Hollandalı intihar önleme kuruluşu 113 Zelfmoordpreventie, araştırmacıların web sitesinin hassas ziyaretçi verilerini Google ve Microsoft ile paylaştığını keşfetmesinin ardından eleştirilere maruz kaldı; bu da Avrupa gizlilik yasalarını ihlal edebilir.
Sorun, intihar önleme sitesine gelen ziyaretçilerin, çerezlere rıza almamış olsalar bile, analitik ve izleme araçları aracılığıyla takip edildiğini tespit eden etik hacker Mick Beer from Hackedemia.nl tarafından ortaya çıkarıldı. Soruşturmaya göre, paylaşılan bilgiler arasında ziyaretçilerin konumları, tarayıcı ve cihaz detayları, daha önce ziyaret edilen web siteleri ve platformdaki faaliyetlerin ekran kayıtları yer alıyordu.
Araştırmacılar, intihar önleme sitesine sadece ziyaret etmenin bile Avrupa’nın GDPR gizlilik çerçevesinde son derece hassas sağlıkla ilgili bilgi olduğunu uyardı. Endişe şu ki, bu meta verileri alan teknoloji şirketleri, kullanıcılara bağlı reklam veya davranış profillerini zenginleştirmek için potansiyel olarak kullanabilir.
“Biri 113 sayfasını açarsa ya da sohbet veya arama menüsüne tıklarsa, bu başlı başına hassas bir bilgidir,” dedi Beer Hollanda medyasında.
Soruşturma, kullanıcıların takip çerezlerini kabul edip etmediği bağımsız olarak Google’a bazı bilgilerin iletildiğini ortaya koydu. Verilerin çerezler kabul edildiğinde ek analiz sistemleri aracılığıyla Microsoft ile paylaşıldığı da bildirildi.
Örgüt, herhangi bir sohbet mesajı veya doğrudan konuşma içeriği paylaşılmadığını belirtse de, gizlilik uzmanları, sadece meta verilerin ruh sağlığı desteği arayan savunmasız kullanıcılar hakkında derin kişisel bilgileri ortaya çıkarabileceğini söylüyor. İntihar önleme sayfasını ziyaret etmek, kriz sohbeti açmak veya acil destek kaynaklarına erişmek, bir kişinin psikolojik sıkıntı içinde olduğunu şimdiden gösterebilir.
Açıklamanın ardından Stichting 113, sorunun kapsamını araştırırken web sitesindeki tüm analiz ve ölçüm araçlarını geçici olarak devre dışı bıraktı. Kuruluş, kullanıcı gizliliğiyle ilgili endişeleri kabul etti ve takip sistemlerinin nasıl uygulandığını gözden geçirdiğini belirtti.
“Ziyaretçilerin mahremiyetlerinin korunduğuna güvenebilmeleri gerektiğini anlıyoruz,” dedi bir sözcü, bulgular kamuoyuna açıklandıktan sonra.
Bu olay, sağlık, terapi ve ruh sağlığı web sitelerinde entegre edilen takip teknolojileri konusunda daha geniş endişeleri gündeme getirdi. Gizlilik araştırmacıları, analitik betikler, reklam pikselleri ve oturum kayıt araçlarının hassas tıbbi veya psikolojik bilgileri istemeden üçüncü taraflara ifşa edebileceği konusunda defalarca uyardı.
GDPR kurallarına göre, sağlıkla ilgili verileri işleyen kuruluşların hassas bilgileri işlemeden önce daha güçlü gizlilik korumaları uygulamaları ve açık rıza alması gerekiyor. Düzenleyiciler artık intihar önleme organizasyonunun, üçüncü taraf takip sistemlerinin ziyaretçi meta verilerini toplamasına izin vererek Avrupa veri koruma yasalarını ihlal edip etmediğini inceleyebilir.