Sayın Op. Dr. Haldun Seyhan,
KVKK MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
MUAYENEHANE İÇİN ALINACAK İDARİ TEDBİRLER
Mevcut Risk ve Tehditlerin Belirlenmesi
Tarafınızdan işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
- Kişisel veriler, özel nitelikli kişisel veriler midir?
- Mahiyeti gereği hangi derecede gizlilik seviyesi gerekmektedir?
- Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği nedir?
Bu riskleri tanımladıktan sonra, risklerin azaltılmasına ya da ortadan kaldırılmasına yönelik; maliyetine, uygulanabilirliğine ve yararlılığına göre gerekli idari ve teknik tedbirleri almamız mümkün olacaktır.
Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
- Çalışanların bilgileri sınırlı olsa dahi, ilk müdahaleyi yapacak olanlar kendileri olacaktır.
- Kişisel verilerin dışsal saldırıya uğraması haricinde, çalışanlar tarafından hukuka aykırı olarak paylaşılması veya açıklanması durumunda da hukuka aykırılık oluşmaktadır. Çalışanlar tarafından, kötü amaçlı yazılım içeren e-posta içeriğinin açılması veya kişisel veri içeren e-postanın yanlış alıcıya gönderilerek üçüncü kişilerin erişimine açması gibi dikkatsizlikler, dalgınlık veya tecrübesizlikler, çalışanlarınız tarafından doğacak riskler olup veri sorumlusunun veri ihlali yapmasına sebep olacaktır.
- Kişisel veri içeren ortamlara erişim hakkı verilirken “Yasaklanmadıkça Her Şey Serbesttir” değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edelim. Aksi takdirde veri ihlalleri kaçınılmaz olacaktır.
- Çalışanların işe alınma süreçlerinin bir parçası olarak, gizlilik anlaşmalarını imzalamalarını ya da esas sözleşmeye ek hüküm konulması, veri sorumlusunu bu konuda önemli bir güvence altına alacaktır. Ayrıca, çalışanların güvenlik politikası ve prosedürlerine uymaması durumunda devreye girecek bir disiplin mekanizması oluşturalım.
Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
- Bu kapsamda alınacak tedbirlerin önceden belirlendiği bir olay yönetimi, çalışanların üzerindeki baskıyı azaltalım.
- Muayenehanenizin veri tabanında hangi kişisel verilerin bulunduğunu, hangi hukuki yükümlülüklerle uyumlu hareket edildiğini belirleyeceğiz.
- Her kişisel veri kategorisi için farklı riskler ortaya çıkabilmektedir, bu sebeple farklı güvenlik önlemleri alınması gerekebiliyor.
Kişisel Verilerin Mümkün Olduğunca Azaltılması
- Kişisel veriler; gerektiğinde doğru ve güncel olmalı, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
- Elde ettiğiniz bilgilerin güncelliğini sağlama konusunda Kurul’un yol gösterici bir kararı mevcuttur. Kurul’un 2020/966 sayılı İlke Kararına göre; ilgili kişiden alınan telefon veya e-posta gibi kişisel verilerin kasıtlı olarak yanlış verilmesi çok görülmeye başlanmış olup, bu bilgilerin hemen bir aktivasyon kodu gönderilmesi gibi bir işlemle teyidinin sağlanması istenmiştir. Böylece müşterilerinizden elde ettiğiniz bilgilerin doğruluğunu ivedilikle sağlamanız, böylece işlenen kişisel verilerin doğru ve güncel olması şartını sağlamanız gerektiği, Kurul’un bu kararı ile irdelenmiştir.
- Ancak yine de; elde ettiğiniz kişisel verilerin güncelliğini, veriyi işleme açısından tarafınızca hala ihtiyaç olup olmadığını ve bu kişisel verilerin doğru yerde muhafaza edildiğini periyodik olarak kontrol etmeniz, KVKK kapsamında alınacak en önemli tedbirlerden olacaktır.
- Bu konuda uzman tavsiyemiz; veri işleme amaçlarına uygun olmasına rağmen sıklıkla erişimi gerekmeyen ve arşiv niteliğinde olan kişisel verileri daha güvenli ortamlarda muhafaza etmeniz, ihtiyaç duyulmayan verileri ise oluşturacağımız kişisel veri saklama ve imha politikası ile silmeniz, yok etmeniz yahut anonim hale getirmenizdir.
MUAYENEHANE İÇİN ALINACAK TEKNİK TEDBİRLER
- Burada sayılan tedbirlerin birçoğu, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası ile de sağlanabilmektedir. Bu sertifikanın temini KVKK Uyum Projesi için zorunlu olmamakla beraber, alınması halinde teknik tedbirlerin sağlanması açısından Muayenehane için büyük bir kolaylık sağlayacağını da söylemek gerekir. Ancak tarafınızca alınacak bu teknik tedbirlerin, yaptığınız iş ve faaliyet kolu sebebiyle minimum düzeyde kalmasının sorun teşkil etmeyeceğini de söylemek isteriz.
Siber Güvenliğin Sağlanması
- Tek bir siber güvenlik ürünü ile güvenliği sağlamak, günümüz şartlarına göre pek mümkün olmamaktadır. Çünkü tehditler her geçen gün daha da girift bir hale gelerek etki alanlarını genişletmektedirler.
- Bu sebeple; birçok prensip dahilinde tamamlayıcı niteliğe sahip teknik tedbirlerin alınarak periyodik olarak kontrollerinin sağlanmasını önermekteyiz.
- İnternet üzerinden gelecek tehditlere karşı alınacak öncelikli tedbirler; güvenlik duvarı (firewall) ve ağ geçididir (Internet gateway). Bu tedbirler, tehditlere karşı ilk savunma hattı olacaktır.
- İyi yapılandırılmış bir ağ duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. Ağ geçidi ise, çalışanlarınızın tehdit teşkil eden internet sitelerine ve online servislere erişimini önleyebilir.
- İşletme bünyesinde kullanılacak yazılım ve servislerin güvenilirliğini her aşamada dikkate almalıyız. Bazı programların eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta olup, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesini önermekteyiz. Kullanılan yazılımlar için ise etkili bir yama ve güncelleme yönetiminin tarafınızdan sağlanması gerekmektedir.
- Kişisel verilere erişim noktasında, çalışanlara görev ve yetkisi ölçüsünde erişim yetkisi tanınmalıdır.
- Çalışanların kişisel verilere erişiminde güçlü parola ve şifre kullanmaları, düzenli aralıklarla parola ve şifre değişimi gerekliliğini onların takdirine bırakmayarak sistemsel bir zorunluluk olarak portala tanımlamanızı tavsiye ederiz. Zira çalışanlar, böyle bir zorunluluğun olmadığını fark ettiklerinde hatırlayabilecekleri kolay şifre ve parolalar belirleyerek, periyodik değişimler yapmayarak veri ihlaline davetiye çıkarmaktadırlar.
- Kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için; şifre girişi sayısının sınırlandırılması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması ve ilişikleri kesilen çalışanların erişiminin derhal engellenmesi veya hesabının silinmesini tavsiye etmekteyiz.
- Kötü amaçlı yazılımlardan korunmak için antivirüs, antispam gibi ürünlerin kullanılarak, düzenli olarak bilgi sistem ağını taramanızı öneririz. Ayrıca bu yardımcı ürünlerin yazılımlarının güncel tutulması önem arz etmektedir.
- Son olarak, faaliyetinizde mevcut olabilmesi muhtemel, kişisel verilerin Facebook, Instagram gibi sitelerden ve uygulamalardan temini halinde, bağlantıların SSL veya daha güvenli bir yol ile sağlanması önem arz etmektedir.
Kişisel Veri Güvenliğinin Takibi
- Bilişim ağlarında hangi yazılım ve servislerin çalıştığını kontrol edelim.
- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığını tespit edelim.
- Tüm kullanıcıların işlem hareketleri kayıtlarını düzenli olarak tutalım (log kayıtları).
- Güvenlik sorunlarını mümkün olduğunca hızlı bir şekilde raporlayalım. Bu raporlama, sistem tarafından otomatik tarafından oluşturulacak raporlar olabilir, önemli olan hızlıca toplulaştırılarak yetkili birime sunulması gerekliliğidir.
- Çalışanların, güvenlik zaafiyetlerini ya da muhtemel tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturalım.
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
- Verilerin saklandığı cihazların ve fiziki belgelerin bulunduğu ortamların fiziksel güvenlik önlemlerini sağlayalım. Yani bilgisayarların çalınması veya kağıtların kaybolması gibi risklerle beraber, yangın ve sel gibi risklere karşı gerekli güvenlik tedbirlerini sağlayalım.
- Elektronik ortamda bulunan kişisel veriler için ağ bileşenleri arasında erişimi sınırlandıralım veya bileşenlerin ayrılmasını sağlayalım. Yani bu veriler için özel bir alan yaratarak mevcut kaynakları tüm ağ için değil, bu özel alanın güvenliği için sınırlayarak verimli kullanmayı mümkün kılalım.
- Kişisel veri içeren cihazların (cep telefonu, harddisk, dizüstü bilgisayar vs) güvenliğinin sağlanmasının yanı sıra, e-posta ile aktarılan kişisel verilerin de güvenliğini sağlamamız gereklidir. Ayrıca çalışanların şahsi cihazlarının bilgi sistem ağına erişim sağlaması da risk oluşturduğundan yine güvenlik tedbirlerini almamız gerekecektir.
- Kişisel veri içeren cihazların kaybolması veya çalınması hallerine tedbir olarak, erişim kontrol yetkilendirmesi ve şifreleme yöntemleri kullanalım. Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalıdır. Aynı şekilde, kişisel veri içeren kâğıt ortamındaki evraklar da sadece yetkili kişilerin erişebileceği ortamda saklanmalıdır.
- Şifreleme yöntemini kullanırken, uluslararası platformda kabul görmüş şifreleme programlarını kullanalım. Eğer şifreleme yöntemi asimetrik ise, anahtar yönetimi süreçlerine de önem göstermemiz gerekir.
Kişisel Verilerin Bulutta Depolanması
- Bulutta depolama, kendi sisteminiz alanından çıkarak bulut depolama hizmeti sağlayıcıları tarafından işlenmesine sebep olduğundan bazı risklere sebebiyet vermektedir.
- Eğer bulut depolama sistemlerini kullanıyorsanız, bulut hizmeti sağlayıcısının güvenli olup olmadığını denetlemek gerekir.
- Tavsiyemiz; bulutta saklanan kişisel verilerin neler olduğunu detaylıca bilmeniz ve uzaktan erişim için iki kademeli kimlik doğrulama (2FA) kontrolünün uygulanmasıdır.
- Ayrıca kişisel verilerin kriptografik yöntemlerle şifrelenmesi, bulut ortamına şifrelenerek atılması, hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmasını tavsiye ediyoruz.
Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
-
Arızalandığı veya bakım süresi geldiği için üçüncü kişilere gönderilecek cihazların kişisel veri içermesi halinde, gönderilmeden önce veri saklama ortamının sökülerek alınması, sadece arızalı parçaların gönderilmesi gibi önlemler alalım. Eğer bakım ve onarım için dışarıdan personel gelmişse, kişisel verileri kopyalayarak sistem dışına çıkarılmasını engellemek için de önlemleri almalıyız.
Kişisel Verilerin Yedeklenmesi
- Kişisel verilerin herhangi bir sebeple ulaşılamaz hale gelmesi (çalınması, bozulması, kaybolması vs) hallerinde, yedeklenen verileri kullanarak faaliyetine devam edebilirsiniz. Bu anlamda yedekleme, hem Kanun kapsamında, hem de işletmesel faaliyetiniz için alınması gereken önemli bir tedbirdir.
- Yine, kötü amaçlı yazılımlar da kişisel verilere tarafınızdan ulaşılmasını engelleyebilmekte, kilitlenmiş verileri açmak için fidye isteyen yazılımlarla karşılaşmaktayız. Bu durumlarda yedekleme, sorunu aşmamızı sağlayacaktır.
- Yedeklenen kişisel verileri sadece sistem yöneticisi tarafından erişilebilir kılalım, veri seti yedeklerini mutlaka ağ dışında tutalım. Aksi halde yedeklerin de kötü amaçlı yazılımlar tarafından kilitlenmesi, zarar görmesi riskleri söz konusu olacaktır.
Av. Orçun K. KOÇAK