Neredeyse kimsenin görmediği bir sorun
Bir avukat müvekkilinden hassas bir belge alır. Bir doktor bir meslektaşıyla tanı hakkında konuşur. Bir psikolog bir hastanın tedavisini psikiyatristle koordine eder. Bir mali müşavir beyanname verilerini gönderir. Hepsi bunu mesajlaşma yoluyla yapar. Ve neredeyse hiçbiri bu mesajların nereye gittiğini düşünmek için durmamıştır.
Cevap, çoğu durumda şudur: kontrol etmedikleri bir sunucuda, mevzuatını bilmedikleri bir ülkede, iş modeli tam olarak veri biriktirmek olan bir şirket tarafından yönetiliyor. Mesaj aktarım sırasında şifreli olabilir, ama sunucuya ulaştığında, üçüncü bir tarafın altyapısında saklanan bir kopyadır.
Yasa ne diyor
Avrupa GDPR'si açıktır: başkalarının kişisel verilerini işleyen kişi, bunları uygun teknik önlemlerle korumaktan sorumludur. İyi niyet yeterli değildir. Uygulamanın şifrelediğini söylemesi yeterli değildir. Müşterinizin verileri Avrupa mevzuatına uymayan bir sunucudaysa, sorumlu sizsiniz.
Ve sadece GDPR değil. Avukatlar, doktorlar, psikologlar, denetçiler ve daha pek çokları için düzenlenen mesleki gizlilik, müşteriyle iletişimin gizli olmasını gerektirir. "Mümkün olduğunca" gizli değil. Gerçekten gizli. Kullandığınız kanal bunu teknik olarak garanti edemiyorsa, almanız gerekmeyen bir risk alıyorsunuz.
Bir profesyonelin neye ihtiyacı var?
Hassas bilgilerle uğraşan bir profesyonelin ihtiyacı şaşırtıcı derecede basittir. Mesajların cihazından doğrudan alıcının cihazına gittiği, hiçbir aracı sunucudan geçmediği bir kanala ihtiyacı var. Hiçbir bulutta kopya kalmadığı. Kişisel telefon numarası vermeye gerek olmadığı. Ve altyapının tamamen Avrupa mevzuatına uyduğu.
Karmaşık bir uygulamaya ihtiyacı yok. Eğitime ihtiyacı yok. Çalışma şeklini değiştirmesine gerek yok. Tam olarak zaten kullandığı şeye ihtiyacı var — anlık mesajlaşma — ama bilginin konuşmaya katılan iki kişinin cihazlarından çıkmayacağının teknik güvencesiyle.
Şifrelemek ile saklamamak arasındaki fark
Bir mesajı şifreleyip sunucuda saklamak, bir belgeyi kasaya koyup bir yabancının evinde bırakmak gibidir. Kasa iyi, evet. Ama belge hâlâ başkasının evinde. Ve o kişi mahkeme kararı alabilir, siber saldırıya uğrayabilir veya sadece hizmet şartlarını değiştirebilir.
Alternatif, belgenin ofisinizden hiç çıkmamasıdır. Doğrudan masanızdan müşterinizin masasına, hiçbir aracıdan geçmeden gitmesidir. Cihazlar arası doğrudan iletişim tam da bunu yapar: aracıyı ortadan kaldırır. Aracı kötü olduğu için değil. Aracı gereksiz olduğu için. Ve güvenlikte gereksiz olan her şey her zaman bir risktir.
Bir sorumluluk meselesi
Sonuçta, her profesyonelin kendine sorması gereken soru şudur: yarın müşterimle bir konuşma sızarsa, teknik olarak güvenli bir kanal kullandığımı kanıtlayabilir miyim? Verilerin cihazlarımızdan hiç çıkmadığını kanıtlayabilir miyim? Başka bir kıtadaki bir şirketin iyi niyetine bağımlı olmadığımı kanıtlayabilir miyim?
Müşterilerinizle iletişim kurmak için seçtiğiniz araç, onların güvenine nasıl değer verdiğiniz hakkında çok şey söyler. Ve tam da bunun için tasarlanmış araçlar var: güvenin sözlere değil, mimariye dayanması için.