KVKK İçin Alınması Gereken Teknik Tedbirler Nelerdir?
Son dönemlerde pek çok firma Kişisel Verilen Korunması Kanunu (KVKK), konusunda oldukça etkin çalışmalar yaparak, işletmelerine daha kurumsal bir yapı kazandırmak için uğraşıyorlar. Firmaların bu kadar rağbet ettiği KVKK ise, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur. Bu kanun, 7 Nisan 2016 tarihinde yürürlüğe girmiştir.
Kişisel Verilen Korunması Kanunu (KVKK) Nedir?
Kişisel Verilen Korunması Kanunu (KVKK), aslında kişilerin en temek haklarından biri olan özel hayatın gizliliği, kişisel verilen kişinin izni olmadıkça paylaşılmaması gibi hakları korumak adına yürürlüğe giren bir kanundur. Bu kanun, firmaları belirli kurallar çerçevesinde sınırlandırarak, özellikle de kişisel verileri işleyen firmalara yükümlülükler getirmiş ve uyacakları kuralların çerçevesi çizilmiştir.
Kişisel Verilerin Korunması Kanunu, temel olarak kişilerin temel hak ve özgürlüklerini koruyarak, ister tüzel ister gerçek kişiler olsun, hepsinin yükümlülüklerini ve uyacakları usul ile esasları düzene koymayı amaçlar. Bu noktada, uzun süredir online sistemlerde ya da telefon görüşmelerinde de duymaya alıştığımız şekilde, kişilere Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında verilerin kayıt altına alındığını önceden bildirmek, yani açık olarak rızasını almak zorunlu hale gelmiştir. Bu kanun ile birlikte, kişisel veriler kişinin rızası olmadığı takdirde işlenemez ve başkalarına aktarılamaz. Aksi takdirde yasal olarak suç işlenmiş olacaktır.
Kişisel Verilen Korunması Kanunu (KVKK)‘nun Kapsamı
Kişisel Verilerin Korunması Kanunu (KVKK), 3 muhatap temel alan bir sistemdir. Bu muhataplar; gerçek kişi, veri sorumlusu ve bu verileri işleyen gerçek ya da tüzel kişilerdir.
Gerçek kişi olarak adlandırılan muhatap, kişisel verilerin işlenen gerçek kişileri temel alır. Bunun yanı sıra veri sorumlusu olarak adlandırılan muhatap, veri kayıt sistemini kuran ve yöneten, bunu yaparken kişisel verilerin hukuka aykırı şekilde işlenip erişilmesinin önüne geçen kişidir. Aynı zamanda bu muhatap, kişisel verilerin neden işlenmesi gerektiğini ve amaçlarını ortaya koyarak bu sisteminden yönetilmesinden sorumlu kişileri belirtir. Bu kişiler kurum kuruluşlar, dernekler gibi tüzel ya da gerçek kişi olabilir. Veri işleyen olarak adlandırılan muhatap ise; kendisine verilen talimatlar çerçevesinde kişisel verileri sistemlere işleyen ve veri sorumlusu adına bu işleri yürüten kişilerdir. Bu kişiler de yine gerçek ya da tüzel kişi olabilir.
Kişisel Verilen Korunması Kanunu (KVKK) İçin Alınması Gereken Teknik Tedbirler Nelerdir?
İşletmeler KVKK hakkında pek çok çalışma yaparken, alınması gereken hem hukuki hem idari boyutta önlemler vardır. Ancak bunların yanı sıra, aynı zamanda sistem yöneticileri tarafından alınması gereken teknik tedbirler de bulunmaktadır. Bu teknik tedbirler, kişisel verilerin güvenliğini sağlamak için en önemli konu başlıklarından birisidir.
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında alınması gereken teknik tedbirler şunlardır:
1) Kimlerin hangi verilere ne koşulda ulaşabileceğini gösteren yetki matrisi çıkarılmalıdır.
2) Bir kurumda, kişisel veriler içeren sistemlere herkes tarafından erişimi engelleyebilmek adına erişimin sınırlı olması gerekir. Bunu sağlayabilmek için ise, yetki kontrolü sistemi kurulmalıdır. Yani, bir işletmedeki çalışanlar, yaptıkları iş ve görevler çerçevesinde gerek olan ölçüde veriye ulaşmalıdır. Bu verilere ulaşmak için ise, bir güvenlik duvarı oluşturularak, yetkili kişinin tanınabilmesi için kullanıcı adı ve şifre kullanılmasını sağlayacak bir sistem kurulmalıdır.
3) Erişim logları oluşturulmalıdır. Yani, bir veri için bir sisteme giriş yapıldığında, güvenlik duvarının gereğince sisteme hangi tarihte ve saatte, hangi IP adresinden giriş yapıldığının loğları oluşturulmalı yani kayıtları tutulmalıdır.
4) SIEM yani Güvenlik Bildirimi ve Olay Yönetimi ile kullanıcı hesap yönetimi sağlanmalıdır.
5) Ağ güvenliği ve ardından da bu sistemin uygulama güvenliği oluşturulmalıdır.
6) Uygun bir alt yapı ile şifreleme yapılarak, sızma testi ile sistemin güvenilirliği kontrol edilmelidir.
7) Eğer ki bir siber saldırı olursa neler yapılabileceği ile ilgili önlem planları oluşturulmalıdır. Siber saldırı olmaması için varsa sistem açıkları hızlıca kapatılmalı ve bir saldırı olursa nasıl tespit edileceği belirlenmelidir.
8) Verileriniz korunmalıdır. Bunu sağlayabilmek için ise, öncelikle veri maskeleme işlemi nasıl yapılabilir diye üzerinde çalışılmalı ve ardından da veri kaybını önleyebilme adına sistemler geliştirilmelidir. Elde edilen verilerin korunabilmesi ve kaybolmaması, sistem sürekliliği açısından elzemdir. Veri kaybının önüne geçmek için yedekleme sistemleri geliştirilmelidir.
9) Güvenlik duvarları test edilmeli, iyi bir güvenlik duvarı kurulduğundan emin olunmalı, bu sistemler de güncel anti-virüs programları ile desteklenmelidir.
10) Kişisel verileri saklanan ilgili kişi, kendisine ait kişisel verilerin silinmesini ve yok edilmesini veyahut anonim hale getirilmesini yani kişisel verilerin başka verilerle eşleştirilmesi durumu olsa dahi kimliklerinin gizlenmesini talep edebilir. Bu nedenle, veri sorumlusu böyle bir talep gelmesi durumunda, verilerin tamamen kullanılamaz hale gelmesi için bir sistem kurmakla yükümlüdür.
11) Bilişim alanında şifreleme sistemi, şifreleme anahtarlarının yönetimi ile sağlanabilmektedir. Veri sorumlusu, anahtar yönetimini uygulamakla yükümlüdür. Kullanıcıların bir sistemin erişimi için bu anahtarları kullanmalıdır. Bu anahtarların üretilmesi, gerektiği durumda değiştirilmesi, güvenli şekilde saklanması, gerektiği durumda imhası yapılmalıdır ve bu da Kişisel Verilerin Korunması Kanunu (KVKK) gereğince alınması gereken teknik tedbirlerdendir.
Kişisel Verilen Korunması Kanunu (KVKK) Sistemi Nasıl Kurulur?
Kişisel verilerin korunmasını sağlayabilmek amacıyla, kurum ve kuruluşlar alanında uzman ve bu sistemi en etkin şekilde uygulayabilecek profesyoneller ile çalışmak isterler. Bu durumda, Kişisel Verilerin Korunması Kanunu (KVKK) hakkında danışmanlık alarak sistemi en iyi şekilde kurabilirler.
Kişisel verilerin korunması için verilen danışmanlık kapsamları aslında üç aşamalıdır ve bu aşamaların hepsi uygun şekilde tamamlandığında, kişisel veriler korunabilmektedir.
1) Hukuki Danışmanlık
2) Süreç Danışmanlığı
3) Teknik Tedbirler Hakkında Danışmanlık
Bu aşamaları başarı ile tamamlayabilen firmalar, kişisel verilerin güvenliğini sağlayarak, ticari hayatında da pek çok avantaj sağlarlar. Bu avantajlar sıralanacak olursa;
• Farkındalık yaratılmış olur.
• İş ilişkilerinde ortaya çıkabilecek olumsuz senaryolar azalır ve bilinç artar.
• Verilere daha hızlı, kolay ve uygun koşullarda erişim sağlanabilir.
• Verileri sınıflandırma şansı elde edilir.
• İş sürekliliği sağlanır.