Upload
others
View
19
Download
0
Embed Size (px)
Citation preview
Kişisel Verilerin Korunması Kanunu
Bilgilendirme ve Değerlendirme Sunumu
SASDER – Sektör Konuşuyor Toplantıları
15 Mart 2017
Türkiye’de neler
oluyor
Gizli - EY EY - SASDER KVKK Sunumu | 3
Genel görünüm - mevzuatYönetmelik, Kanun’da belirlenen geçen prensipleri sağlık sektörü için özelleştirmiş, buna göre belirli alanlarda uygulama esaslarını belirlemiştir.
Merkezi sağlık veri sistemi ve kişisel sağlık kaydı sistemi
Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistem ve kişilerin kendi verilerine erişimi sağlayan e-devlet uyumlu sistem.
Açık rıza
İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve muhafaza edilmesi hâlinde ilgili bilgiler rıza doğrultusunda işlenebilir ve aktarılabilir.
İhlal bildirimi
Veri ihlali durumunda Bakanlığa bildirim yapılır.
12
Veri işleme
kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir
Veri aktarımı
Kurumlar ve Bakanlık nezdinde paylaşımlar için veri aktarım protokolleri.
Silme & anonimleştirme
Kullanım amacı kalmayan veriler silinir ya da anonimleştirilir. Silinmesi talep edilen veriler Bakanlıkça kurulan merkezi sistemde arşivlenir, 10 yıl sonra yerel sistemden silinir.
4
5
36
Kişisel Sağlık Verileri Komisyonu
Kanun ve Kurulca belirlenen hususlar hakkında Bakanlık politikalarına uygun şekilde görüş bildirmek, anlaşmazlıkları çözmek, şikayetleri incelemek, denetimleri yapmak.
Sağlık Bilgi Sistemleri Genel Müdürlüğü
Merkezi veri sisteminin kurulması, entegrasyonun sağlanması, gerekli standartların belirlenmesi, güvenlik önlemlerinin alınması, 8
7
Gizli - EY EY - SASDER KVKK Sunumu | 4
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
► Hukuki tanımlar: Açık rıza, kişisel veri, veri sorumlusu, vb.
► Kişisel verilerin işlenme şartları
► Kişisel verilerin silinmesi ya da anonimleştirme
► Kişisel verilerin aktarılması (yurt içi, yurt dışı)
► Kişisel veri sahibinin hakları
► Veri sınıflandırma, etiketleme
► Kimlik ve erişim yönetimi
► Veri gizliliği ve bütünlüğü koruma
► Veri kaçakları koruma
► Tedarikçi güvenliği (ör: bulut hizmet sağlayıcıları)
► Güvenlik izleme ve değerlendirme
► Güvenlik denetimleri
► Veri sorumlusunun yükümlülükleri
► Suçlar ve kabahatler
TCK uyarınca suçlar
1M TL’ye varan idari cezalar
► Kişisel Veri Koruma sorumlusu atanması (CPO)
► Veri işleme, saklama ve imha süreçleriyle yeni gelebilecek rol ve sorumluluklar
► Tedarikçilerin ve hizmet sağlayıcıların rolleri
► Sürekli eğitim
► Kişisel veri keşfi ve envanteri
► Veri yaşam döngüsünün BT iz düşümü
► Veri mimarisi ve modeli
► Veri saklama, yedekleme ve kurtarma prosedürleri
► Veri imha ya da anonimleştirme teknolojileri
► Süreç modeli optimizasyonu ve süreç revizyonu
► Süreç kontrolleri Yönetim Kurulu başta olmak üzere,
tüm üst yönetimin sorumluluğu, sahiplenmesi ve sponsorluğu
Türkiye’de kanunun etkilerini hangi alanlarda görüyoruz
Gizli - EY EY - SASDER KVKK Sunumu | 5
Uyum aksiyon alanları
Otomasyon ve raporlama• Süreç ve IT alanında çıkabilecek değişiklik
ihtiyaçlarının IT tarafında ele alınması
• Veri yönetimi tarafında gerekli otomasyon ihtiyaçlarının analiz edilmesi ve hayata geçirilmesi
• IT sistemlerindeki kayıt alma (log) ve gerekli olabilecek diğer güvenlik sistemi ihtiyaçlarına karar verilmesi, hayata geçirilmesi
Süreçlerin adaptasyonu• Talep ve şikayet yönetimi sürecinin nihai hale
getirilmesi ve Şirket çapında uygulamaya konması, gerekli eğitimlerin verilmesi
• Kişisel veri ve paylaşım envanterleri ışığında gerekli olabilecek süreç değişikliklerinin değerlendirilmesi ve hayata geçirilmesi
• En önemli husus olarak KVKK etki değerlendirme çalışmalarının yeni ürün ve hizmet geliştirme süreçlerinin bir parçası haline getirilmesi
Yönetişim ve organizasyon• KVKK sorumluluğu ve personelinin atanması
• KVKK ekibinin rol ve sorumluluklarının ve çalışma esaslarının tanımlanması
• Üst yönetim raporlama yöntem, zamanlama ve içeriklerinin tanımlanması
1
Kişisel veri envanteri• KVKK için veri envanteri çalışmalarının
tamamlanması
• İç / dış veri paylaşım envanterinin tamamlanması ve buna ilişkin aksi
• Envanterdeki hukuk, mevzuat, uyum ve IT yorumlarına göre gerekli düzenlemelerin yapılması, buna ilişkin olası süreç ve IT değişiklik ihtiyaçlarının belirlenmesi
2
3
4
Gizli - EY EY - SASDER KVKK Sunumu | 6
Organizasyon için neler yapılabilir?
Gizli - EY EY - SASDER KVKK Sunumu | 7
Organizasyon alanındaki öneriler
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
KVKK sorumlusunun CxO’ya ve İcra Komitesine raporlama yapabilmesi önerilmektedir.
KVKK sorumlusunun sadece bu göreve atanmış ve başka görevi olmayan bir rol olması önerilmektedir.
KVKK sürecinin koordinasyonu ve operasyonu için KVKK konusunda uzman olarak 2-3 kişinin istihdam edilmesinde yarar görülmektedir.
• KVKK konusunda Şirket çapında yürütülen faaliyetlerin organizasyonu, koordinasyonu ve yönetimi
• KVKK konusunda kaynak ihtiyacının tespit edilmesi• Uyum ve sürdürülebilirlik için aksiyon planlarının
belirlenmesi ve takip edilmesi• KVKK konusunda ilgili politika, prosedür ve/veya
talimatların değerlendirilmesi, onaylanması ve Şirket çapında duyurulması
• Personelin bilinçlendirilmesi için gerekli eğitim programlarının koordinasyonu
• Müşteriler, iş ortakları, Şirket personeli ve/veya Kurul / Kurum’dan gelebilecek talep, istek ve şikayetlere ilişkin hazırlanacak çözümlerin ve raporlamaların koordinasyonu
İcra Komitesi
KVKK Personeli – Hukuk / Uyum Uzmanı
KVKK Personeli – IT / Bilgi Güvenliği Uzmanı
KVKK Personeli – Süreç Uzmanı
KVKK Müdürü / Sorumlusu
CxO
Örnektir
Veri Yönetişim ve Koruma Komitesi
Gizli - EY EY - SASDER KVKK Sunumu | 8
Organizasyon alanındaki öneriler
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
Yönetişim anlamında ilgili organizasyon belirlendikten sonra yapılması gereken 3 önemli husus bulunmaktadır
KVKK uyum programınınperformans yönetimi
Hedeflerin ve buna ilişkin performans göstergelerinin belirlenmesi, buna ilişkin ölçümlerin yapılarak düzenli olarak raporlanması
Eğitim ve farkındalık
Kişisel verilern korunmasına yönelik gerek Kanun gerekse de diğer iyi uygulamalar ışığında tüm personelin düzenli olarak bilgilendirilmesi
KVKK politikası
Şirket çapında geçerli olacak Kişisel Verilerin Korunmasına ilişkin politikanın hazırlanması1 3
2
Gizli - EY EY - SASDER KVKK Sunumu | 9
Organizasyon alanındaki öneriler
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
Dünyada nasıl yönetiliyor?
Kişisel bilgilerin korunmasıyla ilgili başlatılan programların gerekçeleri*
Konu ile ilgili çalışanların
yalnızca %36’sının* tek
görevi Kişisel Bilgilerin Korunmasına yöneliktir
Ek olarak organizasyonlarda işi yalnızca Kişisel Verilerin Korunması olan personelin oranının azlığı sebebiyle, eforun doğru ve konsantre bir şekilde yönlendirilememesi bir problem olarak gözükmektedir.
* EY-IAPP Annual Privacy Governance Report 2015
Gizli - EY EY - SASDER KVKK Sunumu | 10
Kişisel verileri nasıl yöneteceğiz?
Gizli - EY EY - SASDER KVKK Sunumu | 11
Veri alanındaki öneriler
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
Veri alanı, Kanun’dan en çok etkilenen alanların belki de başında gelmektedir. Nitekim kişisel verilerin envanterinin hazırlanması, hangi üçüncü kişilerle paylaşıldığı, bunların hangi sistemlerde nasıl görüntülenebildiği ve izlerinin sürülebildiği gibi bir çok konu, veri yönetimi disiplini altında incelenebilmektedir.
Kanal bazında ürün, hizmet, vb. türündeki farklılıklara göre ek değerlendirmeler
Envanteri hazırlanan verilerden hangilerinin kişisel veri olarak tanımlanması gerektiğine karar vermek
Envanteri hazırlanan verilerden hangilerinin yasal dayanaklara göre mecburen hangilerinin iş ihtiyaçları doğrultusunda alındığını tespit etmek
Envanteri hazırlanan verilerden hangileri için açık rıza alınacağına karar vermek
1Kişisel veri envanteri
Kişisel verilerin gizliliği ve korunmasına ilişkin karşılıklı hükümler
Kişisel veri paylaşılan taraf üzerinde Şirketin’in kontrol ve gözetim hakkkı
Şirket tarafından paylaşılan verileri işleyen ve/veya depolayan taraf üzerinde Şirket’in denetim hakkı
Paylaşılan verilerin kullanım süresi dolduğunda ya da amacı ortadan kalktığında, kişisel veri sahibi talebi uyarınca ilgili veri kayıt sistemlerinden silinmesi
Açık rıza alınması gereken veriler, istisnalar, bunlar dışında kalan verilerin nasıl rızası alınacak?
Rıza almak için hukuk, süreç ve BT değişiklikleri
Bunların sistemler arası izlerinin nasıl sürüleceği ve raporlanacağı
Düzenli olarak kontroller
Kişisel Veri Envanteri’nin hazırlanması sonrasında veri unsurlarının detaylı bir şekilde yönetilmesine imkan sağlanması
Kanun kapsamında dışarıdan gelebilecek taleplere verilecek cevaplarda hangi veri unsurlarının hangi sistemler üzerinde ve/veya süreçlerde işlendiği, saklandığı vb. gibi gerekli bilgilere kılavuzluk edebilmesi
Loglama ve raporlama yeteneklerinin KVKK uyarınca tespit edilmesi, gerekli ihtiyaçların analizi
2Şirket içi ve dışı veri paylaşım envanteri
3Açık rıza temin
edilmesi
4Veri yönetimi ve
raporlama otomasyonu
Gizli - EY EY - SASDER KVKK Sunumu | 12
Süreçlerde öngörülen değişiklikler
Gizli - EY EY - SASDER KVKK Sunumu | 13
Süreç optimizasyonu alanındaki önerilerSüreç optimizasyonu alanında atılması gereken adımlar aşağıdaki gibi gruplandırılabilir
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
01
Kişisel veri edinimi ve veri işleme
Kişisel Veri Envanteri hazırlığı sonrasında aşağıdakilerin değerlendirilmesi önerilmektedir:
• Yasal ya da iş ihtiyacı dışında toplanmasına gerek olmayan verilere ilişkin süreçlerde gündeme gelebilecek düzenlemeler
• Açık rızası alınması gereken müşteri ve hedef müşterilerde ve çalışanlarda buna ilişkin iş süreci değişiklikleri
02
Talep ve şikayet yönetimi
Şirket bünyesinde kişisel verileri saklanan müşteriler ya da hedef müşterilerden veya çalışanlardan gelebilecek taleplerin ve devamında şikayete dönebilecek konuların nasıl ele alınacağına dair yeni sürecin tasarlanması, buna ilişkin akış ve prosedürlerin hazırlanması kritik öneme sahiptir.
Buna ilave olarak Kurul tarafından başlatılacak incelemelerde akışların nasıl olacağı belirlenmeli ve yazılı hale getirilmelidir.
03
Yeni hizmet geliştirme
Bu alan, Dünya’da sıklıkla başarılamayan konulardan biridir.
Şirket bünyesinde yeni bir ürün geliştirilirken daha analiz ve tasarım aşamalarında geliştirilmek istenen ürün ve/veya hizmet içerisinde KVKK açısından uyumsuzluk yaratabilecek unsurlar tespit edilecek şekilde ilgili değerlendirmelerin yapılması önerilmektedir.
Bu değerlendirmelerin KVKK uyumunu gözetecek kişi(ler) tarafından yapılabilmesi önerilmekte olup, kritik olan husus, söz konusu değerlendirme adımının geliştirme, değişiklik vb. süreçlerde bir istasyon olarak belirlenmesi ve buna ilişkin yapılacakların da yazılı hale getirilmesi gerektiğidir.
Tüm bu belirtilenler arasında en önemli husus, herhangi bir ihtiyaç durumunda Hukuk ekibini sürecin zorunlu bir parçası haline getirmek olacaktır.
Gizli - EY EY - SASDER KVKK Sunumu | 14
Süreç optimizasyonu alanındaki önerilerDünyadaki örneklere baktığımızda en önemli problemin KVK konusundaki etki analizlerinin ve Privacy by Design prensibinin süreçlere entegrasyonunun sağlanamaması olduğu görülmektedir.
Bu anlamda buradaki başarı, genel KVKK uyum programının da uzun vadeli sürdürülebilirliği açısından önemli olarak değerlendirilmelidir.
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
İş yapış modellerinde ve süreçlerinde kişisel verilerin korunmasına yönelik etki analizlerinin kullanımının düşük olması sebebiyle, bu konudaki ihlaller ve problemler ya çok uzun sürelerde tespit edilmekte, ya da hiç tespit edilememektedir.
KVK etki analizlerinin iş süreçlerine entegrasyonu*
Yeni süreçlerde ve teknolojilerde
güvenlikle ilgili risklerebakanların oranı
33%Etki değerlendirmelerineyakın gelecekte
başlayacakların oranı28%
Etki analizleriplansız bir şekilde /
ad-hoc uygulanmaktadır
23%
Yeni süreçlerde ve teknolojilerdeyapılan etki
analizleri16%
* EY, Global Information Security Survey, 2015
Gizli - EY EY - SASDER KVKK Sunumu | 15
Bilgi güvenliği alanındaki öneriler
Gizli - EY EY - SASDER KVKK Sunumu | 16
Bilgi güvenliği alanındaki öneriler
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
Konu / Alan Bilgi güvenliği açısından değerlendirilmesi gereken hususlar
KVKK yönetişim yapısının teşkil edilmesi
• Bilgi güvenliği ekibi olarak oluşturulacak üst komite / çalışma grubu yapısında yönetici seviyesinde temsil edilme
Kişisel Veri Envanterininhazırlanması ve yönetimi
• Veri sınıflandırma çalışmasının güncellenmesi• Gerekli güvenlik önlemlerinin ve erişim politikalarının
değerlendirilmesi• Şirket politika ve prosedürlerinde güncellemeler yapılması,
bunların mevcut sistemler üzerindeki uygulamalarına dair değişikliklerin yapılması
• Veri kaçaklarını engelleyen çözümler ya da daha teknik eklentiler yapılması
• Veri erişim ve işlem loglarının ve bunlara dair sistemlerin değerlendirilmesi, gerekli ek loglama konfigürasyonlarının hazırlanması ya da yeni loglama sistemlerinin temin edilmesi
Veri paylaşım listesinin hazırlanması ve yönetimi
• Özellikle Şirket dışındaki taraflarla paylaşılan veriler açısından listenin değerlendirilmesi, risk değerlendirmesi yapılmamış paylaşımlar için Kanun da göz önünde tutularak ilgili önlemlerin güncellenmesi ya da tesis edilmesi
• Veri paylaşımının kayıt altına alınması adına BG ekibi olarak ilgili yönlendirmelerin yapılması, söz konusu kayıt sistemlerinin ve kayıtların güvenliğinin sağlanması
Gizli - EY EY - SASDER KVKK Sunumu | 17
Bilgi güvenliği alanındaki önerilerSon yıllardaki siber güvenlikle ilgili saldırılara baktığımızda kişisel verilerin, bu verilere erişim için kullanılan erişim bilgilerinin, yetkisiz bir şekilde en çok ifşa olan veriler arasında olduğunu görüyoruz. Bununla birlikte yetkisiz erişimlerden kaynaklı veri ihlallerin en çok kurumların içinden kaynaklı hatalar/saldırılar sebebiyle gerçekleşmesi de öne çıkan çarpıcı sonuçlardandır.
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
Son 1 yıl içinde siber saldırılar sonucu ifşa olan bilgilerin oranı*
Verilere ilişkin ihlallerin kaynakları ve oranları*
Bu anlamda bilgi güvenliği alanındaki çalışmalar, kişisel verilerin korunmasına yönelik birçok unsur içereceğinden, KVKK uyum programının en önemli bileşenlerinden biri olacaktır.
* Forrester, Understand the state of data security and privacy: 2015 to 2016
Başarıyı nasıl ölçeceğiz?
Gizli - EY EY - SASDER KVKK Sunumu | 19
Performans değerlendirme
• Örnek performans göstergelerine ilişkin alanlar ya da konular şunlar olabilir:
• KVKK raporlamasının otomasyonu
• KVKK kontrollerini otomasyonu (veri yönetimi, veri kaçaklarını koruma, vb.)
• Süreçlerde tamamlanan KVKK etki analizi çalışmaları
• KVKK eğitim tamamlanma oranı
• Üçüncü taraflarda gerçekkeltirilen denetim / inceleme çalışmaları
• Kişisel veri envanterinin tamamlanma durumu
• KVKK’ya ilişkin gelen taleplerin karşı tarafı tatmin edecek şekilde kapatılması oranı
• KVKK konusunda yaşanan ihlaller, cezalar
KVKK uyum programının performans yönetimi
Hedeflerin ve buna ilişkin performans göstergelerinin belirlenmesi, buna ilişkin ölçümlerin yapılarak düzenli olarak raporlanması
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
Performans Değerlendirme
ve Denetim
Gizli - EY EY - SASDER KVKK Sunumu | 20
Düzenli denetim çalışmaları
Kanun kapsamında düzenli denetimlerin yaptırılması zorunlu kılınmıştır.
Bu anlamda Kurul tarafından başkaca bir yönlendirme gelmese bile Şirket yönetimlerinin gerek iç, gerekse de dış denetim çalışmalarıyla KVKK uyum durumunun bağımsız ekiplerce durum tespitine yönelik inisiyatif göstermesi beklenecektir.
Denetim çalışmaları yanda belirtilen farklı alanlarda uygulanabilir.
İç denetim
► Şirket’nın iç denetim fonksiyonu tarafından düzenli olarak gerçekleştirilecek denetim çalışmalarıdır
► Yurtdışı ortaklar tarafından gelebilecek denetimler de bu kategoride dğeerlendirilebilecektir.
Dış denetim
► Kurul ve/veya sektörel düzenleyici tarafından düzenli ya da düzensiz KVKK uyumu konusunda yürütülebilecek denetim çalışmalarıdır
► Bunun dışında Şirket yönetimi konu hakkında yetkin ve tecrübeli dış firmalardan da benzer şekilde çalışmalar gerçekleştirilmesini isteyebilir
Tedarikçilerin denetimi
► Şirket’nın iç denetim fonksiyonu tarafından ya da Şirket yönetimi tarafından tutulacak bir dış danışman tarafından KVKK uyumu açısınan kritik görülen tedarikçi / destek hizmeti firmaları bünyesinde gerçekleştirilecek denetimlerdir
► Yoğun veri paylaşımı yapılan firmalar buna en büyük adaylardır (çağrı merkezi, kart & çek basım, vb)
Diğer güvence seçenekleri
► Privacy SOC 2/3 raporlama seçenekleriyle dış paydaşlara karşı güvence oluşturulması
► Benzer çalışmaların ve raporlamaların tedarikçi firmalardan da talep edilmesi
Süreç optimizasyonu
Organizasyon
Kişisel Verilerin
Korunması Kanunu
Veri yönetimi
Hukuk
Bilgi güvenliği
Performans Değerlendirme
ve Denetim
Sektöre ilişkin uyum
riskleri
Gizli - EY EY - SASDER KVKK Sunumu | 22
Uyum riskleri (1/4)
Risk alanı & konusu Gerçekler ve trendler
Hizmet kanallarının ve üçüncü kişilerin fazlalığı
• Dijitalleşmeyle birlikte pazarlama ve hizmet kanallarında artış (internet, mobil, sosya medya, vb.)
• Sektörün doğası gereği veri alışverişi yapılan bir çok kurum ve kuruluş bulunması (Sağlık Bakanlığı, SGK, sigorta firmaları, asistan firmalar, v.b)
• BT uygulamaları ve sistemleriyle ilgili olarak dış firmalara bağımlığın yüksek olması, hassas verilere erişimlerin yeterli derecede kontrol edilememesi
Sorulması gereken sorular
• Üçüncü partilerle hizmet ve bilgi alışverişi sözleşmelerim var mı? Bunlar KVKK açısından uygun mu?
• Kişisel verilerin bu taraflarca hangi amaçlarla nasıl kullanıldığının çerçevesi belli mi, bunu takip edebiliyor muyum?
• Bu verilere kimler nasıl ve hangi koşullarla erişebiliyor, bunların kontrolünü nasıl sağlıyorum?
• Yasal paylaşımlar haricindekiler için denetim ve gözetim fonksiyonum bulunuyor mu, bu denetim ve gözetimler için sözleşmesel bir hakkım var mı?
Gizli - EY EY - SASDER KVKK Sunumu | 23
Uyum riskleri (2/4)
Risk alanı & konusu Gerçekler ve trendler
Organizasyon yapısındaki belirsizlikler, eksiklikler
• Konunun sadece bir BT sorumluluğu olarak görülmesi
• BT biriminin şirketler içindeki temsil ve yaptırım gücü gerekse de kaynak problemleri sebebiyle konunun sahipliğinde eksiklikler
• Kanundaki yaptırım ve cezalar sebebiyle sorumlu atama konusunda yaşanabilecek zorluklar
• Özellikle hasta verisinin birçok iş birimi tarafından kullanıyor olması nedeniyle kişisel verilerin sahipliğinde yaşanan sorunlar
Sorulması gereken sorular
• Yönetim kurulu başta olmak üzere üst yönetim yeterince bilgilendirildi mi?
• Kurum içinde, ana ortaklıklardan da gelen herhangi benzer bir sorumluluk var mı?
• Sektör neler yapıyor, araştırıldı mı?
• Roller ve sorumluluklar için İK ile iletişim kuruldu mu?
• Yeni roller ve sorumluluklar için ilgili kişilere eğitim verildi mi?
• Veri sahipliği konusunda herhangi bir çalışma yapıldı mı?
Gizli - EY EY - SASDER KVKK Sunumu | 24
Uyum riskleri (3/4)
Risk alanı & konusu Gerçekler ve trendler
Süreç ve veri yönetimi konusundaki eksiklikler
• Kişisel verilere ilişkin envanterlerin eksikliği, dağınık bir şekilde bulunması ya da gerekli detaylara sahip olmaması
• İş modeli ve süreçlerinde kişisel verilerin kullanımıyla ilgili unsurların detaylı bir şekilde görünür olmaması
• Hukuki açıdan gerek Kanun’dan kaynaklı gerekse de saha uygulamalarındaki muhtemel zorluklar sebebi ile açık rızanın temini, veri işleme, silme / anonimleştirme vb. konularındaki belirsizlikler
• Veri kalitesi problemleri
Sorulması gereken sorular
• Şirketimize özel bir Kişisel Veri Tanımımız var mı?
• Kişisel verilerin yaşam döngüsü belirlendi mi? Buna ilişkin süreç akışları, yazılı talimatlar vb. hazırlandı mı?
• Kişisel verilerin hangi sistem ve süreçler tarafından kullanılabildiğine dair bir envanter çalışması yapıldı mı?
• Farklı sistemler arası entegrasyon ya da veri uyumsuzluklarından kaynaklı kalite, mükerrerlik, ya da iz sürememe durumlarına ilişkin tespit / değerlendirme yapıldı mı?
• Doğrudan kontrol edemediğimiz veri kaynaklarına ilişkin bir politika oluşturuldu mu?
• Yakın zamanda süreç ve sistemlere ilişkin bir dönüşüm planlanıyorsa, bunların KVKK açısından etkisi değerlendirildi mi?
Gizli - EY EY - SASDER KVKK Sunumu | 25
Uyum riskleri (4/4)
Risk alanı & konusu Gerçekler ve trendler
İç kontrol yapısındaki eksiklikler
• Sektördeki genel iç kontrol yapısı ve önlemleri mevzuat boşluğu sebebiyle veri koruma programlarının güncel olmaması ya da düzenlemesi olan sektörlerin gerisinde bulunması
• BT uygulamaları ve sistemleriyle ilgili olarak dış firmalara bağımlığın yüksek olması sebebiyle hassas verilere erişimlerin yeterli derecede kontrol edilememesi
Sorulması gereken sorular
• Mevcut durum tespiti açısından önceki dönemlere ait denetim, teftiş, inceleme vb. çalışmalar incelenip, iç kontrol ve erişim açısından problem olup olmadığı değerlendirildi mi?
• Hassas verilere ilişkin bir sınıflandırma var mı?
• Üçüncü kişilere ilişkin erişimler kontrol altında mı? Bunlar geriye dönük izlenebiliyor mu?
Gizli - EY EY - SASDER KVKK Sunumu | 26
Sağlık sektörüne özel tartışılması gereken bazı hususlar
• Sigorta ve Asistan firmalarla kontrolsüz bir şekilde paylaşılan veriler?
• Laboratuar numunelerinin paylaşımı?• E-nabız ve Medula üzerinden eskiden
alınmış olan verilerin sınıflandırılması / silinmesi?
• Hasta bilgileri gizliği
Teşekkürler