KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
1. KVKK kapsamında yapılan ilk çalışmaların tamamı şirket
evraklarının, doküman ve sözleşmelerinin KVKK ya göre
güncellenmesi şeklinde oluyor.
Bilindiği gibi KVKK kapsamında hazırlanan veri envanteri
dokümanı Excel olarak hazırlanıyor; şu sözleşme, bu doküman
içinde kişisel veri var gibi kayıtlar olup bu sözleşme ve
dokümanın nerede olduğu bile yazılmıyor. Daha vahimi ise
Hangi file server da hangi dizinde kişisel veri var?, bu kişisel
verilerin tipi ne?
Hangi veri tabanında hangi tabloda kişisel veri var?, bu
kişisel verilerin tipi ne?
Sistemde dijital ortamda başka yerlerde kişisel veri var mı?
gibi bilgiler eksik.
Diğer kritik eksiklik ise bu veri envanterini hazırlayan ekip
teknik tedbirler dokümanını ve oradaki gereksinimleri hiç
dikkate almıyor.
2. Dolayısı ile bu veri envanterinin yetki matrisi ve yetki kontrolü
için ana girdi olacağını da hiç hesaba katmıyor.
Dolayısı ile bu aşamadan sonra
Erişim Logları
Yetki Kontrolü
teknik tedbirler maddeleri için aşağıdaki gibi politikaların
Finans departmanındaki bir çalışan dosya sunucusunda
sadece finans departmanı için ayrılan alana erişebilmeli.
Aynı şekilde IK deki bir çalışma yine benzer şekilde IK için
ayrılan dizine erişmeli.
Aksi olursa sadece loglama ile yetinme yeterli olmayacağı gibi
eğer bu yetki mekanizması yok ise kesinlikle alarm oluşmalı
ve hızlıca müdahale edilmeli.
yine bu veri envanterinden türeyen yetki matrislerine göre
çıkarılabileceğinden bu veri envanterini hazırlayan ekibin haberi
bile yok.
Ayrıca yine teknik tedbirler dokümanında erişim logları ile ifade
edilen madde erişim kontrolü politikası gerektirir. İlgili kişilerin
erişim hakkı yine veri envanteri baz alınarak düzenlenir. Ayrıca
erişim kontrolü ISO 27001 ve benzeri diğer güvenlik yönetim
politikalarınca da düzenlenmiştir.
Dolayısı ile düğme baştan yanlış iliklenince diğer düğmeler de
yanlış oluyor
Kişisel verileri tutuyorum ama nerede ve kime ait olduğuna dair
detaylı envanterini de çıkarmadan nasıl yetkilendirme ve
takibini yapabilirim?.
3. Nerede ve kime ait olduğuna dair detaylı envanter çıkarmadan
aşağıdaki adımları sistematik bir şekilde ilerletebilecek düzenli
bir yapı kurulabilir mi?
Erişim yetkisine sahip kişileri belirledim mi? Bir erişim yetki
matrisim var mı?
Veriyi sakladığım alanlar(File Server, Sunucular,
Veritabanları, vs..) neresi?
KVKK çalışması yapan her kurum Kişisel Veri Envanteri
çıkardım sanıyor. Ancak elinde Excel tablosundan başka bir şey
yok. Bu tablo da yukarıda bahsedilen en temel eksikliklerle
teknik tarafa hiç bulaşmadan oluşuyor. Bundan sonra ya ben her
şeyi bitirdim KVKK ya uyumluyum sanılıyor ya da sürecin nasıl
yönetileceği bilinmiyor. KVKK uyum süreçlerinin gerçek
uygulamaları olan teknik tedbirler ise havada kalıyor.