Bu yazımızda KVKK Ağ Güvenliği ve Uygulama Güvenliği konularını ele aldık. Bu konuyu ele almadan önce veri sorumlularının yükümlülüklerini kısaca hatırlamakta fayda var.

Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir?

Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak,

ile yükümlüdür.

Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Ayrıca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır.

Ağ Güvenliği ve Uygulama Güvenliği

Ağ güvenliği ve uygulama güvenliği VERBİS sisteminde belirlenmiş mevcut en temel güvenlik önlemlerden bir tanesidir.

Bilgi teknoloji sistemlerinde kişisel verilerin işlenmesinde birçok noktada yararlanılmaktadır.  Kurumun kendi yapısına uygun olarak güvenlik yapılandırması tesis etmesi kişisel verilerin korunması açısından önem arz etmektedir. Günümüzde siber güvenlik açıklıkları sayısı gittikçe artmaktadır. Ağ güvenliğini sağlanamaması kurum için tehditler oluşturmaktadır. Bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. İnternet gibi dış ortamlardan gelebilecek saldırılara karşı ilk savunma hattı olacaktır. Konfigürasyonları kurum ihtiyaçlarına uygun olarak yapılandırılmış bir güvenlik duvarı, ağa derinlemesine nüfuz edilmeden önce atakları durdurabilmektedir.  Network yapılandırması kurum bilişim güvenliğinde önemli roller oynamaktadır. Kişisel veri güvenliği açısında tehditler içerebilen online servisler ve internet siteleri internet ağ geçide ile kullanıcıların erişimi kontrolü ile önlenebilir.

Kişisel veri içeren ağlarda ayrım yaparak veya ağ bileşenlerinde erişim yetkilerini düzenleyerek kişisel verilere yönelik tehditler indirgenebilir. Örnek verecek olursak kişisel verilerin işlendiği sistemlerde ağlarda ayrım yapılarak mevcut kaynakların kişisel verilerin işlendiği ağlarda kullanılması sağlanabilir. Kişisel verilerin işlenmediği uygulamaları kullanan kullanıcılar farklı ağ üzerinden güvenlik seviyesi daha düşük ve yatırım maliyeti daha az bir sistem kullanabilir.

Veri güvenliğine ilişkin ağlarda ve uygulamalarda alınan önlemler her veri işleyen yada veri sorumlusu  açısından farklılık gösterebilir. Bilgi işlem alt yapısının mevcut durumuna iş süreçlerine ve tehditlerine uygun yapılandırmanın tesisi edilmesi gereklidir. Ağ güvenliği için tek bir yapının kurulması öngörülememektedir. Her kurum kendine göre gerekli dizaynı tasarlamalıdır. Kuruma uygun ağ  ve güvenlik yapılandırmasında kurumda işlenene kişisel verilerin niteliği ve miktarı önem arz etmektedir. Şirkete uygun yapının kurula bilmesi için öncesinde detaylı şekilde veri analizleri yapılıp, riskler değerlendirilmelidir. Alınacak önlemler ile tespit edilen riskleri azaltacak önlemler için maliyet ve veri ihlali olduğu zaman karşılaşılacak maliyet birlikte değerlendirilip karar verilmelidir.