İşletmeler için Veri Güvenliği
7 Nisan 2016 tarihinden bu yana yürürlükte bulunan Kişisel Verilerin Korunması Kanunu (KVKK) işletmelere belirli sorumluluklar yüklemektedir. Bunları bir önceki yazımızda genel olarak ifade etmiştik. Bu yükümlülüklerden belki de en önemlisi işletmenin veri güvenliği önlemlerini almasıdır.
Veri Güvenliği nedir?
Veri güvenliği, ilgili mevzuatta doğrudan tanımlanmamıştır. Bu tanımına KVKK madde 12 üzerinden ulaşıyoruz.
Madde 12 – Veri güvenliğine ilişkin yükümlülükler
(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Hükümden anlaşıldığı üzere veri güvenliği tanımı için bir çerçeve çizilmiştir. Bu çerçeve, Kişisel Verileri Koruma Kurumu tarafından yönetmelik, tebliğ vb. yöntemlerle değil, Veri Güvenliği Rehberi vasıtasıyla doldurulmuştur.
Teknolojinin değişen hızı ve işletmelerin farklı ölçü ve sektörlerde olması dikkate alındığında rehberde yer alan veri güvenliğine yönelik idari ve teknik tedbirler zaman içinde değişebilir. Nitekim farklı büyüklükte ve farklı risklere sahip işletmeler için aynı ölçüde gerekli tedbirlerin alınmasını istemek yanlış olurdu. Dolayısıyla bu hükümden çıkarılabilen kısa sonuç, işletmeler faaliyet ölçüsü nispetinde veri güvenliğine yönelik tedbirleri almalıdır.
İşletmeler Veri Güvenliği için ne yapmalı?
Hazırlanan veri envanterinde kişisel veri içeren ortamların ne olduğuna yer verilmelidir. Bu ortamları elektronik olan ve olmayan ortamlar olarak ayırabiliriz. Basılı kağıtlarda oluşan evrak ortamı elektronik olmayan ortam olarak sayılabilir. Yerel veya bulut sunucular, bilgisayarlar, çıkarılabilir bellekler ve benzerleri elektronik ortam olarak sayılabilir. İşletmenin yükümlülüğü, bu ortamlarda yer alan kişisel verilerin güvenliğini sağlamaktır.
Veri güvenliğini sağlamak üzere işletmelerden idari ve teknik yönden tedbirler alması beklenmektedir. Bunlardan özellikle elektronik ortamların güvenliğini sağlamak üzere alınması gereken temel bazı önlemleri aşağıda sizler için sıraladık.
- İşe mümkün olduğu kadar kişisel veri kullanımını azaltarak başlayın.
- Elektronik olan veya olmayan ortamlar özelinde mevcut risk ve tehditleri belirleyin. Bunu veri envanteri hazırlama sırasında da yapabilirsiniz.
- Veri güvenliğini sağlamak üzere idari ve teknik anlamda belirlenen riskleri azaltma yollarını ve alınması gerekli tedbirleri içeren politikalar ve prosedürler belirleyin. Bu kapsamda ISO 27001 Bilgi Güvenliği Yönetim Sistemi esas alınabilir.
- İyi düzeyde konfigürasyonu sağlanmış bir güvenlik duvarı kullanın.
- İşletmedeki sunucuları ve tüm bilgisayarları kapsayan güncel bir anti-virüs sistemi kullanın.
- Veri kaybını en aza indirmek ve iş sürekliliğini aksatmamak için yedekleme sistemi kullanın. Yedeklenen verilerin kriptolanmasına ve fiziksel güvenliklerinin sağlanmasına dikkat edin.
- Kullanılan ağ ve programlarda kullanıcı hareketlerini izleyin. Bu anlamda periyodik kontroller yapmayı veya yaptırmayı ihmal etmeyin.
- Sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve tehditleri bildiren resmi bir raporlama prosedürü oluşturun.
- Kişisel veriler üzerinde işlem yapabilen bilgisayar kullanıcılarının veri güvenliğine yönelik eğitimler almasını sağlayın veya bu konuda hizmet alın.
- Sunuculara yapılan uzaktan bağlantıların SSL VPN yoluyla yapılmasına ve bu bağlantılarda iki kademeli kimlik doğrulama kontrolü uygulanmasına dikkat edin.
- Lisanslı ve güncel yazılımlar kullanın ve sistemdeki gerekli güncellemelerin zamanında yapılmasına dikkat edin.
Veri güvenliği için nereden başlamak gerek?
Düzenlenen idari para cezaları dikkate alındığında kişisel verilerin muhafazası önem kazanmaktadır. Bu kapsamda, kişisel verilerin güvenliğini sağlamaya yönelik alınacak idari ve teknik tedbirler, işletmenin faaliyet ölçüsüne ve büyüklüğüne göre sayı ve içerik olarak değişiklik gösterebilir. Ancak, 10 adımda siber güvelik çözümlerini hayata geçirerek genel bir başlangıç yapabilirsiniz. Bu adımların detaylarına indiğinizde ise veri envanteri hazırlamanın ne kadar önemli olduğunu ve bunu temel alan bir risk analizi yapmanın gerekli olduğunu göreceksiniz.
Sözün Özü
Sonuç olarak, KVKK hükümlerini işletmenizde uygulanabilir kılmak için tüm iş süreçlerini ve bilgi işlem yapısını gözden geçirerek bir KVKK uyum projesi yürütmek en doğrusu olacaktır. Zira sadece hukuki durum arz eden belgelerden oluşmayan KVKK uyumu, işletmenizin süreç ve bilgi işlem yapısı dikkate alınarak ilgili mevzuata uyumun yürütülmesi ve yönetilmesi ile yakından ilgilidir.
KVKK uyumu hakkında her türlü bilgi ve hizmet için bize ulaşabilirsiniz.
Diğer Blog Yazılarına Göz Atın
Apsis Editör Ekibi
2019 yılından bugüne kadar devlet teşvikleri alanında faaliyet gösteren Apsis Danışmanlık Hizmetleri, sağlık turizmi, imalat sanayi, ihracatçı işletmeler ile çeşitli KOSGEB ve TÜBİTAK projelerinde terzi usulü anlayışı profesyonel bir yaklaşımla yerine getirerek milyonlarca lira devlet desteğini işletmelere kazandırmaktadır.