KVKK’ya Neden İhtiyaç Duyulmuştur?
6698 sayılı Kişisel Verilerin Korunması Kanunu(KVKK) 7 Nisan 2016 tarih ve 29677 sayılı karar ile yürürlüğe girmiştir. Bu kanun ile kişisel verilerin işlenmesi, sınırları belirlenmiş ölçüde ve uluslararası standartlara tabi olacak şekilde düzenlenmiştir. Kişisel verilerin korunması ise Anayasa Mahkemesi’nin “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” kararında belirtildiği gibi kişilerin en temel hakkı olduğu belirtilerek ele alınmıştır.
Kişisel veri, elde edildiği takdirde belirli veya belirlenebilir bir kişiyle ilgili tüm bilgilerdir. Kişisel verilerin işlenmesi, kişisel verilerin elde edilmesi, saklanması, üzerinde herhangi bir değişiklik yapılması, sınıflandırılması, başkalarına aktarılması ve başkaları tarafından erişilebilir hâle getirilmesi, ya da kullanılması ve ait olduğu kişi tarafından kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Yani çeşitli yerlerde depolanmış, daha önce birbiri ile ilişkisi olmayan pek çok verinin merkezi olarak bir araya getirilebilmesi bunun sonucu olarak anlamlandırılmasıdır.
Veri erişim ve aktarım hızının teknoloji ile en üst seviyelere çıkması ve her alanda yaygınlaşmış bir biçimde verilerin kullanılmasından doğan koruma ihtiyacı da bu kanunun çıkmasının en temel nedenidir. KVKK, kişisel verilerin amaç dışı işlenmesini ya da kötüye kullanımının engellenmesini, kişisel hakların ihlal edilmesinin önüne geçilmesini, verinin güvenliğinin sağlanmasını amaç edinmiştir. KVKK, tüm bu gereksinimlerin neticesinde ortaya çıkan yasal düzenleme ihtiyacını karşılamaktadır. Kanun, kişisel verilerin korunmasında aşağıda yer alan temel ilkeleri benimsemiştir.
a) Hukuka ve dürüstlük kurallarına uygun olmak.
b) Doğru ve güncel olmak.
c) Belirli, açık ve meşru amaçlar için işlenmek.
ç) Toplandıkları ve işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmak.
d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.
Hangi teknolojik gereksinimlerden faydalanılmalıdır?
KVKK kapsamında, kurumların mevzuata uygunluğu ve yükümlülüklerini sağlaması, verilerinin bulunduğu ortamlarının fiziksel güvenliğini sağlaması, personel bilinçlendirmesi ve danışmanlık hizmetlerinin yanında teknolojik çözümlerden de yararlanması gerekmektedir. Verilerin işlenmesinin amaç dışı kullanımının önüne geçmek adına KVKK uyumluluk çözümleri geliştirilmiştir. Verinin şifrelenmesi, verinin sınıflandırılması, verinin maskelemesi ve veri kaybının engellenmesi gibi çözümler değerlendirilmelidir.
Verinin Şifrelenmesi;
Veri güvenliğinin temelini oluşturur. Kötü amaçlı kişilerce kullanılmak istenen veriye, yetkisiz erişimlerde elde edilememesini sağlamanın en basit yöntemidir. Şifreleme sadece erişimi yetkilendirmekle kalmayıp verinin ve kaynağının doğruluğunu ve bütünlüğünü de korumayı sağlar. Bu açıdan kişilerin ya da kurumların, hassas veri olarak nitelendirdiği verilerini şifreli olarak sunucularında muhafaza etmeleri gerekir.
Verinin Yedeklenmesi;
Hasar, kayıp, doğal felaket gibi veri bütünlüğüne zarar verebilecek herhangi bir olumsuz durumdan minimum seviyede etkilenmek amacıyla yapılan bir kopyalama işlemidir. İş sürekliliğini sağlamak için riski en aza indirerek verileri geri döndürebilir hale getirmektir. Veri kaybı olması durumunda önlem niteliği taşır. Bu işlem sanal yedekleme, doküman yedekleme, veritabanı yedekleme, mail sunucu yedekleme, bulut yedekleme olarak gerçekleştirilebilir. Bulut(Cloud) teknolojilerinden, RAID(Redundant Array of Independent Disks) yapılarından, NAS(Network-Attached Storage) sistemleri, SAN (Storage Area Network) yapısı, DAS(Direct-Attached Storage) gibi depolama çözümlerinden yararlanılabilir.
Veri Sızıntısını Engelleme;
Kurumun hassas verilerinin sistem dışına çıkışı denetim altına alınmalıdır. Bunun için DLP(Data Leak/Loss Prevention) çözümlerinin kullanılması gerekir. Bu çözümler verinin sistemden çıkışının engellemekle beraber verinin kurum içinde kullanım durumlarını gözlemleyebilmek adına da faydalı olur. DLP sistemleri sistem içerisindeki yazılımsal ve donanımsal kaynaklar tarafından verinin kullanım durumunu kontrol altına alır. Amaç dışı kullanımı, paylaşımı, veri aktarımını engeller. Aynı zamanda yeni bir teknoloji olan UEBA(User and Entity Behavior Analytics) teknolojisinden de yararlanılmalıdır. UEBA kullanıcı davranışını analiz ederek veri ihlaline karşı olabilecek tehditleri belirleyip bunların raporlanmasını sağlayan bir çözümdür. Anormal davranışların ve bunları gerçekleştiren kullanıcıların profillerinin tespiti makine öğrenmesi ile gerçekleştirilir. Sezgisel güvenlik analizi; içeriden gelebilecek tehditlere ve hedeflenen saldırılara karşın önleyici savunma açısından büyük önem taşır.
Sızma Testleri (Penetration Tests);
Güvenlik açıkları nedeniyle oluşabilecek bilgi kayıplarına engel olabilmek için yapılan testlerdir. Sistemin hatalarının ve zafiyetlerinin kötü niyetli kişiler tarafından istismar edilmesini engellemek ve sistemi daha güvenilir bir hale getirmek amacıyla yapılır. Sistemin veri sızıntısına yol açabilecek noktalarının önceden bir saldırgan bakış açısıyla tespit edilebilmesi güvenliğin artırılması açısından önem taşır. Bu testlerin düzenli ve sürekli olarak yapılması ardından test raporları baz alınarak gereken güvenlik önlemlerinin zaman kaybetmeden alınması gerekmektedir. Tehdit ve riskler en aza indirilerek ve siber güvenlik sağlanmalıdır.
KVKK ile ilgili diğer makaleler için aşağıdaki linklere tıklayabilirsiniz.
[1] Kvkk Kurumunun Tavsiye Ettiği Teknik Önlemler
[2] Kurumların Kvkk Genel Yükümlülükleri