24.3.2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu`nda, “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak tanımlanan kişisel veriler, gerek özel sektör gerekse kamu sektörü tarafından çeşitli amaçlarla sıkça toplanıp işlenerek, paylaşılıp saklanıyor. Kişisel veriler bazen vatandaşın verisi, bazen müşterinin verisi bazen de kuruluş çalışanının verisi olabiliyor. Kişisel veriler, kişinin kimlik yapısını ortaya koyan ve kişiye özel bilgiler olarak tanımlanabilir. Bu bilgiler, kişinin fiziksel, sosyal, kültürel, ekonomik, psikolojik tüm yönlerini kapsayabilir. Örneğin, adı, soyadı, doğum yeri, doğum tarihi, vatandaşlık numarası, vergi numarası, pasaport numarası, sosyal güvenlik numarası, sürücü belgesi numarası, taşıt plakası, ev adresi, iş adresi, e-posta adresi, telefon numarası, faks numarası, özgeçmişi, fotoğrafı, videosu, genetik bilgileri, kan grubu, kriminal geçmişi ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını sağlayan tüm bilgiler kişisel veri sayılabilir.

Kişisel veri güvenliği, kişisel verilerin yetkisiz erişime kapatılması, bütünlüğünün korunması ve doğru zamanda doğru kişilerce erişilebilirliğin sağlanması olarak tanımlanabilir. Kişisel verilerin korunması hem kişilerin temel hak ve özgürlüklerini hem de kurum ve kuruluşların yükümlülüklerini ilgilendirmektedir. Özel ve genel nitelikli kişisel verilerin korunması kanunlarla sabittir. Çoğu ülkede, kurum ve kuruluşların uyması gereken katı veri güvenliği düzenlemeleri vardır. Bunları ihlal etmenin sonuçları büyük para cezalarıyla sonuçlanabilir. Ayrıca kuruluşların, marka güvenirliğinin zedelenmesine yol açabilir.

Bilgi ve iletişim teknolojilerinin gelişmesiyle özellikle internet alanında kişisel verilerin korunabilmesi,  internet ortamının dağıtık ve dinamik yapısı gereği daha da zor hale gelmiştir. Birçok tekil bilgi veya bazı paylaşılan bilgilerin harmanlanması ile kişisel veriler oluşturulabilmektedir. Bu bilgilerin birçoğu, internet teknolojilerinin getirmiş olduğu kolaylıkları kullanabilmek adına, internet kullanıcılarının kendileri tarafından da paylaşılabilmektedir. Bugün sosyal ağlarda birçok kullanıcı kendini tanımlayıcı ve tasvir edici içerikli resim, video ve çeşitli diğer görsel ve işitsel araçları çok rahatlıkla paylaşabilmektedir. Bu bilgilerden çok rahatlıkla diğer kişisel veriler de üçüncü şahıslar tarafından oluşturulabilmektedir.

Kişisel verilerin korunmasında yasaların ve uluslararası sözleşmelerin getirmiş olduğu birtakım uygulama ve yaptırımlar olsa da, temel gizlilik ve güvenlik kişinin kendisinde başlamaktadır. Bu yüzden kişisel bilgi güvenliği sağlamak için en temelde ve özellikle internet alanında dikkat edilmesi gerekmektedir.

Kişisel veri güvenliğini sağlamak için yararlanabileceğimiz bazı standartlar ve rehberler vardır. Bunlar arasında şunlar sayılabilir:

• Kişisel Verilerin Korunması Kanunu: Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren ve kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen kanundur.

• General Data Protection Regulation (GDPR): Avrupa Birliği tarafından 25 Mayıs 2018 tarihinde yürürlüğe giren ve kişisel verilerin korunması, işlenmesi, aktarılması, silinmesi, erişimi, düzeltilmesi, itiraz edilmesi gibi konularda kişilere haklar tanıyan ve veri işleyen kurum ve kuruluşlara yükümlülükler getiren düzenlemedir.

• CBDDO-Bilgi ve İletişim Güvenliği Rehberi Tedbir 4.1. Kişisel Verilerin Güvenliği: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayınlanan rehberin kişisel verilerin güvenliği ile ilgili tedbirleri içeren bölümüdür. Bu bölümde kayıt yönetimi, erişim kayıtları yönetimi, veri sızıntısı önleme, veri şifreleme, veri anonimleştirme, veri maskesi uygulama, veri sahipliği belirleme, veri sınıflandırma gibi konulara yer verilmiştir.

• Kişisel Veri Güvenliği Rehberi: Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberdir. Bu rehberde teknik ve idari tedbirleri içermektedir. Teknik tedbirler arasında veri güvenliği politikası oluşturma, güvenlik duvarı kullanma, antivirüs programı kullanma, şifreleme yöntemleri kullanma, yedekleme yapma, güncelleme yapma gibi konular bulunmaktadır. İdari tedbirler arasında ise farkındalık eğitimi verme, yetkilendirme yapma, denetim yapma, sözleşme yapma gibi konular yer almaktadır.

• ISO 27001 Ek-A 18.1.4 Kişi Tespit Bilgisinin Gizliliği ve Korunması: Uluslararası Standartlar Örgütü tarafından yayınlanan bilgi güvenliği yönetim sistemi standardının kişi tespit bilgisinin gizliliği ve korunması ile ilgili maddesidir. Bu maddeye göre kişi tespit bilgisi işlenirken aşağıdaki hususlara dikkat edilmelidir:

  • Kişi tespit bilgisinin işlenmesine ilişkin yasal gerekliliklere uyulmalıdır.

  • Kişi tespit bilgisinin işlenmesine ilişkin amaçlar belirlenmeli ve bu amaçlara uygun olarak işlenmelidir.

  • Kişi tespit bilgisinin işlenmesine ilişkin rızalar alınmalı ve bu rızalar kayıt altına alınmalıdır.

  • Kişi tespit bilgisinin saklanması için gereken süre belirlenmeli ve bu süre sonunda silinmeli veya anonim hale getirilmelidir.

  • Kişi tespit bilgisinin aktarılması durumunda alıcıların da aynı seviyede güvenlik sağlaması sağlanmalıdır.

  • Kişi tespit bilgisinin erişimi, değiştirilmesi veya silinmesi için yetkilendirme yapılmalı ve denetlenmelidir

  • Kişi tespit bilgisinin güvenliği için teknik ve idari tedbirler alınmalı ve bu tedbirlerin etkinliği izlenmeli ve değerlendirilmelidir.

  • Kişi tespit bilgisinin işlenmesi ile ilgili kişilere haklar tanınmalı ve bu hakların kullanımı kolaylaştırılmalıdır. Bu haklar arasında bilgi alma, erişim, düzeltme, silme, itiraz etme, veri işlemeyi kısıtlama, veri taşıma gibi haklar bulunmaktadır.

• NIST 800-53 AP-1 Toplama Yetkisi ve AP-2 Amaç Belirtme: ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan Bilgi Sistemleri ve Kuruluşlar için Güvenlik ve Gizlilik Kontrolleri adlı rehberin bir parçası olan güvenlik ve gizlilik kontrolleridir. Bu kontroller, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlamaktadır. AP-1 Toplama Yetkisi kontrolü, kuruluşun kişisel verileri toplamak için yasal bir yetkiye sahip olmasını, bu yetkiyi belgelemesini ve kişisel verilerin toplanmasının amaçlarıyla uyumlu olmasını sağlamayı hedeflemektedir. Bu kontrol, kuruluşun kişisel verileri toplamadan önce yasal gereklilikleri incelemesini, toplama yetkisini belirten bir politika oluşturmasını, toplama yetkisini gösteren kanıtları saklamasını ve toplama yetkisini düzenli olarak gözden geçirmesini içermektedir. AP-2 Amaç Belirtme kontrolü, kuruluşun kişisel verilerin işlenmesine ilişkin amaçları belirlemesini, bu amaçları belgelemesini ve bu amaçlara uygun olarak işlemesini sağlamayı hedeflemektedir. Bu kontrol, kuruluşun kişisel verilerin işlenmesine ilişkin amaçları açık, ölçülü ve meşru olacak şekilde tanımlamasını, bu amaçları ilgili taraflara bildirmesini, bu amaçları gösteren kanıtları saklamasını ve bu amaçları düzenli olarak gözden geçirmesini içermektedir.

• PCI DSS, Payment Card Industry Data Security Standard: Türkçeye Ödeme Kartı Sektörü Veri Güvenliği Standardı olarak çevrilebilir. Kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten tüm şirketlerin güvenli bir ortam oluşturmasını sağlamak için tasarlanmış bir güvenlik standardıdır. PCI DSS, 12 temel güvenlik gereksiniminden oluşur. Bu gereksinimler, ödeme kartı bilgilerinin güvenliğini sağlamak için aşağıdaki alanları kapsar:

• Fiziksel ve çevresel güvenlik

• Ağ güvenliği

• Sistem ve uygulama güvenliği

• Veri güvenliği

• Kullanıcı eğitimi ve farkındalığı

PCI DSS uyumluluğu, kredi kartı bilgilerinin kötüye kullanımını önlemeye, kart sahiplerinin kişisel verilerini korumaya ve şirketlerin mali kayıplarını azaltmaya yardımcı olur.

PCI DSS uyumluluğu, aşağıdakiler dâhil olmak üzere çeşitli avantajlar sunar:

• Kredi kartı bilgilerinin güvenliğini artırarak finansal kayıpları önler

• Kart sahiplerinin kişisel verilerini korur

• Şirketlerin itibarını ve güvenilirliğini artırır

• Rekabet avantajı sağlar

PCI DSS uyumluluğu, aşağıdakiler dâhil olmak üzere çeşitli kuruluşlar için gereklidir:

• Kredi kartı kabul eden tüm işletmeler

• Ödeme işlemcileri

• Kart hizmetleri sağlayıcıları

• Elektronik ticaret (e-ticaret) siteleri

• SaaS (hizmet olarak yazılım) sağlayıcıları

PCI DSS uyumluluğu, bir PCI DSS uyumluluk danışmanı veya denetim firması tarafından sağlanan bir denetim süreci aracılığıyla elde edilir. Denetim, şirketin PCI DSS gereksinimlerini karşılayıp karşılamadığını belirler.

PCI DSS uyumluluğu, kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten tüm şirketler için önemli bir güvenlik gerekliliğidir. PCI DSS uyumluluğu, şirketlerin finansal kayıplarını önlemeye, kart sahiplerinin kişisel verilerini korumaya ve itibarlarını ve güvenilirliklerini artırmaya yardımcı olur.

• HIPAA, Health Insurance Portability and Accountability Act: Türkçeye Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası olarak çevrilebilir. 1996 yılında ABD Kongresi tarafından çıkarılan bir federal yasadır. HIPAA'nın amacı, sağlık sigortasının devamlılığını sağlamak, sağlık bilgilerinin gizliliğini ve güvenliğini korumak ve sağlık bakımının maliyetini düşürmektir.

HIPAA, üç tür kuruluşu kapsar:

• Sağlık planları: Sigorta şirketleri, işverenler ve HMO'lar gibi sağlık sigortası sağlayan kuruluşlar.

• Sağlık hizmeti sunucuları: Doktorlar, hastaneler, laboratuvarlar ve diğer sağlık hizmeti sağlayıcıları.

• Sağlık hizmeti clearinghouse'ları: Sağlık bilgilerini elektronik olarak ileten kuruluşlar.

HIPAA, bu kuruluşlar tarafından işlenen ve saklanan tüm sağlık bilgilerini korur. Bu bilgilere "kişisel sağlık verisi" (PHI) denir. PHI, bir kişinin tıbbi geçmişi, finansal bilgileri, kimlik bilgileri ve diğer hassas bilgileri içerebilir.

HIPAA, PHI'nin gizliliğini ve güvenliğini korumak için aşağıdaki önlemleri içerir:

• PHI'nin yalnızca yetkili kişiler tarafından erişilebilmesi

• PHI'nin güvenli bir şekilde saklanması

• PHI'nin izinsiz ifşa edilmesini önlemek için güvenlik önlemleri

• PHI'nin sahibi olan kişinin, PHI'ye erişme, düzeltme ve silme hakkı

HIPAA ihlalleri, PHI'nin yasa dışı olarak ifşa edildiği durumlarda meydana gelir. HIPAA ihlalleri ciddi cezalara tabidir.

HIPAA, sağlık bilgilerinin gizliliğini ve güvenliğini korumak için önemli bir yasadır. HIPAA sayesinde, insanlar sağlık bilgilerinin güvende olduğunu bilerek sağlık hizmetlerine erişebilirler.

Bu standartlar ve rehberler, kişisel veri güvenliğini sağlamak için bize yol gösterici olabilir. Ancak unutulmamalıdır ki kişisel veri güvenliği sadece teknik bir konu değil, aynı zamanda etik ve hukuki bir konudur. Bu yüzden kişisel verilerimizi paylaşırken veya işlerken dikkatli olmalı ve sorumluluk sahibi davranmalıyız. Kişisel verilerimiz bizim kim olduğumuzu ve nasıl yaşadığımızı gösteren önemli bilgilerdir. Bu bilgilerin korunması hem bireysel hem de toplumsal açıdan önemlidir. Bu yüzden kişisel veri güvenliğine önem vermeliyiz.

Şirketinize Özel Kişisel Bilgi Risk Yönetimi Çözümleri İçin Satış Temsilcilerimize Ulaşın