KVKK m.12 Kapsamında Teknik ve İdari Tedbirler ile Kişisel Veri Güvenliği
KVKK Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin 1. fıkrası uyarınca veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini ve hukuka aykırı olarak erişilmesini önlemek, ayrıca kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunu açıkça belirtmektedir.
Bu kapsamda; güvenlik duvarları, erişim yetkilendirmesi, güçlü şifreleme, log yönetimi, yedekleme, bulut güvenliği, fiziksel güvenlik ve sızma testleri gibi birçok kontrol alanı, KVKK Kurumu’nun yayımladığı rehber ve kararlarla detaylandırılmış bir gereklilikler seti haline gelmiştir. Aşağıda, söz konusu teknik tedbirler uygulanabilir başlıklar altında özetlenmekte ve kurumsal uyum için yol gösterici bir çerçeve sunulmaktadır.
Hukuki temel: KVKK m.12/1 veri sorumlusuna; hukuka aykırı işleme ve erişimi engellemek ile
verilerin muhafazasını sağlamak için uygun güvenlik düzeyi kurma yükümlülüğü getirir.
Teknik tedbirler: Güvenlik duvarı, yama yönetimi, antivirüs, erişim kontrolü, şifreleme,
log yönetimi, sızma testleri, DLP ve yedekleme.
Fiziksel tedbirler: Sunucu odası güvenliği, kilitli dolaplar, çevresel risklere karşı
koruma, giriş-çıkış kayıtları.
Bulut ve yedekleme: Bulut sağlayıcının güvenlik düzeyinin denetlenmesi, şifreleme,
çok faktörlü erişim ve ağ dışı yedekler.
Uyum hedefi: Veri ihlali riskini azaltmak, log ve delil saklama süreçleri ile
hesap verebilirliği güçlendirmek.
1. KVKK m.12: Hukuki Dayanak ve Temel Yükümlülük
6698 sayılı Kişisel Verilerin Korunması Kanununun 12. maddesinin 1. fıkrası; veri sorumlusunun, işlediği kişisel veriler bakımından şu üç temel hedefi gözeterek uygun güvenlik düzeyini temin etmesini zorunlu kılar:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak.
Bu hedefler doğrultusunda veri sorumluları; teknik tedbirler (ağ ve sistem güvenliği, şifreleme, log, yedekleme vb.) ve idari tedbirler (politika, prosedür, yetki matrisi, eğitim vb.) almakla yükümlüdür. KVKK Kurumu, yayımladığı rehberle bu tedbirleri birçok başlık altında somutlaştırmıştır.
| Yükümlülük Başlığı | Açıklama | Örnek Kontroller |
|---|---|---|
| Hukuka Aykırı İşlemeyi Önleme | Verilerin yalnızca hukuki sebebe ve belirlenen amaçlara uygun işlenmesi. | Yetkilendirme matrisi, rol bazlı erişim, veri maskeleme, DLP. |
| Hukuka Aykırı Erişimi Önleme | Yetkisiz kişilerin veriye erişmesini engelleyecek teknik önlemler. | Güvenlik duvarı, IDS/IPS, güçlü şifre, MFA, ağ segmentasyonu. |
| Muhafazayı Sağlama | Verinin bütünlüğü, gizliliği ve sürekliliğini koruyacak kontroller. | Yedekleme, şifreleme, log saklama, fiziksel güvenlik, bulut kontrolleri. |
KVKK Kurumu’na göre; bu tedbirlerin alınması, “ileri teknoloji kullanmak”tan daha çok, kurumun risk profilini dikkate alan makul, ölçülü ve sürdürülebilir bir güvenlik seviyesi kurmayı ifade eder.
2. Teknik Tedbirler: Ağ, Sistem ve Uygulama Güvenliği
KVKK Kurumu, kişisel verilerin işlendiği bilgi sistemlerinin dış ve iç tehditlere karşı korunması için bir dizi somut teknik tedbir öngörmektedir. Bu tedbirler, özellikle ağ yapısı, sunucular, istemciler ve uygulamalar üzerinde yoğunlaşır.
2.1. Ağ ve Sistem Güvenliği
- Güvenlik duvarı ve ağ geçidi: Kişisel veri içeren bilgi teknoloji sistemleri, internet üzerinden gelen izinsiz erişim tehditlerine karşı güvenlik duvarı ve ağ geçidi çözümleri ile korunmalıdır. (Madde 1)
- Gereksiz servislerin kapatılması: Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalı, ağda yalnızca iş için gerekli servisler çalıştırılmalıdır. (Madde 2, 11)
- Yama ve güncelleme yönetimi: Ağ cihazları ve sunucuların yama yönetimi, yazılım güncellemeleri düzenli olarak kontrol edilmeli; güvenlik yamalarının zamanında uygulanması sağlanmalıdır. (Madde 3)
- Sızma ve olağan dışı hareket tespiti: Bilişim ağında sızma veya olmaması gereken bir hareket olup olmadığı periyodik olarak izlenmeli, anomali ve saldırı girişimleri tespit edilmelidir. (Madde 12)
- Antivirüs ve antispam çözümleri: Kötü amaçlı yazılımlara karşı, bilgi sistem ağını düzenli olarak tarayan antivirüs, antispam ve benzeri güvenlik ürünleri kullanılmalı, bu ürünler güncel tutulmalı ve tarama politikaları tanımlanmalıdır. (Madde 9)
- Güvenli iletişim: Farklı internet siteleri veya mobil uygulama kanallarından kişisel veri temin ediliyorsa, bağlantıların SSL/TLS veya daha güvenli protokollerle şifrelenmiş olması gerekir. (Madde 10)
2.2. Uygulama Güvenliği ve Veri Bütünlüğü
- Uygulama kontrolleri: Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı; bilginin kasıtlı veya hatayla bozulup bozulmadığı kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. (Madde 31)
- Veri bütünlüğü: Uygulamalar, işlem sırasında oluşabilecek hatalarda veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır. (Madde 32)
- Saldırı tespit ve önleme: Güvenlik yazılımı mesajları ve diğer raporlama araçları düzenli olarak kontrol edilmeli, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için zafiyet taramaları ve sızma testleri yapılmalı, sonuçlar ışığında değerlendirme ve iyileştirme yapılmalıdır. (Madde 17)
- İstenmeyen olaylarda delil toplama: Sistem çökmesi, kötü niyetli yazılım, DDoS, gizlilik ve bütünlüğü bozan ihlaller gibi olaylarda deliller toplanmalı ve güvenli şekilde saklanmalıdır. (Madde 18)
3. Erişim Yönetimi, Şifreleme ve Log Kayıtları
Kişisel veri içeren sistemlere erişim; yetki matrisi, güçlü kimlik doğrulama, log yönetimi ve şifreleme kontrolleri ile desteklenmelidir. KVKK Kurumu, özellikle yetki yönetimi ve log kayıtlarının önemini vurgulamaktadır.
3.1. Erişim Yönetimi ve Yetkilendirme
- İhtiyaç kadar erişim: Kişisel veri içeren sistemlere erişim sınırlı olmalı; çalışanlara yalnızca işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim tanınmalıdır. Erişimler kullanıcı adı ve parola ile sağlanmalıdır. (Madde 4)
- Yetki matrisi: Erişim yetki ve kontrol matrisi oluşturulmalı; erişim politika ve prosedürü yazılı hale getirilerek organizasyon içinde uygulanmalıdır. (Madde 5)
- Güçlü parola politikası: Güçlü şifre/parola kullanılmalı; kaba kuvvet saldırılarına karşı parola deneme sayısı sınırlandırılmalı ve düzenli aralıklarla parola değişimi zorunlu tutulmalıdır. (Madde 6)
- Yönetici hesapları: Yönetici ve admin yetkileri, yalnızca ihtiyaç olduğu durumlarda kullanılmak üzere açılmalı, günlük işlerde standart kullanıcı hesapları tercih edilmelidir. (Madde 7)
- Kullanıcı hesap yaşam döngüsü: Kurum veya veri ile ilişkisi kesilen kişilerin hesapları gecikmeksizin silinmeli veya kapatılmalı; yetkisiz erişim riski ortadan kaldırılmalıdır. (Madde 8)
- BYOD ve kişisel cihazlar: Çalışanların şahsi cihazlarının bilgi sistem ağına erişimi mümkünse, bu erişim ek güvenlik tedbirlerine (MFA, MDM, izolasyon vb.) tabi olmalı; aksi halde erişim engellenmelidir. (Madde 22)
3.2. Log Yönetimi ve Raporlama
- İşlem kayıtları: Sistemlerdeki tüm kullanıcıların işlem hareketleri düzenli olarak kaydedilmeli; log kayıtları değiştirilemeyecek ve silinmeyecek şekilde korunmalıdır. (Madde 13)
- Güvenlik olaylarının raporlanması: Güvenlik sorunları hızlı bir şekilde raporlanmalı; çalışanların zafiyet ve tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır. (Madde 14, 15)
- Yönetici bilgilendirmesi: Oluşturulan raporlar, sistem yöneticisi tarafından en kısa sürede veri sorumlusuna sunulmalı; kritik olaylar üst yönetime iletilmelidir. (Madde 16)
- Log inceleme ve aksiyon: Güvenlik yazılımı mesajları, erişim kontrol kayıtları ve diğer raporlar düzenli olarak kontrol edilmeli; sistemlerden gelen uyarılar üzerine zaman kaybetmeden harekete geçilmelidir. (Madde 17)
3.3. Şifreleme ve Anahtar Yönetimi
- Disk ve dosya şifreleme: Kişisel veri içeren cihazların kaybolması veya çalınması ihtimaline karşı, disk şifreleme yöntemleri veya dosya bazlı şifreleme kullanılmalıdır. (Madde 24, 25)
- Güvenilir kriptografi: Şifreleme programı olarak uluslararası kabul gören kriptografik çözümler tercih edilmeli; asimetrik yöntem kullanılıyorsa anahtar yönetimi süreçlerine özel önem verilmelidir. (Madde 26)
- Ayrı anahtar kullanımı: Mümkün olan her yerde, kişisel veriler için ayrı şifreleme anahtarları kullanılmalı; anahtarlara yalnızca yetkili personel erişebilmelidir. (Madde 24, 30)
4. Fiziksel Güvenlik, Bulut Ortamı ve Yedekleme Tedbirleri
KVKK Kurumu, kişisel verilerin yalnızca elektronik sistemlerde değil, fiziksel ortamlarda ve bulut servislerinde de korunması gerektiğini belirtir. Bu nedenle fiziksel güvenlik, bulut güvenliği ve yedekleme stratejileri KVKK uyumunun kritik parçalarıdır.
4.1. Fiziksel Güvenlik ve Çevresel Riskler
- Cihaz ve evrak güvenliği: Kişisel veriler kurum yerleşkesindeki cihazlarda veya kâğıt ortamında saklanıyorsa, çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemleri alınmalıdır. (Madde 19)
- Çevresel riskler: Kişisel verilerin yer aldığı fiziksel ortamlar; yangın, sel vb. dış risklere karşı uygun yöntemlerle korunmalı, bu ortamlara giriş-çıkışlar kontrol altına alınmalıdır. (Madde 20)
- Güvenlikli odalar: Kişisel veri içeren kâğıt evraklar, sunucular, yedekleme cihazları, CD/DVD ve USB gibi ortamlar ek güvenlik önlemleri olan ayrı odalarda tutulmalı, kullanılmadığı zaman kilit altında saklanmalı ve giriş-çıkış kayıtları tutulmalıdır. (Madde 23)
- Bakım ve onarım süreçleri: Arızalı cihazlar üretici/servise gönderilmeden önce veri saklama ortamı sökülmeli veya veriler şifrelenerek; kişisel verilerin dışarıya sızması engellenmelidir. (Madde 33, 34)
4.2. Bulut Ortamında Kişisel Veri Güvenliği
- Sağlayıcı değerlendirmesi: Kişisel verilerin bulut ortamında depolanması halinde, bulut hizmeti sağlayıcısının aldığı güvenlik önlemleri veri sorumlusu tarafından detaylı şekilde değerlendirilmelidir. (Madde 27)
- Veri envanteri ve erişim: Bulut ortamında hangi kişisel verilerin bulunduğu bilmeli, yedeklenmeli, senkronizasyon yönetilmeli ve uzaktan erişim için iki kademeli kimlik doğrulama uygulanmalıdır. (Madde 28)
- Şifreleme: Bulut ortamlarına aktarılan kişisel veriler, kriptografik yöntemlerle şifrelenmiş olarak depolanmalı; veri aktarımı ve depolama süreçleri uçtan uca güvence altına alınmalıdır. (Madde 29)
4.3. Yedekleme ve İş Sürekliliği
- Yedekleme stratejisi: Kişisel verilerin zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlara karşı; veri sorumluları yedeklenen verileri kullanarak sistemi en kısa sürede yeniden faaliyete geçirebilecek yedekleme stratejileri geliştirmelidir. (Madde 35, 36)
- Erişim kısıtlaması: Yedeklenen verilere yalnızca sistem yöneticisi gibi yetkili kişiler erişebilmeli; yedekler ağ dışında ve fiziksel olarak güvenli ortamlarda tutulmalıdır. (Madde 37, 38, 39)
- Veri kaybı önleme: Kötü amaçlı yazılımların verilere erişimi engellemesine karşı veri kaybı önleme (DLP) stratejileri ve yazılımları kullanılmalıdır. (Özet başlıklar)
5. Özet Teknik-İdari Tedbirler ve KVKK Uyum Süreciniz
KVKK Kurumu’na göre, aşağıda özetlenen başlıklar kurum içinde gereğiyle uygulandığında veri ihlali riskinin önemli ölçüde azaltılması mümkün olacaktır:
- Yetkilendirme matrisi oluşturulması ve yetki kontrollerinin düzenli yapılması,
- Erişim loglarının tutulması, incelenmesi ve gerektiğinde yedeklenmesi,
- Kullanıcı hesaplarının yaşam döngüsü boyunca etkin yönetilmesi,
- Ağ ortamının ve uygulamaların güvenliğinin sağlanması,
- Verilerin kriptografik şifreleme yöntemleri ile korunması,
- Periyodik sızma testleri ile kurum güvenliğinin test edilmesi,
- Saldırı tespit ve önleme sistemlerinin (IDS/IPS vb.) devreye alınması,
- Veri maskeleme ve veri kaybı önleme (DLP) çözümlerinin kullanılması,
- Yedekleme sistemlerinin kurgulanması ve test edilmesi,
- Güncel antivirüs ve güvenlik yazılımlarının kullanılması,
- Verilerin durumuna göre silme, yok etme veya anonim hale getirme işlemlerinin yürütülmesi.
Tüm bu başlıklar, sadece teknik bir BT projesi değil; KVKK uyum sürecinin stratejik parçası olarak ele alınmalıdır. Politika ve prosedürler yazılı hale getirilmeli, çalışanlara düzenli KVKK ve bilgi güvenliği eğitimleri verilmeli ve süreçler periyodik denetimlerle gözden geçirilmelidir.
6. Sık Sorulan Sorular
KVKK m.12 kapsamında teknik tedbir almak zorunlu mu?
Evet. KVKK m.12/1, veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü getirir. Bu, isteğe bağlı bir iyi uygulama değil, kanuni zorunluluktur.
Teknik tedbirler her kurum için aynı mıdır?
Hayır. Temel başlıklar benzer olmakla birlikte; alınacak tedbirlerin derinliği ve kapsamı, kurumun büyüklüğüne, işlediği veri türüne, sektörel risklerine ve teknoloji altyapısına göre değişebilir. Önemli olan, kurumun risk seviyesine uygun, makul ve sürdürülebilir bir güvenlik düzeyi kurabilmesidir.
Bulut ortamında tutulan veriler KVKK kapsamı dışında kalır mı?
Hayır. Verilerin bulut ortamında depolanması, KVKK kapsamını ortadan kaldırmaz. Veri sorumlusu; bulut sağlayıcının güvenlik önlemlerini denetlemek, verileri şifrelemek ve erişim kontrolünü sağlamakla yükümlüdür. Bulut, sadece verinin fiziksel konumunun değiştiği bir ortamdır; hukuki sorumluluk devam eder.
Log kayıtlarını tutmak KVKK açısından zorunlu mu?
KVKK Kurumu, güvenlik ve denetim yükümlülüklerinin yerine getirilebilmesi için log kayıtlarının tutulmasını teknik tedbirler kapsamında gerekli görmektedir. Loglar; veri ihlallerinin tespiti, müdahale ve denetim süreçlerinde kritik rol oynar. Ancak logların içeriği, saklama süresi ve erişimi de KVKK ilkelerine uygun şekilde yönetilmelidir.
KVKK uyumu için nereden başlamalıyım?
En iyi başlangıç noktası; kurum içindeki kişisel veri işleme faaliyetlerini ortaya koyan bir veri envanteri ve risk analizi çalışmasıdır. Ardından teknik tedbirler (ağ, şifreleme, yedekleme, log vb.) ve idari tedbirler (politika, prosedür, eğitim, sözleşme gözden geçirme) için uyum yol haritası çıkarılarak adım adım uygulanmalıdır.
