Kurumun veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12. Maddesi 1 numaralı fıkrasına göre;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak
    amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü KVKK teknik ve idari tedbirleri almak zorundadır.

KVKK teknik tedbirler bilgisayar üzerinde kilit var
Alınması gereken idari önlemleri bir önceki KVKK İdari Tedbirler Listesi başlıklı yazımızada incelemiştik, KVKK teknik tedbirler listesi ise aşağıda açıklanmıştır.

B. Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

KVKK teknik tedbirler ya da kişisel verilerin korunması konusunda alınması gereken teknik tedbirler başlıklarını 6 grupta toplayabiliriz:

1. Siber Güvenliğin Sağlanması

Kişisel verilerin korunması kapsamında, sanılanın tersine tek bir güvenlik ürününün kullanılması tam güvenliği sağlamamaktadır. Çünkü yazılım ve bilgisayar teknolojilerindeki tehditler her geçen gün nitelik ve boyut değiştirerek karşımıza çıkmaktadır. Etki alanını genişleten bu tehditlere karşı, kişisel veri içeren bilgi teknoloji sistemlerine ulaşabilecek izinsiz erişim tehditlerine karşı önlemler çoğaltılmalıdır.

Alınabilecek tedbirler ağ geçidi ile güvenlik duvarı yapılandırması olmalıdır. Bunlar, internet ve ağ ortamında gelen saldırılara karşı ilk savunma hattı olarak nitelendirilebilir. yüksek tedbirler alınarak yapılandırılmış güvenlik duvarı, planlanan saldırıları durdururken; ağ geçidi ise çalışanların, kişisel veri güvenliği açısından tehdit oluşturan online servislere erişimi önleyebilir.

Ayrıca gelebilecek siber saldırılara karşı güvenlik açıklarını tespit edebilmek için penetrasyon testi de yapılabilir. Penetrasyon testi hakkında detaylı bilgi almak için Penetrasyon Testi Nedir başlıklı yazımıza da göz atabilirsiniz.

2. Kişisel Veri Güvenliği Takibi

Veri sorumlularına ait sistemler, içeriden ve dışarıdan gelebilecek saldırılar ile siber suçlara maruz kaldıklarında, uzun süre fark edilmediği için müdahalede bulunmada geç kalınmaktadır. Böyle bir durumun yaşanmaması adına;
• Bilişim ağları yazılım ve servisleri,
• Bilişim ağlarındaki anormal hareketler,
• Tüm kullanıcıların log kayıtlarının tutulması,
• Güvenlik sorunlarının en hızlı şekilde raporlanması,
• Çalışan servis ve sistemlerdeki güvenlik zafiyetleri için resmi raporlamanın yapılması,
gerekmektedir.

Telefon ve bilgisayarın ağlar arasında olan bir etkileşim mavi ışık ve el

3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularına ait yerleşkelerdeki cihazlarda ya da belgelerde saklanıyorsa, ilgili cihaz ile kağıtların kaybolması ya da çalınması riskine karşı fiziksel güvenlik önlemlerinin alınması gereklidir.

Buna karşın elektronik ortamda depolanan kişisel veriler için, ağ bileşenleri arasında erişim kısıtlaması ya da bileşenleri ayrılması sağlanmalıdır.

4. Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulut ortamında depolanması, bu bilgilerin bulut depolama hizmeti sağlayanlar tarafından işlenmesine neden olduğu için birtakım riskleri de beraberinde getirmektedir. Bu nedenle, bulut depolama hizmet sağlayıcısının güvenlik önlemlerinin de yeterli olup olmadığı veri işleme sorumlusu tarafından iyice araştırılmalıdır.

Bu kapsamda KVKK için teknik tedbirler alabilmek için bulut bilişim hizmet ilişkisi bittiğinde, kişisel verilere ait tüm şifreleme anahtarları ile kopyaları tamamen imha edilmelidir.

Kişisel verilerin bulutta depolanması ve bilgisayar üstünde görünen bulut ve kilit

5. Bilgi Teknolojileri Tedariği, Gelişimi ve Bakımı

Veri sorumlusu, kullanılan tüm sistemlerin tedarik edilme süreci ile geliştirilmesi ya da mevcut sistemlerin daha iyi hale getirilmesi konusunda ihtiyaçlar belirlerken güvenlik gerekliliklerini de göz önüne almalıdır. Bu kapsamda uygulama sistemlerinin girişlerine ait kontrolleri yapmalı, doğru girilen bilgilerin kasıtlı olarak bozulup bozulmadığına ait kontrol mekanizmaları yerleştirmelidir.

6. Kişisel Verilerin Yedeklenmesi

Kişisel verilerin, herhangi bir nedenle yok olması, çalınması, kaybolması ya da zarar görmesi gibi durumlara karşın, veri sorumluları tarafında yedeklenmeleri gerekir. Bunun yanı sıra yedeklenen kişisel veriler, sadece sistem yöneticisi tarafından erişime açık olmalı, veri setine ait yedekler ağ dışında tutulmalıdır.

KVKK Teknik Tedbirler Listesi başlıklı yazımızı beğendiyseniz paylaşmayı unutmayın!
KVKK Hakkında Genel Bilgiler başlıklı yazımızı da mutlaka okumalısınız!