Dikkat!! KVKK İle İlgili Kurum Cezaları Teknik Tedbirlerden Geliyor. Peki İdari Tedbirler?
Firmalar KVKK çalışmalarını büyük oranda idari tedbirler tarafında yürütmekte ve evrak çalışması olarak görmekte ve teknik tedbirler tarafını ötelemekte veya firewall kurdum, DLP aldım, logluyorum seviyesinde kalıyor ya da o seviyeye bile çıkamıyor.
KVKK ihlal bildirimlerine bakılırsa [1] ihlallerin hepsinin kaynağının teknik tedbirler olması hiç şaşırtıcı değil. Uyum projelerinde hukuk ve tekniğin beraber ilerlememesinin sakıncaları yavaş yavaş çıkıyor. Kimler risk altında, kaç müşterisinin verisi ne kadar süreyle paylaşılmış hiçbir bilgi yok. Malum,bir veri sorumlusu olarak veri ihlali yaşarsanız en kısa zamanda bunu Kurum’a bildirmekle yükümlüsünüz.Bu zaman en fazla 72 saat olabilir. Bu tip kararların yayımlanması gösteriyor ki teknik tedbirler eksik kalıyor.
Teknik tedbirlerin nasıl yerine getirilebileceği ile ilgili örnek bir çalışma aşağıdadır.
Referenaslar
