Üniversitelerde Öğrenci Veri Güvenliği
Dijital dönüşüm; kayıt, not, burs, sağlık/psikolojik danışmanlık ve kampüs hareket verilerinin tamamını dijital ortama taşıdı. Bu tablo, yönetim verimliliği kadar öğrenci veri güvenliğini de stratejik gündem yapıyor.
Öğrenci Verilerinin Kapsamı
“Öğrenci verisi” yalnızca kimlikten ibaret değildir. Üniversiteler bugün aşağıdaki veri sınıflarını dijital olarak işler ve saklar:
- Kimlik, iletişim ve adres bilgileri
- Akademik performans, devamsızlık ve sınav kayıtları
- Burs, tahsilat ve diğer finansal işlemler
- Sağlık ve psikolojik danışmanlık kayıtları
- Kampüs giriş–çıkış ve erişim logları
- Disiplin, barınma ve kütüphane kayıtları
- BT servis talepleri, e-posta ve LMS (ÖYS) kullanım verileri
- Araştırma katılım ve anket verileri
Not: Sağlık/psikolojik veriler gibi bazı kalemler KVKK kapsamında özel nitelikli kişisel veridir; işlenmesi ve korunması için ek hukuki ve teknik tedbirler zorunludur.
Üniversitelerde Veri Güvenliği Neden Önemlidir?
Veri güvenliği; teknik bir konu olmanın ötesinde, etik ve hukuki bir yükümlülüktür. İhlaller; kimlik hırsızlığı, dolandırıcılık, itibar kaybı ve düzenleyici yaptırımlara yol açabilir.
Kurumsal sürdürülebilirlik, öğrenci–veli güveni ve üniversitenin toplumsal itibarı için öğrenci veri güvenliği stratejik öneme sahiptir.
Karşılaşılan Temel Tehditler
- Kimlik avı (phishing): Sahte e-postalarla hesap ele geçirme girişimleri.
- Zararlı yazılımlar: Virüs, trojan ve ransomware ile veri sızdırma veya şifreleme.
- Zayıf parola kullanımı: Basit, tekrar kullanılan veya paylaşılmış şifreler.
- Yetkisiz erişim: Yetki sınırlarının aşılması, rol bazlı erişim ihlalleri.
- Bulut riskleri: Üçüncü taraf altyapılarda yanlış yapılandırma ve yetersiz sözleşmeler.
- Fiziksel riskler: Açık bırakılan ekranlar, taşınabilir medyalar, arşiv alanları.
Veri Güvenliğini Sağlamak İçin Kullanılan Yöntemler
Teknik Tedbirler
- Şifreleme: Aktarımda (TLS) ve depoda (ör. AES) veri şifreleme.
- Çok faktörlü kimlik doğrulama (MFA): Şifre + ek doğrulama mekanizmaları.
- Düzenli güvenlik testleri: Sızma testleri, zafiyet taramaları, konfigürasyon analizleri.
- Yedekleme ve felaket kurtarma: 3–2–1 kuralı, offline/izole yedekler.
- Güncelleme/yama yönetimi: İşletim sistemi, uygulama, LMS ve ağ ekipmanları için güncel yama takibi.
İdari Tedbirler
- Veri sınıflandırması ve erişim matrisi: “Gerektiği kadar bil” prensibi ile rol bazlı yetki.
- Politikalar ve prosedürler: BYOD, uzaktan erişim, parola, loglama, saklama–imha politikaları.
- Eğitim ve farkındalık: Öğrenci ve personele periyodik KVKK ve bilgi güvenliği eğitimleri.
- Tedarikçi yönetimi: Bulut ve dış hizmet sağlayıcılarla yapılan sözleşmelerde KVKK hükümleri.
- Olay yönetimi: İhlal tespiti, bildirim, kök neden analizi ve iyileştirme adımlarının tanımlanması.
Yasal Düzenlemeler ve Sorumluluklar
Türkiye’de üniversiteler KVKK uyarınca veri sorumlusudur. YÖK; bilgi güvenliği politikalarının oluşturulması ve uyumun belgelenmesini bekler. AB fonlu projelerde GDPR gereklilikleri de gündeme gelebilir.
- Hukuki dayanak ve aydınlatma: İşleme şartının (m.5–6) belirlenmesi ve aydınlatma metinleri.
- Özel nitelikli veriler: İlave teknik/idari tedbirler, kısıtlı erişim, yetki matrisi.
- Aktarım: Yurt içi/yurt dışı aktarımlarda hukuki şartlar, sözleşmeler ve gerekli izinler.
- Saklama–imha: “Gerektiği kadar sakla” ilkesine uygun saklama süreleri ve imha politikası.
- İlgili kişi hakları: Başvuru, erişim, düzeltme, silme, itiraz süreçlerinin işletilmesi.
Öğrencilerin Bilinçlendirilmesi
Güvenlik kültürü sadece BT ekiplerinin sorumluluğu değildir. Öğrenciler, günlük davranışlarıyla güvenlik zincirinin en kritik halkalarından birini oluşturur.
- E-posta güvenliği ve sahte bağlantılardan korunma yöntemlerinin anlatılması.
- Sosyal medyada kişisel veri paylaşımının sınırları ve riskleri.
- Güçlü parola ve mümkünse parola yöneticisi kullanımı.
- Şüpheli durumlarda başvuru kanalı: BT Yardım Masası / KVKK irtibat noktası.
Geleceğe Yönelik Öneriler
- Zero Trust mimarisi: Her erişim talebini doğrula, sürekli izle, varsayılan “güven yok”.
- Anonimleştirme / Pseudonimleştirme: Araştırma ve raporlama süreçlerinde kimliksizleştirme tekniklerini kullanma.
- Etik kurullar: Araştırma amaçlı veri kullanımında etik denetim süreçlerini güçlendirme.
- ISO/IEC 27001 BGYS: Süreç, risk ve kontrol temelli bilgi güvenliği yönetim sistemi kurma.
- Yapay zekâ kullanım ilkeleri: Model eğitimi ve çıktılarında veri minimizasyonu ve mahremiyet odaklı yaklaşım.
Kısaca Özetlemek Gerekirse
Öğrenci veri güvenliği; yalnızca BT’nin değil, tüm üniversite ekosisteminin ortak sorumluluğudur. Teknik önlemler + hukuki uyum + etik farkındalık + sürekli eğitim bileşenleri birlikte ele alındığında sürdürülebilir bir güvenlik kültürü tesis edilir.
Sık Sorulan Sorular
1) Hangi veriler “özel nitelikli” sayılır?
Sağlık verileri, biyometrik veriler gibi hassas kalemler özel nitelikli kişisel veri kapsamındadır ve KVKK uyarınca ek teknik/idari tedbir gerektirir. Bu veriler için erişim daha kısıtlı olmalı, saklama ve imha süreçleri daha sıkı takip edilmelidir.
2) Bulut kullanırken nelere dikkat edilmeli?
Bulut servislerinde veri lokasyonu, şifreleme düzeyi, erişim kontrolleri, denetim logları ve sözleşmesel KVKK hükümleri kritik önemdedir. Hizmet sağlayıcının güvenlik sertifikaları ve ihlal bildirim yükümlülükleri mutlaka değerlendirilmeli ve sözleşmeye yazılmalıdır.
3) İhlal olursa ilk adım nedir?
Öncelikle olay yönetimi prosedürünü tetikleyin: tespit – izolasyon – değerlendirme – bildirim – iyileştirme. Gecikmeden ilgili iç birimleri bilgilendirin, etkileri sınırlayın ve KVKK uyarınca gerekli bildirimleri yapın.
