KVKK – Kişisel Verileri Koruma Kurumu – Kişisel Veri Güvenliği Rehberi – Teknik ve İdari Tedbirler Yayınlandı

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek; kişisel verilerin muhafazasını sağlamak amacıyla, veri sorumlularının alması gereken teknik ve idari tedbirlere ilişkin başlıca yöntemler Kişisel Verileri Korunma Kurumu tarafından “KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (Teknik ve İdari Tedbirler)” başlığı altında yayımlandı.

Kanunun 12. Maddesinde geçen “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü göz önüne alınarak kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamalara açıklık getirmek ve iyi uygulama örneklerinin oluşturulmasını sağlamak maksadıyla bu rehber oluşturuldu.

Bu rehber daha önce yayımlanan uluslar arası geçerliliği olan diğer standartlar ile benzerlikler gösterse de raporda farkındalık eğitimi konusunun önemi ayrıca vurgulandı. Rehberin “2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” bölümünde özellikle siber güvenliği sağlama konusunda farkındalık eğitimlerinin önemine değinildi. “Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir. Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” Bu tarz net ifadeler ile çalışanların kişisel verileri korumada ilk müdahaleleri yapmaları ve gerekli eğitimi almalarının önemi belirtildi.

KVKK Kurumu tarafından paylaşılan Kişisel Veri Güvenliği Rehberini aşağıdaki linkten indirebilirsiniz;

INDIR

Tavsiyem öncelikle aşağıdaki makalede Gökhan Yücelerin detaylı bir şekilde anlattığı oltalama yazılımları ile öncelikle farkındalığı bir ölçmek gerekiyor;

https://www.cozumpark.com/blogs/gvenlik/archive/2018/01/07/e-posta-guvenlik-riskleri-neden-onemlidir.aspx

Ek olarak Keepnet Labs ile ücretsiz farkındalık hizmetlerinden yararlanarak çeşitli eğitim materyalleri, haber bültenleri, özel olarak tasarlanmış video, poster, ipuçları ve oyun gibi destekleyici materyalleri ve oltalama simülasyonu modülü hizmetlerini kullanabilirsiniz. Ücretsiz kullanım için “contact@keepnetlabs.com” adresinden iletişime geçebilirsiniz.

 

Kaynaklar

KVKK. https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

Keepnet Labs. https://www.keepnetlabs.com