Cio’lar KVKK uygunluk kriterlerine nasıl hazırlanıyor?

Son dönemde, Kişisel Verilerin Korunmask Kanunu (KVKK) çerçevesinde, IT yöneticileri kriterlerin sağlanmask noktasknda mevcut uygulamalarda birtakkm değişikliklere gidiyor. Farklk sektörlerin Cio’lark ile KVKK’YA naskl hazkrlandkklark konusunda görüştük.

CIO Turkiye - - EYLÜL -

Son dönemde, Kişisel Verilerin Korunmask Kanunu (KVKK) çerçevesinde, IT yöneticileri kriterlerin sağlanmask noktasknda mevcut uygulamalarda birtakkm değişikliklere gidiyor. Farklk sektörlerin Cio’lark ile KVKK’YA naskl hazkrlandkklark konusunda görüştük.

KVKK uygunluk kriterlerinden kişisel bilgi kullanımının söz konusu olduğu her alanda bahsedebilmek mümkün. Cio’ların bir kısmı KVKK uygunluk kriterlerinin sağlanması konusunda mevcut uygulamalarda önemli değişiklikler yaparken, diğer kısmı ise mevcut politika ve uygulamalarda sıkılaşmaya giderek gerekli adımları atmaya çalışıyor.

İngiltere’de faaliyet gösterdiği sektörde adından söz ettiren IT yöneticileri ile KVKK uygunluk kriterlerinin yerine getirilmesi konusunda attıkları adımlarla ilgili konuştuk…

1. Martyn Wallace – İskoç Yerel Hükümeti

İskoç Yerel Hükümeti KVKK’Yı içerisinde fırsatçı satıcıların da bulunduğu odadaki fil olarak görüyor.

Martyn Wallace’ın KVKK uygunluk kriterlerini yerine getirme konusundaki stratejisi merkez konsey tarafından alınan aksiyonların ülkenin geri kalan 32 yerel konseyinde uygulanması sürecinden oluşuyor.

Wallace, ideal şartlar içerisinde yaptığı işin dijital ofis olarak hayata geçirilen bir uygulamanın 32 kez tekrarlanmasını sağlamak olduğunu söylüyor.

Bu strateji Wallace ve ekibine belirlenen uygulamaların sürekli

tekrarlanarak tüm detaylarına hakim olma ve İskoç Yerel hükümeti Dijital Ofisi’nin KVKK uygunluğuna daha iyi odaklanma imkanı sağlıyor.

2. David Ivell – Price’s Trust

Price’s Trust yardımlaşma kuruluşunun çalışmalarında genç kişilerin kolaylıkla hedef alınabilecek pek çok kişisel bilgiyi kullanmasının, KVKK uygunluk kriterleri ile ilgili hazırlıkları organizasyon dâhilinde kapsamlı bir proje haline dönüştüğünü söylemek mümkün. Çalışanların desteklenen kişilerle genelde samimi konuşmalar gerçekleştirmesi fakat bazı durumlarda yapılan konuşmaların taciz düzeyine ulaşması KVKK uygunluk kriterlerinin sağlanmasına yönelik adımlardaki hassasiyeti arttırıyor.

Price’s Trust CIO’SU David Ivell, KVKK uygunluk kriterlerini sağlama şirket olarak şartları güvence altına almak adına verilerini kişisel bilgilerden arındırmayı tercih ettiğine dikkat çekiyor ve ekliyor: “Bizim böyle bir şansımız yok. Genç kişilerle yaptığımız samimi görüşmeler sunduğumuz destekte önemli rol oynuyor. Bu nedenle kişisel bilgilerin kullanımı konusunda doğru dengeyi bulmamız kritik öneme sahip.”

Kişisel bilgilerin toplanması konusunda doğru dengeyi sağlamanın yanında toplanan bilgileri korumaları gerektiğinin altını çizen Ivell, sadece gerekli kişilerin kişisel bilgilere erişimini mümkün kılmanın önemli olduğunu vurguluyor.

Kuruluş olarak gerekli dengenin sağlandığından emin olmak için kurum genelinde verilerin toplanmasından hangi sistemler ve kişiler tarafından verilerin kullanımına kadar olan süreçte KVKK uygunluk kriterlerinin sağlanması konusunda izlenen bir program bulunuyor.

KVKK uygunluğunun sağlanması için müşterilere yönelik teknolojileri değiştirmek zorunda kaldıklarını söyleyen Ivell, daha önceki süreçte kağıt ve kalem ile başlayan bilgi girişlerinin şu anda şifrelenmiş tablet üzerinden gerçekleştirildiğini dile getiriyor.

3. Claire Priestley – City, University of London

KVKK uygunluk kriterlerinin sağlanması City, University of London CIO’SU Claire Priestley için büyük önem taşıyor. Priestley’in, çalışan, üniversite ve yaklaşık 20 bin öğrencinin verilerini koruma ve gelecek için kişiselleştirilmiş eğitim sunma süreçlerinde kullanılan verileri KVKK uygunluk kriterlerine uygun hale getirme zorunluluğu bulunuyor.

Priestley, sekiz ay önce veri yapısını yeniden yapılandırdıklarını ve yeni yapılandırmada uygunluk kriterlerinin sağlanmasının ötesinde güvelik, veri kalitesi ve veri hareketliliği gibi konulara oluştur- dukları stratejide yer verdiklerini ifade ediyor. Endişeliden çok kendinden emin bir durumda olduğunu söyleyen Priestley, aynı alanda faaliyet gösteren kuruluşlara göre çok daha iyi bir noktada bulunduklarını düşünüyor. Priestley, KVKK ile ilgili konular üzerinde birkaç yıldan bu yana çalıştıklarını ifade ederek uygunluk kriterlerini mümkün olduğunca yerine getirmeye odaklandıklarını dile getiriyor.

4. Sean Harley – Ascential

Ascential CIO’SU Sean Harley, medya şirketinin hukuki işlerinden sorumlu kişileriyle çalışarak şirketinin tamamını kapsayan şekilde KVKK uygunluk kriterlerinin sağlanmasına yönelik çalışmalar yürütüyor

Kişisel bilgilerle ilgili yasal düzenlemelerin hukuki ya da pazarlama problemi olarak gördüğüne dikkat çeken Harley, kendilerinin bu konuyu kurumsal bir konu olarak değerlendirdiğini ifade ediyor ve ekliyor: “Kişisel bilgilerin kullanımıyla ilgili yasal konular pazarlama, insan kaynakları, hukusal, teknoloji ve veri ile ilgili olma niteliği taşıyor. Bu nedenle tüm bu detayların sorumluluğunu kurumsal bir sorumluluk olarak ele alıyoruz.

Harley, KVKK kriterlerine uygunluğun sağlanması konusunda yakın gelecekte problem yaşamamak için organizasyon yapısının tamamını gözden geçirdiklerini ifade ederek kurumsal organizasyonun ötesinde B2B ilişkilerinin parçası olarak gerekli şartların yerine getirildiğinden emin olmak için süreçlerde bazı değişiklikler yaptıklarını dile getiriyor.

5. David Jone – AEG

Aeg’nin Avrupa bölgesi IT başkan yardımcısı David Jones’un, Londra’daki O2, Paris’teki Accorhotels, Stockholm’daki Ericsson Globe ve

Mercedes-benz Arena gibi farklı eğlence merkezlerindeki veri altyapısını koruması gerekiyor. KVKK kriterlerine uygunluğun sağlanması konusunda Jones’un üzerinde durduğu noktaların başında hukuki olarak belirlenen kriterlerin detaylandırılması ve bu detaylara rehberlik edilmesi geliyor. Bu sayede Jones ve şirketi KVKK uygunluk kriterlerinin yerine getirilmesine karşı olması gerekenden daha hazır durumda olması hedefleniyor.

Jones, pek çok organizasyonun muhtemelen olması gerektiği yerde bulunmadığı gerçeğinin altını çizerek KVKK kriterlerine uygunluğun sağlanmasında en önemli problemin yasal düzenlemelerdeki detayların gündelik hayatta ne anlama geldiğini bilmemek olduğunu söylüyor.

Üç Avrupa ülkesinde faaliyet gösteren bir şirket olarak karmaşık yapıları olduğunu ifade eden Jones, KVKK ile tüm ülkelerde belirli standartları yakalayacaklarını belirtiyor. Jones, uygulamalarda küçük farklılıklar olmasına karşın neredeyse aynı yapıyı oluşturmanın KVKK için gerekli olan kriterlerin yerine getirilmesi esnasında mümkün olacağını söylüyor.

Almanya’daki bazı KVKK uygulamalarıyla ilgili çalışmalar yaptıklarını dile getiren Jones, Almanya’nın pazarlama izni gibi konularda daha ileri durumda olmasının erken uygulamaya koyulan prosedürlerde etkili olduğunu vurguluyor.

Jones, kişisel verilerle ilgili konuların Bilgi Komisyonu Ofisi (ICO – Information Comissioner’s Office) tarafından uygulanacak cezalar ile daha fazla netlik kazanacağının altını çizerek Google ve Facebook gibi devlere sonrasında daha küçük ölçekteki organizasyonlara uygulanacak yaptırımlarla yasal konuların gündemde daha fazla yer tutacağına inanıyor.

6. Dave Roberts – Radius Payment Solutions

Radius Payment Solutions şirketinin CIO’SU Dave Roberts, KVKK uygunluk kriterlerinin sağlanması sürecini ISO 27001 Bilgi Güvenliği Yönetimi sertifikasyonu ile ilgili hazırlık sürecine paralel olarak yürütüyor.

Güvenlik ve filo hizmetleri konusunda faaliyet gösteren şirkette IT güvenlik ve uyumluluk ekibi gerekli şartların sağlanması konusunda çalışıyor. Şirket tarafından KVKK stratejisi konusundaki ekberlin’deki

siklerin tespit edilmesine yönelik analiz ve geliştirme ile ilgili yasal uzmanlık arayışında bulunuluyor.

Roberts, denetlemelerde 114 kontrol ve ISO 27001 konusunda yapılanların ortaya koyulduğuna dikkat çekerek yapılanların KVKK mevzuatları ile eşleştirilmesini sağladıklarını söylüyor ve ekliyor: “ISO 27001 ile ilgili şartları yerine getirmede oldukça iyi durumdayız. Bu süreç KVKK konusunda attığımız adımlar öncesinde büyük fayda sağladı.”

KVKK’NıN bir IT projesi olmanın ötesinde kurumsal bir proje olduğunun KVKK konusunda gözden kaçırılmaması gereken en önemli nokta olduğunu belirten Roberts, bu nedenle KVKK yürütme komitesinde organizasyondaki her kısımdan paydaşların yer aldığını söylüyor.

7. Adam Gerard – Yoldel

Yoldel şirketinin CIO’SU Adam Gerard dağıtım hizmetleri sağlayan şirketinde KVKK uygunluk kriterlerinin sağlanması konusunda çalışmalar yürütüyor.

Gerard, veri koruma uzmanlarını kişisel verilerin korunması ile ilgili eğitime tabi tuttuklarını ve KVKK konusundaki detayları hızlıca kavraya IT siber uzmanları olduğunu dile getiriyor ve ekliyor: “Bu sayede her iki taraftan veri kaynaklarımızı ince eleyip sıkı dokuyarak KVKK konusunun bizim için ne anlama geldiğini irdeleyebiliyoruz.”

Kişisel verilerin korunması konusundaki gelişmelere karşı doğru bir yaklaşım ortaya koyduklarını düşünen Gerard, teknoloji altyapısı konusunda yapılması gereken pek çok şey olduğunu ifade ediyor. Gerard, pek çok kişi veri korumanın sadece depolanan verilerle ilgili olmadığı gerçeğini göz ardı ettiğini dile getirerek ekibinin kişisel bilgilerin korunması konusunun veri depolamadan ibaret olmadığını ayırt etmede oldukça akıllı olduğunu belirtiyor.

Şirketin daha önceki CIO’SU ile yaptığı görüşmeler doğrultusunda Gerard, ,şirket olarak KVVK ile ilgili gelişmelere olması gerekenden çok daha iyi şekilde uygun hale geldiğine inanıyor.

Gerard, müşterilerin verilerini korumanın şirketinin görevi olduğunu ve KVKK ile ilgili mevzuatların getireceği yaptırımlara inanmayan kişileri en azından yaşanabilecek ihlalle ilgili riskleri bilmesi gerektiğini söylüyor.

KVKK ile ilgili yaptırımların kısa süre içerisinde başlamasının kendisi için sürpriz olmayacağını vurgulayan Gerard, kendi şirketinin uygunluk konusundaki problemlerden dolayı ceza uygulamalarına maruz kalmasını kesinlikle istemediğini ifade ediyor.

8. Mark Holt - Trainline

Trainline şirketinin CTO’SU Mark Holt, KVKK uygunluk kriterlerini yerine getirmeyi zorluk yerine fırsat olarak gören IT yöneticileri arasında yer alıyor.

Holt, ten bileti satış hizmeti sağlayan bir şirket olarak veri kullanımına “KVKK uygunluk yaklaşımı”yla bütünleştirdiklerini ve bu kapsamda uygunluk sürecini yürütme, verinin güvenli bir şekilde depolama ve müşterilerin şirkete güvenini sağlama konularında gerekli adımları attıklarını söylüyor.

KVKK konusunda takıntılı olduklarını vurgulayan Holt, kişisel bilgilerin korunmasıyla ilgili gelişmeleri yakından takip ettiklerini ve tüm organizasyonların bu yönde ilerlemesi gerektiğini belirtiyor ve ekliyor: “Eğer KVKK tarafından gerekli görülen adımları atmıyor ve müşterilerinizin gizliliğini önemsemiyorsanız bir şeyleri yanlış yapıyorsunuz demektir.”

Mevcut teknoloji manzarasında hiçbir şey yapay zeka kadar merak ve heyecan uyandırmıyor. Ve biz şu an için kurumsal alandaki AI uygulamalarının potansiyel faydalarını henüz görmeye başlıyoruz. Diğer yandan kurumsal tarafta Ai’ın büyümesinin önünde engeller var. Zira veri bilimcileri sıklıkla etkin AI modelleri geliştirmek için gereksinim duydukları ilgili verilere kısıtlı bir erişime sahip. Bu veri uzmanları ihtiyaç duydukları gerçek zamanlı gerçek yaşam verilerine dokunabilmek yerine mevcut veri ambarları gibi sadece birkaç bilinen kaynağa dayanmaya zorlanıyor çoğu zaman. Bunun yanı sıra birçok organizasyon büyük verilerin iş bağlamını ve kalitesini verimli ve karşılanabilir bir biçimde belirlemede büyük bir güçlük yaşıyor. Söz konusu zorluklar yaşanırken Ai’ın ivmesi ile benimsenmesinin önündeki birtakım tarihsel bariyerleri anlamak zor değil.

Nihayetinde veri sizin onu anladığınızda AI (veya başka bir amaç) için yararlı hale geliyor. Özellikle bu onun bağlamını ve ilgisini anlamak manasına geliyor. Sadece o zaman veriyi emin bir biçimde kullanabilir ve AI modellerini güvenli bir biçimde oluşturabilirsiniz. Bunu başarmanın yegâne yolu akıllı veri temelini oluşturmaktan geçiyor.

Yıllar içinde belirli iş uygulamalarını (veri 1.0) teşvik etmek üzere verinin toplanması ve bir araya getirilmesinin ilerisine geçtik. Organizasyonlar hacim, çeşitlilik ve hızı artarken herhangi bir kişinin veriye erişimine imkan tanıyan iyi tanımlanmış süreçleri yaratabildiler (veri 2.0). Fakat bu kafi değil. Şimdi öyle bir noktaya ulaştık ki gerçek anlamda kurumsal çapta dönüşüme güç sağlamak için akıllı veriye gereksinim var. (veri 3.0).

Örnek olarak; müşteri tabanıyla olan geleneksel ilişkilerini yeniden tanımlamaya çalışan bir işletmenin yüzleşebileceği güçlükleri düşünün. Diyelim ki jilet imal eden bir firmasınız ve amacınız bunları tezgahta değil de üyelik üzerinden satmak. Bu türden yıkıcı bir değişime rehberli etmek çok sayıda veri kaynağından (veri tabanları, veri ambarları, uygulamalar, büyük veri sistemleri, IOT, sosyal medya ve dahası); çeşitli veri türlerinden (yapılandırılmış, yarı yapılandırılmış ve yapılandırılmamış) girdiyi gerektiriyor. Ya da ağır sanayi imalatçısısınız ve milyonlarca dolar gelir kaybına neden olabilecek operasyonel aksaklıklardan kaçınmak üzere programlı bakımlarınızı yürütürken olası aksaklıkları öngörmek için gerçek zamanlı olarak imalat katından ve robotlardan gelen tüm veriyi işleyebildiğinizden emin olma ihtiyacınız mevcut. Veri gölü bu türden dönüşüm gayretlerinde gerek duyulan farklı veri koleksiyonları için tercih edilen ambarlar halini alıyor. Fakat akıllı veri olmaksızın bu göllerin çok az değeri var. Gartner’ın öngörüsüne göre 2018 sonunda veri göllerinin yüzde 90’ı yararsız olacak zira onlar ham verileri kullanabilecek yeteneklere sahip çok az sayıda yapı var.

Diğer taraftan akıllı veri ile veri bilimcileri ”müşteri” gibi bir kelimeyle Google benzeri bir arama gerçekleştirebilir ve anında tüm potansiyel bağlantılı veri kaynaklarını ortaya çıkartabilir. Akıllı veri veri bilimcilerin aksi halde modellerinde ihtiyaç duydukları veriyi toplamak, birleştirmek ve iyileştirmek için harcamak zorunda oldukları inanılmaz büyüklükteki kıymetli zamanın tasarruf edilmesini sağlıyor. Aynı zamanda en güvenilir sonuçları da getiriyor.

AI yönelimli yaklaşkmk benimsemeden önce neler sorulmalk?

Peki, verilerinizin gerçekten akıllı olduğundan nasıl emin olursunuz? Kendisi otomatik öğrenme ve AI yeteneklerini kullanan, platformun toplam verimliliğini geliştirmek için kapsamlı üst veri tarafından yönlendirilen bir uçtan uca veri yönetim platformu inşa ederek. AI geliştirmek için kapsamlı, ilgili ve doğru verileri sağladığınızdan emin olmak istiyorsanız bakmanız gereken dört belirgin üst veri kategorisi bulunuyor:

Teknik üst veri – veritabanı tabloları, sütun bilgileriyle birlikte verinin kalitesiyle ilgili istatistiki enformasyonu içerir.

İş üst verisi – verinin iş bağlamını ve dâhil olduğu iş süreçlerini tanımlar.

Operasyonel üst veri – yazılım sistemleri ve süreç yürütme hakkındaki enformasyon. Örneğin veri tazeliğini işaret edecek.

Kullanım üst verisi – Erişilen veri setleri, puanlamalar ve yorumlar dâhil olmak üzere kullanıcı aktivite bilgileri.

Bu üst veri koleksiyonu üzerine uygulanan AI ve otomatik öğrenme sadece doğru verinin tanımlanmasına önerilere yardımcı olmayacak. Söz konusu veri aynı zamanda kurumsal AI projelerinde kullanım amacıyla uygun hale dönüştürmek için otomatik olarak yürütülebilir (herhangi bir insan müdahalesi olmaksızın).

Dijital dönüşüm organizasyonları veriye farklı bir biçimde bakmaya zorluyor. Bu bir ”av ya da avcı olma” meselesi. Bugün veriye gerçek zamanlı, kesintisiz bir erişim ile hızlı analizlere imkan tanıyan araçlar mevcut. Bu AI ve otomatik öğrenmeye ivme kazandırdı ve dönüşümde veri öncelikli bir yaklaşıma fırsat tanıdı. AI rönesansı, Ai’ın kurumsal taraf üzerindeki dijitalleşme, veri patlaması ve dönüşüm etkisi sayesinde büyüyor.

Aşikâr bir biçimde bir AI uygulaması kararlarını şekillendirebilecek sayısız veri girdisi mevcut. Bu sebeple organizasyonların neyin alakalı ve etkili, neyin de salt gürültü olduğunu sınıflandırması gerekiyor. Organizasyonunuz veri yönetiminde bir AI yönelimli yaklaşımı benimsemeden evvel bu soruları sorun:

AI destekli teknolojilerden ne elde etmek istiyorsunuz?

AI güdümlü kararları vermeye yardımcı olmak için veri etrafında doğru stratejiye sahip misiniz?

Doğru yetenek takımlarınız var mı?

Kişisel bilgilerin kullankmkyla ilgili yasal konular pazarlama, insan kaynaklark, hukusal, teknoloji ve veri ile ilgili olma niteliği taşkyor. Bu nedenle tüm bu detaylarkn sorumluluğunu kurumsal bir sorumluluk olarak ele alkyoruz.

KVKK kriterlerine uygunluğun sağlanmask konusunda Jones’un üzerinde durduğu noktalarkn başknda hukuki olarak belirlenen kriterlerin detaylandkrklmask ve bu detaylara rehberlik edilmesi geliyor.

Aşikâr bir biçimde bir AI uygulamask kararlarknk şekillendirebilecek saykskz veri girdisi mevcut. Bu sebeple organizasyonlarkn neyin alakalk ve etkili, neyin de salt gürültü olduğunu sknkandkrmask gerekiyor.

Newspapers in Turkish

Newspapers from Turkey

© PressReader. All rights reserved.