KVKK’yı, hukuk ve BT ekiplerinin birlikte yönetmesi gerekir

ISACA Ankara Chapter ve EY Türkiye’nin, 6 Şubat tarihinde birlikte düzenlediği ‘KVKK ve Her Yönüyle Uyum’ etkinliğine, Türk Standartları Enstitüsü (TSE) ev sahipliği yaptı.

ISACA Ankara Chapter adına açılış konuşmasını gerçekleştiren Karel firmasından Volkan Evrin, etkinliğin oluşum süreci hakkında şu bilgileri verdi: “24 Mart 2016’da Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen tüm tarafların uyum süreçlerini oluşturması ve işletmesi gereken bir kapsamda ve bağlayıcılıkta. Tüm kurum ve kuruluşların ve bu süreçlerde destek hizmeti sağlayan kişi ve şirketlerin ‘KVKK’ya uyum süreci oluşturma çalışmaları, sadece VERBİS kaydıyla sınırlanabilecek basit ve günlük aktiviteler değil, uzun, detaylı ve çok yönlü süreçlerdir. Bu bağlamda, kurum kültürü haline gelmesi gereken ve süreklilik hedefinde olan ‘KVKK’ya Uyum’ çalışmaları konularında hukuk, teknik, uyum ve denetim bakış açılarını yansıtabilmek amacıyla ‘KVKK ve Her Yönüyle Uyum” toplantısı düzenlenliyoruz.” ‘Yönetişim ve Uyum’ başlığında bir sunum yapan Evrin, yönetişimin içindeki uyum yapısından söz ederek “Yönetişim; paydaş ihtiyaçlarının, koşullarının ve seçeneklerinin dengeli, kararlaştırılmış kurumsal hedefleri belirlemek için değerlendirmesini sağlar” dedi. Evrin, ISACA hakkında da şunları paylaştı: “Kurumlar için bilgi teknolojilerinin etkin kullanımına yönelik çerçeve niteliği bulunan ‘Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri’ (COBIT), ISACA ve ITGI tarafından 1996 yılında geliştirildi ve Bilgi Teknolojileri Yönetimi için en iyi uygulamalar kümesi olarak tüm sektörlerde kullanılmakta. COBIT’in yeni sürümü COBIT 2019’da uyumluluk noktaları ortaya konuyor. Bu yüzden yeni sürüm bizim için çok kıymetli.”

Kişisel verilere uyum süreci insanla başlar

TSE’den Dilek Özeren ‘ISO 27701: 2019 Bilgilendirmesi’ yaptı ve TC kimlik kartlarıyla ilgili dönüşüm sürecinde olunduğunu kaydetti.  Özeren, “ISO/IEC 27701, kamu ve özel şirketler, devlet kurumları ve kâr amacı gütmeyen kuruluşlar da dahil olmak üzere bir Bilgi Güvenliği Yönetim Sistemi içinde kişisel veriyi işleyen veri sorumluları ve/veya veri işleyenler de dahil olmak üzere her tür ve büyüklükteki kuruluş için geçerlidir” dedi. Avukat ve Hukuk Danışmanı Özgür Eralp, ‘Kişisel Verilere İlişkin Suçlar ve Kabahatler Neticisinde Verilecek Hapis, İdari Para ve Disiplin Cezaları’nı anlattı ve “Kanuna ait idari para cezalarıyla ilgili güncel tablo göremedim. Bir tarife olması gerekir” değerlendirmesini yaptı. Türksat’tan Avukat Başak Deprem ve EY’dan Gökhan Polat, Türksat’taki KVKK uyum çalışmalarıyla ilgili detaylı bilgi paylaşımında bulundular. Deprem, “Bu bir hukuk projesiydi ama genel müdür düzeyinde gerçekleştirilmeseydi, projenin tam anlamıyla hayata geçmesi mümkün olmazdı. Bu yüzden aynı zamanda yönetimsel bir projedir. 1,5 yıl boyunca kişisel veri envanterini oluşturduk ve VERBİS’e de doğru bir şekilde işledik. Uyumlaştırma, dönüştürme çalışmaları bir anda bitecek değil. Proje tamamlanınca bizim sürecimiz başlıyor. Kişisel verilere uyum süreci insanla başlar” şeklinde konuştu. Polat, süreç adaptasyonuna yönelik çalışmaları aktararak talep ve şikayetlerin yönetim süreci, etki analizi ve envanter yönetimi sürecini anlattı ve “Türksat, personelinin farkındalığını artırma çerçevesinde büyük çaba sarf etti” ifadesini kullandı. Deprem, “Türksat olarak EY ile çalışmaya başlamadan önce sözleşme taslağı üzerinde 1 yıl çalıştık. Ön çalışma büyük önem taşıyor. Türksat olarak diğer kurumlara hizmet vermeye gönüllü olduğumuzu belirtmek isterim” dedi. EY’dan Yunus Çadırcı da KVKK süreç ve teknoloji denetimi hakkında bilgi vererek şunları kaydetti: “KVKK hiçbir zaman bir kez yapıp ‘excel’e hapsedeceğiniz bir süreç değil, bir yönetişim metodolojisi haline gelmesi gereken bir süreçtir. Süreci oluşturduğunuz anda tatbikatı yapın. KVKK’yı hukuk ve BT ekiplerinin birlikte yönetmesi gerekir.”

Tüm süreçlerdeki tüm veriler değerlidir  – Hiçbir veri atık değildir!

‘Bilgi Çağının Petrolünü Kullanma Yöntemi: Veriyi Anonimleştirme’ başlığında bir sunum gerçekleştiren Dr. Mustafa Afyonluoğlu, “Kişisel verileri zedelemeden veriden nasıl değer yaratabileceğimizi konuşmaya başladık. Anonimleştirme ile; verinin kişiye ait olan kısmı atılır ve kalan kısım sizin işinizi görür. Tüm süreçlerdeki tüm veriler değerlidir. Hiçbir veri atık değildir! Veri, anonimleştirilerek faydaya çevrilir. Yüksek verim ile anonimleştirme üzerine talepler artacak. Kişisel bilgileri ne kadar ayıklarsak yani ne kadar anonimleştirebilirsek o kadar da değer kaybı oluyor. Peki dengeyi nasıl sağlayacağız? En az kayıpla en yüksek mahremiyeti sağlayacağız. Sentetik veri; gerçek veri üzerinde yapay olarak oluşturulan veridir. Türkiye’de geçen yıl ilk kez sentetik veri üreterek bir çalışma gerçekleştirdik. Verilerimizi bizimle olan işi bitince nasıl hizmete sunabiliriz, en az kayıpla bunu nasıl yapabiliriz? Ne kadar iyi anonimleştirme yapabilirsek Türkiye’nin yüksek çıkarları için o kadar çok verim elde edebiliriz” şeklinde konuştu. EY’dan Can Geçim ve Özlem Çetin ‘KVKK İmplementasyonu Hukuk & Teknoloji’ sunumunu gerçekleştirdi.