Kişisel Veri Güvenliği Rehberi (Kurumlar için Teknik ve İdari Tedbirler)Üzerine Bir Değerlendirme Notu

KVK Kurulu tarafından iyi niyet ve bireysel fedakarlıkla hazırlandığını gördüğümüz bir rehber ile karşı karşıyayız. Yapılan değerlendirmelere Kişisel Verileri Korumayı bir yönetim sistemi olarak gören bir bakış açısı ile biz de katkı yapmaya çalıştık. Rehberden yararlanmayı düşünen veri koruma profesyonellerine katkı sağlaması maksadıyla yazdığımız makalenin faydalı olması dileği ile insan onuruna katkı sağlayan bir 2018 yılı diliyorum.

Yeni rehbere göre, kurumlar tarafından alınacak tedbirler idari ve teknik olarak iki kısımda incelenmekte.

Veri koruma kavramı ise rehberde üç başlıkla açıklanmış:

  • Hukuka aykırı olarak erişilmesini önlemek
  • Hukuka aykırı olarak işlenmesini önlemek
  • Kişisel verileri korumak

Değinmeden geçemeyeceğim, 47 sayfalık pdf’de giriş ve tanımlar gibi daha çok mevzuat yazımında karşılaştığımız başlıkları geride bırakıp metne girmek için 19 sayfa ilerlemeniz gerekiyor.

ve metin…

İlk olarak risk ve tehditlerin belirlenmesi elbette önemli ve öncelikli. Yüzeysel bir metin olmasından dolayı risk yönetim yaklaşımlarının detaylarına girilmesi elbette beklenmiyordu ama en azından ISO 31000 standardından, ISO 27001 ve BS 10012 Standartlarının risk içeren başlıklarından bahsedilmesini beklerdim. Rehber dokümanarın yönetim standartlarına atıf yapmasından doğal ne olabilir ki? 2017 yılının ekim ayında Kişisel Veri Koruma Sistemleri ve Teknolojileri konusunda Kişisel Verileri Koruma Kurul üyelerine sunum yapan 8 kişilik ekipte yer almış ve bireysel sunusunda ilgili konulara değinmiş biri olarak “biz bunları kitaplarımızda yazmıştık kardeşim” (:  falan diyemiyoruz ama yönetim standartlarına metinde yer verilmeliydi.

(Okuyucuya not: Rehberin kaynakçasında ingilizcesine yer verilirken başlığında ISO/IEC yazılıp numarası (muhtemelen mürettip hatası ile) unutulan standartların biri ISO 27001, diğeri ise ISO 27002 ‘dir)

Eğitim ve farkındalık çalışmalarının önemine vurgu yapılan kısımda kaleme alınan “Ayrıca kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken Yasaklanmadıkça Her Şey Serbesttir prensibi değil, İzin Verilmedikçe Her Şey Yasaktır prensibine uygun hareket edilmesine dikkat edilmelidir” ifadelerinin hoşluğunun da hakkını teslim etmek gerekiyor. Ayrıca iligli başlı altında değinilen “kurumsal kültür, roller, sorumluluklar, görev tanımları, politikalar, prosedürler, eğitimler, işe alım süreçleri, anlaşmalar, entegrasyon” benzeri cümlelerin de…

Teknik Konulardan bahsedilirken veri tespit teknolojilerine değinilmemiş olması çok büyük bir eksiklik. Mesela yüzlerce kullanıcısı olan bir sistemde yapılandırılmamış / veri tabanlarına dahil edilmemiş, kullanıcı bilgisayararında yer alan verilerin varlığından haberdar olmak bile büyük bir problemdir. Zira 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ek yönetmeliklerin veri koruma ile ilgili vazettiği konuların başında tüm kişisel veriler üzerinde kontrolü sağlamak geliyor, farkında olmadığınız veriler üzerinde kontrol sağlayamazsınız. Bunun Dışında DLP, maskeleme ve şifreleme gibi çözümlere değinilmesi yüksek kapasitede veri barındıran/işleyen kurumların farkındalığı açısından fayda sağlayacaktır.

Düzenli kontrollerden bahsedilirken belki de “iç denetim” kavramına değinmek iyi olabilirdi. Zira kurumlarımızda bir çok farklı alan ve disiplinde uygulanmakta olan bir iç denetim prosesi varken Kişisel verilerin korunması için de mevcut iç denetim prosesinde güncelleme / ekleme yapmak faydalı olacaktır.

Rehberde, veri işleyenlerle yapılan anlaşmaların önemine vurgu yapılması çok değerli. Bu konudan bahsedilirken SLA uygulamalarından bahsedilmesi ve yeri gelmişken ISO 20000-1 standardına atıf yapılması faydalı olabilirdi. Ayrıca rehberde çok kısa da olsa iş sürekliliğini riske atacak başlıklara değinilmiş. Bu doğrultuda KVKS (Kişisel Veri Koruma Sistemi) çalışmalarında iş sürekliğinin ve ISO 22301 standardının gerekliliğinin önemine vurgu yapmış olalım.

Buraya kadar değindiklerim bir tarafa, şimdi yazacaklarım bir tarafa denebiliecek kısma gelelim:

Gerek GDPR gerekse KVKK mevzuatında işlenecek olan verilerin envanterine çok güçlü bir vurgu yapılmışken Envanter kelimesi rehberde sadece bir defa kullanılmış… Risk analizinden bile daha öncelikle ele aınması gereken şey ise, riske attığınız verilerin neler olduğu/olacağıdır. Kurum verilerinin iş süreçlerinden damıtılarak çıkarılması gibi ağır bir iş yüküne hiç değinilmemiş olması bana göre rehberimizin en büyük eksikliğidir.

Tüm bunların yanında yayınlanmış olması bile çok değerli olan bu rehberin veri koruma profesyonelleri tarafından altı çizilerek irdelenmesini tavsiye ediyorum.

NormaTURK Genel Müdürü Sn. Cihat SEÇGİN tarafından rehberin yayınlandığı Ocak 2018 de kaleme alınmıştır.

rehberin tamamı için:

http://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf