KVKK – Kişisel Verilerin Korunması ve Microsoft Çözümleri

Avrupa’da yakın zamanda yasalaşması beklenen GDPR (General Data Protection Regulation) ile paralel olarak ülkemizde de benzer bir çalışma Kişisel Verilerin Korunması Kanunu adında gerçekleşiyor ve kurumlar bu sürece nasıl hazırlanacaklarını planlamaya başladılar.

Öncelikle “bu kanun neleri kapsar, kimleri etkiler” ve ardından “bu etkilere karşı uyumluluk sağlama yolunda Microsoft bulut çözümleri size nasıl yardımcı olur” konularını ele alacağız. Öncelikle genel tanımları inceleyelim.

DataProtection-960x516

Kişisel veri nedir?
Kimliği belirli veya belirlenebilir gerçek kişinin adı, soyadı, taşıt plakası, SGK veya pasaport numarası, özgeçmişi, fotoğrafı, adresi, telefon numarası vb.

Özel nitelikli kişisel veri nedir?
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.

Veri sorumlusu kimdir?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

IT alanında henüz Türkiye’de henüz çok yaygınlaşmamış rollerden biri CISO (Chief Information Security Officer) rolü. Bu durumdan hareketle maalesef henüz sahip olduğumuz verilerin korunması konusunu çok ciddiye almadığımızı kabul etmek zorunda kalıyoruz. Ancak bu kanunla birlikte bu artık bir seçenek değil bir zorunluluk haline geliyor. Zira KVKK, kurumlara önemli sorumluluklar getirmekle birlikte verinin sahibi olan kişilere de önemli haklar tanıyor.

Veri sorumlusunun yükümlülükleri:

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Kişilerin hakları:

  1. Kişisel verilerinin işlenip işlenmediğini, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını ve yurtiçinde veya yurtdışında kişisel verilerinin aktarıldığı üçüncü kişileri öğrenmek,
  2. Eksik veya yanlış bilgilerin düzeltilmesini istemek ya da gerektiğinde bilgilerinin silinmesini talep etmek,
  3. Kişisel verilerinin hukuk dışı işlenmesinden doğan zararlarının giderilmesini istemek,
  4. Eksik veya yanlış bilgilerin düzeltilmesi veya kişisel verilerin silinmesi veya yok edilmesi talepleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
  5. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
  6. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek hakları bulunmaktadır.

Bu durumda kişisel verileri diğerlerinden ayırt edebilmemiz, nasıl ve nerede işlendiğinden emin olmamız, bu verileri gözümüz gibi korumamız ve talep edildiğinde kolayca bulup sunabilmemiz gerekiyor.

Üzerimize düşen bunca sorumluluk arasında hangi Microsoft çözümünün bize nasıl yardımcı olabileceğine göz atalım.

kvkk_microsoft

Belge siniflandirma, izleme ve koruma konusundaki en etkili çözümlerden biri olan Azure Information Protection, yöneticinin belirlediği önceden tanımlamış belli formatlarda içerik içeren dosyaları otomatik olarak sınıflandırıp, bu sınıfa ait güvenlik policy leri ile koruma altına alıyor. Bu policy ler ile dosyaların dışarıya paylaşım, düzenleme ve erişim yetkilerini belirleyebiliyoruz.

Bulut uygulamarinin kullanimini denetlemek için kapsamlı bir çözüm olan Microsoft Cloud App Security ile kurumsal ya da kurumsal olmayan bulut tabanlı uygulamalar üzerinde kullanıcılarınızın etkinliklerini görüntüleyebilir ve denetleyebilirsiniz. Özellikle kurumsal olmayan uygulamalarda kurumsal verilerin paylaşılmasının önüne geçmek için kullanılabilir.

İnternetteyken kullanıcılarınızın kimlik yönetimini sağlama ve kimlik hirsizligini engelleme konusunda Azure Active Directory premium bize yardımcı oluyor. Şüpheli erişim durumlarında conditional access ile multi factor authentication devreye alınması bile tek başına bir çok istenmeyen olayın önüne geçebilir. Ayrıca bulut uygulamalarında single sign on özelliği kullanıcıların işini kolaylaştırırken güvenli kimliklerini korumlarını sağlar.

E-posta ortamını zararlı içeriklere ve sıfırıncı gün saldırılarına karşı korumak için e-postalarımızı zararlı ekler ve linklerden arındıran, küçük ama etkili bir çözüm olan Office 365 Advanced Threat Protection‘ı es geçmemek gerekir.

E-posta ortamında veri kaybını önlemek için Office 365 Data Loss Prevention

Office 365’te aradığınız veriye hızlıca erişebilmeizi sağlayan Advanced eDiscovery

Kurumsal ağa karşı yapılabilecek muhtemel ataklara karşı erken uyarı sistemi görevi gören Advanced Threat Analytics ise yukarıda bahsi geçen “uygun güvenlik düzeyini temin etmek için gerekli tedbirleri almak” konusunda önemli bir destekçimiz olabilir.

Servislerle ilgili genel teknik bilgilere, servis isimlerine iliştirdiğim linklerden ulaşabilirsiniz.

Not: Bu yazıdaki ifadeler yazarın yorumlarıdır ve yasal bilgilendirme olarak değerlendirilmemelidir. KVKK olarak bilinen kanun hakkındaki en doğru ve detaylı bilgiler şuradan edinilebilir.

 

Bu yazıyı paylaşmak istersen:

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>