet kudretinin bir ölçütü haline gelmektedir.

Bir belediyeye ait veri tabanı, yüzeyde yalnızca nüfus veya hizmet verilerini içeriyor gibi görünse de, bu bilgiler analiz edildiğinde şehirdeki davranışsal, ekonomik ve güvenliksel dinamikler çözümlenebilir. Buna göre:

Demografik veriler, seçmen profillerini ve sosyoekonomik eğilimleri;

Ulaşım ve altyapı verileri, kentsel hareketlilik ve güvenlik planlamasını;

Enerji ve su tüketim verileri, kritik tesislerin faaliyet yoğunluğunu;

Konum tabanlı dijital kayıtlar, toplumsal hareketliliğin potansiyel kırılma noktalarını ortaya çıkarır.

Bu bilgiler, bir yabancı servis veya özel çıkar grubu tarafından kullanıldığında, ekonomik manipülasyon, toplumsal mühendislik veya siber sabotaj aracı haline gelebilir. Dolayısıyla, kamu verisinin korunması, klasik anlamda “veri gizliliği” değil, stratejik caydırıcılık meselesidir.

Türkiye’nin dijital güvenlik politikasında, kamu verilerinin korunması için aşağıdaki ilkeler önerilebilir:

Yerli Veri Altyapısı: Büyükşehir belediyeleri ve kamu kurumları için tüm verilerin Türkiye sınırları içinde, ulusal denetime açık sunucularda saklanması zorunlu hale getirilmelidir.

Veri Etiği Eğitimi: Yerel yöneticiler ve teknik personel için “veri egemenliği farkındalığı” eğitimi standart hale getirilmelidir.

Siber Stratejik Envanter: Her belediye, elindeki verilerin türü, kapsamı ve güvenlik sınıfını içeren bir “veri envanteri” hazırlamakla yükümlü olmalıdır.

Uluslararası İş Birliği Denetimi: Yabancı teknoloji şirketleriyle yapılan tüm yazılım ve bulut anlaşmaları, güvenlik protokolü açısından merkezi otorite denetimine tabi tutulmalıdır.

Veri güvenliği, artık yalnızca bilişim uzmanlarının değil, devlet kuramcılarının da ilgi alanına girmiştir. Bir ülkenin verisi dış aktörlerin eline geçtiğinde, egemenlik de fiilen parçalanır. Dolayısıyla, dijital çağın “savaş alanı” artık toprak değil, veri alanıdır.

Türkiye’nin dijitalleşme sürecinde en kritik ihtiyaç, teknolojik modernleşmeyi ulusal güvenlik doktriniyle bütünleştirmektir. Zira egemenlik, artık sınır taşlarıyla değil, veri merkezlerinin IP adresleriyle çizilmektedir.

Prof. Dr. Zakir Avşar / Haber7