KVKK Teknik Tedbirlere Yüzeysel Bakılmamalı!
KVKK uyumluluğu ve verbis kayıtları aynı şeymiş gibi düşünülüyor. Teknik tedbirler gözardı ediliyor veya yüzeysel bakılıyor.
Veri envanteri çıkarırken çoğunlukla dijital veri envanteri çıkarılmıyor, çıkarılan nadir projede ise bu dijital veri envanterinin yaşatılması hesaba katılmıyor. Bu ne demek? Diyelim ki veri keşfi ve sınıflandırma için bir çözüm kullanılıyor, o zaman KVKK ile ilgili şu soruların da yanıtlanması gerekirken göz ardı ediliyor.
- Veri sınıflandırma sonrasında açık rızası olmayan veya kanuni dayanağı olmayan yapısal veya yapısal olmayan veriler nasıl silinecek veya anonimleştirilecek [1]? Bu silme ve anonimleştirme binlerce doküman ve on binlerce veritabanı kolon/sütun üzerinde elle ve kişilerce mi yapılacak?
- Herhangi bir kişisel veri içeren dokümanı kanunen şu anda tutma hakkım var ama 3 yıl 5 ay 3 gün sonra bu hakkım dolacak, dolar dolmaz bunu nasıl sileceğim? Bu süreyi hatırlamak zorun da mıyım? Bütün bu işleri manuel takip etmek zorunda mıyım?
- Oluşturulan dijital raporlar , silinenler, anominleştirilenler mahkemede nasıl delil olarak kullanılacak?
- Kişisel verisi tutulan kişinin açık rızasını geri çekmesi , kanuni sürenin sona ermesi veya kişinin istemesi durumunda kişisel verilerinin bulunması ve kanuna uygun şekilde silinmesi nasıl sağlanacak?
Yine benzeri şekilde cezaya konu olan durumların iyi bir SIEM ve bu SIEM e yetki matrisini doğru girmiş olan yetkin bir ekiple tespiti çok kolay bir şekilde mümkün iken herkes kopyala yapıştır şekilde hayatına devam edip SIEM i log toplayan ve 5 dakikada 5 defa olursa tespit et tarzı kurallarla hayatına devam ediyor. . Ekiplerin SIEM i iç denetim, ISO27001, PCI gibi kurgularla birlikte KVKK hedefi doğrultusunda da kurgulamaları ve yetki matrisi ve yetki kontrolü çalışmasının ellerine tam olarak geçmesi gerektiği de aşikardır [2]. Bu da göz ardı edilen teknik tedbirler maddelerine örneklerden biridir.
Şirketimize emanet edilen kişisel verileri korumak hedefimiz olmalı.
Referanslar
