Nisan 2016’da yayınlanan ve 2 senelik uyum süresi geçen sene Nisan’da dolan KVKK ile ilgili tartışmalar bitmiyor. Herkesin kafasında çeşitli sorular var.
Burada benim gördüğüm en önemli sorunlardan birini “Çok fazla gri bölge içeren hukuk ile, tamamen 1 ve 0 kadar yalın sonuca gitmeyi hedefleyen IT’ci bakış açısının çakışması” oluşturuyor.
Hemen her yasal mevzuatta olduğu gibi burada da yoruma açık pek çok nokta var. Mesela Veri Sahibi’nin, Veri Sorumlusu’na yapacağı istek, şikayet gibi konular. Mevzuat tam olarak hangi yöntemin kullanılması gerektiğini belirtmediği için, Veri Sorumlusu da (biraz da gelebilecek asılsız istek ve şikayetlerin miktarını azaltmak, frenlemek için) “Veri Sahibi’ni doğrulama” adıyla işi zorlaştırabiliyor. KEP (Kayıtlı Elektronik Posta) adresinden gelmesi vb yöntemler talep ediyor. Açıkçası bence çok da haksız değiller. Sonuçta ben Ömer Altundal olarak X firmasından bana ait hangi verileri tuttuğunu öğrenmek ve onları sildirmek vs istiyorsam, X firmasının benim ben olduğumu onaylaması lazım. Yani benim Ömer Altundal olduğumu iddia etmem Identification, onların benim kimliğimi doğrulaması Authentication. Bilgi Güvenliği’nin en temel kavramları olan bu adıma kimse itiraz edemez.
Bu sadece bir örnek. Bu spesifik örnek dışında, Kanun’la ilgili genellikle sıkıntı duyulan noktalardan bir tanesi uyum sürecinin, ilgili kurum içerisinde kimler tarafından yürütüldüğüne bağlı olarak yorumlanması.
Kolay Erişim
ASIL AMACIN KİŞİSEL VERİLERİ KORUMAK OLDUĞU UNUTULMAMALI
Genel olarak 2 farklı grup var diyebiliriz.
Hukukçular tarafından yönetilen uyum sürecinde, tamamen mevzuatta bulunan kelimelere odaklanılıp, sadece prosedürel konulara öncelik veriliyor. Örneğin bir aydınlatma metninin yazılması için tekrar tekrar toplantılar yapılıp, “virgülü nereye koysak, enter’a 2 defa basıp paragrafın arasını açsak mı” gibi kanunun amacından çok çok uzak konularda patinaj çekilebiliyor. Verbis’e yüklenecek envanterin oluşturulması için aylarca uğraşan şirketler biliyorum.
Diğer grubu ise daha çok güvenlik ekipleri tarafından yönetilen süreçler oluşturuyor. Bu grubun kanunun da amacına uygun olarak kişisel verileri koruma konusunda pratik adımlara daha fazla yoğunlaştığını ifade edebilirim. Kanunun amacı Kişisel Verileri Korumak. Aydınlatma metni, veri sahibinin itiraz süreci vb konular daha çok “şeffaflaşma” ile ilgili konular. Tabi ki şeffaflığın da güvenliğe katkısı olacağı kabul ediliyor fakat arka tarafta diğer tedbirlere odaklanılmamış, büyük bir açık kapı bırakılmışken, bu tedbirleri almak için yatırım yapılmazken, hukuki danışmanlığa çuvalla para dökülmesi müşteri verisini korumayacak, sadece metin anlamında ilgili kişileri tatmin edecektir.
Yazacağınız Aydınlatma Metni’nin, web sitenizde bulunan ve tüm müşteri verilerini sızdıran SQL Injection açığını gidermeye hiçbir faydası olmayacaktır. Ya da Verbis’e yüklediğiniz Veri Envanteri, 3.taraflarla kurduğunuz bağlantılarda kullandığınız API’larda bulunan açık nedeniyle müşteri verilerinizin sızmasını engellemeyecektir. SSH bağlantısı açık ve erişim bilgileri admin/admin olan bir firewall ve arkada yine düzgün yapılandırılmamış veritabanı sunucusu ile parkta yürür gibi şirketin veri tabanına girip çıkıyorken, aslında kopyala yapıştır yapılabilecek kadar kolay (azıcık kendi şirketinize uyarlamayla) olan Aydınlatma Metni yazdırmak için 5-6 basamaklı bütçeler ayırmanın faydası ne yazık ki yok.
GÜVENLİKÇİLER SADECE KENDİ UZMANLIKLARINA TAKILMAMALI
“Zarfa değil, mazrufa bakmak” şeklinde güzel bir deyişimiz vardır. Hukuk penceresinden yapılan KVKK uyum çalışmaları ne yazık ki işin şekline, ambalajına odaklanmakta. Kanun nezdinde ilk planda kurumunuzu güvenli bölgede tuttuğu görüntüsü olsa da, gerçekten bir vaka yaşadığınızda, yapılacak incelemede güvenlik konusunda gerçekten önlem alıp, almadığınız irdelenecektir. Hazırladığınız süslü, püslü, bol eski Türkçe içeren metinlerin bir kıymeti harbiyesi kalmayacaktır. (Görüldüğü üzere teknik insanlar da bu tarz kelimeler kullanabiliyor ?)
Şimdiye kadar hep işin güvenlikçiler tarafından yürütülmesini savunsam da, güvenlikçiler olarak bizlerin de sadece sahip olduğumuz uzmanlığa takılıp, her şeyi o çerçevede çözmeye çalışmamamız gerekir. Maslow’un güzel sözü ile bitirmek istiyorum : “Elinde çekiç olan, her şeyi çivi sanar”. Bu, problemlere sığ bir bakış açısıyla yaklaşmamıza neden olur. Hukuki bakış açısı olmadan da Administrative Controls ya da Deterrent Controls dediğimiz, sözleşmeler, sisteme erişimlerdeki uyarlar vs gibi kontrolleri sağlamakta zorlanırız.
Siber Bülten abone listesine kaydolmak için formu doldurunuz