Bir dirhem koruma bin açkğk örter! Veri Koruma Kanunu, verinin mahremiyeti ve sorumluluk

Kurumunuzda verinin güvenliğinden, mahremiyetinden, güvenlik risklerinden kim sorumlu diye sorulduğunda cevabknkz IT birimi, iş birimi, hukuk birimi ya da hiç kimse şkklarkndan hangisi olurdu? Hukuk ya da IT burada sadece sözleşme dilinden, yönetmelikleri

CIO Turkiye - - GÖRÜŞ - Zafer BABÜR ”Değişim Projeleri Yöneticisi”

Kişisel veri mahremiyeti hayli karmaşık duruma geldi, kurumları ciddi anlamda zorluyor. Hangi uygulamalar, hangi data neye göre nasıl saklanacak, kiminle nasıl paylaşılacak. Kanun var, yönetmelik yok. Günümüzde ABD’DE ve Avrupa’da parçalardan oluşmuş bir yorgan var bu konuda. Avrupa üniversal bir çözüm peşinde Merkezi yönetimi ombudsman gibi konumlandırıyor, her türlü şikayeti orada sonlandırıyor, çözüme kavuşturuyor. Avrupa ABD den daha sert kurallarla geliyor.

İşinizi yapmak için bireyin datasına ihtiyacınız var, o kişiler sizin bünyenizde ama aldığınız çözüm bulut üzerinde bir yerlerde data şirket dışında, ülke dışında birey isterse mahkemeye başvurur ve tazminat isteyebilir. Ambulans kovalayan avukatlar bu işin karlılığını görünce hayli fazla dava açabilirler, eh geçim yolu doğal olarak.

İlk yapılması gereken kurum içinde bu konuda bilinçlenmeyi sağlamak, duyarlılığı artırmak. Konunun şirketin en tepesinden sahiplenilmesi gerekiyor. İkinci olarak güvenlik sadece It’nin sorunu değil, üstelik veri yolsuzlukları IT bölümleri dışında daha çok gerçekleşiyor. Her çalışanın hassas verinin ne olduğunu bilmesi ve ona göre davranması veriyi fiziksel ve elektronik olarak nasıl koruyacağını bilmesi gerekiyor. Son olarak da kurumun tüm çalışanların veri kaybı durumunda kimlerin nasıl cezalandırılacağını da öğrenmesi şart. Ceza olarak verilebilecek olan tutarlar (Kurumların yıllık gelirinin %10 u ya da 100 milyon Euro) bir kurumun ortadan kalkmasına neden olabilir.

Yeni düzende kurumların güvenlik ve mahremiyet düzleminde sorumlulukları arttı. Regülasyonların sertleşmesi kurumların sorumluluklarını da maliyetlerini de artırdı. Verinin sahibi, veriyi işleyen veriyi koruyan ve veriyi

denetleyen birimlerin her birinin rol ve sorumlulukları yeniden bu regülasyonlara tanımlanması gerekiyor. Bir data setinden o kişiyi bulabiliyor, tanımlayabiliyorsanız bunun sorumlusu veriyi işleyen ve veriyi denetleyen kişi sorumlu. Bundan böyle bireysel olarak verilen sözler sertifika yerine geçmeyecek. Bu konuda ‘uzman 3rd party’ denetim firmalarından bu tip sertifikalar alınması gerekecek. Bu arada işi sadece veri işlemek olan işletmeler de aynı sorumluluğa sahip olacaklar.

Bunun akabinde büyük şirketlerde Veri Korum Müdürlüğü ya Chief Data Protection Office (CDPO) gibi title’lar organizasyonda görülmeye başlanacak, küçük şirketler ise bunu bir hizmet olarak dışarıdan alacak. Birey kendi verisinin nerelerde ve nasıl kullanıldığını sorguladığında belli gün içinde bu raporun gerçeği yansıtır şekilde verilmesi gerekecek. Ayrıca verinin her zaman usulüne uygun olarak tüketildiğinin/kullanıldığının ispatlanması istenebileceğinden bu konuda da duyarlı olunması gerekiyor. Yeni uygulama ile beraber kurumun her yerinde güvenliğe önem verilmesi gerekiyor. Sistemler ve organizasyonlar kurulurken veri güvenliği baz alınarak kurulacak, kurumlar kendilerini koruyacak çok katmanlı yapıyı düşünecekler. Yazılım geliştirme süreçleri güvenlik temelli olacak. Bütçe kısıtları yüzünden göz ardı edilen testler erişim ve ve korumasını içerecek şekilde çok detaylı yapılması gerekecek bu da maliyetlerin artmasına neden olacak.

Özellikle sözleşme diline çok dikkat edilmesi gerekecek, karşı tarafa ihtiyacından fazlasının verilmeyeceğinden emin olunması gerekecek. Güvenlik daha sözleşme görüşmeleri sırasında başlayacak. Gizli bilginin tanımı daha net olacak. Kurumlar standart sözleşmelerinde baştan ret yerine baştan kabul cümleleri yer alacak. Hassas Verinin kullanımı,

Veri güvenli hale getirilse bile bunlar naskl yönetilecek. Kurumlar yönetim için de yapklanmask gerekecek. Toplanan, oluşturulan, saklanan, istendiğinde saklandkğk yerden çkkartklan, emekli edilen datankn tüm hayatk boyunca güvenliğinin sağlanmask gerekiyor ki bu da başlk başkna bir iş.

yerelleştirilmesi, emekli edilip yok edilmesi standartları her şirket için tanımlı ve yazılı olacak, işler buna göre yapılacak. Kullanılan dil, yönetmelikler kadar Teknolojinin de güvenilir ve güncel olunması gerekecek. Amaç veriyi mi korumak yoksa verinin işlenirken korumasını mı sağlamak sorusuna verilecek cevaba göre Teknoloji seçilecek. Şifreleme, maskeleme yazılımları bu noktada önemli olacak. Seçilen teknolojilerin kurumun standartları ile uygun olması önemli hale gelecek.

Veri güvenli hale getirilse bile bunlar nasıl yönetilecek. Kurumlar yönetim için de yapılanması gerekecek. Toplanan, oluşturulan, saklanan, istendiğinde saklandığı yerden çıkartılan, emekli edilen datanın tüm hayatı boyunca güvenliğinin sağlanması gerekiyor ki bu da başlı başına bir iş. Talep halinde bir kullanıcının verisinin bir keresinde kurumun her yerinde silmek zorunda kalacağınızdan bunun için de belli zaman içine bir silsile dâhilinde bu işi yapabilecek yazılımı oluşturmanız ya da almanız gerekecek. Arama motorlarında kişi hakkında mahram, tarihi geçmiş, eksik ve hatalı veri göstermek dâhil suç unsuru sayılacağından veri yönetimi kurumların ciddi işi haline gelecek.

Tüm bunlar neden mi oldu? Bazı kişi ve kuruluşların verilerini çaldırması, manipüle ederek kazanç sağlaması nedeni ile oldu. Bu tip regülasyonlar iş yapma, para kazanma maliyetlerimizi de artırdı doğal olarak.

Ezcümle; bir dirhem kıyma bin ayıbı örter der bir atasözümüz. Kısmi koruma bin açığı kapatır diye de biz çevirelim sözü. Ya da yaygın söylemi ile 1 her zaman 0’dan büyüktür deyip neler yapmamız gerektiğini planlayıp, bir an önce, yavaş yavaş yapılacakları sırasıyla gerçekleştirelim.

Her çalkşankn hassas verinin ne olduğunu bilmesi ve ona göre davranmask veriyi €ziksel ve elektronik olarak naskl koruyacağknk bilmesi gerekiyor.

Newspapers in Turkish

Newspapers from Turkey

© PressReader. All rights reserved.