41 KVKK İdari ve Teknik Tedbirler

Kontrol Listesi
Veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka
aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak, amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
VERBİS Kılavuzunda yer alan tedbirlerden durumunuza uygun olanları almanız gerekmektedir.
KVKK 12 nci maddesinde  öngörülen  veri güvenliğine ilişkin  yükümlülükleri yerine getirmeyenler
hakkında idari para cezası uygulanmaktadır. Kamu kurum ve kuruluşunda görev yapan memurlar
ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar
hakkında disiplin hükümlerine göre işlem yapılır. Ortalama bir KOBİ için öncelik grafikte
belirtilmiştir. Kırmızı yüksek öncelik. Yararlı olması dileğiyle.
Doç.Dr. Memduh ASLAN

01
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Bilgisayarların birbirine bağlandığı altyapıya bağlantı

denmektedir. İşyerinde bilgisayarlar, tabletler, telefonlar ve
akıllı cihazlar kablolu ve kablosuz cihazlarla birbirine
Teknik bağlandığı gibi ayrıca internete de çoğunlukla bağlıdır. Ağlar
üzerinden izinsiz erişimin önlenmesi için paylaşımlar ve açık
portlar kontrol edilmelidir. Uygulamalar da bu ağlar üzerinden
verilere erişip başkalarının erişimine açılabilir.

02
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ
kullanılmaktadır.
Açık ağlar, kablosuz erişim, internet erişimi, bilgisayarlar
sürücülerinin veya önemli klasör ve dosyalarının paylaşıma
Teknik açık olması yönünden risk teşkil eder. Kişisel veri
aktarımında aktarım yapan ve yapılan cihazlar haricinde diğer
cihazların erişemeyeceği şekilde kapalı ağ kullanılmasıdır.

03
SARPOZAN TEKNOLOJİ

Anahtar yönetimi uygulanmaktadır.

Anahtar yönetimi, bir kripto sisteminde şifreleme
anahtarlarının yönetimidir. Bu yönetim, anahtarların yer
değişimi, kullanımı, depolanması, değiş tokuşu ve üretimi ile
Teknik ilgilenir. Ayrıca kriptografik protokol tasarımı, anahtar
sunucuları, kullanıcı prosedürleri ve diğer ilişkili protokolleri
içerir.

Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı

04
kapsamındaki güvenlik önlemleri alınmaktadır.
Bilgi teknolojileri uzmanlık gerektiren bir alandır, bu
sistemlerin tedariki, geliştirilmesi ve bakımı çoğunlukla
dışarıdan alınan hizmetlerle sağlanmaktadır. Bu hizmeti

İdari sunanların güvenilir olması ve sisteminizde bilginiz ve izniniz

dışında erişim sağlamaması gerekir. Ancak çoğunlukla
uzaktan erişim yazılımları kullanılarak verilen hizmetlerde
ekran başından ayrılmamak gerekir.

05
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
İnternet teknolojisinin hızlanması sonucu uygulamalar ile
belgelere uzaktan erişim veya aynı belge üzerinde ortak
çalışma olanağı bulmak ve büyük firmaların işletmiş olduğu
uzaktaki sunucularda verileri barındırmak hem ekonomik
Teknik hem de hızlı.
Ancak bu sunucuların çoğunluğu yurtdışında olup 3. kişilere
karşı güvenli olsa da işleticisine karşı savunmasıdır.

06
Çalışanlar için veri güvenliği hükümleri içeren disiplin
düzenlemeleri mevcuttur.
Veri ihlallerinin önemli kısmı çalışanların ihmali, kastı veya
önemsememesinden kaynaklanmaktadır. Çalışanların
davranışlarından adam çalıştıranın sorumluluğu kapsamında
veri sorumlusu işverenler sorumludur. Veri ihlali sonucunda
İdari çalışanın hukuki, mali ve cezai sorumluluklarını düzenleyen
disiplin düzenlemeleri çalışanların daha dikkatli olmasını
sağlayabilir.
41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi

07
Çalışanlar için veri güvenliği konusunda belli aralıklarla
eğitim ve farkındalık çalışmaları yapılmaktadır.
Veri sorumlularının KVKK yükümlülükleri çoğunlukla
çalışanlar tarafından yerine getirilmektedir. Çalışanların kendi
haklarını bilmeleri başkalarının haklarını korumalarını
İdari kolaylaştıracaktır. Çalışanların, işverenlerinin ve kendilerinin
de kişisel verilerine karşı sorumluluklarının neleri kapsadığını
bilmeleri gerekmektedir.

08
Çalışanlar için yetki matrisi oluşturulmuştur.

Kişisel verileri korumak için çalışanların kimlerin hangi

kişisel verilerine eriştiğini belirlemek önem arz etmektedir.
İdari Yetki matrisi ile çalışanların işlerini yaparken yeterli derecede
veriye erişip erişmedikleri tespit edilerek, iş yaparken gerekli
olmayan verilere erişimleri kısıtlanarak veri ihlal riskine karşı
etkin bir tedbir alınması sağlanabilir.

09
Erişim logları düzenli olarak tutulmaktadır.
Günümüzde, artık birçok iş yazılımlar ve internet bağlantıları
ile yapılmaktadır. Çalışanların hangi verilere eriştikleri,
hangileri üzerinde değişiklik yaptıkları ve hangileri üzerinden
Teknik kopya aldıklarının bilinmesi veri ihlal riski taşıyan hareketlerin
önceden tespitini sağlayabileceği gibi veri ihlali
gerçekleştiğinde ihlale kimin sebebiyet verdiği de tespit
edilebilir.
SARPOZAN TEKNOLOJİ

10
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında
kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Mevcut uygulama alışkınları (politikalar) tespit edildikten
sonra yapılacak değerlendirmeler sonucunda veri güvenliğini
veri sorumlusu nezdinde en uygun şekilde nasıl
İdari gerçekleştirilebileceğine ilişkin politikalar ile çalışanların
hangi durumda nasıl hareket edecekleri ve verileri nasıl
işleyebilecekleri ortaya konulabilir.

11
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Yazılımlara veya ağlara erişimlerde kullanıcı adı yanında
kullanılan şifreler çoğunlukla maskelenmektedir. Kişiler için
önemli bazı verilerin sadece bu bilgiyi daha önce bilenler
tarafından anlaşılabilecek şekilde kısmen veya tamamen
Teknik maskelenmesi verileri yetkisiz kişilerin öğrenmesini
engelleyebilir. Ad, soyad ve TC kimlik numarasının belli
kısımlarının karakter veya rakam yerine yıldız kullanılması gibi.

12
Gizlilik taahhütnameleri yapılmaktadır.
Kişisel verilerin güvenliğinin sağlanması veri sorumlularının
yükümlülüğü olmasına karşın, bu verilerin bazı durumlarda
çalışanlarla, veri işleyenlerle veya diğer veri sorumluları ile
paylaşılması gerekmektedir. Kişisel verilerin paylaşıldığı bu
İdari kişilerin veri güvenliğine riayet etmemeleri halinde ortaya
çıkacak sorumluluklarının belirlenmesi ve bu
sorumluluklarının taahhüt edilmesi önemlidir.

Görev değişikliği olan ya da işten ayrılan çalışanların bu

13
alandaki yetkileri kaldırılmaktadır.
Veri sorumlusunda çalışan kişilerin işlerini yaparken erişmiş
oldukları kişisel verilere erişim sebeplerinin ortadan
kalkması ile bu verilere erişim yetkileri de kaldırılmalıdır.
Bunun için varsa giriş şifreleri veya kullanıcı adları iptal
İdari- edilmeli veya erişim yetkileri bu verilere erişemeyecek
şekilde kısıtlanmalıdır. Bu takip için yetki matrisi
Teknik oluşturulması uygulamayı kolaylaştıracaktır.
41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi

14
Güncel anti-virüs sistemleri kullanılmaktadır.
İnternet üzerinden uygulama kullanımı ve belge paylaşımı
hayatın olağan akışı haline gelmektedir. Elektronik cihazlara
bulaştırılan virüsler ile cihazların kontrolü ve cihazlarda yer alan
Teknik veriler başkalarının eline geçebilir. Belgeleri rehin alanlar kendi
verilerinize ulaşmak için fidye de isteyebilir. Anti-virüs
yazılımları kötü niyetli bu girişimlerin önemli kısmını
engelleyebilir. Anti-virüs veri tabanlarını güncel tut

15
mak gerekir.
Güvenlik duvarları kullanılmaktadır.

Bir bilgisayar ile bilgisayarın harici ağ veya web bağlantısı

arasında örülen bir güvenlik duvarı, hangi ağ trafiğinin
Teknik geçmesine izin verileceğine ve hangi trafiğin tehlikeli kabul
edildiğine karar verir. Bu güvenlik duvarı temelde iyilerden
kötüleri, güvenilir olanlardan güvenilir olmayanları filtreler.
Yazılım ve donanımsal güvenlik duvarları bulunmaktadır.

16
İmzalanan sözleşmeler veri güvenliği hükümleri
içermektedir.
İmzalanan sözleşmenin uygulanmasında taraflar
birbirilerinden başkalarının kişisel verilerini öğrenebilirler.
Tarafların öğrendikleri kişisel verileri karşılıklı olarak koruma
İdari yükümlülüğü bulunmakla birlikte veri ihlalinden kaynaklanan
hukuki, mali ve cezai sorumlulukların belirlenerek tarafların
daha dikkatli olması sağlanabilir.
SARPOZAN TEKNOLOJİ

17
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik
tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge
formatında gönderilmektedir.
Fiziki ortamda kayıtlı bulunan kişisel verilerin üçüncü kişiler
tarafından öğrenilmesi veya ele geçirilmesinin önlenebilmesi
İdari için fiziksel tedbirler almak, bu belgelere erişecek kişileri
belirten gizlilik derecelerinin belirlenmesi ile daha dikkatli
davranılması sağlanabilir.

18
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel verilerin nasıl korunacağına dair uygulama
alışkanlıkları geliştirilerek, kişisel veriler işlenirken nasıl
davranılması gerektiğine ilişkin yönergeler hazırlamak,
tedbirlerin yeterinde uygulanıp uygulanmadığını denetlemek
İdari ve sağlıklı şekilde alınan tedbirlerin uygulanmasını sağlamak
için önemlidir.

19
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Kişisel veri ihlali olmadan yapılacak denetimlerde veya

uygulama sırasında fark edilen risklerin raporlanması ve
yetkililere bildirilmesi, risk gerçekleşmeden güvenlik
açıkların kapatılması için önemlidir. Bu nedenle risk
İdari analizlerinin veri işleme alışlanlıkları dikkate alınarak rutin
olarak yapılmasında veya gözden geçirilmesinde fayda
vardır. Eksiklerin giderildiğinin tespiti için raporlamak
önemlidir.

20
Kişisel veri güvenliğinin takibi yapılmaktadır.

Alınan güvenlik tedbirlerinin etkin olabilmesi için

uygulandığının ve alınan tedbirlerin etkili olup olmadığının
takip edilmesi gerekmektedir. Çalışanların bu tedbirleri
uygulayıp uygulamadığı, kestirme yollar ile kasten veya ihmal
İdari- ile güvenlik tedbirlerinin etkisinin azalıp azalmadığının tespiti
için uygulamalar tekip edilmelidir.
Teknik
41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi

21
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili
gerekli güvenlik önlemleri alınmaktadır.

Veri sorumlusunda işlenen kişisel verilerin yetkisiz kişilerin

eline geçmemesi veya kolayca öğrenilememesi çin veri
İdari işleme faaliyeti yapılan yerlere herkesin girip çıkması
engellenmelidir. Özellikle özlük işlerinin yapıldığı insan
kaynakları, muhasebe, finansman gibi departmanlara giriş
çıkışlar kısıtlanmalıdır.

22
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel
vb.) karşı güvenliği sağlanmaktadır.
kişisel veri içeren belgeler yangında zarar görmemesi için
metal dolap veya arşiv sistemlerinde saklanmalı, su basması
İdari veya selden etkilenmeyecek yerlerde tutulmalıdır. Bu verilerin
aynı zamanda ticari, vergi ve sosyal güvenlik
yükünlülüklerinin yerine getirilmesi bakımından denetime tabi
olduğu da gözden çıkarılmamalıdır.

23
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veri içeren belgeler, kişisel veri işlemede kullanılan
cihazların bulundukları yerler, konumlar gözden geçirilmeli,
yetkisiz kişilerin görebilecekleri veya temas edebilcekleri
İdari koşullar ortadan kaldırılmalıdır. Örneğin, ekranlar
pencerelerden veya odaya giren kişilerin görülmeyecek
şekilde yönleri düzeltilmelidir.
SARPOZAN TEKNOLOJİ

24
Kişisel veriler mümkün olduğunca azaltılmaktadır.

Kişisel verileri korumanın en basit ve etkin yolu, ihtiyaç

olmayan kişisel veri toplama faaliyetinden vazgeçilmelidir. E-
devlet uygulamaları TC kimlik numarası, MERSİS, MERNİS,
tek vergi kimlik numarası gibi uygulamalar artık kişilerin
İdari- diğerleri ile karışmalarını engelleyebilmektedir. Bu nedenle
gereksiz kimlik tanımlama bilgileri almaktan vazgeçmek
Teknik bunları korumak zorunda olmaktan daha kolaydır.

25
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin
güvenliği de sağlanmaktadır.

Elektrik kesintileri, arızalar, saldırılar, fiziksel hasarlar kişisel

verilerin özellikle dijital ortamda saklandığı durumlarda kayıp
riskini artırmakta olduğundan düzenli olarak yedeklemek bir
Teknik olumsuzlukta verileri kurtarmak için önemlidir. Ancak bu
verilerin de asılları gibi korunması gerekmektedir.

26
Kullanıcı hesap yönetimi ve yetki kontrol sistemi
uygulanmakta olup bunların takibi de yapılmaktadır.
Kişisel veri işlenen ortam ve yazılımlara erişim için her
kullanıcı için ayrı hesap açılmalı ve bu hesaplar üzerinde yetki
değişiklikleri yapılmalıdır. Tutulan loglar ile kişisel verilere

Teknik kimin eriştiği işlem yapıldığı takip edilebileceğinden

özelleştirilmiş kullanıcı hesaplarının korunması ve yetkisiz
kişilerin eline geçmesi engellenebilir.

27
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta
ve yaptırılmaktadır.
KVKK süreci bir defalık değil süreklilik arzeden bir
yükümlülüktür. Bu nedenle KVKK uyumunun sürekliliğini ve
güncelliğini sağlamak bakımından kurum içerisinde özellikle

İdari- güvenlik tedbirlerine uygun davranılıp davranılmadığının,

aydınlatma ve açık rıza işlemlerinin sağlıklı yürütülüp

Teknik yürütülmediğinin tespiti bakımından denetimler yapılmalıdır.

41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi

28
Log kayıtları kullanıcı müdahalesi olmayacak şekilde
tutulmaktadır.
Log kayıtları, kullanıcıların uygulamalara ne zaman girdiği ne
zaman çıkttığı, hangi verilere eriştiği, hangi işlemleri ne
Teknik zaman yaptığına ilişkin kayıtları içermektedir. Bu kayıtların
delil olabilmesi için kullanıcıların bu kayıtları değiştirme veya
manipüle edememeleri gerekmektedir. Bunun için Bilgi
sistemlerine erişen kişi sayısının kısıtlanması gerekebilir.

29
Mevcut risk ve tehditler belirlenmiştir.

Hangi idari veya teknik tedbirlerin alnacağını belirlemek için

mevcut risk ve tehditlerin belirlenmesi gerekir. Bu belirleme
İdari- ile gereksiz tedbirler için maliyet yüklenmek veya iş
süreçlerini yavaşlatmak zorunda kalınmayabilir. Risk ve
Teknik tedbirlere uygun tedbirlere ağırlık ve önem verilmesi veri ihlal
risklerini azaltmakta daha etkin olabilir.

30
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve
prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli veriler bakımından veri sorumluları ayrıca açık
rıza almak zorunda olabilecekleri gibi bu verilerin kötü niyetli
kişilerce ele geçirilerek ilgili kişilerin ayrımcılığa uğramları
İdari- sonucunda ortaya çıkabilcek tazminat talepleri riskini de
ortaya koyabilir. Gerekli olmadığı sürece özel nitelikli kişisel
Teknik veriler işlememeli işlenecekse özel yönergeler
oluşturulmalıdır.
SARPOZAN TEKNOLOJİ

31
Özel nitelikli kişisel veriler elektronik posta yoluyla
gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal
posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel verilerin eposta aracılığıyla gönderilmesi
halinde e-postalara erişen, kendisine yönlendiren veya
Teknik yanlışlıkla gönderilen kişilerin bunlara erişimini
kısıtlayabilmek için belgelerin şifrelenmesi veya sadece ilgili
kişinin açabilceği kep kullanılması önceliklenmelidir.

32
Özel nitelikli kişisel veriler için güvenli şifreleme /
kriptografik anahtarlar kullanılmakta ve farklı birimlerce
yönetilmektedir.
Özel nitelikli veriler ilgili kişinin ayrımcılığa veya farklı
muamelelere tabi tutarak zarar görmesine sebebiyet verebilir,
Teknik bu nedenle bu verileri işlemek zorunda olanların özel nitelikli
kişisel verileri muhafaza ettiği sayısal ortamlara erişilmesi için
şifreme veya şifre anahtarları kullanılılabilir.

33
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Veri işleme faaliyeti veri sorumlusunun esas işinin önemli bir
parçası haline geldiğinde bu verileri korumak sadece ilgili
kişilerin hakları değil aynı zamanda veri sorumlusunun
menfaatlerini ilgilendirmektedir. Sistemleri kötü niyetli kişiler
Teknik tarafından hedef olma riski bulunan veri sorumlularının
saldırıları tespit ve önlemek için özel teknik tedbirler alması
gerekebilir.

34
Sızma testi uygulanmaktadır.
Sızma testi, bilişim sistem tasarımlarındaki mantık hataları
veya zafiyetleri tespit ederek, söz konusu güvenlik
açıklıklarının kötü niyetli kişiler tarafından istismar
edilmesini önlemek ve sistemleri daha güvenli hale getirmek
Teknik amacıyla, bu alanda yetkin kişilerce kötü niyetli kişiler saldırı
yapmış olsaydı hangi açıkları bulabilirdi sorusunun cevabını
aramaktır.
 41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi

35
Siber güvenlik önlemleri alınmış olup uygulanması sürekli
takip edilmektedir.
Günümüzde, yoğun olarak kullanılan sayısal ortamlar, bulut
sistemler, daha hızlı internet erişimi veri bulunan alanları
Teknik siber saldırganların hedefi haline getirebilmektedir. Bu
saldırıları engellemek veya gelebilecek saldırılardan
korunmak için siber güvenlik önlemlerinin alınması ve
bunların çalıştığının kontrol altında tutulması gerekir.

36
Şifreleme yapılmaktadır.

Verilerin transferi sırasında yetkili olmayan kişilerin eline

geçse bile bu verileri kullanılmasının engelleyecek
Teknik yöntemlerden birisi de sayısal belgeleri şifreli halde
göndermek gerekebilir. Şifre kullanımı için alıcıda bu şifreleri
açabilecek uygun anahtarın olması gerekmektedir.

37
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli
kişiler veriler şifrelenerek aktarılmaktadır.
Fiziksel olarak ele geçirilebilecek ve herkes tarafından
içeriğine kolayca erişilebilecek kayıt ortamlarında özel
nitelikli kişisel verilerin bulunması halinde bunların fiziken ele
Teknik geçirilse bile içeriğine erişiminin engellenmesi için şifreli
formatlarının bu medya araçlarına kaydedilmesi ek güvenlik
sağlayacaktır.
SARPOZAN TEKNOLOJİ

38
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda
belli aralıklarla denetimi sağlanmaktadır.
Veri işleyenler veri sorumluları adına veri işleme faaliyetinde
bulunmaktadırlar. Bunların kişisel veri ihlallerine sebep
olmasının sorumluluğu da veri sorumlularına aittir. Veri

İdari işleyenlerle veri aktarım taahhütnamesi imzalamak ve kişisel

verileri nasıl koruduklarını zaman zaman kontrol etmek
güvenliği ve farkındalığı artırabilir.

39
Veri işleyen hizmet sağlayıcılarının, veri güvenliği
konusunda farkındalığı sağlanmaktadır.
Veri sorumlusunun kişisel verilerin güvenliğine olan
hassasiyeti, bu verileri kendi adına işleyen çalışanların
yanında dışarıdan sağlanan hizmetle bunları işleyen kişilere
İdari de yansıtılması, kişisel verilere olan hassasiyetlerinin
artırılmasına bağlıdır. Kendi kişisel verisine önem
göstermeyen başkalarının kişisel verisini de önemsemez.

40
Veri kaybı önleme yazılımları kullanılmaktadır.
Kişisel verilerin bulunduğu sayısal ortamlar farklı sebeplerle
örneğin elektrik kesintisi, yüksek voltaj, fiziksel hasar,
yazılımlar, hatalı veya kasti veri silinmesi gibi sebeplerle veri
kayıpları ile karşı karşıya kalabilir. Açık rızaların, loğların,
Teknik kişisel verilerin kaybı veri sorumlusunun yükümlülüklerini
yerine getirmesinde soruna sebep olabilir. Veri kaybı
önleme/kurtarma yazılımları ile veri kayıpları önlenebilir.

41 DİĞER TEDBİRLER:
V e ri s oruml ul a rı nı n V E R B İ S 't e y e r a l a n t e dbi rl e rde n durumuna
uy gun ol a nl a rı nı a l ma l a rı ge re k me k t e di r. S a de c e burda k i t e dbi rl e ri
a l ma k s oruml ul uk t a n k urt ul ma k i ç i n y e t e rl i de ği l di r a nc a k he ps i ni
a l ma k z orunl u da de ği l di r. V e ri s oruml us u v e ri güv e nl i ği ni
s a ğl a ma k i ç i n ge re k l i di ğe r he r t ürl ü t e dbi rl e ri de a l ma k
z orunda dı r.

SARPOZAN TEKNOLOJİ YATIRIM DANIŞMANLIK TİCARET A.Ş.