KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER
Mevcut Risk ve Tehditlerin Belirlenmesi
(KVKK) Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından
işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya
çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol
açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması
gerekmektedir.
Bu riskler belirlenirken;
● Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
● Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
● Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği
dikkate alınmalıdır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin
azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet,
uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve
idari tedbirler planlanarak uygulamaya konulmalıdır.
Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması
konusunda büyük önem taşımaktadır.
ihlallerindendir.
zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin
açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü
kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir.
paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık
çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.
kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve
çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.
kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin
Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.Öte yandan, çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını
imzalamaları istenebilir. Çalışanların güvenlik politika ve prosedürlerine uymaması
durumunda devreye girecek bir disiplin süreci de mutlaka olmalıdır.
gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine
sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel
tutulması sağlanmalıdır.
Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.
Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler,
veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir.
üzerinde ortaya çıkabilecek baskıyı azaltacaktır. Bu nedenle veri sorumlularının,
veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik
önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden
emin olması gerekmektedir.
belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler
yerine getirildikten sonra da düzenli olarak kontrollere devam edilmelidir.
nasıl yönetileceği de açıkça belirlenmelidir.
Kişisel Verilerin Mümkün Olduğunca Azaltılması
gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç
için gerekli olan süre kadar muhafaza edilmelidir.
kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru
olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline
gelebilmektedir.
uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı
tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmekte
ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile
kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine
uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.
Veri İşleyenler ile İlişkilerin Yönetimi
hizmet almaktadırlar. Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin
kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin
sağlandığından emin olmaları gerekmektedir.
sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve
kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket
edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun
olması önerilmektedir.
tabi olacağının da bu sözleşmede yer alması önem taşımaktadır.
bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi
de, veri sorumlusunun bu ihlali derhal Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye
bildirme yükümlülüğünü yerine getirmesi açısından faydalı olacaktır.
tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede
belirtilmiş olması, veri işleyenin veri güvenliğini sağlama yükümlüğünü yerine getirmesi
açısından faydalı olacaktır.
yapar veya yaptırır, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı
yerinde inceleyebilir.
>KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER
Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam
güvenliğin sağlanabileceği görüşü her zaman doğru değildir. Çünkü tehditler her
geçen gün boyut ve nitelik değiştirerek etki alanlarını genişletmektedirler.
İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz
etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların,
kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online
servislere erişimini önleyebilir.
Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve
yapılandırma işlemlerine tabi tutulması gerekmektedir. Ancak yaygın şekilde kullanılan
bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta
olup, kullanılmayan yazılım ve servislerin cihazlardan kaldırılması potansiyel güvenlik
açıklarının azalmasını sağlamaya yardımcı olacaktır. Bu nedenle, kullanılmayan yazılım
ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih
edilebilecek bir yöntemdir.
Diğer önemli unsurlardan biri de yama yönetimi ve yazılım güncellemeleri olup
yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik
tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi de olası güvenlik
açıklarının kapatılması için gereklidir.
Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu
kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları
için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak
suretiyle ilgili sistemlere erişim sağlanmalıdır.
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak
tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması
gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak
gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.
Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından
kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile
gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.
Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen
saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli
belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç
kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının
belirlenmesi,
c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları
gibi),
ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan
tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,
gerekmektedir.
Söz konusu raporlama sürecinde oluşturulacak raporlar, sistem tarafından
oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en
kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir.
Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının
düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete
geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak
zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına
dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.
Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya
hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması
gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt
ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması
gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması
gerekmektedir.
Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere
(yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların
kontrol altına alınması önemlidir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ
bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir.
Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle
sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm
ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir.
Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar,
cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa
da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde
ve yeterli tedbirler alınarak gönderilmesi gerekmektedir.
Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar,
sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik
önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında
tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin
önlemler de alınmalıdır.
Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim
kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması kişisel veri
güvenliğinin sağlanmasına yardımcı olacaktır.
Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir. Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmalı, söz konusu evraklara yetkisiz erişim önlenmelidir.
Bunlarla birlikte şifreleme farklı farklı formlarda kullanılan ve bu formlara göre farklı
şartlar sağlayan bir güvenlik sağlama aracıdır. Bu kapsamda, tam disk şifrelemesiyle
cihazın tümü şifrelenebilir ya da cihazda bulunan bir dosya şifrelenebilir.
Kişisel Verilerin Bulutta Depolanması
Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile
hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri
sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları
tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde
getirmektedir.
Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik
önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi
gerekmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi,
yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi
halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması
önerilmektedir.
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında,
kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel
veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı
ayrı şifreleme anahtarları kullanılması gerekmektedir.
Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye
yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi gerekir.
Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut
sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz
önüne alınmalıdır.
Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı,
doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak
bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları
yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü
bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara
gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi
için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki
veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi
gibi işlemler yapılması gerekir.
Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekir.
Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya
kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa
sürede faaliyete geçmesi gerekmektedir.
Ayrıca kötü amaçlı yazılımlar da halihazırdaki verilere erişime engel olabilmektedir.
Örneğin elektronik cihazlardaki kişisel verileri içeren dosyaları kilitleyen ve bunların
açılabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar
olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri
yedekleme stratejilerinin geliştirilmesi önerilmektedir.
Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir
olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri
üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla
karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de
sağlandığından emin olunmalıdır.
>TEKNİK ve İDARİ TEDBİRLER KAPSAMINDAKİ ÖZET TABLOLAR
verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak
muhafazasını sağlamak amacıyla alabilecekleri teknik ve idari tedbirleri gösteren tablolar
aşağıda verilmiştir.
Teknik ve idari tedbirler belirlenirken, kişisel verilerin niteliği ve muhafaza edildiği ortam göz
önünde bulundurulur.
Veri sorumluları tarafından alınabilecek teknik tedbirler.
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
Veri sorumluları tarafından alınabilecek idari tedbirler.
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim