Veri Güvenliği Nedir - Bilgi Güvenliği Nasıl Sağlanır?
Veri güvenliği, bir veri tabanında saklanan dijital verilerin, saklanması ve taşınması esnasında, bütünlükleri bozulmadan, yetkisiz kullanıcılardan ve izinsiz erişimlerden korunması ile siber saldırı ya da veri ihlali gibi, kanunlarca da suç sayılan ve istenmeyen eylemlerin önüne geçilmesi amacına hizmet eden çabaların tümünü ifade etmektedir.
Veri Güvenliğine İlişkin Uluslararası Standartlar
Veri güvenliğinin nasıl yönetileceğine ilişkin en kapsamlı ve geçerli, güncel ve sistematik uluslararası standart olan ISO/IEC 270001, ilk olarak 2005 yılında, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından bir Bilgi Güvenliği Yönetim Sistemini kurmak, uygulamak, sürdürmek ve geliştirmek için ortaklaşa hazırlanmış ve yayınlanmıştır. 2013 yılında standartlar, teknoloji alanındaki gelişmelere paralel olarak revize edilmiş; 2017 yılına gelindiğindeyse Avrupa versiyonu yayınlanmıştır. İşbu standart ile aranan güvenlik düzeyini ve şartları sağlayan kuruluşlar, denetimlerinin başarıyla tamamlanmasının ardından, standartlara uygun olduklarına ilişkin belge sahibi olurlar.
Uluslararası standartlara göre, veri güvenliğinin 5 temel unsuru aşağıdaki gibidir ve işbu unsurlardan herhangi birisinde eksiklik bulunması doğrudan veri güvenliği zafiyetine işaret etmektedir:
Kişisel Veri Güvenliği
Hukuk alanında uluslararası düzenlemeler
Veri güvenliğine ilişkin hukuk alanındaki en kapsamlı ve güncel uluslararası düzenleme, 25 Mayıs 2018'de yürürlüğe giren, Avrupa Birliği'nin (AB) Genel Veri Koruma Tüzüğüdür. (GDPR) İşbu tüzük ile getirilen yükümlülüklere uymadıkları takdirde veri işleyen kuruluşlar için, 20 milyon Euro'ya veya yıllık gelirlerinin % 4'üne kadar para cezaları öngörülmektedir. GDPR'nin amacı, veri işleyen kuruluşları, veri gizliliğinin önemini anlamaya ve veri sahiplerinin özel bilgilerinin yetkisiz ifşası riskini azaltmak için uygun önlemleri almaya zorlamaktır.
Hukuk alanında yerel düzenlemeler
Ülkemizde ise Veri Sorumlusunun, Veri Güvenliğinin sağlanmasına ilişkin sorumluluğu, 6698 sayılı KVKK md. 12 ile düzenlemektedir. İşbu maddeye göre Veri Sorumlusu;
Veri Sorumlusunun, uygun güvenlik düzeyini temin etmeye yönelik, gerekli idari ve teknik tedbirleri alması da tek başına yeterli olmayıp, aynı madde ile Veri Sorumlusuna denetim yapma veya yaptırma yükümlülüğü de getirilmiştir.
Ayrıca yine aynı madde ile Veri Sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde de, işbu kişilerle beraber müştereken sorumlu tutulmaktadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.
Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Korunma Kurulu'na bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Kişisel Verileri Koruma Kurulunca, uluslararası standartlara da uygun olarak hazırlanan rehbere göre alınacak teknik tedbirler aşağıdaki gibidir:
Yine aynı rehbere göre alınacak idari tedbirler ise aşağıdaki gibidir:
Veri güvenliğinin sağlanması hususunda, uluslararası organizasyonların getirmiş olduğu standartlar ve sertifikalar ile kanunlar ve devlet kurumlarınca veri sorumlularına getirilen yükümlülükler dışında, veri sahiplerinin de bizzat alabilecekleri birtakım güvenlik önlemleri mevcuttur: