Gizlilik Riskleri ve Uyumluluk

Bulut hizmetleri de dahil olmak üzere kurumların tabi olduğu veri gizliliği düzenlemelerini ve risklerini değerlendirmek iyileştirme faaliyetlerini uygulamadan önceki ilk adımdır. Sektörde veya ülkede tabi olunan düzenlemeler ilgili bilgi sahibi olunması gereklidir. Bu düzenlemelerden bazıları;


GDPR, veri gizliliği düzenlemelerinin en iyi bilinen ve atıfta bulunulan kısmıdır. Avrupa Birliği’nde (AB) ikamet eden tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili herhangi bir kişisel verinin toplanmasını, depolanmasını, işlenmesini ve paylaşılmasını düzenler.

ISO 27001 gibi standartlara bağlılık, birçok Avrupalı denetim otoritesi tarafından insanlar, süreçler ve teknoloji spektrumunda geçerli bir yaklaşım olarak kabul edilmiştir. ISO-27001 güdümlü koruma mekanizmalarıyla örtüştüğünü ve bunlara bağlı kaldığını belirten standartlar, belirli durumlarda bazı gizlilik yükümlülüklerini yerine getirmiş kabul edilebilir.

KVKK (kişisel Verilerin Korunması Kanunu) ve diğer önemli veri gizliliği düzenlemeleri de kişisel verilerin işlenmesi için gereksinimleri belirtir. Amerika Birleşik Devletleri’nde, bunlar arasında Kaliforniya Tüketici Koruma Yasası (CCPA), HIPAA-HITECH (Amerika Birleşik Devletleri Sağlık Hizmetleri Gizlilik Yasası) ve Graham Leach Bliley Yasası (GLBA) bulunmaktadır. Eyaletlere özgü ek düzenlemeler de yürürlükte veya geliştirilme aşamasındadır. Dünya çapında örnekler arasında Almanya’nın Ulusal GDPR Uygulama Yasası (BDSG), Brezilya Veri Koruma Yasası (LGPD) sayılabilir.

Kurum içindeki ve dışındaki farklı kullanıcı veri türlerinin sistemlerle etkileşime girdiği alanlar, geçerli olan sektör ve yasal düzenlemelerine tabi olarak, genel kişisel veri koruma stratejilerini etkileyebilecek önemli faktörlerdir. Stratejiler kişisel verilerin nerede saklandığını, ne tür olduğunu, ne kadarının bulunduğunu ve hangi koşullar altında toplandığını kapsar.

Veriler ayrıca işlendikçe ve türetildikçe zaman içinde şekil değiştirir. Verilerin ilk halinin belirlenmesi yeterli değildir. Verilerin belirlenmek üzere devam eden bir süreç içinde ele alınması gereklidir. Bu durum önemli miktarda kişisel veriyi işleyen büyük kuruluşlar için en büyük zorluklardan biridir. “Verilerinizi Tanıyın” (Know Your Data) sorununu ele almayan kuruluşlar, potansiyel olarak çok yüksek risk altındadır ve düzenleyici kurumların olası para cezaları ile karşılaşabilirler.

Veri gizliliği düzenlemelerine uyum verilerin şimdi veya gelecekte nerede var olabileceğinin düşünüldüğü genel yaklaşımlar ile takip edilemez. Veri gizliliği düzenlemeleri gereğince kuruluşların mevcut kişisel verilerin nerede olduğunu sürekli olarak bildiklerini kanıtlamalıdır.

Veri gizliliği riskine maruz kalma durumunu, kişisel verilerin türüne, nerede depolandığına, hangi koruyucu denetimlerin uygulandığına, yaşam döngüsünün nasıl yönetildiğine ve verilere kimlerin erişebildiğine bağlı kalarak ölçmek gerekir.

Bir personel işinden ayrılırsa kuruluşların genellikle kullanıcı hesaplarını kaldırmak, posta kutularını – kişisel sürücüleri devre dışı bırakmak ve sistemler üzerinde çalışan durumunu değiştirmek için belirlenmiş işlemleri, prosedürleri, saklama ve silme süreleri vardır. Bir dava söz konusu olduğunda, bir çalışanın veya yasal bir soruşturma tarafının, kuruluşun sistemlerinde depolanan kişisel veriler hakkında bilgi edinmek için geçerli nedenleri olabilir. Bazı durumlarda, söz konusu taraf bu tür verilerin kaldırılmasını veya anonimleştirilmesini talep edebilir.

Ticari bilgilerinin toplanması da farklı zorluluklar içermektedir, kuruluşlar iş sürekliliği amacıyla çeşitli sistemlerinde müşteri ad ve işlemlerinin kayıtlarını tutması gerekir. Bu bilgilerin de yanlışlıkla veya kötü niyetli veri sızıntılarından korunması gerekir. Çalışan verileri gibi, kuruluşların bu tür verileri korumak için politikaları, prosedürleri ve teknik kontrolleri olmalı, tanımlanmış saklama ve silme planlarına göre bu veriler işlem görmelidir.

Riske maruz kalma durumunu ve veri gizliliği düzenlemelerini anlamak, kuruluşların
Gizlilik Riskleri ve Uyumluluk konusunu temel olarak anlamasına yarayan önemli bir adımdır.

Gizlilik Riskleri ve Uyumluluk konularında ihtiyaçlarınıza uygun çözümleri beraberce belirleyebilmemiz ve sizlere tasarruf sağlayabilmemiz için lütfen bizimle iletişime geçiniz.

MergenPro Logo Horizontal