Bileğinizdeki cihaz size bir spor aleti gibi görünüyor olabilir. Oysa o, gün boyu kesintisiz çalışan bir sağlık sensörü ağı. Kalp atışınızı saniye saniye sayıyor, ne zaman uyuduğunuzu ve kaç kez uyandığınızı kaydediyor, nerede koştuğunuzu GPS’le işaretliyor, kadınsanız adet döngünüzü ve verimlilik penceresini tahmin ediyor. Tek tek bakıldığında masum görünen bu veriler bir araya geldiğinde, bir hekimin dosyasında bulamayacağı kadar ayrıntılı bir portre çıkıyor ortaya: ne zaman stresli olduğunuz, ne zaman hasta olduğunuz, hatta hamile kalıp kalmadığınız.
Bu yazı, o portrenin kime gittiğini soruyor. Giyilebilir cihazların sağladığı faydaları yadsımadan; ama “verim nerede, kimin elinde, kimle paylaşılıyor?” sorusunun cevabının çoğu kullanıcının sandığından çok daha bulanık olduğunu göstererek. Giyilebilir teknolojinin tıbbi tarafını giyilebilir sağlık teknolojisi rehberimizde ele almıştık; burada madalyonun öbür yüzüne, mahremiyet tarafına bakıyoruz.
Giyilebilir veri neden bu kadar hassas?
Sağlık verisinin diğer kişisel verilerden ayrılan bir özelliği var: değiştirilemez ve kalıcı olarak sizi tanımlar. Şifrenizi sızdırırlarsa değiştirirsiniz, kredi kartınızı iptal edersiniz. Ama kalp ritmi düzensizliğiniz, uyku bozukluğunuz ya da bir gebelik kaydınız sızdığında geri alamazsınız. Bu yüzden hukuk düzenleri sağlık verisini “özel nitelikli” sayar ve diğer verilere göre daha sıkı korur.
Giyilebilir cihazlarda toplanan veriyi dört ana başlıkta düşünmek işe yarıyor. Her biri tek başına bir şey söyler; birleştiklerinde çok daha fazlasını.
- Kardiyovasküler veri: Kalp hızı, kalp hızı değişkenliği, EKG kayıtları, kan oksijeni. Atriyal fibrilasyon gibi ritim bozukluklarını yakalayabildiği gibi, stres ve duygusal durum hakkında da ipucu verir.
- Uyku ve aktivite: Ne zaman, ne kadar ve ne kalitede uyuduğunuz; gün içi hareketsizliğiniz. Bunlar ruh hali, çalışma düzeni ve hatta depresyon eğilimi gibi çıkarımlara zemin olur.
- Konum: GPS izleri evinizi, iş yerinizi, spor salonunuzu, gittiğiniz kliniği ele verir. Bir sağlık kuruluşunun yakınında düzenli durmanız bile bir çıkarıma dönüşebilir.
- Üreme sağlığı: Adet döngüsü, ovülasyon, gebelik takibi. Bu, en hassas kategorilerden biri; çünkü cinsel yaşam, doğurganlık ve gebelik kararlarına dair son derece mahrem bilgi içerir.
Asıl mesele, bu dört akışın ham hâli değil; bunlardan üretilen çıkarımlar. Bir algoritma uyku düzeninizden ve aktivite düşüşünüzden depresif bir dönem geçirdiğinizi tahmin edebilir. Adet verinizin bir ay boşluğa düşmesi, bir gebelik sinyali olarak okunabilir. İşte bu çıkarımlar, ham veriden daha değerli ve daha tehlikeli. Bilimsel literatür de tam buna dikkat çekiyor: giyilebilir sensör verisi tek başına zararsız görünse bile, makine öğrenmesiyle birleştirildiğinde kişinin hassas sağlık durumunu yüksek isabetle ortaya çıkarabiliyor.
HIPAA sandığınız kadar geniş değil
Çoğu insanın kafasındaki yanlış varsayım şu: “Bu benim sağlık verim, kanun korur.” ABD’nin meşhur sağlık verisi yasası HIPAA’yı duymuş olabilirsiniz. Ama HIPAA’nın kritik bir sınırı var: yalnızca “kapsanan kuruluşları” bağlar. Yani hastaneleri, doktorları, sigorta şirketlerini ve onların doğrudan iş ortaklarını. Sizin App Store’dan indirdiğiniz bir uyku uygulamasını, bir adım sayar ya da bir adet takip programını HIPAA kapsamaz.
Bunun nedeni tarihsel. HIPAA 1996’da yazıldı; akıllı saatler, fitness uygulamaları ve wellness platformları henüz yoktu. O gün için makul olan tanım, bugün kocaman bir boşluk bırakıyor. Bir doktor muayenehanesinde ölçülen kalp ritminiz HIPAA korumasındadır; aynı veriyi bileğinizdeki cihaz topladığında ise, uygulamanın gizlilik politikasının insafına kalırsınız. Aynı sayı, farklı kanal, bambaşka koruma seviyesi.
Bu boşluğun farkında olan ABD düzenleyicisi FTC, 2024’te Sağlık İhlali Bildirim Kuralı’nı (Health Breach Notification Rule) güncelledi ve kapsamını giyilebilir cihazlarla wellness uygulamalarını içerecek şekilde genişletti. Yeni kurala göre, birden fazla kaynaktan veri çekebilen sağlık ve fitness uygulamaları, veri ihlali yaşadığında kullanıcıları ve FTC’yi 60 gün içinde bilgilendirmek zorunda. Üstelik kullanıcının açıkça izin vermediği bir veri paylaşımı da “ihlal” sayılabiliyor. Bu önemli bir adım; ama dikkat edin, bu kural ihlal olduğunda haber verme yükümlülüğü getiriyor, verinin baştan toplanmasını veya paylaşılmasını yasaklamıyor.
Veriniz satılıyor olabilir mi? Büyük olasılıkla evet
“Ücretsiz” bir uygulamanın gerçek bedeli çoğunlukla verinizdir. Wellness uygulamalarının iş modeli sık sık reklamla ve veri paylaşımıyla döner. Reproduktif sağlık uygulamalarının gizlilik politikalarını inceleyen bir içerik analizi, bu uygulamaların önemli kısmının kullanıcı verisini üçüncü taraflarla paylaştığını ve politikaların çoğunun bu paylaşımı açıkça anlatmadığını ortaya koydu. Bir başka değerlendirmede adet takip uygulamalarının yüzde 70’inden fazlasının veriyi üçüncü taraf kaynaklar ve reklamcılarla paylaştığı bulundu; bir kısmı kullanıcının adı ve yaşı gibi kimliklendirilebilir bilgiyi de aktarıyordu.
Bu veri kimlere gidiyor? Zincirin ucunda genellikle reklam ağları, analiz şirketleri ve veri simsarları (data broker) var. Veri simsarları, farklı kaynaklardan topladıkları parçaları birleştirip kişi profilleri oluşturan ve bunları satan şirketler. Bir adet uygulamasından sızan döngü verisi, bir konum uygulamasından gelen ev adresiyle birleşince, ortaya pazarlanabilir ve fazlasıyla mahrem bir profil çıkıyor. Cambridge Üniversitesi araştırmacıları adet takip verisini reklamcılar için “altın madeni” olarak nitelendirdi; çünkü bir kullanıcının gebelik planlaması ya da hayatındaki büyük dönemler, reklam hedeflemesi açısından son derece değerli.
Sigorta ve işveren: en sessiz risk
Giyilebilir veri konusunda en az konuşulan ama en somut risklerden biri, verinin sizin aleyhinize kullanılma ihtimali. Birçok işveren “kurumsal wellness” programları kapsamında çalışanlarına ücretsiz fitness bandı dağıtıyor, adım hedefleri koyuyor, prim veriyor. Kulağa hoş geliyor; ama bu programlar, çalışanın aktivite, uyku ve sağlık verisinin işverene ya da onun anlaştığı bir platforma akmasına kapı açabilir. Çalışanın “gönüllü” katılımı, çoğu zaman gerçek bir tercih olmaktan çok bir sosyal baskı meselesine dönüşüyor.
Sigorta tarafı daha da hassas. Bir sağlık ya da hayat sigortacısının, bir kişinin uyku bozukluğunu, hareketsizliğini ya da kronik bir ritim sorununu bilmesi, prim hesabını ve hatta poliçe kabulünü etkileyebilir. Bugün bu kullanımların çoğu doğrudan ve açık değil; ama veri bir kez simsar zincirine girdiğinde, nereye gittiğini takip etmek neredeyse imkânsız. Riskin sinsiliği tam burada: zarar görüp görmediğinizi çoğu zaman hiç öğrenemezsiniz.
Avrupa ve Türkiye: GDPR ve KVKK ne diyor?
ABD’nin parçalı tablosunun aksine, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ve onunla büyük ölçüde uyumlu olan Türkiye’nin Kişisel Verilerin Korunması Kanunu (KVKK), sağlık verisini en baştan “özel nitelikli kişisel veri” kategorisine koyar. Bu kategori, işlenmesi kural olarak yasak olan, ancak açık rıza gibi sıkı istisnalar altında işlenebilen veri demek. Yani Avrupa ve Türkiye çerçevesinde, bir uygulamanın kalp ya da adet verinizi işlemesi için kural olarak açık ve bilgilendirilmiş onayınızı alması gerekiyor. Bu kavramların ne anlama geldiğini sözlük sayfamızdaki sağlık verisi mahremiyeti ve GDPR/KVKK maddelerinde bulabilirsiniz.
GDPR ayrıca bireye somut haklar tanır: verinize erişme, düzeltilmesini isteme, silinmesini talep etme (unutulma hakkı) ve verinizi başka bir hizmete taşıma hakkı. KVKK da benzer hakları barındırır ve veri sorumlularına ağır yükümlülükler getirir. Kâğıt üzerinde bu çerçeve, kullanıcı lehine ABD’den çok daha güçlü. Ama pratikte iki sorun var. Birincisi, çoğu büyük giyilebilir cihaz üreticisi ve uygulama ABD merkezli; onların sunucuları ve veri işleme zincirleri sınır ötesi. İkincisi, “açık rıza” sık sık uzun ve okunmayan kullanım koşullarına tek tıkla verilen onaya indirgeniyor. Hukuki koruma var; ama onu işler kılmak büyük ölçüde kullanıcının dikkatine kalıyor.
Adet takip uygulamaları: mahremiyet tartışmasının merkezi
Üreme sağlığı verisi, giyilebilir mahremiyet tartışmasının en keskin örneği oldu. Adet takip uygulamaları cinsel yaşam sıklığından gebelik denemelerine, düşük yaşanıp yaşanmadığına kadar son derece mahrem bilgi topluyor. Kullanıcılarla yapılan nitel araştırmalar, kadınların bu verinin değerini ve hassasiyetini sezdiklerini, verileri üzerinde sahiplik istediklerini, ama gizlilik politikalarının çoğunu belirsiz ve yetersiz bulduklarını gösteriyor.
Bu konunun yalnızca pazarlama meselesi olmadığını, ABD’deki düşük hakkı kararının ardından yaşanan tartışma net biçimde gösterdi. Adet verisinin yanlış ellere geçmesinin iş başvurusu, işyeri izlemesi, sigorta ayrımcılığı ve siber takip gibi gerçek zararlara, hatta bazı bağlamlarda hukuki risklere dönüşebileceği uzmanlarca dile getirildi. Buradan çıkan ders, sadece kadınlar için değil herkes için geçerli: bir verinin “sadece bir sayı” olup olmadığı, o sayının hangi bağlamda kimin eline geçtiğine bağlı.
Veri ihlalleri: teorik değil, olmuş bir şey
Tüm bu paylaşım zincirine bir de güvenlik açıkları ekleniyor. Sağlık ve fitness verisi tutan platformlar, siber saldırganlar için cazip hedefler. Geçmişte fitness uygulamalarından sızan konum verileri, kullanıcıların ev adreslerini ve hatta hassas tesislerin yerlerini ortaya çıkardı. Sızan veri bir kez internete düştüğünde geri toplanamıyor; ve sağlık verisinin kalıcı doğası, bu sızıntıların etkisini yıllara yayıyor. Mühendislik literatürü giyilebilir ekosistemin güvenlik tarafına özellikle dikkat çekiyor: cihaz, telefon, bulut ve üçüncü taraf entegrasyonlarından oluşan bu zincirde her halka ayrı bir zayıf nokta.
İhlal bildirim kuralları (ABD’de FTC, AB’de GDPR’ın ihlal bildirim maddeleri) bu yüzden var. Ama bildirim, hasarı önlemez; sadece olduktan sonra haber verir. Asıl koruma, verinin baştan ne kadar az toplandığı ve ne kadar iyi şifrelendiğiyle ilgili. Bu da çoğunlukla sizin kontrolünüz dışında, üreticinin kararında.
Kullanıcı olarak ne yapabilirsiniz?
Bu tablo karamsar görünebilir; ama giyilebilir cihazları çöpe atmak gerekmiyor. Kalp ritmi takibinin gerçek tıbbi faydaları var; örneğin akıllı saatle EKG ve atriyal fibrilasyon tespiti birçok kişide gerçek bir uyarı sistemi olarak çalışıyor, noninvaziv kan şekeri ölçümü gibi teknolojiler de gelişiyor. Mesele cihazı bırakmak değil, kontrolü elde tutmak. İşte somut hamleler:
- İzin denetimi yapın. Telefonunuzun ayarlarından uygulamanın hangi izinlere sahip olduğuna bakın. Bir uyku uygulamasının konumunuza ya da rehberinize erişmesi için bir neden var mı? Yoksa kapatın.
- Konum paylaşımını kısıtlayın. Konumu “her zaman” yerine “yalnızca uygulama kullanılırken” ile sınırlayın; egzersiz haritasına ihtiyacınız yoksa tümden kapatın.
- Sağlık verisi paylaşımını gözden geçirin. Hem işletim sisteminin sağlık panelinde (Apple Health, Google Health Connect) hem de uygulama içinde hangi verinin hangi uygulamayla paylaşıldığını denetleyin ve gereksiz bağlantıları kesin.
- Reklam ve veri paylaşımı seçeneklerini kapatın. Çoğu uygulamanın gizlilik ayarlarında “kişiselleştirilmiş reklam” ya da “veri paylaşımı” gibi varsayılan açık gelen seçenekler bulunur; bunları kapatmak çoğu zaman mümkün.
- Gizlilik politikasına göz atın. Tamamını okumanız gerekmez; “üçüncü taraf”, “paylaşım”, “sat” ve “reklam” kelimelerini aratın. Verinin satılabileceğini söyleyen bir politika, açık bir uyarıdır.
- Yerel saklamayı tercih edin. Mümkünse verisini buluta değil cihazda tutan uygulamaları seçin; minimum veri toplayan, açık ve kısa gizlilik politikası olanlar daha güvenli bir tercih.
- Haklarınızı kullanın. AB veya Türkiye’deyseniz, verinize erişme ve silinmesini talep etme hakkınız var. Uygulamayı bırakırken hesabı ve veriyi silmeyi de isteyin; sadece uygulamayı kaldırmak veriyi silmez.
Denge: fayda gerçek, dikkat şart
Giyilebilir cihazlar erken uyarı, davranış değişikliği ve kendini tanıma açısından gerçek değer üretiyor. Bunu inkâr etmek anlamsız. Ama bu değerin bir bedeli var ve bedel, hayatınızın en mahrem sinyallerinin çoğu zaman göremediğiniz bir zincir boyunca dolaşması. Hukuk bu boşluğu kapatmaya çalışıyor: AB ve Türkiye sağlık verisini özel koruma altına aldı, ABD FTC kuralını giyilebilirlere doğru genişletti, yeni yasa teklifleri tartışılıyor. Ama düzenleme her zaman teknolojinin gerisinden geliyor.
O yüzden bugünün en gerçekçi koruması, bilinçli kullanıcı. Cihazınızın ne topladığını bilmek, izinleri denetlemek ve “ücretsiz”in bedelini sormak, verinizin kimde olduğu sorusunun cevabını kısmen elinize geri veriyor. Bilekteki cihaz size çalışsın; ama veriniz, başkasının değil sizin için çalışsın.
Bu içerik bilgilendirme amaçlıdır; hukuki danışmanlık ya da tıbbi tavsiye yerine geçmez. Veri haklarınıza dair somut bir sorun yaşarsanız bir uzmana danışın.
Sıkça Sorulan Sorular
Akıllı saatimin topladığı sağlık verisi HIPAA ile korunuyor mu?
Adet takip uygulamalarının verisi gerçekten satılıyor mu?
Türkiye'de giyilebilir cihaz verisi nasıl korunuyor?
İşverenimin dağıttığı fitness bandını kullanmalı mıyım?
Verimi en aza indirmek için pratik olarak ne yapabilirim?
📚 Kaynaklar
- Privacy and security considerations for wearable and digital health data (npj Digital Medicine, 2025) — Giyilebilir ve dijital sağlık verisinde mahremiyet ve güvenlik değerlendirmesi.
- Security and privacy of wearable health monitoring systems (Bioengineering, 2025) — Giyilebilir sağlık izleme sistemlerinin güvenlik ve mahremiyet zinciri üzerine mühendislik incelemesi.
- Updated FTC Health Breach Notification Rule (FTC, 2024) — ABD’de giyilebilir cihaz ve sağlık uygulamalarını kapsayan güncellenmiş veri ihlali bildirim kuralı.
- Exploration of Reproductive Health Apps’ Data Privacy Policies (PMC, 2025) — Üreme sağlığı uygulamalarının gizlilik politikaları ve kullanıcıya yönelik riskler üzerine nitel içerik analizi.
- Flowing data: women’s views on privacy with menstrual cycle tracking apps (PMC, 2025) — Adet takip uygulamalarında mahremiyet ve veri güvenliğine dair kullanıcı görüşleri çalışması.
- Menstrual tracking app data is a ‘gold mine’ for advertisers (University of Cambridge, 2024) — Adet takip verisinin reklamcılar için değeri ve kullanıcı güvenliği riskleri üzerine araştırma raporu.
