Ankara KVKK
KVKK, kişisel verilerin korunma kanunu anlamına gelmektedir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da yürürlüğe girmesiyle, “kişisel veri” olarak nitelendirilen verilerin işlenmesi hususunda birtakım prensip ve kurallar getirilmiştir.
Kişisel veriler ile şirketlerin korumakla yükümlü olduğu diğer veriler birbirinden ayrılmalıdır.
Yetki matrisi, firmalarda paylaşılan her dosyaya ve veri tabanı için kimin erişime yetkisi olduğu, kimin ne zaman ne biçimde hangi araçlarla ulaşım sağladığı veya ulaşım yetkisinin olduğu yazılan tablolardır.
KVKK geneline bakıldığında yapılan ilk faaliyetlerin tamamı firma evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncel olması gerekiyor.
Bildiğiniz gibi KVKK bakımından hazırlanan veri envanteri dokümanı Excel olarak hazırlanıyor; şu sözleşme, bu doküman içinde kişisel veri var gibi kayıtlar olup bu sözleşme ve dokümanın nerede olduğu bile yazılmıyor. Daha vahimi ise
- Hangi dosya sunucuda hangi dizinde kişisel veri var? bu kişisel verilerin tipi ne?
- Hangi veri tabanında hangi tabloda kişisel veri var? bu kişisel verilerin tipi ne?
- Sistemde dijital ortamda başka yerlerde kişisel veri var mı? Vb. bilgiler eksik.
Diğer kritik eksiklik ise bu veri envanterini hazırlayan ekip teknik tedbirler dokümanını ve oradaki gereksinimleri hiç dikkate almıyor.
Dolayısı ile bu veri envanterinin yetki matrisi ve yetki kontrolü için ana girdi olacağını da hiç hesaba katmıyor.
Dolayısı ile bu aşamadan sonra
- Erişim Logları
- Yetki Kontrolü
Teknik önlemler maddeleri için aşağıdaki gibi politikaların
- Finans bölümündeki bir çalışan dosya sunucusunda sadece finans departmanı için ayrılan alana erişebilmeli.
- Aynı şekilde IK deki bir çalışma yine benzer şekilde IK için ayrılan dizine erişmeli.
- Aksi olursa sadece loglama ile yetinme yeterli olmayacağı gibi eğer bu yetki mekanizması yok ise kesinlikle alarm oluşmalı ve hızlıca müdahale edilmeli.
- Yine bu veri envanterinden türeyen yetki matrislerine göre çıkarılabileceğinden bu veri envanterini hazırlayan ekibin haberi bile yok.
- Ayrıca yine teknik tedbirler dokümanında erişim logları ile ifade edilen madde erişim kontrolü politikası gerektirir. İlgili kişilerin erişim hakkı yine veri envanteri temel alınarak düzenlenir. Ayrıca erişim kontrolü ISO 27001 ve benzeri diğer güvenlik yönetim politikalarınca da düzenlenmiştir.
- Dolayısı ile düğme baştan yanlış iliklenince diğer düğmeler de yanlış oluyor
- Kişisel verileri tutuyorum ama nerede ve kime ait olduğuna dair detaylı envanterini de çıkarmadan nasıl yetkilendirme ve takibini yapabilirim?
- Nerede ve kime ait olduğuna dair detaylı envanter çıkarmadan aşağıdaki adımları sistematik bir şekilde ilerletebilecek düzenli bir yapı kurulabilir mi?
- Erişim yetkisine sahip kişileri belirledim mi? Bir erişim yetki matrisim var mı?
- Veriyi sakladığım alanlar(File Server, Sunucular, Veri tabanları, vs.) neresi?
KVKK çalışması yapan her kurum Kişisel Veri Envanteri çıkardım sayıyor. Fakat elinde Excel tablosundan başka bir şey yok. Bu tablo da yukarıda bahsedilen en temel eksikliklerle teknik tarafa hiç bulaşmadan oluşuyor. Bundan sonra ya ben her şeyi bitirdim KVKK ya uyumluyum sanılıyor ya da sürecin nasıl yönetileceği bilinmiyor. KVKK uyum süreçlerinin gerçek uygulamaları olan teknik önlemler ise genel olarak havada kalıyor.