Kişisel verilerin korunması kanunu Türkiye’ de kişisel verilerin korunması için yayınlanmış regülasyonun yasal adıdır. Bu kanun aslında Avrupa Birliği’ ne uyum süreci için gerekli olduğu düşünülen kanunlardan biri. KVKK olarak bilinen ve anılan bu yasa, 7 Nisan 2016 tarihinde 6698 sayılı kanun olarak resmi gazetede yayımlanarak yürürlüğe girdi. Kişisel veri gizliliğinin korunmasının yanında kanunun belirlediği usul ve esasların tüm kurum ve kuruluşlar için geçerli olması, gerekli uyumun sağlanmaması halinde yaptırımların olması KVKK’ yı ülkemizde önemli ve popüler konulardan biri haline getirdi. Resmi olarak 7 Nisan 2018 tarihi itibariyle uyumluluk sürecinin tamamlandığı Kişisel Verilerin Korunması Kanunu ile birlikte şirketleri bekleyen çok önemli değişiklikler bulunmakta. Uluslararası benzer standartlar ve kanunlar ile birlikte değerlendirildiğinde; KVKK ile birlikte kişisel verilerin sınırsız olarak gelişigüzel toplanması, denetimsiz olarak açıklanması veya yetkisiz kişilerin eline geçmesi durumunda kötüye kullanılarak kişilik haklarının ihlal edilmesi gibi sorunların önüne geçilmesi amaçlanıyor. Türkiye’ de kanunun etkilerini Hukuk, Bilgi Güvenliği, Organizasyon, Veri Yönetimi, Süreç Optimizasyonu gibi alanlarda görmekteyiz. Kanuna uyumluluğun sağlanması için bu alanlarda bir takım çalışmalar ve düzenlemeler yapılması gerekiyor. KVKK’ ya uyum için ayrıca yönetim kurulu başta olmak üzere tüm üst yönetimin sorumluluğu, sahiplenmesi ve sponsorluğu önem taşıyor. Uyum için aksiyon almanız gereken alanları ve yapılması gereken çalışmaları şu şekilde özetleyebiliriz.
-
Yönetişim ve Organizasyon
- KVKK sorumluluğu ve personelinin atanması
- KVKK ekibinin rol ve sorumluluklarının ve çalışma esaslarının tanımlanması
- Üst yönetim raporlama yöntem, zamanlama ve içeriklerinin tanımlanması
- Şirket çapında geçerli olacak Kişisel Verilerin Korunmasına ilişkin politikanın hazırlanması
- KVKK uyum programı hedeflerinin ve buna ilişkin performans göstergelerinin belirlenmesi, buna ilişkin ölçümlerin yapılarak düzenli olarak raporlanması
- Kişisel verilerin korunmasına yönelik gerek kanun gerekse de diğer iyi uygulamalar ışığında tüm personelin düzenli olarak bilgilendirilmesi
-
Kişisel Veri Envanteri
- KVKK için veri envanteri çalışmalarının tamamlanması
- İç / dış veri paylaşım envanterinin tamamlanması ve buna ilişkin akışı
- Envanterdeki hukuk, mevzuat, uyum ve IT yorumlarına göre gerekli düzenlemelerin yapılması, buna ilişkin olası süreç ve IT değişiklik ihtiyaçlarının belirlenmesi
-
Teknik Tedbirler
- Bilgi güvenliği açısından değerlendirme yapılması ve kişisel verilerin bulunduğu BT altyapısı ve ağ sistemlerinin veri güvenliği açısından kontrol edilmesi
- Veri içeren ve veri akışını sağlayan tüm sistemlerin yedeklerinin düzenli olarak alınması ve raporlanması
- Veri sınıflandırma çözümleri ile birlikte DLP çözümleri kullanılması
- Yönetici yetkisi kısıtlamaları, denetim izleri yönetimi, erişim yetkisi olan kullanıcının yaptığı işlemlerin takip edilebilmesi
- SIEM çözümleri ile log kayıtlarının tutulması ve güvenlik yönetimi
- Şifreleme ile ilgili gerekli aksiyonların alınması (Disk, Dosya, USB)
- Firewall, IPS, WAF gibi çözümlerle ağ güvenliğinin sağlanması
- Antivirüs ve sandbox çözümleriyle zararlı yazılım analizlerinin statik ve dinamik analizlerle sağlanması
- NAC çözümleri ile ağa erişimlerin kontrollü ve yetkilendirme ile yapılmasının sağlanması
- Uygulama güvenliği için statik kod analizi yapan ürünler ile uygulamaların kontrolleri
- Veri tabanı güvenliği için veri tabanı aktivite izleme ve veri tabanı güvenlik duvarı çözümlerinin kullanımı
- Mail güvenliği çözümleri ile mail üzerinden olası veri kaybının önlenmesi
- DNS güvenliği çözümleri ile kullanıcıların internete güvenli ve kriptolu erişimlerinin sağlanması
-
Süreçlerin Adaptasyonu
- Talep ve şikayet yönetimi sürecinin nihai hale getirilmesi ve Şirket çapında uygulamaya konması, gerekli eğitimlerin verilmesi
- Kişisel veri ve paylaşım envanterleri ışığında gerekli olabilecek süreç değişikliklerinin değerlendirilmesi ve hayata geçirilmesi
- En önemli husus olarak KVKK etki değerlendirme çalışmalarının yeni ürün ve hizmet geliştirme süreçlerinin bir parçası haline getirilmesi
-
Otomasyon ve Raporlama
- Süreç ve IT alanında çıkabilecek değişiklik ihtiyaçlarının IT tarafında ele alınması
- Veri yönetimi tarafında gerekli otomasyon ihtiyaçlarının analiz edilmesi ve hayata geçirilmesi
- IT sistemlerindeki kayıt alma (log) ve gerekli olabilecek diğer güvenlik sistemi ihtiyaçlarına karar verilmesi, hayata geçirilmesi
Uyum için gerekli aksiyonları aldıktan sonra gözden geçirme /denetim çalışmasının gerçekleştirilmesi ve raporlanması önemlidir. Kanun kapsamında düzenli denetimlerin yaptırılması zorunlu kılınmıştır. Bu anlamda Kurul tarafından başkaca bir yönlendirme gelmese bile şirket yönetimlerinin gerek iç, gerekse de dış denetim çalışmalarıyla KVKK uyum durumunun bağımsız ekiplerce durum tespitine yönelik insiyatif göstermesi beklenecektir. KVKK ile aynı kapsamda yer alan diğer konu ise GPDR. KVKK ile aynı amaca ve işleve sahip düzenleme Avrupa’ da GPDR (General Data Protection Regulation) yani Genel Veri Koruma Tüzüğü olarak adlandırılıyor. Bu tüzük, Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylandı. GDPR, 25 Mayıs 2018 tarihi itibariyle ise Avrupa Birliği üyesi tüm ülkelerde resmi olarak yürürlüğe girecek. Bu sebeple KVKK ve GDPR birlikte ele alındığında kurumların tuttuğu bilgiler arasında herhangi bir AB vatandaşına veya AB kurumuna ait kişisel veri olması durumu da ayrıca ele alınacak ve GDPR ile getirilen yaptırımlar da dikkate alınacak.
Özetle… KVKK uyum sürecini bir proje değil, süreç olarak görmek, kurumda sıcak gündemlerden biri olarak tutmak, personeli bu konuda bilinçlendirmek ve sürekli olarak gerekli tedbirleri almaya devam etmek kurumlar açısından bu konudaki uyum sürecini hızlandıracak ve verimliliği artıracaktır. KVKK yı bir bütün olarak düşündüğünüzde; kişisel verilerin güvenliğini sağlama adına yapılan tüm çalışmalar hem verilerinizi, hem kişilerinizi, hem de kurumunuzu koruyacaktır. KVKK ile gelen ceza, sınırlama ve repütasyon kaybı gibi yaptırımları olan hukuki bir süreç yaşamamak için yayınlanan tüm yönetmeliklerin aktif olarak takip edilmesi, gerekli idari ve teknik tedbirlerin alınması önem arz ediyor. Bilgi Güvenliği ve teknolojik çözümler konusunda danışmanlık alınması ve gerekli güvenlik projelerinin hayata geçirilmesi düşünülmelidir. Bir sonraki yazım KVKK kapsamında uygulanması gereken teknik tedbirlerin detayları ve DLP çözümleri ile ilgili olacaktır.
Bilal KOYUNCU Siber Güvenlik Uzmanı