Federal kurumlar, sığınma sistemi yenilemesinde gizlilik korumalarını beceriksizce uygulayarak mülteci verilerini riske atıyor
CBC News'in edindiği bilgiye göre, Kanada'nın sığınma sistemini yenilemek için 68 milyon dolarlık bir projede ortak çalışan üç devlet kurumu, proje uygulanırken yıllarca zorunlu gizlilik koruma testlerini tamamlamadı.
Avukatlar, gizlilik korumalarının eksikliğinin "kırmızı bayraklar" çektiğini ve mülteci başvuru sahiplerinin verilerini ve başvurularını riske atmış olabileceğini söylüyor.
Kanada Göçmenlik, Mülteciler ve Vatandaşlık Dairesi (IRCC), Kanada Sınır Hizmetleri Ajansı (CBSA) ve Göçmenlik ve Mülteci Kurulu (IRB), iltica sistemini daha verimli bir dijital sisteme dönüştürmeyi ve şu anda 290.000'i aşan bekleyen iltica başvurularının giderek artan birikimini ele almayı amaçlayan "iltica birlikte çalışabilirlik projesi" üzerinde birlikte çalıştı.
CBC, bu yılın başlarında, 2019'da başlatılan projenin, CBSA'nın "beklenmedik" bir hareket olarak adlandırdığı bir kararla 2024'te erken kapatıldığını bildirmişti.
Bilgiye erişim mevzuatı aracılığıyla elde edilen belgeler, projenin yalnızca yüzde 64'ü tamamlandığında sessizce iptal edilen "olağanüstü" gizlilik etki değerlendirmeleri (PIA) olduğunu gösteriyor.
Hükümetin dijital gizlilik kılavuzuna göre, PIA "olası gizlilik risklerini gerçekleşmeden önce belirlemek, değerlendirmek ve azaltmak için bir politika sürecidir."
Söz konusu kılavuzda, "Girişimin başlatılmasından önce tüm bu adımların tamamlanması gerekiyor" deniliyor.
Göçmenlik ve mülteci avukatı ve aynı zamanda gizlilik hukuku da uygulayan Andrew Koltun, birlikte çalışabilirlik projesinin artık iptal edilmiş olmasına rağmen, verilerin dijital olarak nasıl toplandığı ve kullanıldığı konusunda değişiklikler yapıldığını, bu nedenle PIA'ların tamamlanmasının risk tanımlama sürecinin önemli bir parçası olmaya devam ettiğini söyledi.
Ancak bakanlıklar CBC'ye e-posta yoluyla gizlilik değerlendirmelerinin henüz tamamlanmadığını bildirdi. IRCC, PIA'nın kendi bölümünü şu anda hazırladığını ve 2025 yılı sonuna kadar tamamlanmasını beklediğini belirtti.
Koltun, henüz işin bitmemiş olmasının "birçok kırmızı bayrak" çektiğini söyledi.
"Maalesef, eğer bir gizlilik etki değerlendirmesi yapmazsanız, bu verilerin sızdırılması ve kötü niyetli kişiler tarafından elde edilmesi riski artar." dedi.
Kanada Hazine Kurulu Sekreterliği'nindirektifi, bir kurumun idari nedenlerle bilgi toplama ve kullanma biçimini "önemli ölçüde değiştirmeyi" planladığı durumlarda, bu gizlilik sağlık kontrolünün projeleri başlatmadan veya güncellemeden "önce" yapılmasını gerektirir.
Sığınmacıların birlikte çalışabilirliği projesi, kağıt başvurulardan önemli bir değişiklik olan çevrimiçi mülteci başvuru sürecini oluşturdu.
Belgelere göre proje, bazı otomasyonların entegre edilmesine ve departmanlar arasında daha gerçek zamanlı bilgi alışverişine olanak sağladı. Ayrıca, hükümetin sınır dışı emri verildiğinde geçerli çalışma veya öğrenim izinlerini otomatik olarak iptal etme yetkisi de dahil olmak üzere birçok iyileştirme sağlandı.
Sorumluluklarla dolu 'sıcak patates'Kanada Gizlilik Komiserliği Ofisi, gizlilik değerlendirmelerini, hükümet kurumlarının yasalara uygun olmasını ve insanların mahremiyetini korumasını sağlayarak kamu güvenini oluşturmaya yardımcı olabilecek bir "erken uyarı sistemi" olarak adlandırıyor.
Gizlilik gözlemcisi kuruluş, gizlilik danışmanlıklarını gizli bir şekilde yürüttüğünü belirterek röportaj talebini reddetti ancak komisyon üyesinin daha önce PIA yükümlülüklerinin yasaya entegre edilmesini tavsiye ettiğini bir e-postada yineledi.
CBC'nin elde ettiği bir CBSA brifing notuna göre, PIA'lardan kimin sorumlu olduğu konusunda kurum içinde bir karışıklık olduğu görülüyor.
Belgeler, başlangıçta IRCC liderliğinde kapsamlı bir gizlilik değerlendirmesi yapılmasının beklendiğini ortaya koyuyor.
Ancak üç yıl sonra, 2022'nin sonlarında IRCC, hem CBSA'ya hem de IRB'ye artık "tüm proje için tek bir PIA yapmayacaklarını ve her ortağın kendi PIA'sından sorumlu olacağını" bildirdi.
Belgeler, CBSA'nın daha sonra IRCC'nin yaklaşımı değiştirdiğini ve "kapsamı program düzeyinde bir değerlendirmeye genişlettiğini" söylediğini gösteriyor.
Proje geçen yıl beklenmedik bir şekilde sonlandırıldığında, CBSA, PIA'ların "tamamlanmamış bir konu" olduğunu ve IRCC'nin diğer ortakların gizlilik planlarını tamamlamalarını beklediğini söyledi.
CBSA notunda, "Ancak fon eksikliği ve kaynak yetersizliği göz önüne alındığında... daha fazla tartışmaya ihtiyaç duyulmaktadır" ifadeleri yer aldı.
İç belgeleri inceleyen Koltun, departmanların gizlilik kontrolleri konusunda "temel bir yapı taşı" olması gerekirken "sıcak patates" oynadığını anlatıyor.
"[Bu] IRCC'nin, tüm uygun risk azaltma önlemlerinin önceden yapıldığından emin olmadan, dijital modernizasyonu inanılmaz bir hızla sürdürme konusundaki amansız çabasının sembolüdür," dedi.
"Mülteci alanı, 'Hızlı çalış, bir şeyleri boz, sonra düzelt' şeklinde bir beta testi yaklaşımının benimsenmesi için zayıf bir alan."
Avukat, gizlilik ihlallerinin müvekkillerde 'travma yarattığını' söylüyorOntario, Londra'da mülteci avukatı olan Greg Willoughby, IRCC'nin kendisine "sayılamayacak kadar sık" e-posta gönderdiğini ve bu e-postaların müvekkili olmayan başvuru sahiplerine ait özel belgeleri ve son derece hassas bilgileri ifşa ettiğini söylüyor.
Willoughby, "Gizlilik ve mahremiyet konularına ilişkin sistematik bir kaygı eksikliği var gibi görünüyor" dedi.
En kötü örneklerden birinin, IRCC'nin müvekkilinin İran'dan kaçan aile üyelerine e-posta göndererek, onları mülteci koruma talebi konusunda uyarması olduğunu hatırladı.
"'Bu ne? Bunlar zulmün temsilcileri' diye düşündüm," dedi Willoughby. "Bu onun için gerçekten travmatik ve yıkıcıydı. Korkunçtu."
Sığınmacılar arası etkileşim projesindeki dijital güncellemeler ile Willoughby'nin son yıllarda yaşadığı gizlilik ihlalleri arasında bir bağlantı olup olmadığı henüz net değil.
Ancak Willoughby, hükümetin uygun gizlilik önlemleri olmadan verimliliğe ve teknolojik entegrasyona odaklanmasının "çok, çok tehlikeli" olduğunu, özellikle de verilerin kötü niyetli kişiler tarafından uygunsuz şekilde erişilme riski altında olması durumunda bunun "çok tehlikeli" olduğunu söylüyor.
"Hükümetler ve göçmenlik daireleri çok paranoyak olmalı. Bu, akılların en üstünde olmalı."
IRCC yaptığı açıklamada, ortaklar arasında toplanan ve paylaşılan bilgi türünün değişmediğini, ancak "[projenin] bu bilginin güvenli bir şekilde iletilmesini sağlamak için BT arayüzleri oluşturduğunu" söyledi.
IRCC hâlâ Hazine Kurulu Sekreterliği'nin direktifini izlediğini iddia ediyor; ancak bu direktif, özellikle "yeni veya değiştirilmiş herhangi bir bilgi teknolojisi kullanıldığında", girişimleri uygulamadan önce PIA'ların tamamlanması gerektiğini belirtiyor.
IRCC, "Hükümet ortakları arasındaki tüm anlaşmalar güçlü güvenceler içerir" diye yazdı.
Bu arada CBSA, artık gizlilik etkisi değerlendirmesi yapmayacağını belirterek, bu projede liderliğin IRCC'de olduğunu belirtti.
Bir sözcü, "CBSA, PIA sürecinin önemini kabul ediyor" diye yazdı.
IRB, proje başlatıldığında "gizlilik etkilerini dikkatlice incelediğini" ve kendi sistemleri için mevcut bir PIA'da gizlilik endişelerinin "hâlâ yeterince ele alındığına" karar verdiğini söyledi.
Koltun, IRCC ve IRB'nin yanıtlarının "yetersiz" olduğunu, çünkü federal direktif kapsamındaki "yasal görevleri göz ardı ettiğini" söyledi.
"Yeni veya değiştirilmiş bir bilgi teknolojisi veya BT süreci kullanıldığında, asgari gereklilik güncellenmiş bir PIA'nın oluşturulmasıdır" dedi.
cbc.ca
