Hizmet Sözleşmelerinde Müşteri Bulut Sağlayıcının Karşısında Yalnız Kalmamalı

internet 27 Ağustos 2012 (Türk İnternet’te yayınlanan yazım)

Bir şirket IaaS üzerinden (Hizmet olarak altyapı) kendi uygulamasını çalıştırıyorsa servis anlaşmasını da ona göre yapmalı. Ona göre kontrol paneli istemeli, gerekirse kendi bilgisini kendi silmek veya başka bir hizmet sağlayıcıya taşımak için sözleşmeye madde koymalı. SaaS servisi alıyorsa tek markaya veya çözüme bağımlı olmayı, kilitlenmeyi önlemek ve veri taşımayı kolaylaştırmak için sözleşmeyi yine buna göre düzenlemeli.

Makalenin ilk bölümünü Bulut’ta Veriler Kimin? başlığı altında okuyabilirsiniz..

“Bulut’ta Veriler kimin?” diyerek başladığımız makalemizin bu bölümüne de bir soru ile girelim;

“Diyelim ki, siz bir gazetecisiniz ve buluta yazılarınızı, fotoğraflarınızı yüklüyorsunuz. Peki, o andan itibaren telif hakkı sahibi kim? Siz mi? Gazeteniz veya yayıncınız mı? Yoksa bulut servis sağlayıcı mı?”

Bu konuyu “tabi ki ben, ya da telif hakkını ödemişse yayıncım” dediğinizi duyar gibiyiz ama “hukuk” bunu bu şekilde kesin hale getirmiş değil. Ya da şu şekilde söyleyelim. Sorun olduğunda, bir noktada tahmin etmediğiniz bir hukuki boşluk ortaya çıkabilir.

Ya da sorun olduğunda, sadece verilerinizi kaybetmekle kalabilirsiniz. Gazeteci derken, geçenlerde vukubulan gerçek bir olayı işaret ediyoruz. Mat Honan saygın bir teknoloji gazetecisi. Geçtiğimiz günlerde biraz da Apple elemanlarının hatasıyla, şifresini ve arkasından iCloud hesabındaki bir sürü fotoğraf ve içeriğini kaybetti. Sonra ne oldu[4]. Amazon ile Apple derslerini aldı ve güvenlik politikalarını değiştirdi[1]. Peki Honan ne elde etti? Koca bir hiç. Giden gitti[5].

Buradan da alınacak ders, işinizi dışarıya da verseniz, kendiniz kontrol etmelisiniz. Ama yanısıra “bulut” konusunda “hukuki altyapı” ve belki de “düzenlemeler” gerekiyor.

Bir şirket IaaS üzerinden (Hizmet olarak altyapı) kendi uygulamasını çalıştırıyorsa servis anlaşmasını da ona göre yapmalı. Ona göre kontrol paneli istemeli, gerekirse kendi bilgisini kendi silmek veya başka bir hizmet sağlayıcıya taşımak için sözleşmeye madde koymalı. SaaS servisi alıyorsa tek markaya veya çözüme bağımlı olmayı, kilitlenmeyi önlemek ve veri taşımayı kolaylaştırmak için sözleşmeyi yine buna göre düzenlemeli.

Bununla birlikte, bütün şirketlerin kendi çıkarlarını koruyacak sözleşmeler yapmak için bulut bilişim uzmanları kadar bilgili olmasını bekleyemeyiz. BTK benzeri bir düzenleyici kurum aracılığıyla bulut bilişimin kurallarının belirlenmesi gerekiyor. Bulut bilişim müşterilerinin haklarını koruyacak yasalar ve düzenlemeler çıkarılması lazım. Bunu görüştüğümüz bilgi işlem bölümü yöneticileri de dile getiriyor.

Öneriler

Veri koruma yasalarının bulutta telif hakları, bilgi paylaşımı, hizmet güvenilirliği, hizmet kalitesi ve veri gizliliği konularındaki ek maddelerle genişletilmesi gerekiyor. Bunun için BTK, TSE işbirliği ile bir “bulutta en iyi uygulamalar” elkitabı yazabilir ve bu kitaptaki teknoloji, kalite, uyumluluk standartlarını sektörün tümünde uygulayabilir.

Türkiye’de bulut hizmeti verecek ve alacak olan bütün firmaların bu standartlara uyması sağlanabilir. Standartları geliştirecek alt komisyonda özel sektör, kamu sektörü, hukukçular ve bulut uzmanları gibi farklı kesimleri temsil eden kişilerin bulunması ve kararların bu özerk komisyon tarafından alınması, mevzuatın sektörde güven uyandırmasını sağlayacaktır. Bu da sektörün kendi kendini denetlemesini teşvik ederek istismarı önleyecek ve Türkiye’de bulut güvenilirliği ile kalitesini Avrupa standartlarının üstüne çıkararak, ülkemiz için bulutta global liderliğin kapılarını aralayacaktır. Bilişim çağında bunun ekonomiye ne kadar büyük bir katkı sağlayacağı bellidir. Kalkınmakta olan ülkelerde internet penetrasyonunun yüzde 10 arttırılmasının, GSYH’ye yüzde 1–2 oranında artış olarak yansıdığını gösteren araştırmalar var.

Bulut hizmeti vermek isteyen yabancı firmalar Türkiye’de şirket kurmalı

Her nekadar dünya globalleşti ve telekom teknolojileri de dünyanın öbür ucundan servis verilmesini mümkün hale getirdiyse de, bulutta veri güvenliğini sağlamak ve başta ticari sırlar ile telif hakları olmak üzere Türkiye’den izinsiz bilgi çıkışını önlemek ve de Türkiye’de iş yapan müşterilerin hukuki haklarını, ne olduğunu bilmediği ve çok pahalıya mal olacak şekilde, başka ülkelerin hukuki şartlarıyla aramak zorunda bırakmamak için ülkemizde bulut hizmeti verecek olan bütün firmaların, Türkiye’de şirket kurarak vergi denetimine tabi olması şartı getirilmelidir. Bu yalnızca bir güvenlik meselesi değil, aynı zamanda bir ekonomi sorunudur.

Ülkemizde iş yapan çokuluslu firmaların verilerini yurtdışındaki sunucularda depolaması daha uygun ise, bu durumda da, BTK’nın “en iyi bulut uygulamaları” ve ilgili düzenlemeleri, veri çıkışının denetlenmesinde kullanılabilir. Bu bağlamda, hizmet sözleşmelerinde teknik destek, takip ve altyapı çözümlerinin yurtdışında kimler tarafından ne şartlarla sağlanacağı açıkça belirtilmelidir. BTK bunu yabancı firmaların yasal taahhüdü olarak kabul edip ilgili denetim süreçlerini (yurtiçindeki şirketlere periyodik olarak uzman müfettiş göndermek dahil) aksatmadan yürütmelidir.

Bulut bilişimde yasal yerelleştirme kritik önem taşıyor

Bu noktada verilerin yurtdışına geçici veya kalıcı olarak çıkıp çıkmadığı da önemlidir. Hızlı erişim için geçici taşıma mı, yoksa istikrarlı bir teknik destek ve izleme çözümü için kalıcı taşıma mı?

Yukarıda da belirttiğimiz gibi, firmaların Türkiye’de şirket kurması bu açıdan bakınca da önemli… Yasa bunu şart koşmazsa bulut firmaları müşteriyi hakkını araması için ABD veya Avrupa’daki mahkemelere sevk edebilir. Bu mahkemelerin Türkiye’deki kullanıcıların durumunu kavrayıp kavrayamayacağı veya kullanıcıyı haklı bulup bulmayacağı, ya da yurtdışında haklarını aramanın maliyeti ayrı bir tartışma konusu. Ancak, yabancı firmanın Türkiye’de şirket açarak iç hukuka tabi olması bu risklerin önüne geçecektir.

Örnek mevzuat var: ABD Güvenli Liman Çerçevesi

ABD Ticaret Bakanlığı bu sorunlarla başa çıkmak ve ülkelerle ikili ilişkileri düzenlemek için Güvenli Liman Çerçevesini yürürlüğe soktu. Bulut bilişimde bu yasal çerçevenin amacı, kurumların veri korumak için uygun özdenetimleri geliştirmesini teşvik etmek. Çerçevenin iki önemli özelliği var: Birincisi ABD’nin, denetim sürecini, sektörün hizmet kalitesi ve uyumlulukta özdenetim yapabileceği şekilde düzenlemesi. İkinci özelliği ise ABD’nin Avrupa Ekonomi Bölgesindeki çokuluslu şirketlere ABD’de saklanan bulut verilerinin gizli kalacağına dair garanti vermesi… Türkiye global bulut liderliğine oynayacaksa bu garantileri vermek zorunda ve bu garantileri vermek için de “bulutta en iyi uygulamalar” elkitabını yazmak gerek.

“Mevzuat bulutu” ve bulutu yerelleştirme

Bugün, İngiltere’deki firmalara ABD merkezli bulut hizmeti vermek isteyen ABD firmalarının, İngiltere’de en azından bir irtibat bürosu açması konuşuluyor. Her ne kadar bu şirketlerin insan kaynakları tek merkezden, ABD’den yönetiliyor olsa da ücretler, hizmet bedelleri, personel geçmişi gibi bilgilerin hizmet verilen ülkedeki müşteri veya yetkililere istek üzerine ulaştırılması planlanıyor. Bu bilgilerin görevin kötüye kullanılması gibi “çürük elma” vakalarını azaltacak şeffaflığı sağlayacağı düşünülüyor. Sistemin bulut bilişim hizmet güvencesi ve hizmet kalitesi denetimlerine entegre edilmesi ayrıca ele alınıyor.

Her ülkenin kendi iç hukuku olmasına karşın uluslararası bir “mevzuat bulutu”; yani ortak en iyi uygulamalar, teknik şartnameler, teknoloji standartları ve yasal takibi hızlandırıcı işbirliği süreçleri verinin serbestçe dolaştığı ülkeler arasındaki hukuki işbirliğini güçlendirecektir. Bu da genel bulutta başta KOBİ’lere güven vererek ülkelerin rekabet gücünü arttıracaktır.

Makalenin devamını Bulut bilişimde veri güvenliğinin yeni adı: üçüncü taraf denetimi başlığı altında okuyabilirsiniz..

Yorum ekle

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir