Gizlilik Öncelikli Ruh Sağlığı: Verileriniz Neden Terapistinizden Bile Güvende Olmalı

Geleneksel terapi odasında gizlilik kutsaldır. Terapist-hasta ayrıcalığı, modern toplumda en eski ve en çok korunan yasal ilişkilerden biridir. Terapistiniz, dar ve yasal olarak tanımlanmış durumlar dışında, açık izniniz olmadan söylediklerinizi paylaşamaz. Bu koruma, psikoterapinin kurucularının temel bir gerçeği anlamalarından dolayı vardır: insanlar güvende hissetmezlerse iyileşemezler.

Dijital ruh sağlığı endüstrisi bu sözleşmeyi paramparça etti. Yalnızca 2025 yılında, 120 milyondan fazla ruh sağlığı kaydı veri ihlalleri, yetkisiz paylaşım ve kasıtlı ticari kullanım yoluyla ifşa oldu. İnsanların psikolojik yaşamlarının en mahrem ayrıntıları — korkuları, travmaları, ilişki sorunları, intihar düşünceleri ve terapötik ilerleme — toplanacak, analiz edilecek ve satılacak ticari varlıklar olarak ele alındı.

Sorunun ölçeği şaşırtıcıdır: • Önde gelen bir meditasyon uygulamasının, oturum sıklığı ve ruh hali izleme verileri dahil kullanıcı verilerini reklam ağları ve veri simsarlarıyla paylaştığı tespit edildi • Popüler bir terapi platformunun seans deşifrelerini anlamlı kullanıcı izni olmadan üçüncü taraf analiz hizmetlerine ilettiği ortaya çıktı • Bir ruh sağlığı chatbot şirketinin terapi konuşmalarını ticari AI modelleri eğitmek için kullandığı, kullanıcıların en savunmasız anlarını etkili bir şekilde eğitim verisine dönüştürdüğü belirlendi • Birden fazla sağlık uygulamasının depresyon ve kaygı tarama sonuçlarını sigorta şirketleri ve işverenlerle paylaştığı saptandı

Bu olayların her biri, yalnızca teknik bir başarısızlığı değil, bir kişinin yaşamının en savunmasız noktasında güvenin ihlalini temsil eder. Biri ruh sağlığı desteğine ulaştığında, genellikle en kırılgan anındadır. Sözlerinin toplanabileceği, analiz edilebileceği veya satılabileceği bilgisi, terapötik süreci baltalayan caydırıcı bir etki yaratır.

Ruh sağlığı uygulamalarının neden rutin olarak kullanıcı gizliliğini ihlal ettiğini anlamak için, onları yönlendiren iş modelini anlamalısınız. Çoğu dijital ruh sağlığı platformu, veri parasallaştırmasıyla sübvanse edilen bir freemium modeliyle çalışır. Uygulama ücretsiz veya düşük maliyetlidir; gerçek ürün psikolojik verilerinizdir.

Profesör Shoshana Zuboff'un gözetim kapitalizmi kavramı bu dinamiği tam olarak tanımlar: insan deneyimi, davranışsal vadeli işlem piyasalarında alınıp satılan davranışsal tahminlere dönüştürülmek üzere ücretsiz ham madde olarak talep edilir. Ruh sağlığı verileri bu piyasalarda özellikle değerlidir çünkü ticari avantaj için kullanılabilecek psikolojik zayıflıkları, duygusal tetikleyicileri ve davranışsal kalıpları ortaya çıkarır.

Bir ruh sağlığı uygulamasının hakkınızda ne bildiğini düşünün: • Duygusal kalıplarınız — ne zaman kaygılı, depresif veya stresli hissettiğiniz ve bu durumları neyin tetiklediği • İlişki dinamikleriniz — kimin size stres yaşattığı, kime güvendiğiniz, bağlanma kalıplarınızın ne olduğu • Başa çıkma mekanizmalarınız — zorlukları nasıl ele aldığınız, hangi maddeleri kullandığınız, hangi davranışları sergilediğiniz • Terapötik kırılganlıklarınız — en derin korkularınız, çözülmemiş travmalarınız ve psikolojik zayıf noktalarınız

Bu bilgi reklamcılar, sigortacılar, işverenler ve siyasi kampanyalar için son derece değerlidir. Kaygılı durumdaki bir kişi korku temelli reklamlara daha duyarlıdır. Yas sürecindeki bir kişinin dürtüsel alışveriş yapması daha olasıdır. Depresyonu olan bir kişi, durumu bilinirse daha yüksek sigorta primleriyle karşılaşabilir. Ruh sağlığı verilerini toplama ve parasallaştırma konusundaki ekonomik teşvikler muazzamdır — ve mevcut düzenleyici çerçeve yetersiz koruma sağlamaktadır.

ABD'de genellikle bir gizlilik güvencesi olarak atıfta bulunulan HIPAA, yalnızca kapsanan kuruluşlar — sağlık hizmeti sağlayıcıları, sağlık planları ve onların iş ortakları — için geçerlidir. Çoğu ruh sağlığı uygulaması kapsanan kuruluş olarak nitelendirilmez ve bu nedenle HIPAA korumalarına tabi değildir. Bu düzenleyici boşluk, lisanslı bir terapistle aynı bilgileri toplayan bir uygulamanın bu verileri nasıl kullandığı konusunda esasen hiçbir yasal kısıtlamayla karşılaşmayabileceği anlamına gelir.

Ruh sağlığı verilerinin ifşasının sonuçları, soyut "gizlilik ihlali" endişesinin çok ötesine uzanır. Etkilenen bireyler için psikolojik verilerinin ifşası hayat değiştirici olabilir.

İstihdam ayrımcılığı belki de en acil risktir. Ruhsal sağlık durumuna dayalı ayrımcılığa karşı yasal korumalara rağmen, gerçek şu ki, bir başvuranın depresyonu, kaygı bozukluğu veya terapi geçmişi hakkında bilgi edinen işverenler genellikle onları reddetmek için bahaneler bulur. 2025 anketi, işe alım yöneticilerinin %34'ünün bir adayın ruh sağlığı tedavisi bilgisinin işe alım kararlarını olumsuz etkileyeceğini itiraf ettiğini buldu — bunun yasal ve etik olarak yanlış olduğunu bilmelerine rağmen.

Sigorta sonuçları eşit derecede endişe vericidir. Düzenlemeler sağlık sigortacılarının önceden var olan ruh sağlığı durumlarına dayalı olarak teminatı reddetmesini yasaklasa da, veriler yine de şunları etkileyebilir: • Hayat sigortası primleri ve uygunluğu • Engellilik sigortası kapsamı • Uzun süreli bakım sigortası kararları

İlişki ve sosyal sonuçlar yıkıcı olabilir. Terapi seans içeriğinin — ilişki zorluklarının, cinsel kaygıların veya aile çatışmalarının tartışılması dahil — ifşası evlilikleri, dostlukları ve aile ilişkilerini telafi edilemez şekilde zarar verebilir.

İhlalin kendisinin psikolojik etkisi, orijinal ruh sağlığı durumunu ağırlaştırır. Veri ihlali mağdurları üzerine araştırmalar, sağlık verileri ifşa olan bireylerin kaygı ve depresyon belirtilerinde önemli bir artış yaşadığını göstermektedir — yardım aradıkları durumların ta kendisi. Birçoğu dijital ruh sağlığı araçlarını tamamen terk eder ve gerçekten ihtiyaç duydukları desteğe erişimi kaybeder. Bu, ruh sağlığı veri ihlallerinin en acımasız ironisidir: yardıma en çok ihtiyaç duyan insanları yardım aramaktan caydırırlar.

Ana akım ruh sağlığı uygulamalarının gizlilik başarısızlıkları kaçınılmaz değildir. Kullanıcı refahından çok veri çıkarmaya öncelik veren iş modelleri tarafından yönlendirilen tasarım seçimleridir. Temelden farklı bir yaklaşım mevcuttur: tasarımla gizlilik.

Tasarımla gizlilik, Ontario'nun eski Bilgi ve Gizlilik Komiseri Dr. Ann Cavoukian tarafından geliştirilen bir çerçevedir ve gizliliğin, sonradan bir eklenti olarak değil, baştan sistemlerin mimarisine gömülmesi gerektiğini önerir. Ruh sağlığı teknolojisi bağlamında bu şu anlama gelir:

Yerel öncelikli mimari: Verileriniz şirketin sunucularında değil, sizin cihazınızda yaşar. İhlal edilecek merkezi bir veritabanı, hacklenecek bir bulut altyapısı, mahkeme çağrısıyla istenmesi gereken sunucu tarafı günlükleri yoktur. Düşünceleriniz ait oldukları yerde kalır — sizinle.

Uçtan uca şifreleme: Veri iletilmesi gerektiğinde — örneğin cihaz senkronizasyonu için — iletimden önce cihazınızda şifrelenir ve yalnızca diğer cihazınızda çözülebilir. Hizmet sağlayıcının şifrelenmemiş içeriğe asla erişimi olmaz.

Sıfır bilgi tasarımı: Uygulama, geliştiricilerin bile yasal süreçle zorlanmaları durumunda verilerinize erişemeyecekleri şekilde tasarlanmıştır. Sahip olmadığınız şeyi teslim edemezsiniz.

Minimal veri toplama: Uygulama yalnızca işlevi için kesinlikle gerekli olan verileri toplar. Analitik izleyiciler, kullanım telemetrisi, davranışsal profilleme yoktur. Bir veri noktası terapötik deneyim için gerekli değilse, toplanmaz.

Açık kaynak şeffaflığı: Uygulamanın kodu, herkesin inceleyebilmesi için kamuya açıktır, böylece gizlilik iddialarının gerçek olduğu doğrulanabilir. Gizlilik vaatleri yalnızca doğrulama yeteneği kadar güvenilirdir.

Ruh sağlığı veri gizliliği için mevcut düzenleyici manzara, teknolojik yenilikle aynı hızda ilerlemeyi başaramayan yetersiz korumaların yamalı bir örtüsüdür.

ABD'de HIPAA'nın dar kapsamı çoğu ruh sağlığı uygulamasını düzenleme dışı bırakır. Federal Ticaret Komisyonu (FTC) şirketleri aldatıcı uygulamalar — yerine getirmedikleri gizlilik vaatleri — nedeniyle takip edebilir, ancak proaktif gizlilik standartları belirleme yetkisi sınırlıdır. Bireysel eyaletler boşluğu doldurmaya başlamaktadır: California'nın CCPA'sı ve Colorado'nun Gizlilik Yasası daha geniş tüketici veri korumaları sağlar, ancak uygulama tutarsız kalmaktadır.

Avrupa Birliği'nde Genel Veri Koruma Yönetmeliği (GDPR), ruh sağlığı verilerini açık onay ve gelişmiş güvenceler gerektiren "özel kategori verileri" olarak sınıflandırarak daha güçlü temel korumalar sağlar. Ancak uygulama eşit olmamıştır ve sınır ötesi veri akışlarının karmaşıklığı pratik zorluklar yaratmaktadır. Bir ülkede yerleşik, başka bir ülkede veri işleyen ve üçüncü bir ülkedeki kullanıcılara hizmet veren bir terapi uygulaması, denetlenmesi zor olan düzenleyici gri alanda var olmaktadır.

Türkiye'de KVKK (Kişisel Verilerin Korunması Kanunu), sağlık verilerini hassas kişisel veri olarak sınıflandırarak GDPR'ye benzer korumalar sağlar. Ancak uygulama mekanizmaları hâlâ olgunlaşma aşamasındadır ve dijital gizlilik hakları konusunda kamusal farkındalık sınırlı kalmaktadır.

Düzenleyici yaklaşımlarla ilgili temel sorun, reaktif olmalarıdır — ihlalleri tasarım yoluyla önlemek yerine, gerçekleştikten sonra cezalandırırlar. Bir veri ihlali keşfedildiğinde, soruşturulduğunda ve cezalandırıldığında, bireylere verilen zarar çoktan gerçekleşmiştir. Tasarımla gizlilik, yalnızca zarardan sonra cezalandırmak yerine, zararı önleyen tek yaklaşımdır.

Dijital bir ruh sağlığı aracı düşünüyorsanız, gizlilik uygulamalarını değerlendirmek, terapötik yaklaşımını değerlendirmek kadar önemli olmalıdır. İşte değerlendirme için pratik bir çerçeve:

Kırmızı bayraklar — bir uygulamanın gizliliğinize öncelik vermediğinin göstergeleri: • Anlaşılması güç, belirsiz veya hukuki jargonla dolu gizlilik politikaları • Temel özelliklere erişmeden önce kişisel bilgilerle (e-posta, telefon, gerçek ad) hesap oluşturma zorunluluğu • Temel işlevsellikle ilgisiz izin talepleri (kişiler, konum, kullanılmadığında mikrofon) • Uygulama içi reklam veya "kişiselleştirilmiş içerik önerileri" • Verilerin nerede saklandığı veya kimin erişimi olduğu hakkında bilgi yokluğu • Bağımsız güvenlik denetimleri olmayan kapalı kaynak kod

Yeşil bayraklar — gerçek gizlilik taahhüdünün göstergeleri: • Zorunlu bulut senkronizasyonu olmayan yerel veri depolama • Herkesin inceleyip doğrulayabileceği açık kaynak kod • Cihazınızdan ayrılan veriler için uçtan uca şifreleme • Minimal veri toplama — uygulama adınızı, e-postanızı veya kimliğinizi bilmeden çalışır • Reklam modeli yok — iş modeli verilerinize bağlı değildir • Kamuya açık sonuçlarla bağımsız güvenlik denetimleri • Uzman olmayan birinin anlayabileceği açık, sade dilde gizlilik politikası

Unutmayın: bir gizlilik politikası bir gizlilik garantisi değildir. Şirketler gizlilik politikalarını değiştirebilir ve değiştirir, genellikle zamanla veri toplama uygulamalarını genişletir. Tek gerçek garanti mimari olandır — gizlilik ihlallerinin yalnızca politika tarafından yasaklanmak yerine teknik olarak imkansız olduğu bir sistem tasarımı.

OpenGnothia, ruh sağlığı verilerinin cihazınızdan asla ayrılmaması gerektiği ilkesi üzerine sıfırdan inşa edilmiştir. Bu bir özellik değil — tüm uygulamanın üzerine kurulduğu temeldir.

Her terapötik konuşma, her günlük girişi, her ruh hali izleme veri noktası, her değerlendirme sonucu yalnızca yerel makinenizde bulunur. Verilerinizi depolayan bir OpenGnothia sunucusu yoktur. İhlal edilebilecek bir bulut veritabanı yoktur. Kayıtlarınızı teslim etmeye zorlanabilecek bir kurumsal varlık yoktur. Verileriniz kendi zihninizde bir düşünce kadar özeldir — çünkü asla başka bir yere gitmez.

OpenGnothia'nın AI işlemesi, yalnızca anlık konuşma bağlamını gönderen API çağrıları aracılığıyla cihazınızda yerel olarak gerçekleşir — geçmişinizi, profilinizi, kimliğinizi değil. AI sağlayıcısı bir konuşma görür, bir kişi değil. Ve OpenGnothia birden fazla AI sağlayıcısını desteklediğinden, tek bir şirketin veri uygulamalarına kilitli kalmazsınız.

Açık kaynaklı bir proje olarak, OpenGnothia'nın her satır kodu kamuya açıktır. Herhangi bir geliştirici, güvenlik araştırmacısı veya meraklı kullanıcı, gizlilik iddialarının gerçek olduğunu — verinin gerçekten yerel kaldığını, telemetri iletilmediğini ve arka kapı bulunmadığını — doğrulayabilir. Bu şeffaflık düzeyi, kodlarını ticari sır korumaları arkasına gizleyen tescilli uygulamalar için imkansızdır.

OpenGnothia ücretsizdir. Kullanıcı etkileşim metriklerini haklı çıkarması gereken bir abonelik modeli, kullanıcı büyüme rakamları bekleyen bir yatırımcı ve davranışsal profilleme gerektiren bir reklam geliri yoktur. Veri toplamak için ticari teşviklerin yokluğu, en güçlü gizlilik garantisidir — çünkü verilerinizi toplamak için bir neden olmadığında, verileriniz toplanmaz.

Gizliliğin güvenlik bilincine sahip azınlık için lüks bir özellik olmadığına inanıyoruz. Etkili ruh sağlığı desteği için temel bir gerekliliktir. Keşiflerinizin gözlemlenebileceğinden korkuyorsanız en derin korkularınızı keşfedemezsiniz. Dürüstlüğün mesleki sonuçları olabilecekse mücadeleleriniz konusunda dürüst olamazsınız. Gözetim ortamında iyileşemezsiniz. Gizlilik, terapötik güvenin temelidir ve OpenGnothia buna göre davranır.