KVKK ve Siber Güvenlik: Kapsamlı Veri Koruma Uyum Rehberi

6698 sayılı KVKK'nın siber güvenlik gereksinimleri, teknik ve idari tedbirler, veri ihlali yönetimi ve zafiyet yönetimi ile uyum stratejileri.

KVKK ve siber güvenlik uyum rehberi kapak görseli
KVKK ve siber güvenlik: teknik tedbirlerden veri ihlali bildirimine kapsamlı uyum rehberi.

Kısaca

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'deki tüm veri sorumluları ve veri işleyenleri için kişisel verilerin güvenliğini sağlamaya yönelik kapsamlı yükümlülükler getirmektedir. KVKK uyumu, yalnızca hukuki bir zorunluluk değil; aynı zamanda kurumsal itibar, müşteri güveni ve iş sürekliliği açısından stratejik bir gerekliliktir. Kanun, AB'nin GDPR düzenlemesiyle paralel bir yaklaşım benimseyerek kişisel verilerin işlenmesinde "gerekli teknik ve idari tedbirlerin" alınmasını zorunlu kılmaktadır.

Bu rehberde; KVKK'nın siber güvenlik gereksinimlerini, uygulanması gereken teknik ve idari tedbirleri, veri ihlali bildirim süreçlerini, zafiyet yönetimi ile KVKK uyumu arasındaki ilişkiyi ve sızma testi ile denetim hazırlığını detaylı bir biçimde ele alıyoruz.

KVKK Nedir ve Neden Önemli?

6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. Kanun, kişisel verilerin işlenmesinde temel ilkeleri, veri sorumlusunun yükümlülüklerini ve ilgili kişilerin haklarını düzenlemektedir.

KVKK'nın Temel İlkeleri

  • Hukuka ve Dürüstlük Kurallarına Uygun Olma: Veriler yasal dayanakla ve şeffaf biçimde işlenmelidir.
  • Doğru ve Gerektiğinde Güncel Olma: İşlenen verilerin doğruluğu ve güncelliği sağlanmalıdır.
  • Belirli, Açık ve Meşru Amaçlar İçin İşleme: Veri toplama amacı önceden belirlenmiş ve meşru olmalıdır.
  • İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Veri minimizasyonu prensibi - yalnızca gerekli veriler toplanmalıdır.
  • İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme: Amacı sona eren veriler silinmeli veya anonimleştirilmelidir.

KVKK'nın Önemi

KVKK uyumsuzluğu ciddi yaptırımlarla sonuçlanabilir:

  • İdari Para Cezaları: Kişisel Verileri Koruma Kurulu (KVKK Kurulu), veri güvenliği yükümlülüklerini yerine getirmeyenlere 75.270 TL'den 4.516.076 TL'ye kadar idari para cezası uygulayabilir (2026 güncel tutarlar).
  • Hapis Cezası: Kişisel verilerin hukuka aykırı olarak kaydedilmesi, yayılması veya ele geçirilmesi Türk Ceza Kanunu kapsamında 1 ila 6 yıl hapis cezası gerektirebilir.
  • İtibar Kaybı: Veri ihlali haberleri müşteri güvenini sarsar ve uzun vadeli iş kayıplarına yol açar.
  • İş Kaybı: Özellikle uluslararası iş ortaklarıyla çalışan kuruluşlar için KVKK/GDPR uyumu bir ön koşul haline gelmiştir.

KVKK'nın Siber Güvenlik Gereksinimleri

KVKK'nın 12. maddesi, veri sorumlusunun kişisel verilerin güvenliğini sağlamak amacıyla "gerekli her türlü teknik ve idari tedbiri almak" zorunda olduğunu açıkça belirtmektedir. Kişisel Verileri Koruma Kurulu, bu tedbirleri çeşitli kararlarında ve rehberlerinde detaylandırmıştır.

Madde 12 - Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumlusu:

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır.

Kurul'un Teknik Tedbir Beklentileri

KVKK Kurulu'nun çeşitli karar ve rehberlerinde öne çıkan teknik tedbirler:

  • Yetkilendirme matrisi ve erişim kontrol politikaları
  • Şifreleme (at-rest ve in-transit)
  • Veri maskeleme ve anonimleştirme
  • Güvenlik duvarı ve saldırı tespit/önleme sistemleri
  • Güncel antivirüs ve zararlı yazılım koruması
  • Düzenli sızma testi ve zafiyet taraması
  • Log yönetimi ve izleme
  • Yama yönetimi ve güvenlik güncellemeleri
  • Yedekleme ve felaket kurtarma
  • Ağ güvenliği ve segmentasyon

Teknik Tedbirler: Şifreleme, Erişim Kontrolü ve Log Yönetimi

KVKK uyumu için uygulanması gereken teknik tedbirler, siber güvenlik altyapısının temelini oluşturur:

Şifreleme (Kriptografi)

  • Veri Tabanı Şifreleme: Kişisel verilerin saklandığı veri tabanları TDE (Transparent Data Encryption) veya kolon düzeyinde şifreleme ile korunmalıdır.
  • Disk Şifreleme: Mobil cihazlar ve taşınabilir medyalar tam disk şifreleme (BitLocker, FileVault, LUKS) ile korunmalıdır.
  • İletişim Şifreleme: Tüm veri transferleri TLS 1.2/1.3 ile şifrelenmelidir. E-posta iletişiminde gerektiğinde S/MIME veya PGP kullanılmalıdır.
  • Anahtar Yönetimi: Şifreleme anahtarları HSM (Hardware Security Module) veya güvenli anahtar yönetim çözümleri ile saklanmalıdır.

Erişim Kontrolü

  • Kimlik Doğrulama: Güçlü parola politikaları ve çok faktörlü kimlik doğrulama (MFA) zorunlu kılınmalıdır.
  • Yetkilendirme: En az yetki prensibi (Principle of Least Privilege) uygulanmalı, rol tabanlı erişim kontrolü (RBAC) ile erişim yetkileri düzenlenmelidir.
  • Erişim İzleme: Kişisel verilere yapılan tüm erişimler loglanmalı ve düzenli olarak denetlenmelidir.
  • Ayrıcalıklı Erişim Yönetimi: PAM (Privileged Access Management) çözümleri ile admin hesapları kontrol altına alınmalıdır.
  • Fiziksel Erişim: Sunucu odaları, veri merkezleri ve kritik altyapılar fiziksel erişim kontrolleriyle (kartlı geçiş, biyometrik) korunmalıdır.

Log Yönetimi ve İzleme

  • Merkezi Log Toplama: Tüm sistemlerin logları merkezi SIEM çözümünde toplanmalıdır.
  • Log Saklama Süresi: Kişisel veri erişim logları en az 2 yıl saklanmalıdır (sektörel düzenlemelere göre daha uzun olabilir).
  • Log Bütünlüğü: Log'ların değiştirilmemiş olduğunu kanıtlayacak hash doğrulaması veya imzalama mekanizması uygulanmalıdır.
  • Gerçek Zamanlı İzleme: Şüpheli erişim desenleri ve anomaliler için alarm kuralları tanımlanmalıdır.

İdari Tedbirler: Politika, Farkındalık ve Süreç

Teknik tedbirler tek başına yeterli değildir; kurumsal politikalar, süreçler ve insan faktörü de KVKK uyumunun ayrılmaz parçalarıdır:

Politika ve Prosedürler

  • Kişisel Veri İşleme Politikası: Verilerin nasıl toplandığı, işlendiği, saklandığı ve silindiğine dair kapsamlı politika.
  • Bilgi Güvenliği Politikası: Kurumun genel güvenlik yaklaşımını, sorumluluklarını ve kurallarını tanımlayan üst düzey doküman.
  • Kabul Edilebilir Kullanım Politikası: BT kaynaklarının kullanım kuralları ve kısıtlamaları.
  • Olay Müdahale Prosedürü: Veri ihlali durumunda izlenecek adımların detaylı olarak tanımlandığı prosedür.
  • Veri Saklama ve İmha Politikası: Verilerin saklanma süreleri ve periyodik imha kurallarını belirleyen politika.
  • Üçüncü Taraf Güvenlik Politikası: Veri paylaşılan tedarikçi ve iş ortaklarına yönelik güvenlik gereksinimleri.

Farkındalık ve Eğitim

  • Tüm çalışanlara düzenli KVKK ve bilgi güvenliği farkındalık eğitimi verilmesi
  • Kişisel veri işleyen departmanlara özel detaylı eğitimler
  • Phishing simülasyonları ve sosyal mühendislik testleri
  • Yeni işe başlayanlara oryantasyon kapsamında KVKK eğitimi
  • Eğitim etkinliğinin ölçülmesi ve takibi

Süreç ve Organizasyon

  • Veri Koruma Görevlisi (DPO) atanması veya ilgili kişinin belirlenmesi
  • Kişisel veri işleme envanterinin oluşturulması ve güncel tutulması
  • Düzenli iç denetim ve uyumluluk değerlendirmesi
  • Veri koruma etki değerlendirmesi (DPIA) süreçlerinin tanımlanması
  • Değişiklik yönetimi süreçlerinde KVKK etkisinin değerlendirilmesi

Veri İhlali Bildirimi ve 72 Saat Kuralı

KVKK'nın 12. maddesinin 5. fıkrası uyarınca, kişisel verilerin hukuka aykırı olarak elde edilmesi halinde veri sorumlusu, bu durumu en kısa sürede ilgili kişilere ve Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kurul, bu bildirimin "en kısa sürede" ve her halükarda 72 saat içinde yapılmasını beklemektedir.

Veri İhlali Bildirim Süreci

  1. Tespit: Güvenlik izleme araçları, çalışan bildirimi veya üçüncü taraf uyarısı ile ihlalin tespit edilmesi.
  2. Değerlendirme: İhlalin kapsamı, etkilenen veri türleri, etkilenen kişi sayısı ve potansiyel risklerin belirlenmesi.
  3. Sınırlama: İhlalin yayılmasını durdurmak için acil teknik önlemlerin alınması - etkilenen sistemlerin izolasyonu, hesap devre dışı bırakma, erişim engelleme.
  4. Kurul'a Bildirim (72 saat): Kişisel Verileri Koruma Kurulu'na resmi bildirim yapılması. Bildirim şunları içermelidir: ihlalin niteliği, etkilenen veri kategorileri ve kişi sayısı, olası sonuçlar, alınan ve alınacak tedbirler.
  5. İlgili Kişilere Bildirim: Etkilenen kişilere makul bir sürede, anlaşılır bir dille bildirim yapılması - ne olduğu, ne tür verilerin etkilendiği ve ne yapmaları gerektiği açıklanmalıdır.
  6. Düzeltme ve İyileştirme: Kök neden analizi, güvenlik açığının giderilmesi ve benzer olayların tekrarlanmaması için önlemlerin alınması.

Bildirimde Bulunulması Gereken Bilgiler

  • İhlalin ne zaman gerçekleştiği ve ne zaman tespit edildiği
  • Etkilenen kişisel veri kategorileri (kimlik, iletişim, finansal, sağlık vb.)
  • Tahmini etkilenen kişi sayısı
  • İhlalin olası sonuçları ve riskleri
  • İhlalin etkilerini azaltmak için alınan ve alınması planlanan tedbirler
  • İlgili kişiler için önerilen koruma tedbirleri

72 Saat Kuralına Uyum İçin Hazırlık

72 saatlik bildirim süresine uyum ancak önceden hazırlanmış bir olay müdahale planı ile mümkündür. Planınız şunları içermelidir:

  • Net rol ve sorumluluk tanımları (kim, ne yapacak?)
  • İletişim ağacı ve eskalasyon prosedürleri
  • Hazır bildirim şablonları (Kurul ve ilgili kişiler için)
  • Hukuk müşaviri ile koordinasyon süreci
  • Düzenli masa başı tatbikatları (tabletop exercises)

Zafiyet Yönetimi ve KVKK Uyumu

Zafiyet yönetimi, KVKK'nın "gerekli teknik tedbirler" yükümlülüğünün en somut uygulamalarından biridir. Düzenli zafiyet tarama ve yönetim süreci, kişisel verilerin güvenliğini tehdit eden açıkların proaktif olarak tespit edilmesini ve giderilmesini sağlar.

KVKK Kurul Kararlarında Zafiyet Yönetimi

Kişisel Verileri Koruma Kurulu, veri ihlali kararlarında zafiyet yönetimiyle ilgili eksiklikleri sıklıkla vurgulamıştır:

  • Düzenli zafiyet taraması yapılmaması nedeniyle cezai karar verilen vakalar
  • Bilinen güvenlik açıklarının zamanında yamanmaması sonucu oluşan ihlaller
  • Güvenlik güncellemelerinin ihmal edilmesi durumlarında idari para cezası uygulanması
  • Sızma testi yaptırılmamasının "teknik tedbir eksikliği" olarak değerlendirilmesi

KVKK Uyumlu Zafiyet Yönetimi Süreci

  1. Varlık Envanteri: Kişisel veri barındıran tüm sistemlerin belirlenmesi ve envanterinin oluşturulması
  2. Düzenli Tarama: En az aylık periyotlarla otomatik zafiyet taraması yapılması
  3. Risk Değerlendirmesi: Tespit edilen zafiyetlerin kişisel veri etkisi açısından değerlendirilmesi
  4. Önceliklendirme: Kişisel veri barındıran sistemlerdeki zafiyetlere yüksek öncelik verilmesi
  5. Düzeltme ve Doğrulama: Yamalama, yapılandırma düzeltmesi veya risk kabul süreçlerinin yürütülmesi
  6. Raporlama: Zafiyet yönetimi metriklerinin düzenli olarak üst yönetime raporlanması
  7. Sürekli İyileştirme: Süreç etkinliğinin değerlendirilmesi ve geliştirme alanlarının belirlenmesi

Sızma Testi ile KVKK Denetim Hazırlığı

Sızma testi, KVKK uyumunun teknik boyutunu doğrulamanın en etkili yollarından biridir. Kurul denetimleri öncesinde kapsamlı bir sızma testi, güvenlik açıklarını proaktif olarak tespit ederek denetim riskini minimize eder.

KVKK Odaklı Sızma Testi Kapsamı

  • Kişisel Veri Erişim Testi: Yetkilendirme mekanizmalarının test edilmesi - düşük yetkili bir kullanıcı kişisel verilere erişebiliyor mu?
  • Web Uygulama Testi: Kişisel veri toplayan web formları, API'ler ve portallar üzerinde OWASP Top 10 zafiyetlerinin test edilmesi.
  • Veri Tabanı Güvenlik Testi: Kişisel veri barındıran veri tabanlarının SQL Injection, yetersiz şifreleme ve erişim kontrol zafiyetleri açısından test edilmesi.
  • İç Ağ Testi: Kişisel veri sistemlerine iç ağdan yetkisiz erişim yollarının araştırılması.
  • Sosyal Mühendislik Testi: Çalışanların kişisel veri güvenliği farkındalığının phishing ve pretexting senaryoları ile test edilmesi.
  • Fiziksel Güvenlik Testi: Kişisel veri barındıran fiziksel alanların güvenlik kontrollerinin değerlendirilmesi.

Denetim Hazırlık Kontrol Listesi

  • Son 12 ay içinde kapsamlı sızma testi yapıldığını gösteren raporlar
  • Tespit edilen bulguların düzeltme kanıtları
  • Düzenli zafiyet tarama raporları ve trend analizleri
  • Güncü varlık envanteri ve kişisel veri haritası
  • Log yönetimi yapılandırma kanıtları
  • Erişim kontrol matrisi ve yetkilendirme kayıtları
  • Çalışan eğitim kayıtları ve katılım belgeleri
  • Olay müdahale planı ve tatbikat raporları

Veri Envanteri ve Sınıflandırma

KVKK uyumunun ilk adımı, kuruluşun hangi kişisel verileri, nerede, nasıl ve ne amaçla işlediğini bilmesidir. Veri envanteri ve sınıflandırma, tüm güvenlik ve uyumluluk süreçlerinin temelini oluşturur.

Veri Envanteri Oluşturma

  • Veri Akış Haritalama: Kişisel verilerin organizasyon içindeki akış yollarının belirlenmesi - toplanma noktası, işleme, saklama, aktarım ve silme aşamaları.
  • Veri Kategorileri: Kimlik verileri, iletişim verileri, finansal veriler, sağlık verileri, lokasyon verileri, biyometrik veriler gibi kategorilerin tanımlanması.
  • İşleme Amaçları: Her veri kategorisi için işleme amaçları ve hukuki dayanakların belirlenmesi.
  • Teknik Altyapı: Kişisel verilerin saklandığı sunucular, veri tabanları, bulut hizmetleri, e-posta sistemleri, dosya paylaşımları gibi teknik bileşenlerin envanteri.

Veri Sınıflandırma

Kişisel veriler, hassasiyet düzeylerine göre sınıflandırılmalıdır:

  • Özel Nitelikli Kişisel Veri: Irk, etnik köken, sağlık, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik veriler - en yüksek güvenlik düzeyi gerektirir.
  • Hassas Kişisel Veri: Finansal veriler, kimlik numarası, adres gibi kötüye kullanılma riski yüksek veriler.
  • Genel Kişisel Veri: İsim, e-posta, telefon gibi temel kimlik ve iletişim verileri.
  • Anonim/Anonimleştirilmiş Veri: Kişiyle ilişkilendirilemeyen veriler - KVKK kapsamı dışındadır.

Sınıflandırma; şifreleme, erişim kontrolü ve saklama süresi politikalarının veri hassasiyetine göre uygulanmasını sağlar. Zafiyet yönetimi sürecinde de kişisel veri barındıran sistemlere öncelik verilmesi bu sınıflandırmaya dayanır.

Üçüncü Taraf Risk Yönetimi

KVKK, veri sorumlusunun kişisel verileri aktardığı üçüncü tarafların güvenliğinden de sorumlu olduğunu öngörmektedir. Tedarikçi ve iş ortağı risk yönetimi, KVKK uyumunun kritik bir bileşenidir.

Üçüncü Taraf Güvenlik Değerlendirmesi

  • Ön Değerlendirme: Yeni tedarikçi ile çalışmaya başlamadan önce güvenlik anketi, sertifikasyon kontrolü (ISO 27001, SOC 2) ve risk değerlendirmesi yapılması.
  • Sözleşme Güvenceleri: Veri işleme sözleşmelerinde güvenlik yükümlülükleri, ihlal bildirim süreleri, denetim hakları ve gizlilik taahhütlerinin yer alması.
  • Düzenli Denetim: Kritik veri işleyen tedarikçilerin yıllık güvenlik denetiminin yapılması veya bağımsız denetim raporlarının talep edilmesi.
  • Sürekli İzleme: Tedarikçilerin güvenlik duruşundaki değişikliklerin izlenmesi - sertifikasyon yenileme, veri ihlali haberleri, finansal stabilite.

Veri İşleyen İlişkileri

KVKK'da "veri işleyen" olarak tanımlanan üçüncü taraflarla ilişkilerde dikkat edilmesi gerekenler:

  • Yazılı veri işleme sözleşmesi zorunluluğu
  • Veri işleyenin yalnızca talimatlar doğrultusunda veri işlemesi
  • Alt veri işleyen kullanımında yazılı onay gerekliliği
  • İlişki sona erdiğinde verilerin iadesi veya güvenli imhası

VERBİS ve Kayıt Yükümlülükleri

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), veri sorumlularının Kişisel Verileri Koruma Kurulu'na kayıt olmak zorunda olduğu ulusal bir sicil sistemidir.

VERBİS Kayıt Yükümlülüğü

Yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço toplamı 100 milyon TL'den fazla olan gerçek ve tüzel kişi veri sorumluları, VERBİS'e kayıt olmak zorundadır. Ayrıca faaliyet konusu özel nitelikli kişisel veri işlemeyi gerektiren veri sorumluları da bu yükümlülük kapsamındadır.

VERBİS'te Beyan Edilmesi Gereken Bilgiler

  • Veri sorumlusu ve temsilci kimlik bilgileri
  • Kişisel verilerin işlenme amaçları
  • Veri kategorileri ve ilgili kişi gruplarına ilişkin açıklamalar
  • Kişisel verilerin aktarılabileceği alıcı grupları
  • Yabancı ülkelere veri aktarımı bilgisi
  • Veri güvenliğine ilişkin alınan tedbirler
  • Kişisel verilerin işlendikleri amaç için gerekli azami saklama süreleri

VERBİS ve Zafiyet Yönetimi İlişkisi

VERBİS kaydında "veri güvenliğine ilişkin alınan tedbirler" bölümünde, zafiyet yönetimi süreçlerinizi, sızma testi uygulamalarınızı ve güvenlik tarama faaliyetlerinizi beyan edebilirsiniz. Bu beyanlar, Kurul denetimlerinde kurumun güvenlik olgunluğunu gösteren önemli kanıtlar sunar.

SİTEY ile KVKK Uyumlu Zafiyet Yönetimi

SİTEY platformu, KVKK uyumunun teknik tedbirler boyutunu uçtan uca destekler:

  • Varlık Sınıflandırma: Kişisel veri barındıran sistemleri etiketleyin ve bu sistemlerdeki zafiyetlere otomatik yüksek öncelik atayın. KVKK kapsamındaki varlıklarınızı ayrı bir dashboard'da izleyin.
  • Sürekli Zafiyet Taraması: Otomatik periyodik taramalar ile kişisel veri sistemlerinin güvenlik durumunu sürekli izleyin. Yeni zafiyetler anında raporlanır ve ilgili ekiplere atanır.
  • KVKK Raporlama: Kurul denetimleri için hazır raporlama şablonları - teknik tedbirler özeti, zafiyet trendi, düzeltme metrikleri ve SLA uyumu raporları otomatik oluşturulur.
  • Sızma Testi Yönetimi: Periyodik sızma testi bulgularını platforma aktarın, düzeltme süreçlerini takip edin ve doğrulama testlerini koordine edin.
  • Delil Yönetimi: Yapılan güvenlik faaliyetlerinin (tarama, yama, test) zaman damgalı kanıtlarını saklayarak denetim hazırlığınızı güçlendirin.
  • Uyumluluk Dashboard: KVKK teknik tedbir gereksinimlerini bir kontrol listesi olarak izleyin. Eksik tedbirleri görün, tamamlanan maddeleri belgeleyin ve genel uyumluluk yüzdenizi takip edin.

KVKK Siber Güvenlik Uyumunda Sık Yapılan Hatalar

  • "KVKK Sadece Hukukçuların İşi" Yanılgısı: KVKK uyumu, hukuki, teknik ve idari boyutlarıyla multidisipliner bir süreçtir. BT ve güvenlik ekipleri olmadan tam uyum sağlanamaz.
  • Checklist Yaklaşımı: KVKK uyumunu bir kerelik bir kontrol listesi olarak görmek yerine sürekli bir süreç olarak yönetmek gerekir.
  • Teknik Tedbir İhmali: Politika ve prosedürler hazırlanıp teknik uygulamaların (şifreleme, erişim kontrolü, zafiyet taraması) ihmal edilmesi.
  • Olay Müdahale Planı Eksikliği: 72 saatlik bildirim süresine hazırlıksız yakalanmak. Plan olmadan bu süreye uyum neredeyse imkansızdır.
  • Envanter Güncelliği: Veri envanterinin ilk oluşturulmasından sonra güncellenmemesi. Yeni sistemler, uygulamalar ve veri akışları envantere eklenmezse KVKK uyumu bozulur.
  • Üçüncü Taraf İhmali: Tedarikçilerin güvenlik durumunun değerlendirilmemesi ve veri işleme sözleşmelerinin yapılmaması.
  • Log Yönetimi Eksikliği: Kişisel verilere yapılan erişimlerin loglanmaması. Bir ihlal durumunda etki analizi yapılabilmesi için log'lar kritik öneme sahiptir.
  • Eğitim Yetersizliği: Çalışan farkındalık eğitimlerinin yapılmaması veya etkinliğinin ölçülmemesi. İnsan faktörü, veri ihlallerinin en yaygın nedenidir.

Sıkça Sorulan Sorular (SSS)

KVKK kapsamında sızma testi yaptırmak zorunlu mu?

KVKK, açık bir ifadeyle "sızma testi" zorunluluğu getirmemektedir. Ancak Kanun'un 12. maddesi "gerekli her türlü teknik tedbirin" alınmasını zorunlu kılmaktadır. Kişisel Verileri Koruma Kurulu, çeşitli kararlarında düzenli sızma testi yapılmamasını teknik tedbir eksikliği olarak değerlendirmiştir. Bu nedenle, özellikle kişisel veri işleme hacmi yüksek kuruluşlar için yıllık sızma testi fiilen zorunlu hale gelmiştir.

KVKK veri ihlali bildiriminde 72 saat nasıl hesaplanır?

72 saatlik süre, veri sorumlusunun ihlalden haberdar olduğu andan itibaren başlar. "Haberdar olma" anı; güvenlik sistemlerinin alarmı, çalışan bildirimi, üçüncü taraf uyarısı veya medya haberi ile olabilir. Hafta sonları ve resmi tatiller süreye dahildir. İhlalin tam kapsamı 72 saat içinde belirlenemiyorsa, mevcut bilgilerle ön bildirim yapılıp ardından detaylı bildirim gönderilmesi önerilmektedir.

KVKK uyumu için hangi ISO standartları yardımcı olur?

ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi) KVKK uyumu için en temel referanstır ve teknik/idari tedbirlerin sistematik uygulanmasını sağlar. ISO/IEC 27701 (Gizlilik Bilgi Yönetim Sistemi) doğrudan kişisel veri koruma süreçlerini adresler ve KVKK/GDPR uyumu için özel kontroller içerir. ISO 22301 (İş Sürekliliği) ve ISO 27018 (Bulutta Kişisel Veri Koruma) de tamamlayıcı standartlardır.

KVKK Kurulu denetiminde en çok hangi eksiklikler tespit ediliyor?

Kurul'un kamuoyuyla paylaştığı kararlarda en sık tespit edilen eksiklikler: yetersiz erişim kontrolü ve yetkilendirme, şifreleme eksikliği (özellikle veri tabanları ve taşınabilir medya), düzenli zafiyet taraması ve sızma testi yapılmaması, log yönetimi ve izleme yetersizliği, veri ihlali bildiriminde gecikme, çalışan farkındalık eğitimi eksikliği ve veri işleme sözleşmesi bulunmamasıdır.

Bulut hizmetleri kullanımında KVKK uyumu nasıl sağlanır?

Bulut hizmetleri kullanırken KVKK uyumu için: veri merkezinin Türkiye'de veya yeterli koruma kararı olan ülkelerde bulunmasına dikkat edin. Bulut sağlayıcı ile detaylı veri işleme sözleşmesi yapın. Verilerinizi transit ve durağan halde şifreleyin, anahtarları kendiniz yönetin. Bulut ortamını düzenli zafiyet taraması ve güvenlik değerlendirmesine tabi tutun. Erişim loglarını kendi SIEM sisteminize aktarın ve izleyin. Paylaşımlı sorumluluk modelini (shared responsibility) anlayın ve kendi sorumluluğunuzdaki alanları güvenceye alın.

İlgili Yazılar

SİTEY ile bu süreçleri tek platformda otomatikleştirin.

Sınırsız Demo İndir Platformu İnceleyin