KVKK Kapsamında Veri Envanteri ve Veri Envanterinin Yetki Matrisi ve Yetki Kontrolü Açısından Önemi

KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.

Bilindiği gibi KVKK kapsamında hazırlanan veri envanteri dokümanı Excel olarak hazırlanıyor; şu sözleşme, bu doküman içinde kişisel veri var gibi kayıtlar olup bu sözleşme ve dokümanın nerede olduğu bile yazılmıyor. Daha vahimi ise

• Hangi file server da hangi dizinde kişisel veri var?, bu kişisel verilerin tipi ne?
• Hangi veri tabanında hangi tabloda kişisel veri var?, bu kişisel verilerin tipi ne?
• Sistemde dijital ortamda başka yerlerde kişisel veri var mı? gibi bilgiler eksik.

Diğer kritik eksiklik ise bu veri envanterini hazırlayan ekip teknik tedbirler dokümanını ve oradaki gereksinimleri hiç dikkate almıyor.

Dolayısı ile bu veri envanterinin yetki matrisi ve yetki kontrolü için ana girdi olacağını da hiç hesaba katmıyor.

Dolayısı ile bu aşamadan sonra

• Erişim Logları
• Yetki Kontrolü

teknik tedbirler maddeleri için aşağıdaki gibi politikaların

• Finans departmanındaki bir çalışan dosya sunucusunda sadece finans departmanı için ayrılan alana erişebilmeli.
• Aynı şekilde IK deki bir çalışma yine benzer şekilde IK için ayrılan dizine erişmeli.
• Aksi olursa sadece loglama ile yetinme yeterli olmayacağı gibi eğer bu yetki mekanizması yok ise kesinlikle alarm oluşmalı ve hızlıca müdahale edilmeli.

yine bu veri envanterinden türeyen yetki matrislerine göre çıkarılabileceğinden bu veri envanterini hazırlayan ekibin haberi bile yok.

Ayrıca yine teknik tedbirler dokümanında erişim logları ile ifade edilen madde erişim kontrolü politikası gerektirir. İlgili kişilerin erişim hakkı yine veri envanteri baz alınarak düzenlenir. Ayrıca erişim kontrolü ISO 27001 ve benzeri diğer güvenlik yönetim politikalarınca da düzenlenmiştir.

Dolayısı ile düğme baştan yanlış iliklenince diğer düğmeler de yanlış oluyor

Kişisel verileri tutuyorum ama nerede ve kime ait olduğuna dair detaylı envanterini de çıkarmadan nasıl yetkilendirme ve takibini yapabilirim?.

Nerede ve kime ait olduğuna dair detaylı envanter çıkarmadan aşağıdaki adımları sistematik bir şekilde ilerletebilecek düzenli bir yapı kurulabilir mi?

• Erişim yetkisine sahip kişileri belirledim mi? Bir erişim yetki matrisim var mı?
• Veriyi sakladığım alanlar(File Server, Sunucular, Veritabanları, vs..) neresi?

KVKK çalışması yapan her kurum Kişisel Veri Envanteri çıkardım sanıyor. Ancak elinde Excel tablosundan başka bir şey yok. Bu tablo da yukarıda bahsedilen en temel eksikliklerle teknik tarafa hiç bulaşmadan oluşuyor. Bundan sonra ya ben her şeyi bitirdim KVKK ya uyumluyum sanılıyor ya da sürecin nasıl yönetileceği bilinmiyor. KVKK uyum süreçlerinin gerçek uygulamaları olan teknik tedbirler ise havada kalıyor.