Kuruluşlar, artan talepleri karşılamak amacıyla kaynak sağlamak zorunda kaldıkları için teknolojiden yararlanmak isterler. Bu noktada teknolojiye yatırım yapmaları beklediğimiz bir durumdur. Teknolojinin kullanımı da ister istemez, güvenlik konusundaki risklerin artmasına neden olur. Bu durumda, güvenlikle bağlantılı olarak kişisel veri güvenliği için önlem alınmasını gerektirir.
Veri güvenliğini sağlamak, teknik alt yapıyı kuvvetlendirmek, veri işleyen ve saklayan uygulamaları denetlemek, veri ihlalini engellemek, veri ihlali amaçlı siber saldırılara karşı tedbir almak gibi işlemler için teknolojik ürünler gerekir.
Yukarıdaki ifadelerden de anlaşılacağı gibi veri güvenliği ve teknoloji ilişkilidir.
İş ve özel hayatımızın vazgeçilmezi olan bilgisayarlar ve tüm teknolojik ürünler, uygulamalar verilerimizin korunması alanında yasaların ve ilkelerin gelişmesine yol açmış, beraberinde sorumluluklar getirmiştir. Böylece kişisel verilerin korunması, kişisel hakların ihlal edilmesinin de önüne geçilmesi, kişisel hak ve özgürlüklerimizin korunması noktasında zorunlu olmuştur. Ayrıca veri sahibine (verileri işlenen kişilere) daha fazla şeffaflık ve daha iyi kontrol sağlamak amacıyla teknolojik çözümler sunulmuştur.
Kuruluşlar, veri sorumluları ile beraber teknolojik yenilikleri, hem potansiyel riskleri hem de fırsatları değerlendirerek güncel tutmalı, faydalı bulunanların uygulanmasına özen göstermeliler.
Kişisel Verilerin Korunması ve Teknik Uyumluluk
Teknolojik analiz için yapılması gerekenler;
- Kişisel verileri işleme, depolandığı sistemlerin ve uygulamaların güvenliğini sağlamak,
- Kişisel verilerin muafaza edildiği fiziksel ortamların güvenliğini sağlamak,
- Kullanım kısıtlamalarının tanımlanmış olmasını sağlamak ve kontrolünü yapmak,
- Kişisel verilerin 3. Şahıslara aktarımının güvenliğini sağlamak,
- Yetkisiz erişimi, kişisel verilerin yasa dışı kullanımını, değiştirilmesini, ifşa edilmesini, silinmesini önlemek için teknolojik güvenlik önlemlerini almak,
- Güvenlik ihlallerini ortaya çıkarmak ve bilgilendirmek için süreç raporlarını incelemek olacaktır.
Sonuç olarak özetlersek,
“Mevcut alt yapı ve uygulamalar KVKK’nın belirlediği teknik tedbirler için gereksinimleri karşılıyor mu? Bunu tespit ederek riskleri belirlemek, açık olan noktalarda teknik çözümler önermek, atılacak başlıca adımlardan biridir.
Teknolojik etkileri nasıl dikkate alırız veya uygularız?
- Veri güvenliğini sağlayacak ve verilerin korunmasını etkileyecek en son teknolojik gelişmeler (bulut teknoloji kullanımı, bilgi yönetim sistemleri, denetimsiz uygulamalar v.b gibi) izlenmeli, karşılaşılabilecek sorunlar tespit edilmelidir.
- Kişisel Verileri Koruma Kurulu’nun belirlediği yasal önlemler, yeni kurul kararları ve yönetmelik değişiklileri takip edilmeli, ön görülen sürede uygulanmalıdır.
KVKK kapsamında kurumlar 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrasında bulunan,
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b.Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c.Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
KVKK’da Teknik Tedbirler
KVKK’da (Kişisel Verileri Koruma Kanunu) belirtilen teknik tedbirleri aşağıdaki başlıklarda gruplayabiliriz.
- Bilişim sistemlerinin tedarik edilmesi, geliştirilmesi ve bakımı,
- Bulut teknolojisinin kullanılması,
- Kişisel veri içeren ortamların güvenliğinin sağlanması,
- Kişisel veri güvenliğinin takibi,
- Siber güvenliğin sağlanması,
- Verilerin gerektiğinde silinmesi/ anonim hale getirilmesi,
- Verilerin yedeklenmesi,
- Sızma Testi’nin uygulanması (Penetrasyon Testi).
KVKK’nın kişisel verileri kullanan, işleyen ve saklayan gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları, verilerin belli bir düzende işlenmesini ve gizliliğini sağlamak için teknolojik önerileri şu şekildedir:
- Kişisel veri tespiti: Bireylerin kişisel verilerinin tespit edilmesi (Adı soyadı, T.C kimlik v.b.)
- Kişisel verinin şifrelenmesi: Verilerin ele geçirilmesi durumunda, verinin şifreli olması Hacker’ın veriyi elde edememesi ve veri sızıntısının engellenmesi.
- E-posta güvenliği: Kaynağı belirsiz emaillerin engellenmesi (Kurum bilgisayarı ve ağını riske atabilir.)
- Web sitesinin güvenliği: Güvenlik açığının kontrol edilmesi (Kötü niyetli saldırılara mazruz kalmamak için.)
- Log ve SIEM teknolojileri: Kurumlarda gerçekleşen işlem kayıtlarının analizi ile veri sızıntısının denetlenmesi.
- Veri silme yok etme: Verilerin imha edilmesi hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
- Zaman damgası: Elektronik sertifika hizmet sağlayıcısı tarafından verinin ne zaman değiştirildiği, alındığı, gönderildiği bilgisinin sağlanması.
- Veri tabanı güvenliği: Veri tabanlarında güvenlik açığı tespitinin yapılması.
- Cihaz konfigürasyon kontrolü: Güncellenmiş olması ve uyumluluk kontrolünün yapılması.
- Mobil cihaz yönetimi (MDM): Erişim açığının tespiti.
- Yetki ve erişim denetimi: Ağ bağlantılarının ve erişimlerin izlenmesi.
Sonuç olarak teknolojik gelişmeleri, güncellemeleri sürekli takip etmek gerektiği bir gerçek. Yenilikler, sadece güvenlik amaçlı olmayabilir, beraberinde yeni işlevler ve yeni bir görüntü de sağlayabilir. Söz konusu güvenlik açıklarının kapatılması için güncellemelerin hemen yüklenmesine özen göstermeliyiz.
Son olarak “Kişisel Verileri Koruma” diyince aklınıza takılan her türlü soru için bizler buradayız ya da dilerseniz bize iletişim numaralarımızdan ulaşabilirsiniz.