veri-anonimlestirme-hakkinda-bilmek-istediginiz-her-sey

Veri anonimleştirme, işlenen veriler ile bu verilerin tanımladığı ilgili kişilerin kimliğinin hiçbir şekilde belirlenemeyecek hale getirilmesidir. Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında anonim hale getirme; “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini” ifade etmektedir. 

Verinin anonim hale getirilmesindeki amaç, veri ile bu verinin tanımladığı kişi arasındaki her türlü bağlantının kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan “gruplama”, “maskeleme”, “türetme”, “genelleştirme”, “rastgele hale getirme” gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine “anonim hale getirme yöntemleri” adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir.

Kişisel Verilerin Korunması Kurulu (Kurul) tarafından yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi”¹ (Rehber) doğrultusunda örnek alınabilecek anonim hale getirme yöntemleri aşağıdaki tabloda verilmiştir.

Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri • Değişkenleri Çıkartma
• Kayıtları Çıkartma
• Bölgesel Gizleme
• Genelleştirme
• Alt ve Üst Sınır Kodlama
• Global Kodlama
• Örnekleme
Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri • Mikro Birleştirme
• Veri Değiş Tokuşu
• Gürültü Ekleme
Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler • K-Anonimlik
• L-Çeşitlilik
• T-Yakınlık

Tablo 1: Anonim Hale Getirme Yöntemleri


¹ Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberine Buradan Ulaşabilirsiniz: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf

Veri Anonimleştirme Teknikleri

1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlamayan yöntemlerde kümedeki verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır. Böylelikle verinin genelinde değişiklik yaşanırken, alanlardaki değerler orijinal hallerini korurlar. Değer düzensizliği sağlamayan anonim hale getirme yöntemlerinden bazıları aşağıda açıklanmıştır:

  • Değişkenleri Çıkartma: Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılabilir.
  • Kayıtları Çıkartma: Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır.
  • Bölgesel Gizleme: Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir. 
  • Genelleştirme: İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Kümülatif raporlar üretirken ve toplam rakamlar üzerinden yürütülen operasyonlarda en çok kullanılan yöntemdir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkânsız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir. 
  • Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir. 
  • Global Kodlama: Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.
  • Örnekleme: Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.

2. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıtların taşıdığı değerler değişmekte olduğundan veri kümesinden elde edilmesi planlanan faydanın doğru hesaplanması gerekmektedir. Veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir. Değer düzensizliği sağlayan anonim hale getirme yöntemlerinden bazıları aşağıda açıklanmıştır:

  • Mikro Birleştirme: Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.
  • Veri Değiş Tokuşu: Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.
  • Gürültü Ekleme: Bu yöntem ile, seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.

3. Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler

Anonim hale getirilmiş veri kümelerinde kayıtlardaki bazı değerlerin tekil senaryolarla bir araya gelmesi sonucunda, kayıtlardaki kişilerin kimliklerinin tespit edilmesi veya kişisel verilerine dair varsayımların türetilebilmesi ihtimali ortaya çıkabilmektedir. Bu sebeple anonim hale getirilmiş veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirerek anonimlik güçlendirilebilmektedir. Bu yöntemlerdeki temel amaç, anonimliğin bozulması riskini en aza indirirken, veri kümesinden sağlanacak faydayı da belli bir seviyede tutabilmektir.

  • K-Anonimlik: Anonim hale getirilmiş veri kümelerinde, dolaylı tanımlayıcıların doğru kombinasyonlarla bir araya gelmesi halinde kayıtlardaki kişilerin kimliklerinin saptanabilir olması veya belirli bir kişiye dair bilgilerin rahatlıkla tahmin edilebilir duruma gelmesi anonim hale getirme süreçlerine dair olan güveni sarsmıştır. Buna istinaden çeşitli istatistiksel yöntemlerle anonim hale getirilmiş veri kümelerinin daha güvenilir duruma getirilmesi gerekmiştir.

K-anonimlik, bir veri kümesindeki belirli alanlarla, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek için geliştirilmiştir. Bir veri kümesindeki değişkenlerden bazılarının bir araya getirilmesiyle oluşturulan kombinasyonlara ait birden fazla kayıt bulunması halinde, bu kombinasyona denk gelen kişilerin kimliklerinin saptanabilmesi olasılığı azalmaktadır.

  • L-Çeşitlilik: K-anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşan L-çeşitlilik yöntemi aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitliliği dikkate almaktadır.
  • T-Yakınlık: L-çeşitlilik yöntemi kişisel verilerde çeşitlilik sağlıyor olmasına rağmen, söz konusu yöntem kişisel verilerin içeriğiyle ve hassasiyet derecesiyle ilgilenmediği için yeterli korumayı sağlayamadığı durumlar oluşmaktadır. Bu haliyle kişisel verilerin, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi sürecine T-yakınlık yöntemi denilmektedir.

Anonim Hale Getirme Yönteminin Seçilmesi

Veri sorumluları yukarıdaki yöntemlerden hangilerinin uygulanacağına ellerindeki verilere bakarak karar verirler. Anonim hale getirme yöntemleri uygulanırken sahip olunan veri kümesine dair aşağıdaki özelliklerin de veri sorumluları tarafından dikkate alınması Rehber tarafından tavsiye edilir:

  • Verinin niteliği,
  • Verinin büyüklüğü,
  • Verinin fiziki ortamlarda bulunma yapısı,
  • Verinin çeşitliliği,
  • Veriden sağlanmak istenen fayda / işleme amacı,
  • Verinin işlenme sıklığı,
  • Verinin aktarılacağı tarafın güvenilirliği,
  • Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması,
  • Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı,
  • Verinin dağınıklık/merkezilik oranı,
  • Kullanıcıların ilgili veriye erişim yetki kontrolü,
  • Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali.

Bir veriyi anonim hale getirdiğini düşünen veri sorumlusu, kişisel veriyi aktardığı diğer kurum ve kuruluşların bünyesinde olduğu bilinen ya da kamuya açık bilgilerin kullanılması ile söz konusu verinin yeniden bir kişiyi tanımlar nitelikte olup olmadığını, yapacağı sözleşmelerle ve risk analizleriyle kontrol etmek sorumluluğundadır.

Genel Veri Koruma Tüzüğü ve Veri Anonimleştirme

Genel Veri Koruma Tüzüğü (GDPR), kullanıcı verilerini koruyan ve şeffaflık oluşturan belirli bir kurallar kümesini özetler. GDPR katı olsa da şirketler verilerden tüm tanımlayıcıları kaldırdığı sürece şirketlerin anonim verileri onaysız bir şekilde toplamasına, herhangi bir amaçla kullanmasına ve belirsiz bir süre boyunca saklamasına olanak tanır. GDPR katı kuralları uyarınca, verileri belirsiz bir süre için kullanmayı ve saklamayı düşünüyorsanız, bireylerin korunmasını sağlamak bireyin belirlenmesine yönelik hem doğrudan hem de dolaylı tanımlayıcılar olmak üzere tüm tanımlayıcılar verilerden kaldırılmalıdır.

GDPR kapsamında anonimleştirme terimi yer almamaktadır. Mütaala 26’da “Bu nedenle veri koruma ilkeleri, anonim bilgiler, yani tanımlanmış veya tanımlanabilir bir gerçek kişi ile ilgili olmayan ya da veri sahibinin tanımlanamadığı veya artık tanımlanamayacağı şekilde anonim hale getirilen kişisel verilerle ilgili bilgiler için geçerli değildir. Dolayısıyla bu Yönetmelik, istatistik ya da araştırma amaçları da dahil olmak üzere, bu tür anonim bilgilerin işlenmesiyle ilgili değildir.” şeklinde açıklanmıştır.

veri-anonimlestirme-ve-bulaniklastirmaAncak anonimleştirme yerine bulanıklaştırma (pseudonymisation) terimine yer verilmiştir. “Pseudonymisation” yani bulanıklaştırma; “kişisel verilerin, ayrı tutulma ve spesifik bir veri sahibiyle ilişkilendirilememesi için teknik ve organizasyonel tedbirlere tabi olma koşuluna bağlı ek veriler olmaksızın, spesifik bir veri sahibiyle ilişkilendirilemeyecek şekilde işlenmesidir.”  Bulanıklaştırma, veri sahiplerinin risklerini azaltan ve kontrolörler ile veri işleyenlerin veri koruma yükümlülüklerini yerine getirmelerinde yardımcı olan bir koruma olarak kabul edilmektedir. Mütalaa 28’de, “Kişisel verilere bulanıklaştırma uygulanması, söz konusu veri sahiplerinin risklerini azaltabilir ve kontrolörler ile işlemcilerin veri koruma yükümlülüklerini yerine getirmelerine yardımcı olabilir. Bu Yönetmelikte “bulanıklaştırmanın” açık bir şekilde tanıtılmasıyla, bunun başka herhangi bir veri koruma önleminin önüne geçmesi amaçlanmamaktadır.” şeklinde bulanıklaştırmanın veri koruma aşamasındaki önemi vurgulanmıştır.

Bu çerçevede bulanıklaştırma kavramıyla, kişisel verilerin ek bilgi kullanılmaksızın belirli bir veri süjesine artık atfedilemeyecek biçimde işlenmesi ifade edilmektedir. Söz konusu ek bilgilerin ayrı ayrı tutulması gerektiği ve söz konusu kişisel verilerin belirli veya belirlenebilir bir gerçek kişiye atfedilmemesinin sağlanması konusunda teknik ve idari önlemlerin alınması gerektiği ifade edilmektedir.

Anonimleştirme doğru bir şekilde yapıldığında, verilerin ilgili kişiler ile ilişkilendirilmeyecek hale getirilir ve bu nedenle veriler artık kişisel veri olarak kabul edilemez. GDPR, anonim veriler için geçerli olmadığından, GDPR kapsamında anonimleştirilmiş veriler özgürce kullanılabilir.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

< Önceki Sonraki >