Kişisel Verilerin Korunması Kanunu - SASDERsasder.org/Content/DOCS/Sunumlar/SK5/EY_Kisisel...Gizli - EY EY - SASDER KVKK Sunumu | 4 Süreç optimizasyonu Organizasyon Kişisel Verilerin

Kişisel Verilerin Korunması Kanunu

Bilgilendirme ve Değerlendirme Sunumu

SASDER – Sektör Konuşuyor Toplantıları

15 Mart 2017

Türkiye’de neler

oluyor

Gizli - EY EY - SASDER KVKK Sunumu | 3

Genel görünüm - mevzuatYönetmelik, Kanun’da belirlenen geçen prensipleri sağlık sektörü için özelleştirmiş, buna göre belirli alanlarda uygulama esaslarını belirlemiştir.

Merkezi sağlık veri sistemi ve kişisel sağlık kaydı sistemi

Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistem ve kişilerin kendi verilerine erişimi sağlayan e-devlet uyumlu sistem.

Açık rıza

İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve muhafaza edilmesi hâlinde ilgili bilgiler rıza doğrultusunda işlenebilir ve aktarılabilir.

İhlal bildirimi

Veri ihlali durumunda Bakanlığa bildirim yapılır.

12

Veri işleme

kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir

Veri aktarımı

Kurumlar ve Bakanlık nezdinde paylaşımlar için veri aktarım protokolleri.

Silme & anonimleştirme

Kullanım amacı kalmayan veriler silinir ya da anonimleştirilir. Silinmesi talep edilen veriler Bakanlıkça kurulan merkezi sistemde arşivlenir, 10 yıl sonra yerel sistemden silinir.

4

5

36

Kişisel Sağlık Verileri Komisyonu

Kanun ve Kurulca belirlenen hususlar hakkında Bakanlık politikalarına uygun şekilde görüş bildirmek, anlaşmazlıkları çözmek, şikayetleri incelemek, denetimleri yapmak.

Sağlık Bilgi Sistemleri Genel Müdürlüğü

Merkezi veri sisteminin kurulması, entegrasyonun sağlanması, gerekli standartların belirlenmesi, güvenlik önlemlerinin alınması, 8

7


Süreç optimizasyonu

Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

► Hukuki tanımlar: Açık rıza, kişisel veri, veri sorumlusu, vb.

► Kişisel verilerin işlenme şartları

► Kişisel verilerin silinmesi ya da anonimleştirme

► Kişisel verilerin aktarılması (yurt içi, yurt dışı)

► Kişisel veri sahibinin hakları

► Veri sınıflandırma, etiketleme

► Kimlik ve erişim yönetimi

► Veri gizliliği ve bütünlüğü koruma

► Veri kaçakları koruma

► Tedarikçi güvenliği (ör: bulut hizmet sağlayıcıları)

► Güvenlik izleme ve değerlendirme

► Güvenlik denetimleri

► Veri sorumlusunun yükümlülükleri

► Suçlar ve kabahatler

TCK uyarınca suçlar

1M TL’ye varan idari cezalar

► Kişisel Veri Koruma sorumlusu atanması (CPO)

► Veri işleme, saklama ve imha süreçleriyle yeni gelebilecek rol ve sorumluluklar

► Tedarikçilerin ve hizmet sağlayıcıların rolleri

► Sürekli eğitim

► Kişisel veri keşfi ve envanteri

► Veri yaşam döngüsünün BT iz düşümü

► Veri mimarisi ve modeli

► Veri saklama, yedekleme ve kurtarma prosedürleri

► Veri imha ya da anonimleştirme teknolojileri

► Süreç modeli optimizasyonu ve süreç revizyonu

► Süreç kontrolleri Yönetim Kurulu başta olmak üzere,

tüm üst yönetimin sorumluluğu, sahiplenmesi ve sponsorluğu

Türkiye’de kanunun etkilerini hangi alanlarda görüyoruz


Uyum aksiyon alanları

Otomasyon ve raporlama• Süreç ve IT alanında çıkabilecek değişiklik

ihtiyaçlarının IT tarafında ele alınması

• Veri yönetimi tarafında gerekli otomasyon ihtiyaçlarının analiz edilmesi ve hayata geçirilmesi

• IT sistemlerindeki kayıt alma (log) ve gerekli olabilecek diğer güvenlik sistemi ihtiyaçlarına karar verilmesi, hayata geçirilmesi

Süreçlerin adaptasyonu• Talep ve şikayet yönetimi sürecinin nihai hale

getirilmesi ve Şirket çapında uygulamaya konması, gerekli eğitimlerin verilmesi

• Kişisel veri ve paylaşım envanterleri ışığında gerekli olabilecek süreç değişikliklerinin değerlendirilmesi ve hayata geçirilmesi

• En önemli husus olarak KVKK etki değerlendirme çalışmalarının yeni ürün ve hizmet geliştirme süreçlerinin bir parçası haline getirilmesi

Yönetişim ve organizasyon• KVKK sorumluluğu ve personelinin atanması

• KVKK ekibinin rol ve sorumluluklarının ve çalışma esaslarının tanımlanması

• Üst yönetim raporlama yöntem, zamanlama ve içeriklerinin tanımlanması

1

Kişisel veri envanteri• KVKK için veri envanteri çalışmalarının

tamamlanması

• İç / dış veri paylaşım envanterinin tamamlanması ve buna ilişkin aksi

• Envanterdeki hukuk, mevzuat, uyum ve IT yorumlarına göre gerekli düzenlemelerin yapılması, buna ilişkin olası süreç ve IT değişiklik ihtiyaçlarının belirlenmesi

2

3

4


Organizasyon için neler yapılabilir?


Organizasyon alanındaki öneriler


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

KVKK sorumlusunun CxO’ya ve İcra Komitesine raporlama yapabilmesi önerilmektedir.

KVKK sorumlusunun sadece bu göreve atanmış ve başka görevi olmayan bir rol olması önerilmektedir.

KVKK sürecinin koordinasyonu ve operasyonu için KVKK konusunda uzman olarak 2-3 kişinin istihdam edilmesinde yarar görülmektedir.

• KVKK konusunda Şirket çapında yürütülen faaliyetlerin organizasyonu, koordinasyonu ve yönetimi

• KVKK konusunda kaynak ihtiyacının tespit edilmesi• Uyum ve sürdürülebilirlik için aksiyon planlarının

belirlenmesi ve takip edilmesi• KVKK konusunda ilgili politika, prosedür ve/veya

talimatların değerlendirilmesi, onaylanması ve Şirket çapında duyurulması

• Personelin bilinçlendirilmesi için gerekli eğitim programlarının koordinasyonu

• Müşteriler, iş ortakları, Şirket personeli ve/veya Kurul / Kurum’dan gelebilecek talep, istek ve şikayetlere ilişkin hazırlanacak çözümlerin ve raporlamaların koordinasyonu

İcra Komitesi

KVKK Personeli – Hukuk / Uyum Uzmanı

KVKK Personeli – IT / Bilgi Güvenliği Uzmanı

KVKK Personeli – Süreç Uzmanı

KVKK Müdürü / Sorumlusu

CxO

Örnektir

Veri Yönetişim ve Koruma Komitesi




Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

Yönetişim anlamında ilgili organizasyon belirlendikten sonra yapılması gereken 3 önemli husus bulunmaktadır

KVKK uyum programınınperformans yönetimi

Hedeflerin ve buna ilişkin performans göstergelerinin belirlenmesi, buna ilişkin ölçümlerin yapılarak düzenli olarak raporlanması

Eğitim ve farkındalık

Kişisel verilern korunmasına yönelik gerek Kanun gerekse de diğer iyi uygulamalar ışığında tüm personelin düzenli olarak bilgilendirilmesi

KVKK politikası

Şirket çapında geçerli olacak Kişisel Verilerin Korunmasına ilişkin politikanın hazırlanması1 3

2




Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

Dünyada nasıl yönetiliyor?

Kişisel bilgilerin korunmasıyla ilgili başlatılan programların gerekçeleri*

Konu ile ilgili çalışanların

yalnızca %36’sının* tek

görevi Kişisel Bilgilerin Korunmasına yöneliktir

Ek olarak organizasyonlarda işi yalnızca Kişisel Verilerin Korunması olan personelin oranının azlığı sebebiyle, eforun doğru ve konsantre bir şekilde yönlendirilememesi bir problem olarak gözükmektedir.

* EY-IAPP Annual Privacy Governance Report 2015


Kişisel verileri nasıl yöneteceğiz?


Veri alanındaki öneriler


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

Veri alanı, Kanun’dan en çok etkilenen alanların belki de başında gelmektedir. Nitekim kişisel verilerin envanterinin hazırlanması, hangi üçüncü kişilerle paylaşıldığı, bunların hangi sistemlerde nasıl görüntülenebildiği ve izlerinin sürülebildiği gibi bir çok konu, veri yönetimi disiplini altında incelenebilmektedir.

Kanal bazında ürün, hizmet, vb. türündeki farklılıklara göre ek değerlendirmeler

Envanteri hazırlanan verilerden hangilerinin kişisel veri olarak tanımlanması gerektiğine karar vermek

Envanteri hazırlanan verilerden hangilerinin yasal dayanaklara göre mecburen hangilerinin iş ihtiyaçları doğrultusunda alındığını tespit etmek

Envanteri hazırlanan verilerden hangileri için açık rıza alınacağına karar vermek

1Kişisel veri envanteri

Kişisel verilerin gizliliği ve korunmasına ilişkin karşılıklı hükümler

Kişisel veri paylaşılan taraf üzerinde Şirketin’in kontrol ve gözetim hakkkı

Şirket tarafından paylaşılan verileri işleyen ve/veya depolayan taraf üzerinde Şirket’in denetim hakkı

Paylaşılan verilerin kullanım süresi dolduğunda ya da amacı ortadan kalktığında, kişisel veri sahibi talebi uyarınca ilgili veri kayıt sistemlerinden silinmesi

Açık rıza alınması gereken veriler, istisnalar, bunlar dışında kalan verilerin nasıl rızası alınacak?

Rıza almak için hukuk, süreç ve BT değişiklikleri

Bunların sistemler arası izlerinin nasıl sürüleceği ve raporlanacağı

Düzenli olarak kontroller

Kişisel Veri Envanteri’nin hazırlanması sonrasında veri unsurlarının detaylı bir şekilde yönetilmesine imkan sağlanması

Kanun kapsamında dışarıdan gelebilecek taleplere verilecek cevaplarda hangi veri unsurlarının hangi sistemler üzerinde ve/veya süreçlerde işlendiği, saklandığı vb. gibi gerekli bilgilere kılavuzluk edebilmesi

Loglama ve raporlama yeteneklerinin KVKK uyarınca tespit edilmesi, gerekli ihtiyaçların analizi

2Şirket içi ve dışı veri paylaşım envanteri

3Açık rıza temin

edilmesi

4Veri yönetimi ve

raporlama otomasyonu


Süreçlerde öngörülen değişiklikler


Süreç optimizasyonu alanındaki önerilerSüreç optimizasyonu alanında atılması gereken adımlar aşağıdaki gibi gruplandırılabilir


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

01

Kişisel veri edinimi ve veri işleme

Kişisel Veri Envanteri hazırlığı sonrasında aşağıdakilerin değerlendirilmesi önerilmektedir:

• Yasal ya da iş ihtiyacı dışında toplanmasına gerek olmayan verilere ilişkin süreçlerde gündeme gelebilecek düzenlemeler

• Açık rızası alınması gereken müşteri ve hedef müşterilerde ve çalışanlarda buna ilişkin iş süreci değişiklikleri

02

Talep ve şikayet yönetimi

Şirket bünyesinde kişisel verileri saklanan müşteriler ya da hedef müşterilerden veya çalışanlardan gelebilecek taleplerin ve devamında şikayete dönebilecek konuların nasıl ele alınacağına dair yeni sürecin tasarlanması, buna ilişkin akış ve prosedürlerin hazırlanması kritik öneme sahiptir.

Buna ilave olarak Kurul tarafından başlatılacak incelemelerde akışların nasıl olacağı belirlenmeli ve yazılı hale getirilmelidir.

03

Yeni hizmet geliştirme

Bu alan, Dünya’da sıklıkla başarılamayan konulardan biridir.

Şirket bünyesinde yeni bir ürün geliştirilirken daha analiz ve tasarım aşamalarında geliştirilmek istenen ürün ve/veya hizmet içerisinde KVKK açısından uyumsuzluk yaratabilecek unsurlar tespit edilecek şekilde ilgili değerlendirmelerin yapılması önerilmektedir.

Bu değerlendirmelerin KVKK uyumunu gözetecek kişi(ler) tarafından yapılabilmesi önerilmekte olup, kritik olan husus, söz konusu değerlendirme adımının geliştirme, değişiklik vb. süreçlerde bir istasyon olarak belirlenmesi ve buna ilişkin yapılacakların da yazılı hale getirilmesi gerektiğidir.

Tüm bu belirtilenler arasında en önemli husus, herhangi bir ihtiyaç durumunda Hukuk ekibini sürecin zorunlu bir parçası haline getirmek olacaktır.


Süreç optimizasyonu alanındaki önerilerDünyadaki örneklere baktığımızda en önemli problemin KVK konusundaki etki analizlerinin ve Privacy by Design prensibinin süreçlere entegrasyonunun sağlanamaması olduğu görülmektedir.

Bu anlamda buradaki başarı, genel KVKK uyum programının da uzun vadeli sürdürülebilirliği açısından önemli olarak değerlendirilmelidir.


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

İş yapış modellerinde ve süreçlerinde kişisel verilerin korunmasına yönelik etki analizlerinin kullanımının düşük olması sebebiyle, bu konudaki ihlaller ve problemler ya çok uzun sürelerde tespit edilmekte, ya da hiç tespit edilememektedir.

KVK etki analizlerinin iş süreçlerine entegrasyonu*

Yeni süreçlerde ve teknolojilerde

güvenlikle ilgili risklerebakanların oranı

33%Etki değerlendirmelerineyakın gelecekte

başlayacakların oranı28%

Etki analizleriplansız bir şekilde /

ad-hoc uygulanmaktadır

23%

Yeni süreçlerde ve teknolojilerdeyapılan etki

analizleri16%

* EY, Global Information Security Survey, 2015


Bilgi güvenliği alanındaki öneriler


Bilgi güvenliği alanındaki öneriler


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

Konu / Alan Bilgi güvenliği açısından değerlendirilmesi gereken hususlar

KVKK yönetişim yapısının teşkil edilmesi

• Bilgi güvenliği ekibi olarak oluşturulacak üst komite / çalışma grubu yapısında yönetici seviyesinde temsil edilme

Kişisel Veri Envanterininhazırlanması ve yönetimi

• Veri sınıflandırma çalışmasının güncellenmesi• Gerekli güvenlik önlemlerinin ve erişim politikalarının

değerlendirilmesi• Şirket politika ve prosedürlerinde güncellemeler yapılması,

bunların mevcut sistemler üzerindeki uygulamalarına dair değişikliklerin yapılması

• Veri kaçaklarını engelleyen çözümler ya da daha teknik eklentiler yapılması

• Veri erişim ve işlem loglarının ve bunlara dair sistemlerin değerlendirilmesi, gerekli ek loglama konfigürasyonlarının hazırlanması ya da yeni loglama sistemlerinin temin edilmesi

Veri paylaşım listesinin hazırlanması ve yönetimi

• Özellikle Şirket dışındaki taraflarla paylaşılan veriler açısından listenin değerlendirilmesi, risk değerlendirmesi yapılmamış paylaşımlar için Kanun da göz önünde tutularak ilgili önlemlerin güncellenmesi ya da tesis edilmesi

• Veri paylaşımının kayıt altına alınması adına BG ekibi olarak ilgili yönlendirmelerin yapılması, söz konusu kayıt sistemlerinin ve kayıtların güvenliğinin sağlanması


Bilgi güvenliği alanındaki önerilerSon yıllardaki siber güvenlikle ilgili saldırılara baktığımızda kişisel verilerin, bu verilere erişim için kullanılan erişim bilgilerinin, yetkisiz bir şekilde en çok ifşa olan veriler arasında olduğunu görüyoruz. Bununla birlikte yetkisiz erişimlerden kaynaklı veri ihlallerin en çok kurumların içinden kaynaklı hatalar/saldırılar sebebiyle gerçekleşmesi de öne çıkan çarpıcı sonuçlardandır.


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

Son 1 yıl içinde siber saldırılar sonucu ifşa olan bilgilerin oranı*

Verilere ilişkin ihlallerin kaynakları ve oranları*

Bu anlamda bilgi güvenliği alanındaki çalışmalar, kişisel verilerin korunmasına yönelik birçok unsur içereceğinden, KVKK uyum programının en önemli bileşenlerinden biri olacaktır.

* Forrester, Understand the state of data security and privacy: 2015 to 2016

Başarıyı nasıl ölçeceğiz?


Performans değerlendirme

• Örnek performans göstergelerine ilişkin alanlar ya da konular şunlar olabilir:

• KVKK raporlamasının otomasyonu

• KVKK kontrollerini otomasyonu (veri yönetimi, veri kaçaklarını koruma, vb.)

• Süreçlerde tamamlanan KVKK etki analizi çalışmaları

• KVKK eğitim tamamlanma oranı

• Üçüncü taraflarda gerçekkeltirilen denetim / inceleme çalışmaları

• Kişisel veri envanterinin tamamlanma durumu

• KVKK’ya ilişkin gelen taleplerin karşı tarafı tatmin edecek şekilde kapatılması oranı

• KVKK konusunda yaşanan ihlaller, cezalar

KVKK uyum programının performans yönetimi

Hedeflerin ve buna ilişkin performans göstergelerinin belirlenmesi, buna ilişkin ölçümlerin yapılarak düzenli olarak raporlanması


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

Performans Değerlendirme

ve Denetim


Düzenli denetim çalışmaları

Kanun kapsamında düzenli denetimlerin yaptırılması zorunlu kılınmıştır.

Bu anlamda Kurul tarafından başkaca bir yönlendirme gelmese bile Şirket yönetimlerinin gerek iç, gerekse de dış denetim çalışmalarıyla KVKK uyum durumunun bağımsız ekiplerce durum tespitine yönelik inisiyatif göstermesi beklenecektir.

Denetim çalışmaları yanda belirtilen farklı alanlarda uygulanabilir.

İç denetim

► Şirket’nın iç denetim fonksiyonu tarafından düzenli olarak gerçekleştirilecek denetim çalışmalarıdır

► Yurtdışı ortaklar tarafından gelebilecek denetimler de bu kategoride dğeerlendirilebilecektir.

Dış denetim

► Kurul ve/veya sektörel düzenleyici tarafından düzenli ya da düzensiz KVKK uyumu konusunda yürütülebilecek denetim çalışmalarıdır

► Bunun dışında Şirket yönetimi konu hakkında yetkin ve tecrübeli dış firmalardan da benzer şekilde çalışmalar gerçekleştirilmesini isteyebilir

Tedarikçilerin denetimi

► Şirket’nın iç denetim fonksiyonu tarafından ya da Şirket yönetimi tarafından tutulacak bir dış danışman tarafından KVKK uyumu açısınan kritik görülen tedarikçi / destek hizmeti firmaları bünyesinde gerçekleştirilecek denetimlerdir

► Yoğun veri paylaşımı yapılan firmalar buna en büyük adaylardır (çağrı merkezi, kart & çek basım, vb)

Diğer güvence seçenekleri

► Privacy SOC 2/3 raporlama seçenekleriyle dış paydaşlara karşı güvence oluşturulması

► Benzer çalışmaların ve raporlamaların tedarikçi firmalardan da talep edilmesi


Organizasyon

Kişisel Verilerin

Korunması Kanunu

Veri yönetimi

Hukuk

Bilgi güvenliği

Performans Değerlendirme

ve Denetim

Sektöre ilişkin uyum

riskleri


Uyum riskleri (1/4)

Risk alanı & konusu Gerçekler ve trendler

Hizmet kanallarının ve üçüncü kişilerin fazlalığı

• Dijitalleşmeyle birlikte pazarlama ve hizmet kanallarında artış (internet, mobil, sosya medya, vb.)

• Sektörün doğası gereği veri alışverişi yapılan bir çok kurum ve kuruluş bulunması (Sağlık Bakanlığı, SGK, sigorta firmaları, asistan firmalar, v.b)

• BT uygulamaları ve sistemleriyle ilgili olarak dış firmalara bağımlığın yüksek olması, hassas verilere erişimlerin yeterli derecede kontrol edilememesi

Sorulması gereken sorular

• Üçüncü partilerle hizmet ve bilgi alışverişi sözleşmelerim var mı? Bunlar KVKK açısından uygun mu?

• Kişisel verilerin bu taraflarca hangi amaçlarla nasıl kullanıldığının çerçevesi belli mi, bunu takip edebiliyor muyum?

• Bu verilere kimler nasıl ve hangi koşullarla erişebiliyor, bunların kontrolünü nasıl sağlıyorum?

• Yasal paylaşımlar haricindekiler için denetim ve gözetim fonksiyonum bulunuyor mu, bu denetim ve gözetimler için sözleşmesel bir hakkım var mı?


Uyum riskleri (2/4)


Organizasyon yapısındaki belirsizlikler, eksiklikler

• Konunun sadece bir BT sorumluluğu olarak görülmesi

• BT biriminin şirketler içindeki temsil ve yaptırım gücü gerekse de kaynak problemleri sebebiyle konunun sahipliğinde eksiklikler

• Kanundaki yaptırım ve cezalar sebebiyle sorumlu atama konusunda yaşanabilecek zorluklar

• Özellikle hasta verisinin birçok iş birimi tarafından kullanıyor olması nedeniyle kişisel verilerin sahipliğinde yaşanan sorunlar


• Yönetim kurulu başta olmak üzere üst yönetim yeterince bilgilendirildi mi?

• Kurum içinde, ana ortaklıklardan da gelen herhangi benzer bir sorumluluk var mı?

• Sektör neler yapıyor, araştırıldı mı?

• Roller ve sorumluluklar için İK ile iletişim kuruldu mu?

• Yeni roller ve sorumluluklar için ilgili kişilere eğitim verildi mi?

• Veri sahipliği konusunda herhangi bir çalışma yapıldı mı?


Uyum riskleri (3/4)


Süreç ve veri yönetimi konusundaki eksiklikler

• Kişisel verilere ilişkin envanterlerin eksikliği, dağınık bir şekilde bulunması ya da gerekli detaylara sahip olmaması

• İş modeli ve süreçlerinde kişisel verilerin kullanımıyla ilgili unsurların detaylı bir şekilde görünür olmaması

• Hukuki açıdan gerek Kanun’dan kaynaklı gerekse de saha uygulamalarındaki muhtemel zorluklar sebebi ile açık rızanın temini, veri işleme, silme / anonimleştirme vb. konularındaki belirsizlikler

• Veri kalitesi problemleri


• Şirketimize özel bir Kişisel Veri Tanımımız var mı?

• Kişisel verilerin yaşam döngüsü belirlendi mi? Buna ilişkin süreç akışları, yazılı talimatlar vb. hazırlandı mı?

• Kişisel verilerin hangi sistem ve süreçler tarafından kullanılabildiğine dair bir envanter çalışması yapıldı mı?

• Farklı sistemler arası entegrasyon ya da veri uyumsuzluklarından kaynaklı kalite, mükerrerlik, ya da iz sürememe durumlarına ilişkin tespit / değerlendirme yapıldı mı?

• Doğrudan kontrol edemediğimiz veri kaynaklarına ilişkin bir politika oluşturuldu mu?

• Yakın zamanda süreç ve sistemlere ilişkin bir dönüşüm planlanıyorsa, bunların KVKK açısından etkisi değerlendirildi mi?


Uyum riskleri (4/4)


İç kontrol yapısındaki eksiklikler

• Sektördeki genel iç kontrol yapısı ve önlemleri mevzuat boşluğu sebebiyle veri koruma programlarının güncel olmaması ya da düzenlemesi olan sektörlerin gerisinde bulunması

• BT uygulamaları ve sistemleriyle ilgili olarak dış firmalara bağımlığın yüksek olması sebebiyle hassas verilere erişimlerin yeterli derecede kontrol edilememesi


• Mevcut durum tespiti açısından önceki dönemlere ait denetim, teftiş, inceleme vb. çalışmalar incelenip, iç kontrol ve erişim açısından problem olup olmadığı değerlendirildi mi?

• Hassas verilere ilişkin bir sınıflandırma var mı?

• Üçüncü kişilere ilişkin erişimler kontrol altında mı? Bunlar geriye dönük izlenebiliyor mu?


Sağlık sektörüne özel tartışılması gereken bazı hususlar

• Sigorta ve Asistan firmalarla kontrolsüz bir şekilde paylaşılan veriler?

• Laboratuar numunelerinin paylaşımı?• E-nabız ve Medula üzerinden eskiden

alınmış olan verilerin sınıflandırılması / silinmesi?

• Hasta bilgileri gizliği

Teşekkürler

Documents

Kişisel Verilerin Korunması Kanunu - SASDERsasder.org/Content/DOCS/Sunumlar/SK5/EY_Kisisel...Gizli - EY EY - SASDER KVKK Sunumu | 4 Süreç optimizasyonu Organizasyon Kişisel Verilerin