Veri Güvenliği Önemli. Peki Ama Ne Kadar?

Son zamanlarda GDPR ile ilgili bir çok mail aldınız değil mi? Bu tsunami etkisine sahip mail bombardımanına aslında yabancı değiliz, Ocak ayı itibarı ile Kişisel Verileri Koruma Kanunu çerçevesinde Türkiye’de SMS bombardımanına tutulmuştuk 🙂

Bir bakıma, yasaların zamanı yakalaması oldukça güzel. Peki kişisel verilerinizle başlayan ve oradan çok daha büyük verilere giden bu güvenlik silsilesi ne kadar önemli hiç düşündünüz mü?

İnternet bankacılığı kullanıyorsunuz… Akıllı telefonunuz var… Sosyal medyada aktifsiniz… Hatta belki de bir fitness takip cihazı ya da akıllı saat kullanıyorsunuz.

Eğer yukarıdaki kriterler siz uyuyorsa, verilerinizi öyle veya böyle, birileriyle paylaşıyorsunuz demektir: Ya halka açık şekilde, ya da bir veya birkaç şirkete özel olarak: Bazılarını da hiç duymadığınıza eminiz.

Bu tip veri paylaşımlarının hayat kalitenize birçok faydası var elbette: Tek tuşla yemek siparişi, ya da sıkça alışveriş yaptığınız siteden kart bilgilerinizi bir kez daha girmeden alışveriş yapmak, her seferinde şifre girmeden sitelerin sizi girdiğiniz tarayıcıdan tanıması veya kalp atışlarınızı takip altına alıp haftalık kalori yakımınızı görmek elbette güzel. Hatta bazı durumlarda günlük hayatın bir parçası veya sosyal hayatı devam ettirmek için gereklilik. Ancak tüm bu veriler çok hızlı ve kolayca kötüye kullanılabilir, size maddi, manevi zarara sebep olabilir: Tüm bunlar saniyeler içinde ve sizin haberiniz olmadan da gerçekleşebilir.

Son Facebook krizinden sonra, verilerin kiminle ve nasıl paylaşıldığı konusunda hızlı bir şekilde aksiyon alınması gerekliliği ortaya çıktı ve sonunda General Data Protection REgulation (GDPR) ortaya çıktı. Bu ana hatlar çerçevesinde şirketlerin ellerindeki veriyi nasıl kullanabilecekleri ve verinin sahibi insanların bu verilerin paylaşımına veya paylaşılmamasına karar vermesini kolaylaştıran regülasyonlar ortaya çıktı. Böylece sizin kaydolurken okumadan işaretlediğiniz “şartları okudum kabul ediyorum” kutucuklarından bağımsız, kendinizi unutturacak, verilerinizi sildirebilecek ve gerekirse verilerinizin kimlerle paylaşabildiğini öğrenecek duruma geldik. Tabii bu, GDPR standartlarına uymak zorunda olan firmalar ve siteler için geçerli.

Benzer yapılanma Türkiye’de de bulunsa da; asıl konumuz olan özel nitelikli kişisel veriden, bu verileri elinde tutmak zorunda olan firmaların, bu veriyi nasıl koruması gerektiği konusuna geçmemiz gerek.

Peki özel nitelikli kişisel veriler nelerdir? Aslında konu oldukça açık:

Özel nitelikli kişisel veriler olarak kanunen nitelendirilen veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı ve emin bir şekilde korunmaları gerekmektedir. 

Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir. 

Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.

Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

işlenebilir.

 

Yurtdışında korkunç sonuçları olan büyük veri güvenliği sorunları yaşandı: Gerek Equifax’in hacklenmesi, gerek Amerikan ordusuna ait Amazon sunucularında şifresiz unutulan binlerce dökümanın sızması, hala şirketlerin kendi ve kullanıcılarına ait verileri koruma konusunda başarısız olduğunu gösteriyor.

Şimdi düşünün: Sizin şirketinizde veri güvenliği konusuna nasıl yaklaşılıyor? ISO 27001’i laf olsun diye mi aldınız yoksa IT departmanınızın verdiği briefleri ve güvenlik önlemlerini dikkatlice dinlediniz mi? Peki IT departmanınız verilerinizi güvenli sunucularda tutmayı başarabiliyor mu? Ya da veri barındırma hizmeti veren tedarikçilerinizin güvenlik konusundaki önlemlerini biliyor musunuz?

Emin olamadıysanız, bu konuya acilen eğilmenizi öneririz. Zira zaman, veri güvenliğinden emin olma zamanı.