KVKK Veri Güvenliği Rehberi Veri Sorumlusunun Alması Gereken İdari ve Teknik Tedbirler
Veri sorumlularının alması gereken idari ve teknik tedbirler, Kişisel Verileri Koruma Kurumu’nun yayımladığı Veri Güvenliği Rehberi kapsamında detaylandırılır. Rehberin temel mesajı nettir: kişisel verinin niteliğine ve risk seviyesine göre yönetilebilir, sürdürülebilir ve ölçülü bir güvenlik seviyesi kurulmalıdır.
Özellikle özel nitelikli kişisel veriler söz konusu olduğunda; ayrı politika ve prosedür, sıkı erişim yönetimi, güçlü şifreleme, kayıt altına alınmış güvenlik testleri ve güvenli aktarım kanalları gibi önlemler “iyi uygulama” değil, yüksek öncelikli uyum adımı haline gelir.
Hedef: Hukuka aykırı işleme ve erişimi önlemek + muhafazayı sağlamak.
Temel araçlar: Risk analizi, izleme (log/SIEM), erişim kontrol, şifreleme, sızma testi, DLP, yedekleme, tedarikçi yönetimi.
Kritik nokta: Özel nitelikli veriler için ayrı politika/prosedür + sıkı teknik tedbirler.
1. Amaç ve Dayanak: KVKK m.12 Kapsamında Veri Güvenliği
KVKK’nın 12’nci maddesinin (1) numaralı fıkrası, veri sorumlusunun veri güvenliği yükümlülüğünü üç ana hedef üzerinden tanımlar. Buna göre veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır.
1.1. “Uygun Güvenlik Düzeyi” Ne Demektir?
Uygun güvenlik düzeyi; kurumsal ölçekte tek bir standart paket değildir. Güvenlik seviyesi; işlenen veri türü (özel nitelikli olup olmaması), işleme amaçları, saklama ortamı, aktarım kanalları, erişim modeli ve risk profiline göre belirlenir.
2. Kişisel Veri Güvenliğinin Takibi: Erken Uyarı ve Hızlı Müdahale
Veri sorumlularının sistemleri, hem iç kaynaklı (yetki kötüye kullanımı, hatalı işlem, dikkatsizlik) hem de dış kaynaklı (siber saldırılar, zararlı yazılımlar, kimlik avı) tehditlere maruz kalabilir. Bazı ihlaller “belirti” vermesine rağmen uzun süre fark edilmeyebilir; bu da müdahaleyi geciktirir.
2.1. Takip Sürecinde Beklenen Temel Uygulamalar
- Ağda çalışan yazılım ve servislerin görünürlüğü: Hangi servis nerede çalışıyor? Envanter ve tarama ile takip.
- Anomali/sızma tespiti: Olmaması gereken hareketlerin (yetkisiz erişim, sıra dışı veri aktarımı) belirlenmesi.
- Loglama: Tüm kullanıcı işlem hareketlerinin düzenli ve güvenli biçimde kayıt altına alınması (erişim logları vb.).
- Hızlı raporlama: Güvenlik sorunlarının mümkün olduğunca hızlı raporlanması ve aksiyonlanması.
- Resmi raporlama prosedürü: Çalışanların zafiyetleri/tehditleri bildirebilmesi için net bir bildirim kanalı ve süreç.
2.2. Loglama “Var” Demek Yetmez
Log kayıtlarının sadece tutulması değil; kapsamı (hangi sistemler), saklama süresi, erişim yetkileri ve müdahaleye dayanıklılığı (silinmeye/değiştirilmeye karşı önlem) tanımlanmalıdır. Gerekirse SIEM/merkezi log altyapısı ile korelasyon ve alarm üretimi sağlanır.
3. Mevcut Risk ve Tehditlerin Belirlenmesi: Risk Temelli Tedbir Planı
Kişisel verilerin güvenliğinin sağlanabilmesi için önce veri sorumlusu; işlediği tüm kişisel verileri, bu verileri korumaya ilişkin risklerin gerçekleşme olasılığını ve gerçekleşmesi durumunda doğuracağı kayıpları doğru biçimde belirlemelidir. Ardından maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda kontrol seçenekleri değerlendirilir ve plan devreye alınır.
3.1. Risk Analizinde Dikkate Alınması Önerilen Kriterler
- Verinin türü: Özel nitelikli kişisel veri olup olmadığı.
- Gizlilik seviyesi: Mahiyeti gereği hangi derecede koruma gerektirdiği.
- Etkisi: İhlal halinde ilgili kişi bakımından doğabilecek zararın niteliği ve niceliği.
- Aktarım kanalı: E-posta, API, dosya paylaşımı, fiziksel evrak, taşınabilir medya.
- Erişim modeli: Kimler erişiyor? Yetki matrisi var mı? Ayrılan personel süreci çalışıyor mu?
- Tedarikçi bağımlılığı: Veri işleyenler ve üçüncü taraf hizmet sağlayıcılarının yönetimi.
3.2. Basit Bir “Risk → Tedbir” Eşleştirme Mantığı
| Risk | Örnek Senaryo | Uygun Tedbirler (Örnek) |
|---|---|---|
| Yetkisiz erişim | Rolü olmayan personelin veriye erişmesi | Yetki matrisi, RBAC, periyodik yetki kontrolü, erişim logları |
| Yanlış alıcıya aktarım | E-posta ile hatalı kişiye gönderim | Şifreleme, DLP, kurumsal e-posta/KEP, onay mekanizması |
| Zafiyet istismarı | Uygulama açığı üzerinden veri sızması | Sızma testi, zafiyet yönetimi, güvenlik güncellemeleri, WAF/IDS/IPS |
| Veri kaybı | Sunucu arızası / fidye yazılımı | Yedekleme, yedek güvenliği, restore testleri, anti-virüs/EDR |
4. Özel Nitelikli Kişisel Veriler: Kurul Kararı (2018/10) Kapsamında Yeterli Önlemler
Özel nitelikli kişisel verilerin işlenmesi ve korunması, daha yüksek risk ve etki doğurabileceği için ayrı bir güvenlik katmanı gerektirir. Bu kapsamda, 31/01/2018 tarihli ve 2018/10 sayılı Kurul Kararı ile veri sorumlularının alması gereken “yeterli önlemler” çerçevesi ortaya konmuştur.
4.1. Politika & Süreç (İdari Önlemler)
- Ayrı politika ve prosedür: Özel nitelikli veriler için sistemli, kuralları net, yönetilebilir ve sürdürülebilir yapı.
- Personel eğitimi: Kanun, ikincil mevzuat ve özel nitelikli veri güvenliği konusunda düzenli eğitim.
- Gizlilik sözleşmeleri: Süreçte yer alan çalışanlarla gizlilik yükümlülüklerinin yazılı hale getirilmesi.
- Yetki tanımı ve kontrolü: Erişim yetkileri/süreleri net; periyodik yetki kontrolleri düzenli.
- Offboarding: Görev değişikliği/işten ayrılmada yetkilerin derhal kaldırılması; tahsisli envanterin iadesi.
4.2. Elektronik Ortam Tedbirleri (Teknik Önlemler)
- Kriptografik muhafaza: Verilerin kriptografik yöntemlerle saklanması.
- Anahtar yönetimi: Anahtarların güvenli ve farklı ortamlarda tutulması.
- Güvenli loglama: Veriler üzerinde yapılan hareketlerin işlem kayıtlarının güvenli şekilde tutulması.
- Güncelleme & test: Güvenlik güncellemelerinin takibi; testlerin düzenli yapılması ve kayıt altına alınması.
- Uygulama erişimi: Yazılım ile erişimde yetkilendirme; yazılım güvenlik testleri ve kayıt.
- Uzaktan erişim: En az iki kademeli kimlik doğrulama (2FA/MFA).
4.3. Fiziksel Ortam ve Aktarım Tedbirleri
- Fiziksel güvenlik: Yangın, su baskını, hırsızlık vb. risklere göre yeterli önlemler; yetkisiz giriş-çıkışın engellenmesi.
- E-posta ile aktarım: Şifreli gönderim + kurumsal e-posta/KEP kullanımı.
- Taşınabilir medya: USB/CD/DVD gibi ortamlarda kriptografik şifreleme; anahtarın ayrı ortamda tutulması.
- Sunucu–sunucu aktarım: VPN veya sFTP gibi güvenli yöntemler.
- Kâğıt ortam aktarımı: “Gizlilik dereceli belge” formatı ve kayıp/çalınma riskine karşı ek önlemler.
5. İdari & Teknik Tedbirler: Uygulama Kontrol Listesi (Rehber + VERBİS Uyumu)
Aşağıdaki liste, Rehber’de yer alan başlıklar ile kurumların VERBİS süreçlerinde sık beyan ettiği tedbirleri birleştirerek “tek sayfalık” kontrol listesi şeklinde sunar. Kurumunuzun süreçlerine göre uyarlayabilirsiniz.
5.1. İdari Tedbirler (Özet)
- Kişisel Veri İşleme Envanteri hazırlanması
- Kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama-imha vb.)
- Sözleşmeler (veri sorumlusu–veri sorumlusu / veri sorumlusu–veri işleyen)
- Gizlilik taahhütnameleri
- Kurum içi periyodik/rastgele denetimler
- Risk analizleri
- İş sözleşmesi & disiplin hükümleri (KVKK’ya uygun hükümler)
- Kurumsal iletişim (kriz/ihlal yönetimi, ilgili kişi bilgilendirme, itibar yönetimi)
- Eğitim ve farkındalık çalışmaları
- VERBİS bildirim süreçlerinin yürütülmesi
5.2. Teknik Tedbirler (Özet)
| Teknik Tedbir | Amacı | Uygulama Notu (Örnek) |
|---|---|---|
| Ağ & Uygulama Güvenliği | Yetkisiz erişim ve istismarı önlemek | Firewall, segmentasyon, güvenli geliştirme, zafiyet yönetimi |
| Yetki Matrisi & Yetki Kontrol | Erişimi rol bazlı yönetmek | RBAC, periyodik yetki gözden geçirme, offboarding süreçleri |
| Erişim Logları & Log Güvenliği | İzlenebilirlik ve olay inceleme | Merkezi log/SIEM, saklama süresi, değiştirilemezlik önlemleri |
| Şifreleme & Anahtar Yönetimi | Aktarım/saklama sırasında gizlilik | KMS/HSM, anahtarların ayrı yönetimi, şifreleme politikası |
| Sızma Testi | Zafiyetleri bulmak ve azaltmak | Periyodik test + kapatma planı + tekrar doğrulama |
| DLP & Veri Maskeleme | Veri sızıntısı ve gereksiz ifşayı azaltmak | Çıkış kanalı kontrolleri, maskeleme kuralları, raporlama |
| Yedekleme | Süreklilik ve veri kurtarma | Şifreli yedek, erişim kısıtı, restore testleri |
| Anti-virüs/EDR | Zararlı yazılım riskini azaltmak | Güncel imza, davranış analizi, olay yanıtı entegrasyonu |
İncelemek isterseniz: https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
6. Sık Sorulan Sorular
KVKK m.12 kapsamındaki tedbirleri almak “tek seferlik” bir iş midir?
Hayır. Tedbirler süreklidir. Sistemler değiştikçe risk profili değişir; bu nedenle risk analizi, izleme, denetim ve iyileştirme döngüsü periyodik işletilmelidir.
Özel nitelikli veriler için neden “ayrı politika ve prosedür” önerilir?
Özel nitelikli verilerde ihlalin etkisi daha yüksek olabileceğinden; erişim, şifreleme, aktarım ve test gereksinimleri daha sıkıdır. Ayrı politika/prosedür, süreçleri yönetilebilir ve denetlenebilir hale getirir.
“Kişisel veri güvenliğinin takibi” pratikte nasıl yapılır?
En azından; envanter + loglama + olay raporlama süreci + anomali tespiti + hızlı müdahale akışı gerekir. Kurumsal olgunluk arttıkça SIEM, IDS/IPS, EDR gibi katmanlar entegre edilebilir.
“Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmalıdır” ne anlama gelir?
Logların sonradan silinmesini/değiştirilmesini zorlaştıran bir tasarım hedeflenir: merkezi log toplama, erişim kısıtları, bütünlük kontrolleri, saklama (retention) kuralları ve izleme.
