İDARİ TEDBİRLER

Mevcut risk ve tehditlerin belirlenmesi: Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.

Çalışanların eğitilmesi ve farkındalık çalışmaları: Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusundan büyük önem taşımaktadır.

Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanısıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir. Kişisel veri içeren ortamlara erişim hakkı verilirken temel prensip: izin verilmedikçe her şey yasaktır. Çalışanlar işe alınırken gizlilik anlaşmaları imzalatılmalı, güvenlik politika ve prosedürlerine uyulmaması durumunda disiplin süreci başlatılmalıdır.

-Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi:

-Kişisel verilerin mümkün olduğunca azaltılması:

-Veri işleyenler ile ilişkilerin yönetimi: Veri sorumluları, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir.

Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi, kişisel veri saklama ve imha politikasına uygun olması, süresi sır saklama yükümlülüğüne tabi olması, herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun belirtilmesi, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmesi gerekmektedir.

İdari Tedbirleri Özet Tablosu:

Kişisel veri işleme envanteri hazırlanması

Kurumsal politikalar (Erişim, bilgi güvenliği, kullanım, saklama ve imha vb.)

Sözleşmeler (veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen arasında)

Gizlilik taahhütnameleri

Kurum içi periyodik ve/veya rastgele denetimler

Risk analizleri

İş sözleşmesi, disiplin yönetmeliği (Kanuna uygun hükümler ilave edilmesi)

Kurumsal iletişim (Kriz yönetimi, kurul ile ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb.)

Eğitim ve farkındalık faaliyetleri (Bilgi güvenliği ve kanun)

Veri sorumluları sicil bilgi sistemine (VERBİS) bildirim

 

TEKNİK TEDBİRLER:

-Siber güvenliğin sağlanması: Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. İyi yapılandırılmış bir güvenlik duvarı, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimi önleyebilir. Kullanılmayan yazılım ve servislerin cihazlardan kaldırılması da potansiyel güvenlik açıklarının azalmasına yardımcı olacaktır. Çalışanlara yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır.

-Kişisel veri güvenliğinin takibi:

-Kişisel veri içeren ortamların güvenliğinin sağlanması:

-Kişisel verilerin bulutta depolanması:

-Bilgi Teknolojileri Sistemleri tedariği, geliştirme ve bakımı:

-Kişisel verilerin yedeklenmesi:

 

Teknik Tedbirleri Özet Tablosu:

Yetki Matrisi

Yetki Kontrol

Erişim Logları

Kullanıcı Hesap Yönetimi

Ağ Güvenliği

Uygulama Güvenliği

Şifreleme

Sızma Testi

Saldırı Tespit ve Önleme Sistemleri

Log Kayıtları

Veri Maskeleme

Veri Kaybı Önleme Yazılımları

Yedekleme

Güvenlik Duvarları

Güncel Anti-Virüs Sistemleri

Silme, Yok Etme veya Anonim Hale Getirme

Anahtar Yönetimi