Sigorta Şirketi Veri İhlali Bildirimi (OKS) KVKK Kurul Kararı 2020/532 (09.07.2020)
Kişisel Verileri Koruma Kurulu’nun 09/07/2020 tarihli ve 2020/532 sayılı kararında; bir sigorta şirketinin Otomatik Katılım Sistemi (OKS) kapsamında, destek hizmeti aldığı sağlayıcıda oluşan sistemsel hata nedeniyle akıbet dosyalarını yanlış alıcılara gönderdiği olay incelenmiştir. İhlalden, kendisine bağlı 61 şirketin müşterisi/çalışanı olan toplam 367 kişi etkilenmiştir.
Olayın kök nedeninin; 2010’da geliştirilen, 2011’de devreye alınan bir uygulamada bulunan ve altyapının kurulduğu tarihten beri “potansiyel” olarak mevcut olan bir hatanın, yıl bilgisinin son hanesinin 0 olması gibi istisnai bir koşulda (2020) tetiklenmesi olduğu belirtilmiştir. Kurul; KVKK m.12 kapsamındaki tedbir yükümlülükleri çerçevesinde teknik/idari kontrol eksikliği nedeniyle 30.000 TL idari para cezası uygulamıştır.
Karar: KVKK Kurulu 09/07/2020 – 2020/532.
Olay türü: Yanlış alıcıya dosya gönderimi (sistemsel/uygulama hatası).
Etkilenen kişi: 367 kişi (61 şirkete bağlı).
Veri kategorileri: Kimlik + iletişim + özlük + finans.
Sonuç: KVKK m.12 tedbir eksikliği nedeniyle 30.000 TL ceza; 72 saat bildirim şartı sağlandığı için ayrıca işlem yok.
1. Hukuki Çerçeve: KVKK m.12 ve Veri Güvenliği Yükümlülüğü
KVKK’nın 12. maddesi veri sorumlularına; kişisel verilerin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişimi engellemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğü getirir.
Bu kararda Kurul, özellikle Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı ile Kişisel Veri Güvenliğinin Takibi başlıklarında; uygulamalara kontrol mekanizmaları yerleştirilmesi, raporların düzenli incelenmesi ve uyarılar üzerine hızlı aksiyon alınması gibi beklentilere vurgu yapmaktadır.
1.1. “Hizmet Sağlayıcı Hatası” Sorumluluğu Ortadan Kaldırır mı?
Karar özeti; olayın destek hizmeti alınan sağlayıcıdaki sistemsel hatadan kaynaklandığını belirtse de, veri sorumlusunun KVKK m.12 kapsamındaki yükümlülüğü devam eder. Bu nedenle; tedarikçi yönetimi, yazılım yaşam döngüsü kontrolleri ve izleme/tespit süreçleri kritik görülür.
2. Olayın Özeti: Ne Oldu, Kim Etkilendi, Hangi Veriler?
2.1. Olayın Kısa Hikâyesi
Sistemsel bir hata sonucunda, “akıbet dosyası” seçen sorgunun hatalı çalışması nedeniyle OKS kapsamında bazı kişilere ait dosyalar yanlış alıcılara gönderilmiştir. Olayın; altyapı kurulumundan beri mevcut olabilecek bir hatanın, takvim yılının belirli bir koşulunda (2020 gibi) tetiklenmesi ile oluştuğu ifade edilmiştir.
2.2. Zaman Çizelgesi
| Adım | Tarih | Not |
|---|---|---|
| Olayın gerçekleşmesi | 01.01.2020 | Yanlış alıcıya gönderim (sistemsel hata) |
| Olayın tespiti | 06.01.2020 | Kurul değerlendirmesinde 5 gün gecikme vurgulanmıştır |
| Kurum’a bildirim | 08.01.2020 | 72 saat koşulunun sağlandığı değerlendirilmiştir |
2.3. Etkilenen Kişi Sayısı ve Veri Kategorileri
İhlalden; 61 şirkete bağlı toplam 367 kişi etkilenmiştir. Etkilenen veri kategorileri aşağıdaki gibidir:
| Kategori | Etkilenen Veri Örnekleri | Risk Notu |
|---|---|---|
| Kimlik | TCKN, ad-soyad, doğum tarihi, SGK numarası | Kimlik suistimali/hesap ele geçirme riskini artırabilir |
| İletişim | Telefon numarası, e-posta adresi | Oltalama (phishing) ve sosyal mühendislik riskini artırabilir |
| Özlük | İşe başlama tarihi | Profil çıkarma ve hedefli dolandırıcılık senaryolarında kullanılabilir |
| Finans | IBAN, katkı payı tutarı | Yetkisiz transfer yönlendirme ve finansal dolandırıcılık riskleri |
2.4. Müdahale ve Bildirim Aksiyonu
- Etkilenen kişilere ihlal sonrası e-posta ile bildirim yapıldığı; etkilenen gruplar 4’e ayrılarak farklı metinlerle bilgilendirme yapıldığı,
- Yanlış dosya gönderilen 854 firmaya arama/e-posta ile ulaşıldığı; 543 firmanın verileri sildiğine dair teyit verdiği,
- Ulaşılamayan firmalara ayrıca posta yoluyla bildirim yapıldığı belirtilmiştir.
3. Kurulun Değerlendirmesi: Tespit Gecikmesi, SDLC ve İzleme
3.1. Yazılım Tedariği/Geliştirme/Bakım Süreçleri (Legacy Risk)
Kurul; ihlale sebep olan hatanın uzun yıllardır kullanılan bir uygulamadan kaynaklanmasını, uygulama kontrolleri ve kalite güvence süreçleri bakımından kritik bulmuştur. Özellikle yeni geliştirme/iyileştirmelerde girdi doğrulama, kontrol mekanizmaları ve hata senaryoları için testlerin önemine vurgu yapılmaktadır.
3.2. Tespit Gecikmesi (01.01 → 06.01)
Olayın gerçekleşme tarihi ile tespit tarihi arasında 5 günlük gecikme bulunması; izleme, raporlama ve olağandışı hareketlerin zamanında fark edilmesi süreçleri açısından eksiklik göstergesi olarak değerlendirilmiştir.
3.3. “İstisnai Durum” Savunması Yeterli mi?
İhlale sebep olan hatanın istisnai ve ana fonksiyonlarla doğrudan ilişkili olmadığı belirtilse de, Kurul; sigortacılık işlemi yürüten kuruluşların bilgi sistemleri güvenliğinde daha dikkatli olması gerektiğini ve hatanın yayına alınmadan önce giderilmesinin beklendiğini ifade etmektedir.
3.4. Sonuç: İdari Para Cezası ve Bildirim Değerlendirmesi
- KVKK m.12 kapsamındaki gerekli teknik ve idari tedbirlerin yeterince alınmaması nedeniyle 30.000 TL idari para cezası,
- Olayın 06.01.2020’de öğrenilmesini takiben 08.01.2020’de bildirim yapıldığı için 72 saat koşulunun sağlandığı ve bu yönden ayrıca işlem olmadığı,
- İlgili kişilere posta ile bildirim yapıldığı (metnin Kurum’la paylaşıldığı) belirtilmiştir.
4. Sektörel Dersler: Sigortacılık/Finans Süreçlerinde Tipik Riskler
Sigorta ve finans ekosistemlerinde; çalışan/işveren entegrasyonları, toplu bildirimler, otomatik üretim raporları ve toplu e-posta/ek doküman gönderimleri sıklıkla kullanılır. Bu tür süreçlerde aşağıdaki riskler öne çıkar:
4.1. Yanlış Alıcıya Gönderim (Misdelivery) Riskleri
- Toplu gönderimde yanlış dosya ekleme / yanlış müşteri eşleştirme,
- Şablon veya sorgu hatası nedeniyle yanlış kayıt seçimi,
- Eski entegrasyon kodlarının “istisna senaryolarında” bozulması (tarih/format/parsing).
4.2. Güvenli Yazılım Yaşam Döngüsü (SDLC) ve Kontroller
- Üretim öncesi test: birim/entegrasyon/regresyon + istisna senaryoları,
- Değişiklik yönetimi ve kod inceleme,
- Üretimde izleme ve alarm: beklenmeyen gönderim hacmi/örnekleme kontrolleri.
4.3. Tedarikçi Yönetimi
Destek hizmeti alınan sağlayıcılar; veri işleme zincirinin kritik halkasıdır. Bu nedenle sözleşme, SLA ve denetim mekanizmaları; olay gerçekleşmeden önce çalışır olmalıdır.
5. Uyum, Risk Azaltma ve En İyi Uygulamalar
5.1. Hızlı Kontrol Listesi
- Toplu gönderim güvenliği: Gönderim öncesi “örnekleme” ve “ikinci göz” kontrolü.
- Yanlış alıcı önleme: Dosya/kişinin eşleşmesini doğrulayan teknik kontrol (ID doğrulama, checksum/etiketleme).
- SDLC & regresyon: Tarih/format/istisna senaryolarını kapsayan test senaryoları (özellikle legacy sistemlerde).
- İzleme & alarm: Olağandışı sorgu/ek oluşturma/dağıtım davranışlarını yakalayan uyarılar.
- Tedarikçi denetimi: Sağlayıcı geliştirme-bakım süreçlerinin güvenlik gereksinimleriyle uyumu.
- Olay müdahalesi: Yanlış alıcı teyidi, silme teyidi, posta/telefon çok kanallı iletişim planı.
5.2. Yanlış Alıcıya Gönderim İçin “İhlal Sonrası” Asgari Adımlar
| Adım | Ne Yapılır? | Kanıt/Çıktı |
|---|---|---|
| İç tespit & durdurma | Gönderimi/süreçleri durdur, hatalı sorguyu izole et | Olay kaydı + teknik not |
| Yanlış alıcı listesi | Hangi firmalara/kişilere ne gitti? | Alıcı listesi + gönderim logları |
| Silme teyidi | Silme talebi + teyit toplama (telefon/e-posta/posta) | Teyit kayıtları |
| Bildirim | Kurum bildirimi (72 saat), ilgili kişi bildirimi | Bildirim metni + tarih/saat |
| Kök neden analizi | Hata hangi kod/sorgu/iş akışından kaynaklandı? | RCA raporu + düzeltici faaliyet |
Ek okuma: https://www.nesilteknoloji.com/kisisel-verilerin-korunmasi-kanunu-kvkk-nedir/
6. Sık Sorulan Sorular
Yanlış alıcıya gönderim her zaman “veri ihlali” midir?
Yanlış alıcı, veriye yetkisiz erişim anlamına gelebileceğinden çoğu durumda veri ihlali kapsamına girer. Olayın niteliğine göre risk analizi yapılmalı ve gerekli bildirim süreçleri işletilmelidir.
Hata hizmet sağlayıcı kaynaklıysa veri sorumlusu sorumluluktan kurtulur mu?
Hayır. Veri sorumlusunun KVKK m.12 kapsamındaki teknik ve idari tedbir yükümlülükleri devam eder. Bu nedenle tedarikçi yönetimi, sözleşmesel güvenceler ve denetim mekanizmaları önemlidir.
72 saat bildirimi nasıl değerlendiriliyor?
Kurul, ihlalin öğrenildiği/t tespit edildiği andan itibaren başlayan süre içinde Kurum’a bildirim bekler. Bu kararda tespit (06.01.2020) sonrası bildirim (08.01.2020) 72 saat içinde olduğu için bu yönden işlem yapılmadığı belirtilmiştir.
