5 Eylül tarihinde Kişisel verileri Koruma Kurulu’nun Duyurular bölümünde aşağıdaki ibareyi görünce şirketler tam güçle birinci öncelik olarak çalıştığı KVKK Kanun uyum çalışmalarında ufak bir mola verdi.
“Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına…”
Peki mola vermek için doğru bir zaman mı?
Hacker’lar pek öyle düşünmüyor, gelin biraz Verizon Siber Güvenlik 2018 raporu istatistiklere bakalım…
- 53.308 güvenlik olayı ve 2.216 veri sızması tam 65 farklı ülkede gerçekleşti.
- Veri sızmalarının %76’sının motivasyonunun finansal sonuç olduğu açıklandı.
- Fidye yazılımları açık ara en büyük saldırı yöntemi
- Çoğu sızmalar birkaç dakika içinde olup bitiyor oran %87
Verizon ilgili raporun son sayfalarında okuyanlara birkaç öneride bulunmayı da ihmal etmiyor.
- Çevik olun, müşteri ve kanun koyucu şikayetlerini beklemeden denetim izi ve değişiklik yönetim süreçlerinin etkin çalışmasıyla olayları ilk anda yakalayın.
- Çalışanlarınızı ilk savunma haline getirin ve farkındalıklarını yükseltin
- Veriye erişimi sadece gerektiği kadar verin.
- Düzenli sistem yamaları geçin.
- Hassas veriyi şifreleyin.
- İki faktör doğrulama prensiplerini sistemlere yayın
- Fiziksel güvenliği de unutmayın.
İlk okuduğunuzda bu öneriler hepimize tanıdık geldi mi? Gelin KVKK web sitesinde yayınlanan dokümanları ve duyuruları incelemeye başlayalım.
Madde 12 Veri güvenliğine ilişkin yükümlülüklerin ihlali olasılığı nedir?
Veri güvenliğine ilişkin yükümlülüklerin ilk maddesi rehber ve duyurular çıkmadan önce daha esnek yorumlanabiliyordu. Örneğin “Güvenlik duvarım var yeterlidir…” diyen şirketlerin yanında “Katmanlı güvenlik yapılarımda hala sızma olabilir mi?” şirketler de bulunmaktaydı. Peki buna karşın kanun maddesi bize en özünde neler diyordu:
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır”
Kanuna baktığımızda aslında hepimizin tedirgin olması gerekiyor. Peki ceza almaktan mı? Hayır kişisel verilerin güvenliğinin ne kadar önemli bir konu olduğunu bize çok net vurguladığı için tedirgin olmamız gerekiyor.
Şimdi yazımızın başındaki istatistiklere dönelim, 2018 yılında “bildirilen” saldırıların sonuçlarında hedeflenen sonucun finansal olduğunu hatırlayalım. Finansal sonuçları elde etmek için genelde yapılanları sıraladığımızda Kredi kartı bilgilerinin çalınması sonucunda hiç sipariş vermediği ürünleri ekstrelerinizde görmek ister miydiniz? En sık hedeflenen verilerden biridir. Kimlik bilgilerinizin çalınması sonunda adınıza açılmış krediler, hiç sahip olmadığınız bir ürünün yasadışı satışı, adınıza kayıtlı hiç bilmediğiniz web siteleri, telefonunuza devamlı gelen hiç alışveriş yapmadığınız ürünler, olmadık bir anda tanımadığınız bir çağrı merkezinin size isminizle hitap etmesi ve benzeri saldırılar hep kişisel verilerin sızması veya hukuka aykırı paylaşımları sonucunda oluyor.
Münferit diyebiliriz belki ama verilerinizin toplu çalınmasının dakikalar içinde olduğunu da unutmamak lazım. Başka bir deyişle bugüne kadar yaşamadıysanız yarınlarda yaşamayacağınız anlamına gelmeyecektir.
Kanuna baktığımızda bu ve benzeri durumların oluşmaması için verilerin paylaşıldığı sorumluların bazı önlemler almasını beklemektedir. Veri sorumlularına büyük sorumluklar düşüyor ve halihazırda güvenliği sorgulanan siber dünyada şirketlerin alacağı güvenlik önlemleri önem arz etmektedir.
Gelelim asıl soruya Verbis giriş zamanının uzatıldı uyum için vaktimiz var mı?
Kanununun 32.maddesine bir bakalım:
Yürürlük MADDE 32- (1) Bu Kanunun;
a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra,
b) Diğer maddeleri ise yayımı tarihinde, yürürlüğe girer.
Kanun ne zaman yayınlaşmıştı? Resmî Gazete Tarihi: 07.04.2016 ve Sayısı: 29677
Başka bir deyişler en iyi ihtimalle 07.10.2016 tarihinden itibaren kanun hükümleri geçerlidir ve kanuna uyum zorunluğumuz çok uzun zamandır gündemdedir.
Peki neden son zamanlarda herkes yoğun şekilde uyum sürecinin tamamlamaya çalışıyor? Her veri sorumlusunun kendine göre bir yanıtı olabilir ama genel olarak farkındalığımızın eksikliğinden ve ceza kesilir kesilmez şeklinde kanunun yorumlanmasından kaynaklı olduğu kanaatindeyiz. KVKK Duyurularına dikkat edecek olursak “Veri İhlal Bildirimi” başlığında gelen ilk gelen bildirim 4 Mayıs 2018 tarihli, genel olarak da bu ihlal bildirimi sonrasında şirketler konunun ciddi olduğu kanaatine vararak uyumluluk için aksiyonlar almaya başlamıştır.
31 Aralık’a kadar veri sızması ve ifşası yaşarsak ne olur? Sorumlu muyuz?
Öncelikle 3 yıldır sorumlu olduğumuzu unutmamak lazım. Kanuna göre veri ifşası yaşandığında veya kişisel veri sahibi veri sorumlusuna sorular sorduğunda doğru yanıtları vermekle ve verileri korumakla mükellefiz.
Örneğin; İş görüşmesine gelen bir aday, ona imzalatılmak istenen açık rızayı imzalamaz ise hala kanuni hakları geçerli midir? Evet… Veya e-ticaret yapan bir şirkete kişisel veri sahibi kendisinin açık rızasını ne zaman aldıklarını, süreç detaylarını ve verisini hangi şirketlerle paylaştığını sorarsa tam detaylı yanıt vermek gerekir mi? Evet
Örnekler çok farklı durum ve sorgular özelinde çoğaltılabilir. Asıl dikkat edilmesi gereken veri sızması veya ifşası yaşandığı durumda kesinle sorumlu olduğumuzdur.
Maliyet etkin işletimler yapmak ve bazı hizmetleri dış tedarikçilere vermek sıklıkla görülen bir durumdur. Gene bir senaryo üstünden gidelim, hizmet alınan bir tedarikçimiz KVKK kontrolleri açısından kötü durumda ve biz her şeye rağmen tedarikçimizle kişisel verilerimizi paylaştık. Doğal olarak da bir sızma gerçekleştiğini varsayalım. Biz veri sorumlusuna şikâyet geldiğinde tedarikçimiz sızdırmış dememiz bizim sorumluluklarımızı düşmesine imkan verir mi? Cevabını gene kanunda arayalım.
Madde 12 (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
“Birlikte Sorumluluk” ilkesi veri sorumlularına veri paylaştığı tedarikçilerin de güvenlik sorumluğunu yüklemektedir. Peki sözleşme yapalım, tüm sorumluluk tedarikçidedir diyelim, böylelikle bizim sorumluluğumuz düşer mi? Hayır.
Çok geç kaldık artık ne olacaksa olsun, biz birkaç doküman hazırlayalım gösteririz yeterli olur mu? Elimizden gelen bu kadar…An itibariyle uyumluluk süreçlerine başlayan veri sorumluları için geç kalınmış durumdadır, lakin hala iyileşmek için geç değildir.
İlk nereden başlayalım? Nasıl ilerleyelim?
Öncelikle kanunun her maddesi üstünden geçerek eksikleri tamamlamakla başlamak gerekiyor. Öncelik sırasına koyacak olursak;
- Açık rıza ve aydınlatma yükümlülüğü eksiklikleri süratle tamamlamak
- Verbis başvuru ve veri envanteri hazırlama süreçlerini başlatmak
- Veri sızmalarını anında tespit edecek denetim izi(Log) ve alarm yapılarını konumlandırmak
- Kişisel verilere erişimi minimuma indirmek
- Kişisel veri paylaşımlarını çok mecbur olmadıkça yapmamak
- Şirketin tamamının bilinçlendirilmesi ve süreç dokümanlarıyla akışların desteklenmesi kontrol edilmesi
- Güvenlik zafiyetlerinin tespiti, sızma ve iç/dış güvenlik taramalarının yapılması
- Güvenlik kültürünün şirkete yaygınlaştırılması
- Kredi kartı kullanan şirketlerin seviyesine uygun olarak PCI DSS uyumluluklarını yerine getirmesi
- ISO 27001 ve benzeri standartları benimsemiş şirketlerin söz konusu en iyi uygulama standartlarını tam anlamıyla işletim ve yaygınlaştırmaya alması
Başlıca önerilerimiz olacaktır. Unutulmaması lazım ki siber güvenliğin büyük bir mücadele olduğu bir ortamda kişisel verilerin güvenliğine önem vermemek veya önceliklendirmemek gerek itibar gerekse finansal kayıp olarak vücut bulmaktadır. Bu duruma düşmemek için ivedi önlemlerin alınmasını önermekteyiz.
Mazars Denge Bilgi Güvenliği Partner’ı Ateş Sünbül
