Verilerin Saklanmasında Sorun Yaşanıyor

Türkiye’de ve dünya genelinde verilerin saklanmasında ciddi eksiklikler olduğu belirtiliyor. Özel kuruluşların, şirketlerin ve kamu kurumlarının ellerindeki verileri nasıl sakladıklarıyla ilgili önemli eksikler olduğu ifade edilirken, konuyla ilgili önemli açıklar ve yetkilendirme sorunlarının olduğunun da üzerinde duruluyor. Yazılı prosedürle yetkilendirme olmadan işlemler yapıldığı yönündeki şikayetlerin yanında Kişisel Verileri Koruma Kanunu’na (KVKK) uygun şekilde toplanan e-mail (elektronik posta “e-posta”) ve akıllı telefonlarla mobil haberleşmede SMS (Short Message Service; Kısa Mesaj Hizmeti) bilgilerinin iç network’lerde (LAN-Local Area Network - Yerel Ağ Bağlantısı) korunma şeklinde de sorunlar olduğu söyleniyor. 

Pazarlama Platformu Setrow’un Yönetici Ortağı Turgut Taneli, veri işleyicisi şirketler ve iş ortakları arasında olması gereken şartlar neler olmalı? Sorusuna açıklık getirerek, şunları aktarıyor:

“Veri işleyen şirketlerin, kendilerine ulaşacak verinin nasıl ve kim tarafından sağlanacağının ve ne maksatla verildiğinin açık beyanını alarak işlemlere başlaması gerekiyor. Şirketler, bu konuya dikkat ederek çalışan kurumlardan gelebilecek muhtemel veriyi alma şekli, aksi olarak kabul etmeme şekilleri ve yetkilendirmenin kendilerine bilgilendirilmesi talebinin yanında olmaları gerekiyor. Bu ana ve temel konunun arkasında ise şirketlerin bilmesi gereken ve veri işleyicisi iş ortaklarında aramaları gereken şartlar yer alıyor. Veri işleyen firma bir medya ajansı, bir entegre dijital pazarlama platformu veya e-ticaret altyapı uygulayıcısı olabilir. Şirketler bu firmalardan bu konuda ne tür bir yapılanma içinde olduklarının bilgisini talep etmelidir.”

Güvenlik Duvarının Önemi

Verilerin saklanmasında güvenlik duvarının veri işleyici firmalar için büyük önemi var. Veri işleyici firmaların, sistem/network yapısı, kullanıcı hak ve erişimlerinin ispatı ve istisnai durumların açıklamalı şekilde sunulması şartı verilerin saklanmasında önem arzediyor. Veri işleyen firmaların mutlak surette kendi personellerinin kullandıkları notebook ve benzeri cihazlarda admin (yönetim) konumunu kaldırması ve bu sayede ilgili workstation (iş istasyonu) üzerinde bağımsız yapabileceği işlemleri (download, copy, usb erişimlerinin kapatılması vb) minimize etmesi gerekiyor. Veri işleyici firmalar mutlaka güncel ve yüksek standartlarda olan ve otomatik güncellenen Firewall, Antivirus, VPN (Virtual Private Network-Sanal Özel Ağ) yapıları altında çalışmaları öneriliyor.

KVKK Uyumluluğu İçin 17 Teknik Tedbir

Kişisel Verileri Koruma Kurumu’nun (KVKK) şirketler özelinde dikkate aldığı en önemli noktalardan biri verilerin korunmasında şirketlerin alması gereken teknik tedbirleri alıp almadığı. Tek bir siber güvenlik ürün ya da hizmetinin kişisel verileri korumada tam etkinlik sağlamayacağını aktaran Siberasist Genel Müdürü Serap Günal, şirketlerin tam kapsamlı KVKK uyumluluğu için dikkate alması gereken 17 teknik tedbirin bulunduğunu belirtiyor.

Kişisel verilerin güvenliğine ilişkin şirketlerin alması gereken birçok teknik tedbir bulunuyor. Özellikle teknik altyapılarını incelemeyen, geliştirmeyen ya da KVKK’nın dikkat ettiği alanlar için gerekli adımları atmayan şirketlerin cezalarla karşılaşması an meselesi. Her geçen gün şiddeti artan ve yapısı daha da karmaşıklaşan siber saldırılara dikkat çekiliyor.

KVKK’nın işaret ettiği ve şirketlerde analizinin yapılması gereken 6 ana başlık şöyle sıralanıyor:

• Siber güvenliğin sağlanması,

• Kişisel veri güvenliğinin takibi,

• Kişisel veri içeren ortamların güvenliğinin sağlanması,

• Kişisel verilerin bulutta depolanması,

• Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı,

• Kişisel verilerin yedeklenmesi gibi başlıklarda şirketin gerekli teknik altyapı analizlerinin yapılması gerekiyor.

KVKK’nın işaret ettiği ve şirketler tarafından alınması gereken 17 teknik tedbir ise şunlar:

1. Yetkilendirme matrisinin (işlem) oluşturulmuş olması,

2. Erişim loglarının (seyir) tutulması,

3. Yetki kontrolünün yapılması,

4. Kullanıcı hesaplarının yönetilmesi,

5. Ağ güvenliğinin sağlanması,

6. Uygulamaların güvenliğinin sağlanması,

7. Verilerin şifreleme yöntemleri ile şifrelenmesi,

8. Sızma testleri yapılarak kurum güvenliğinin test edilmesi,

9. Saldırı tespit ve önleme sistemlerinin oluşturulması,

10. Log kayıtlarının incelenip yedeklenmesi,

11. Veri maskelemelerinin yapılması,

12. Veri kaybı önleme yazılımlarının kullanılması,

13. Yedekleme sistemlerinin kullanılması,

14. Güncel antivirüs sistemlerinin kullanılması,

15. Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemlerinin yapılması,

16. Güvenlik duvarlarına sahip olunması,

17. Anahtar yönetiminin olması.

Verileri İşlerken Nelere Dikkat Edilmeli?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ediyor. Veri sorumlusunun, KVKK süreciyle ilgili gerçekleştireceği her bir adıma dikkat etmesi gerektiği belirtilirken, kişisel verileri işlerken veri sorumlusunun dikkat etmesi gereken 7 temel madde bulunuyor.

Birçok şirket gerek ticari nedenler gerekse de kanuni yaptırımlar sebebiyle kişisel verileri işlerken birçok sorumluluğu üzerinde taşıyor. KVKK ile birlikte kişisel verilerin işlenmesinde dikkat edilmesi gereken birçok konu da veri sorumlularının alanına giriyor. Kişisel verilerin işlenmesinde, en önemli noktalar veri sorumlusu sıfatı altında birleşiyor. Veri sorumlularının dikkat etmesi gereken 7 madde de şöyle:

1. Veri Sorumluları Sicili’ne (VERBİS) kayıt yaptırmak.

2. Aydınlatma yükümlülüğünü yerine getirmek. 

3. Genel ilkelere dikkat etmek. 

4. Veri işleme amacı kalktığında yükümlülükleri yerine getirmek. 

5. İdari tedbirleri almak. 

6. Teknik tedbirleri almak. 

7. Veri sahibini bilgilendirmek.