Professional Documents
Culture Documents
41 KVKK İdari Ve Teknik Tedbir - Kontrol Listesi-1
41 KVKK İdari Ve Teknik Tedbir - Kontrol Listesi-1
Kontrol Listesi
Veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka
aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak, amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
VERBİS Kılavuzunda yer alan tedbirlerden durumunuza uygun olanları almanız gerekmektedir.
KVKK 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler
hakkında idari para cezası uygulanmaktadır. Kamu kurum ve kuruluşunda görev yapan memurlar
ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar
hakkında disiplin hükümlerine göre işlem yapılır. Ortalama bir KOBİ için öncelik grafikte
belirtilmiştir. Kırmızı yüksek öncelik. Yararlı olması dileğiyle.
Doç.Dr. Memduh ASLAN
01
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
02
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ
kullanılmaktadır.
Açık ağlar, kablosuz erişim, internet erişimi, bilgisayarlar
sürücülerinin veya önemli klasör ve dosyalarının paylaşıma
Teknik açık olması yönünden risk teşkil eder. Kişisel veri
aktarımında aktarım yapan ve yapılan cihazlar haricinde diğer
cihazların erişemeyeceği şekilde kapalı ağ kullanılmasıdır.
03
SARPOZAN TEKNOLOJİ
04
kapsamındaki güvenlik önlemleri alınmaktadır.
Bilgi teknolojileri uzmanlık gerektiren bir alandır, bu
sistemlerin tedariki, geliştirilmesi ve bakımı çoğunlukla
dışarıdan alınan hizmetlerle sağlanmaktadır. Bu hizmeti
05
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
İnternet teknolojisinin hızlanması sonucu uygulamalar ile
belgelere uzaktan erişim veya aynı belge üzerinde ortak
çalışma olanağı bulmak ve büyük firmaların işletmiş olduğu
uzaktaki sunucularda verileri barındırmak hem ekonomik
Teknik hem de hızlı.
Ancak bu sunucuların çoğunluğu yurtdışında olup 3. kişilere
karşı güvenli olsa da işleticisine karşı savunmasıdır.
06
Çalışanlar için veri güvenliği hükümleri içeren disiplin
düzenlemeleri mevcuttur.
Veri ihlallerinin önemli kısmı çalışanların ihmali, kastı veya
önemsememesinden kaynaklanmaktadır. Çalışanların
davranışlarından adam çalıştıranın sorumluluğu kapsamında
veri sorumlusu işverenler sorumludur. Veri ihlali sonucunda
İdari çalışanın hukuki, mali ve cezai sorumluluklarını düzenleyen
disiplin düzenlemeleri çalışanların daha dikkatli olmasını
sağlayabilir.
41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi
07
Çalışanlar için veri güvenliği konusunda belli aralıklarla
eğitim ve farkındalık çalışmaları yapılmaktadır.
Veri sorumlularının KVKK yükümlülükleri çoğunlukla
çalışanlar tarafından yerine getirilmektedir. Çalışanların kendi
haklarını bilmeleri başkalarının haklarını korumalarını
İdari kolaylaştıracaktır. Çalışanların, işverenlerinin ve kendilerinin
de kişisel verilerine karşı sorumluluklarının neleri kapsadığını
bilmeleri gerekmektedir.
08
Çalışanlar için yetki matrisi oluşturulmuştur.
09
Erişim logları düzenli olarak tutulmaktadır.
Günümüzde, artık birçok iş yazılımlar ve internet bağlantıları
ile yapılmaktadır. Çalışanların hangi verilere eriştikleri,
hangileri üzerinde değişiklik yaptıkları ve hangileri üzerinden
Teknik kopya aldıklarının bilinmesi veri ihlal riski taşıyan hareketlerin
önceden tespitini sağlayabileceği gibi veri ihlali
gerçekleştiğinde ihlale kimin sebebiyet verdiği de tespit
edilebilir.
SARPOZAN TEKNOLOJİ
10
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında
kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Mevcut uygulama alışkınları (politikalar) tespit edildikten
sonra yapılacak değerlendirmeler sonucunda veri güvenliğini
veri sorumlusu nezdinde en uygun şekilde nasıl
İdari gerçekleştirilebileceğine ilişkin politikalar ile çalışanların
hangi durumda nasıl hareket edecekleri ve verileri nasıl
işleyebilecekleri ortaya konulabilir.
11
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Yazılımlara veya ağlara erişimlerde kullanıcı adı yanında
kullanılan şifreler çoğunlukla maskelenmektedir. Kişiler için
önemli bazı verilerin sadece bu bilgiyi daha önce bilenler
tarafından anlaşılabilecek şekilde kısmen veya tamamen
Teknik maskelenmesi verileri yetkisiz kişilerin öğrenmesini
engelleyebilir. Ad, soyad ve TC kimlik numarasının belli
kısımlarının karakter veya rakam yerine yıldız kullanılması gibi.
12
Gizlilik taahhütnameleri yapılmaktadır.
Kişisel verilerin güvenliğinin sağlanması veri sorumlularının
yükümlülüğü olmasına karşın, bu verilerin bazı durumlarda
çalışanlarla, veri işleyenlerle veya diğer veri sorumluları ile
paylaşılması gerekmektedir. Kişisel verilerin paylaşıldığı bu
İdari kişilerin veri güvenliğine riayet etmemeleri halinde ortaya
çıkacak sorumluluklarının belirlenmesi ve bu
sorumluluklarının taahhüt edilmesi önemlidir.
13
alandaki yetkileri kaldırılmaktadır.
Veri sorumlusunda çalışan kişilerin işlerini yaparken erişmiş
oldukları kişisel verilere erişim sebeplerinin ortadan
kalkması ile bu verilere erişim yetkileri de kaldırılmalıdır.
Bunun için varsa giriş şifreleri veya kullanıcı adları iptal
İdari- edilmeli veya erişim yetkileri bu verilere erişemeyecek
şekilde kısıtlanmalıdır. Bu takip için yetki matrisi
Teknik oluşturulması uygulamayı kolaylaştıracaktır.
41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi
14
Güncel anti-virüs sistemleri kullanılmaktadır.
İnternet üzerinden uygulama kullanımı ve belge paylaşımı
hayatın olağan akışı haline gelmektedir. Elektronik cihazlara
bulaştırılan virüsler ile cihazların kontrolü ve cihazlarda yer alan
Teknik veriler başkalarının eline geçebilir. Belgeleri rehin alanlar kendi
verilerinize ulaşmak için fidye de isteyebilir. Anti-virüs
yazılımları kötü niyetli bu girişimlerin önemli kısmını
engelleyebilir. Anti-virüs veri tabanlarını güncel tut
15
mak gerekir.
Güvenlik duvarları kullanılmaktadır.
16
İmzalanan sözleşmeler veri güvenliği hükümleri
içermektedir.
İmzalanan sözleşmenin uygulanmasında taraflar
birbirilerinden başkalarının kişisel verilerini öğrenebilirler.
Tarafların öğrendikleri kişisel verileri karşılıklı olarak koruma
İdari yükümlülüğü bulunmakla birlikte veri ihlalinden kaynaklanan
hukuki, mali ve cezai sorumlulukların belirlenerek tarafların
daha dikkatli olması sağlanabilir.
SARPOZAN TEKNOLOJİ
17
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik
tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge
formatında gönderilmektedir.
Fiziki ortamda kayıtlı bulunan kişisel verilerin üçüncü kişiler
tarafından öğrenilmesi veya ele geçirilmesinin önlenebilmesi
İdari için fiziksel tedbirler almak, bu belgelere erişecek kişileri
belirten gizlilik derecelerinin belirlenmesi ile daha dikkatli
davranılması sağlanabilir.
18
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel verilerin nasıl korunacağına dair uygulama
alışkanlıkları geliştirilerek, kişisel veriler işlenirken nasıl
davranılması gerektiğine ilişkin yönergeler hazırlamak,
tedbirlerin yeterinde uygulanıp uygulanmadığını denetlemek
İdari ve sağlıklı şekilde alınan tedbirlerin uygulanmasını sağlamak
için önemlidir.
19
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
20
Kişisel veri güvenliğinin takibi yapılmaktadır.
21
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili
gerekli güvenlik önlemleri alınmaktadır.
22
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel
vb.) karşı güvenliği sağlanmaktadır.
kişisel veri içeren belgeler yangında zarar görmemesi için
metal dolap veya arşiv sistemlerinde saklanmalı, su basması
İdari veya selden etkilenmeyecek yerlerde tutulmalıdır. Bu verilerin
aynı zamanda ticari, vergi ve sosyal güvenlik
yükünlülüklerinin yerine getirilmesi bakımından denetime tabi
olduğu da gözden çıkarılmamalıdır.
23
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veri içeren belgeler, kişisel veri işlemede kullanılan
cihazların bulundukları yerler, konumlar gözden geçirilmeli,
yetkisiz kişilerin görebilecekleri veya temas edebilcekleri
İdari koşullar ortadan kaldırılmalıdır. Örneğin, ekranlar
pencerelerden veya odaya giren kişilerin görülmeyecek
şekilde yönleri düzeltilmelidir.
SARPOZAN TEKNOLOJİ
24
Kişisel veriler mümkün olduğunca azaltılmaktadır.
25
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin
güvenliği de sağlanmaktadır.
26
Kullanıcı hesap yönetimi ve yetki kontrol sistemi
uygulanmakta olup bunların takibi de yapılmaktadır.
Kişisel veri işlenen ortam ve yazılımlara erişim için her
kullanıcı için ayrı hesap açılmalı ve bu hesaplar üzerinde yetki
değişiklikleri yapılmalıdır. Tutulan loglar ile kişisel verilere
27
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta
ve yaptırılmaktadır.
KVKK süreci bir defalık değil süreklilik arzeden bir
yükümlülüktür. Bu nedenle KVKK uyumunun sürekliliğini ve
güncelliğini sağlamak bakımından kurum içerisinde özellikle
28
Log kayıtları kullanıcı müdahalesi olmayacak şekilde
tutulmaktadır.
Log kayıtları, kullanıcıların uygulamalara ne zaman girdiği ne
zaman çıkttığı, hangi verilere eriştiği, hangi işlemleri ne
Teknik zaman yaptığına ilişkin kayıtları içermektedir. Bu kayıtların
delil olabilmesi için kullanıcıların bu kayıtları değiştirme veya
manipüle edememeleri gerekmektedir. Bunun için Bilgi
sistemlerine erişen kişi sayısının kısıtlanması gerekebilir.
29
Mevcut risk ve tehditler belirlenmiştir.
30
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve
prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli veriler bakımından veri sorumluları ayrıca açık
rıza almak zorunda olabilecekleri gibi bu verilerin kötü niyetli
kişilerce ele geçirilerek ilgili kişilerin ayrımcılığa uğramları
İdari- sonucunda ortaya çıkabilcek tazminat talepleri riskini de
ortaya koyabilir. Gerekli olmadığı sürece özel nitelikli kişisel
Teknik veriler işlememeli işlenecekse özel yönergeler
oluşturulmalıdır.
SARPOZAN TEKNOLOJİ
31
Özel nitelikli kişisel veriler elektronik posta yoluyla
gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal
posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel verilerin eposta aracılığıyla gönderilmesi
halinde e-postalara erişen, kendisine yönlendiren veya
Teknik yanlışlıkla gönderilen kişilerin bunlara erişimini
kısıtlayabilmek için belgelerin şifrelenmesi veya sadece ilgili
kişinin açabilceği kep kullanılması önceliklenmelidir.
32
Özel nitelikli kişisel veriler için güvenli şifreleme /
kriptografik anahtarlar kullanılmakta ve farklı birimlerce
yönetilmektedir.
Özel nitelikli veriler ilgili kişinin ayrımcılığa veya farklı
muamelelere tabi tutarak zarar görmesine sebebiyet verebilir,
Teknik bu nedenle bu verileri işlemek zorunda olanların özel nitelikli
kişisel verileri muhafaza ettiği sayısal ortamlara erişilmesi için
şifreme veya şifre anahtarları kullanılılabilir.
33
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Veri işleme faaliyeti veri sorumlusunun esas işinin önemli bir
parçası haline geldiğinde bu verileri korumak sadece ilgili
kişilerin hakları değil aynı zamanda veri sorumlusunun
menfaatlerini ilgilendirmektedir. Sistemleri kötü niyetli kişiler
Teknik tarafından hedef olma riski bulunan veri sorumlularının
saldırıları tespit ve önlemek için özel teknik tedbirler alması
gerekebilir.
34
Sızma testi uygulanmaktadır.
Sızma testi, bilişim sistem tasarımlarındaki mantık hataları
veya zafiyetleri tespit ederek, söz konusu güvenlik
açıklıklarının kötü niyetli kişiler tarafından istismar
edilmesini önlemek ve sistemleri daha güvenli hale getirmek
Teknik amacıyla, bu alanda yetkin kişilerce kötü niyetli kişiler saldırı
yapmış olsaydı hangi açıkları bulabilirdi sorusunun cevabını
aramaktır.
41 KVKK İdari ve Teknik Tedbirler
Kontrol Listesi
35
Siber güvenlik önlemleri alınmış olup uygulanması sürekli
takip edilmektedir.
Günümüzde, yoğun olarak kullanılan sayısal ortamlar, bulut
sistemler, daha hızlı internet erişimi veri bulunan alanları
Teknik siber saldırganların hedefi haline getirebilmektedir. Bu
saldırıları engellemek veya gelebilecek saldırılardan
korunmak için siber güvenlik önlemlerinin alınması ve
bunların çalıştığının kontrol altında tutulması gerekir.
36
Şifreleme yapılmaktadır.
37
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli
kişiler veriler şifrelenerek aktarılmaktadır.
Fiziksel olarak ele geçirilebilecek ve herkes tarafından
içeriğine kolayca erişilebilecek kayıt ortamlarında özel
nitelikli kişisel verilerin bulunması halinde bunların fiziken ele
Teknik geçirilse bile içeriğine erişiminin engellenmesi için şifreli
formatlarının bu medya araçlarına kaydedilmesi ek güvenlik
sağlayacaktır.
SARPOZAN TEKNOLOJİ
38
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda
belli aralıklarla denetimi sağlanmaktadır.
Veri işleyenler veri sorumluları adına veri işleme faaliyetinde
bulunmaktadırlar. Bunların kişisel veri ihlallerine sebep
olmasının sorumluluğu da veri sorumlularına aittir. Veri
39
Veri işleyen hizmet sağlayıcılarının, veri güvenliği
konusunda farkındalığı sağlanmaktadır.
Veri sorumlusunun kişisel verilerin güvenliğine olan
hassasiyeti, bu verileri kendi adına işleyen çalışanların
yanında dışarıdan sağlanan hizmetle bunları işleyen kişilere
İdari de yansıtılması, kişisel verilere olan hassasiyetlerinin
artırılmasına bağlıdır. Kendi kişisel verisine önem
göstermeyen başkalarının kişisel verisini de önemsemez.
40
Veri kaybı önleme yazılımları kullanılmaktadır.
Kişisel verilerin bulunduğu sayısal ortamlar farklı sebeplerle
örneğin elektrik kesintisi, yüksek voltaj, fiziksel hasar,
yazılımlar, hatalı veya kasti veri silinmesi gibi sebeplerle veri
kayıpları ile karşı karşıya kalabilir. Açık rızaların, loğların,
Teknik kişisel verilerin kaybı veri sorumlusunun yükümlülüklerini
yerine getirmesinde soruna sebep olabilir. Veri kaybı
önleme/kurtarma yazılımları ile veri kayıpları önlenebilir.
41 DİĞER TEDBİRLER:
V e ri s oruml ul a rı nı n V E R B İ S 't e y e r a l a n t e dbi rl e rde n durumuna
uy gun ol a nl a rı nı a l ma l a rı ge re k me k t e di r. S a de c e burda k i t e dbi rl e ri
a l ma k s oruml ul uk t a n k urt ul ma k i ç i n y e t e rl i de ği l di r a nc a k he ps i ni
a l ma k z orunl u da de ği l di r. V e ri s oruml us u v e ri güv e nl i ği ni
s a ğl a ma k i ç i n ge re k l i di ğe r he r t ürl ü t e dbi rl e ri de a l ma k
z orunda dı r.