Oura’nın Kullanıcı Veri Talepleri ve Gizlilik Şeffaflığı
Sağlık giyilebilir cihaz üreticisi Oura, geçtiğimiz yıl Savunma Bakanlığı ve Palantir ile yaptığı anlaşma sonrası sosyal medyada büyük bir tartışmanın odağı oldu. Bazı kullanıcılar, verilerinin Trump yönetimi eline geçeceğinden endişe duydu. Oura yüzükleri, kalp atış hızı, uyku düzenleri, adet döngüleri ve konum dahil olmak üzere onlarca hassas sağlık verisini takip eden donanım cihazlarıdır. Şirket, sunucularında kullanıcılarına ait birçok hassas bilgiyi saklamaktadır.
Oura Verilerinin Güvenliği ve Erişim Mekanizmaları
Oura’nın ürün ve sunucu kurulumları, hükümetlerin veya hacker’ların kullanıcı verilerine erişip erişemeyeceği konusunda belirleyici bir rol oynamaktadır. Şirketin güvenlik tasarım tercihleri, hükümetlerin Oura’nın geniş kullanıcı bilgi bankalarındaki kayıtlara erişimine izin vermektedir. Oura, bu konuda tek değildir; çoğu şirket, müşteri sorunlarını gidermek veya kurulum kolaylığı/maliyet etkinliği nedeniyle personelinin kullanıcı verilerine erişmesine olanak tanıyan sistemler tasarlar. Ancak Oura, 11 milyar doların üzerinde bir değere ulaşmış ve halka açılma sürecinde olan en büyük sağlık teknolojisi giyilebilir cihaz üreticilerinden biridir. Bu durum, kullanıcı verilerinin erişilememesini sağlama sorumluluğunu daha da artırmaktadır.
Uçtan Uca Şifreleme Eksikliği ve Riskler
Daha önceki bir makalede belirtildiği gibi, Oura verileri uçtan uca şifreli değildir. Bu, bir Oura kullanıcısının sağlık verilerinin yüzüğünden telefon uygulamasına, internet üzerinden ve Oura’nın sunucularına ulaşana kadar belirli noktalarda çözülebileceği anlamına gelmektedir. Şirket, kullanıcı verilerini bazı personelinin erişebileceği bir şekilde depoladığını doğrulamıştır. Bu durum, bir savcı, çalınan anahtarlara sahip bir hacker veya içeriden kötü niyetli bir çalışanın da verilere erişebileceği riskini taşımaktadır.
Hükümet Talepleri ve Şeffaflık Çağrısı
Oura sözcüsü, daha önce yaptığı açıklamada, şirketin ‘hükümetten seyrek talepler aldığını’ belirtmiştir. Oura, her talebi ‘yasallık, kapsam ve gereklilik’ açısından incelediğini ve ‘geçersiz, aşırı geniş veya üyelerin gizliliğini koruma taahhütleriyle tutarsız talepleri geri çevirdiğini’ ifade etmiştir. Ancak Oura, kaç talep aldığını, kullanıcı verilerini ne sıklıkla teslim ettiğini veya hangi tür verilerin talep edildiğini açıklamamıştır. Şirket, bugüne kadar 5.5 milyondan fazla yüzük satarak geniş bir müşteri tabanına sahiptir.
Yazar, Oura’ya daha önce şeffaflık raporu yayınlayıp yayınlamayacağını sormuş, bu raporlar 2013 NSA gözetim skandalından bu yana birçok teknoloji şirketi tarafından yayınlanmaktadır. Oura sözcüsü, o dönemde bir rapor yayınlamadıklarını ancak ‘üyelerin güvenliğini koruyan ve risk oluşturmayan toplu verileri nasıl paylaşacaklarını aktif olarak değerlendirdiklerini’ belirtmiştir. Ancak sekiz ay geçmesine rağmen Oura, bu konuda yapılan son sorulara yanıt vermemiş veya sayıları yayınlama taahhüdünde bulunmamıştır.
Rakamları görmeden, Oura’nın veri taleplerini ne sıklıkla reddettiğini bilmek mümkün değildir. Sağlık giyilebilir cihaz pazarının lideri olarak Oura, müşterilerinin güvenini kazanmak veya sürdürmek istiyorsa, hükümetin kullanıcı bilgilerine ne sıklıkla erişim talep ettiğini paylaşmalıdır.
