Nisan 2016'da yasalaşarak Türk hukukunda yerini alan Kişisel Verilerin Korunması Kanunu (KVKK)'na Bilgi Teknolojileri (BT) uyumu nasıl yapılır?

1. Murat Lostar
KVKK – BT
UyumuKişisel Verilerin Korunması Kanunu’na Kurumsal Bilgi Teknolojileri Uyumu

2. 1998 – …
Privately owned
PEOPLE
30+
OFFICES
Istanbul HQ
Sakarya R&D
FIRST
• Security services
company in Turkey
• Certification in Turkey
(CISSP, CCSP, ISSMP,
CSSLP)
• ISMS (ISO 27001)
consultancy in Turkey
ISO 9901 Certified
ISO 27001 Certified
Customers in
Europe & Middle East
SERVICES
Consultancy
Information
Security Management
System, Credit Card (PCI),
IT Governance, Business
Continuity, IT Privacy
Alignment
Training
Secure Software
Development
ISO standards
Security Awareness
Auditing
Security Checkups,
Penetration Testing,
Application Security,
IoT Security, SCADA/ICS
Security
Special
Security Related
R&D, Security outsourcing
Vendor agnostic (no
reselling agreements with
vendors)
GIVES BACK
• ISACA-Istanbul –
Founding President
• CloudSecurityAlliance –
Turkish Chapter Founding
Leader
• Weekly radio show 2005-
2015
Bilgi University –
Joint Program / Cyber
Security Academy/ appx
100 students/year
• Yearly Free Thesis
& school project
support contest
• Yearly Security Awareness
contest
• Cyber security
camps (summer & winter)
• Industry Sponsorships

3. Gündem
• Uyum Hiyerarşisi
• Kişisel Veri Envanteri
• Süreç ve BT Uyumluluk Yaklaşımları
• Veri Silme, İmha ve Anonimleştirme
• Kalıcı Uyumun Sağlanması

4. Uyum Hiyerarşisi
Hukuk
• Ne
• Mevzuat, Sözleşmeler, Politikalar
Süreç
• Nasıl
• İş Süreçleri, Prosedürler
Teknoloji
• Altyapı
• Veritabanı, Kayıtlar (log), Yazılımlar, Çözümler

5. Kişisel Veri Envanteri
Yapısal
• Veritabanları, tablolar, kolonlar
• Özel uygulamalar
• Seçimli alanlar
• Örn: İnsan kaynakları yazılımı, doğum
günü alanı
Veri sınıflama / Uygulama sınıflama
• Halka açık, şirket içi gizli, çok gizli
• Kişisel olmayan, kişisel, özel nitelikli
Yapısal Olmayan
• Ofis dosyaları (Word, Excel, PDF, vb)
• Epostalar
• Mesajlaşma uygulamalar (Whatsapp,
vb)
• Taranmış dokümanlar
• Multimedya dosyaları (fotograf, video,
vb)
• Ses kayıtları (çağrı merkezi, vb)
• Yapısal uygulamalardaki serbest
alanlar (açıklama, vb)

6. Süreç ve BT Uyumluluk Yaklaşımları
Hukuk-Süreç Kararı BT Uygulama Yaklaşımı
Beyan yükümlülüğü Beyan verisinin toplanması, kayıtlarının saklanması
(örn: web sitesi, giriş uyarı sayfası, çerez kullanımı)
Açık rıza alınması Açık rıza kararının toplanıp, saklanması
(örn: Kullanım sözleşmesi, gizlilik sözleşmesi, ✅)
Kişisel verileri toplamama, işlememe İlgili alanların kaldırılması, kullanıcı uyarıları
Eskiyen veri Veri yaratma, güncelleme tarihleri
Veri paylaşımı (Üçüncü taraflara aktarma) Güvenli aktarım (kripto), erişim kontrol listeleri vb ile
politikaların uygulanması
Verinin, işleyenlere aktarılma kuralları Güvenlik, kriptolama, bulut hizmet sağlayıcı ilişkileri
Veri güvenliği, koruma Teknik güvenlik yaklaşımları, erişim kontrolleri,
kimlik doğrulama, yetkilendirme, hesap tutma(AAA)
Kişisel veri sorgulama Kayıtlar (log)

7. Veri Silme, İmha, Anonimleştirme
• Veri Silme/İmha
– Yerel cihazlar (silme)
– Çevrimdışı yedekler (rotasyon)
– Bulut bilişim (şifreleme, anahtar
imhası)
– Silinebilir, ayrıştırılabilir
teknolojilerin kullanımı
• Anonimleştirme
– Veri ile kişi arasındaki bağı
kaldırma
– Kurumsal hafızanın korunması
• Veriambarları
• Karar destek ağaçları
– Farklı veri kaynakları kullanılarak
de-anonimleştirmenin
engellenmesi

8. Kalıcı Uyumun Sağlanması
• Kurumsal Değişiklikler
• Mahremiyet Etki Analizi
• Veri sınıflaması/envanter
kontrolü
• Veri sahipliği ve yönetimi
– Merkezi kural, merkez kontrol
– Ortak kural, dağıtık kontrol
• Denetim
– Türleri:
• Birinci taraf (İç denetim)
• İkinci taraf (Dış denetim/tedarikçi
denetimi)
• Üçüncü taraf (Dış
denetim/sertifikasyon) - ISO, vb
– Denetim - Kontrol

9. Teşekkürederim
Murat Lostar
linkedin.com/in/lostar
@MuratLostar
Lostar Bilgi Güvenliği A.Ş.
linkedin.com/company/Lostar
@Lostar
Güvenli Günler Bülteni
Kişisel GüvenlikBilgileri
Her ayın 15’indeyayımlanır
Her ay farklı bir konuve konukyazar
http://tiny.cc/GuvenliGunler