KVKK Projelerinde Kavşak Noktası ve Düğmeyi Doğru İliklemek
30 eylülün yaklaşması ile beraber herkeste hummalı bir çalışma var. Ama bu çalışmaların çoğu maalesef aydınlatma metinleri, sözleşme, anlaşma ve dokümanların güncellemeleri sonrasında da veri envanterini sadece verbis için hazırlamak aşamasında kalıyor. Bu şekilde projeye başlamak zaten ilk düğmenin yanlış iliklenmesi gibi bir şey. Yine aynı şekilde sadece idari tedbirlerin yerine getirilmesi ile işin bittiğini sanmak da diğer bir hata. Sonrası da aynı mantıkla geliyor. KVKK’nın durumu fil tarifi gibi oldu. Herkes tuttuğu yeri fil sanıyor.
İdari tedbirlerin tamamlanması gerektiği aşikar. Burada verbis kaydı için geçerli olan 30 eylül tarihi bütün KVKK süreçleri için bir son tarihmiş gibi alınıyor. Bu yanlış bir algı. Eğer kurumun yaptığı yüzlerce ihlal bildirimine bakarsak; ihlallerle ilgili tanınmış bir süre veya zaman yok. Onlardan kanunun belirttiği geçmiş sürelerden beri sorumluyuz zaten.
Firmalar KVKK çalışmalarını büyük oranda evrak çalışması olarak görmekte ve işleyişe, veri kaybının önlenmesi ve tespitine yönelik çalışmalar ya firewall kurdum, DLP aldım, logluyorum seviyesinde kalıyor ya da o seviyeye bile çıkamıyor.
Peki kurum nelerden dolayı ceza veriyor veya veri ihlali bildiriminde bulunuyor? Burada konu teknik tedbirler ve bu tedbirler sonucunda veri ihlalleri olmuş mu ? olmamış mı ? ona geliyor. [1]
Teknik tedbirler konusunda da bir ürün alıp koymak hiçbir şekilde yeterli değil. Bu ürünleri KVKK gerekliliklerine uygun olarak kurgulayıp, çalıştırmak gerekiyor. Kurumun yayınladığı veri ihlalleri incelenirse bu durum net olarak ortaya çıkar. [2]
Referanslar
