Merhaba,

Bu yazımızda Bilgi Sistemleri Danışmanlarının bakış açısıyla KVKK uyum sürecinde işletmelerin düştüğü beş temel hataya değinmek istiyoruz.

Yükümlü işletmelerde veri envanterinin hazırlanması ve danışmanlık çalışmaları son hızıyla devam ediyor. Önümüzdeki dönemde yükümlülere yol göstermesi amacıyla hazırladığımız bu yazının faydalı olmasını ümit ederiz.

“ISO 27001 Sertifikası Sahibiyiz” yanılgısı

Bilgi güvenliği yönetim sistemi sertifikasına sahip olup teknik tedbirler konusunda bir şey yapmamak en büyük yanılgılardan biridir. ISO 27001 ile KVKK teknik tedbirlerinin kesişen kısımları olduğu gibi kesişmeyen kısımları da var. Kişisel Verilerin Korunması Kurulu’nun (Kurul) ilgili rehberinde veya mevzuatın her hangi bir yerinde ISO 27001 ve KVKK bağlantısı ile ilgili bir beyan bulunmamaktadır. Bu tip standartlara uyumlu olmanız her zaman iyidir. Hatta bu standartların iyi işletilmesi işletmenizin yönetişim anlamında olgunluk seviyesini arttıracaktır. Kurul’un son zamanlarda aldığı kararlarda ve verdiği cezalarda konu olan işletmelerin bir çok ISO sertifikasına sahip olmadığını mı düşünüyorsunuz? KVKK başlı başına çerçevesi çizilmiş bir mevzuattır ve oyunun kendi kuralları ile oynanmasını istemektedir.

KVKK Uyum çalışmalarının sadece idari tedbirler olarak algılanması

İlk sıralardaki yerini her zaman koruyacak bir yanılgıdır. Gerçekleştirilen uyum projelerinde hukukçuların yer alması ve Açık Rıza ile Bilgilendirme metinlerinin hazırlanması, fakat iş teknik tedbirlere gelince işletmelerin bilgi sistemleri süreçlerini olduğu gibi bırakmaları yanlış bir yaklaşımdır. Teknik tedbirlerin “Mars”tan gelmediği ve bu tedbirlerin BT yöneticilerinin de çok iyi bildiği ve farkında olduğu konular olduğu açıktır. Ancak iş implementasyona ve işletme için en uygun BT süreçlerinin belirlenmesine gelince BT yöneticilerinin danışmanlık alması zaman, bütçe ve uygulanabilirlik açısından çok daha verimli olacaktır. Teknik tedbirler ile ilgili önlemleri almadan sadece gerekli metinlerin ve veri envanterinin hazırlanması sizi gelecekte kişisel verilerin güvenliğini sağlamanız konusunda zor durumda bırakacaktır.

“Veri envanterinin her işletmede aşağı yukarı benzer olacağı” yanılgısı

Her işletmenin iş yapış şekli aynı mı? Aynı sektörde aynı ürünleri üretiyor veya satıyor olsa bile her işletmenin yöntemi birbirinden farklıdır. Veri envanterinin hazırlanmasını bir kopyala yapıştır olarak görmek envanter oluşturma sürecindeki en önemli hatalardan biridir. Bizce envanteri oluşturmanın size en önemli katkısı; amacıyla alakasız veya ihtiyaç olmayan kişisel verinin işletmenizin kayıtlarına girip girmediğini öğrenmenizdir. Kurul kararlarından da örnekler verebileceğimiz gibi, genellikle işletmelerin fazladan ve amaç dışı topladığı kişisel verilerin vatandaşlar tarafından Kurul’a şikayet edilmesi bizleri artık şaşırtmamaktadır.

“Bu işlerden kim sorumlu olacak? İK’ya mı versek?”

Verbis sistemine tanımlanmak üzere bir irtibat kişisi istenmektedir. Ancak KVKK ile uyum sorumluluğu tüm çalışanlara aittir. İşletmenizde bulunan uyum görevlisi-irtibat kişisinin her şeyi bilmesi ve müdahale etmesi mümkün değildir. Örnek olarak, işletmeniz yeni bir hizmet sunmadan önce müşterilerden istenilecek kişisel verilerin niteliği ilgili biriminiz tarafından işletmenizin uyum görevlisi-irtibat kişisi ile paylaşılmalıdır. Buna uygun olarak idari ve teknik tedbirler gözden geçirilmeli ve veri envanteri güncellenmelidir. Bilgi güvenliğinden bütün personeliniz sorumluysa KVKK ile uyum konusunda da şüphesiz tüm personeliniz sorumludur. İşletmenizin büyüklüğüne göre irtibat kişisinden başka kişisel verileri koruma komitesi gibi uygulamaları da önermekteyiz. KVKK uyumluluğunu en iyi şekilde devam ettirmek istiyorsanız kişisel verilerin korunması kurum kültürünüzün bir parçası olmalıdır.

“Veri envanterini ve uyum sürecini tamamladık. Başka bir şey yapmamıza gerek yok” yanılgısı

Sadece KVKK uyumu değil, yönetişim kavramından bahsettiğimiz her süreçte bugün işletmenizin uyumlu olması sonsuza kadar uyumlu olacağı anlamına gelmez. Süreç yönetimi işletmenizde yaşayan bir varlıktır. Yaşayan her canlının ilgiye ihtiyaç duyduğu gibi KVKK uyum süreçlerinizin ile veri envanterinizin canlı tutulması ve “ilgilenilmesi”  önemlidir. KVKK ile uyum durumunuzu düzenli olarak gözden geçirmeniz işletmenizi olası ceza ve kamuoyu önünde itibar kayıplarından koruyacaktır. KVKK konusunda üst yönetiminizin desteği süreçlerinizin istenilen hedefe ulaşması yolunda personelinize destek sağlayacaktır.

BOLD&Digital 2018 yılında “hibrit” danışmanlık firması olarak kurulmuştur. Uzmanlığı bilgi sistemleri yönetişimidir. Müşterilerine sadece proje teslim etmekle kalmaz, projelerin uzun dönemde hedeflenen amaca ulaşması için hizmet verir.

KVKK uyumluluk projeleri dahil tüm Bilgi Sistemleri yönetişim projelerinizde global deneyim ve yerel yaklaşım arıyorsanız bize ulaşın.