Kişisel Verilerin Korunmasında Güvenlik Tedbirleri

21 05 2011 | Ekleyen: | Konu: Bilgi Güvenliği, Güvenlik Uzmanlık Alanları

Günümüzde hemen hemen tüm resmi ve özel kurumlar, personeline, tedarikçilerine ve müşterilerine ait kişisel verileri bünyesinde bulundurmaktadır. Bu veriler, sahip olanların koruması gereken kurumsal değerlerdir ve kişisel verilerin güvenliğinin ihlal edilmesi, kurumlara ve bu ihlallere sebep olanlara yasal ve ticari sorumluluklar yükleyebilecektir. 

Türkiye?de halen kişisel verilerin korunması ile ilgili dört başı mağrur bir kanun çıkarılmamış olsa da, çeşitli kanun ve yönetmeliklerde bu konuda bazı düzenlemeler bulunmaktadır. Ancak, kişisel verilerin usülüne uygun korunmaması nedeniyle gizliliğinin ihlal edilmesi ve ilgisiz kişilerin erişimine açılması, her şeyden önce kurumun prestijinde ve kendisine duyulan güvende  önemli kayıplara sebep olması açısından önlenmesi gereken bir husustur.

Çalışanların, tedarikçilerin ve müşterilere ait aşağıdaki bilgiler, kişisel veri kapsamında değerlendirilmelidir.

  • İsimleri,
  • Adresleri ve telefon numaraları,
  • TC kimlik numaraları,
  • Sosyal Güvenlik Kurumu bilgileri
  • Banka hesap numaraları
  • Anne kızlık soyadı bilgileri,
  • Kredi kartı numaraları ve güvenlik kodu bilgileri
  • Adli sicil kaydı bilgileri,
  • Sağlık kayıtları

Kişisel verilerin çalınma yöntemleri, çöpleri karıştırma gibi en basit yöntemlerden, bilgi sistemlerine sızmaya kadar karmaşık yöntemlere kadar değişmektedir. Bunlara ait bazı örnekler aşağıdadır. 

  • Resmi görevli görüntüsüyle görevlileri kandırarak ele geçirmek,
  • Kişisel verileri içeren bilgisayarları çalmak,
  • Kişisel verilerin saklandığı odalara, kasalara, dolaplara girmek,
  • Verilerin depolandığı yedekleme ünitelerini çalmak,
  • Verilerin yanlışlıkla başkalarına teslim edilmesi, web sitesinde yayımlanması, e-posta ile gönderilmesi,
  • Verileri işleyen yüklenici firma personelinin hataları veya suistimalleri
  • Verilerin saklanması için gerekli özenin gösterilmemesi,

Kişisel verilerin korunması için hangi tedbirler alınmalıdır?

  • Verilerin kurum içerisindeki işlem prosedürleri kontrol altında tutulmalıdır. Bunlardan başlıcaları;
    • Verilerin toplanma usüllerinin belirlenmesi 
    • Verilerin saklanma usüllerinin belirlenmesi
    • Yedekleme yöntemlerinin belirlenmesi,
    • Erişim yetkilerinin belirlenmesidir. 
  • Hangi verilerin toplanması gerektiğinin belirlenmesi, gereksiz verilerin toplanmaması,  
  • Verilere erişimin kısıtlanması,
    • sadece yetkili ve bilmesi gereken kişilere erişim izni verilmesi,
    • verilerin kilit altına alınması,
    • kurum dışına çıkarılması halinde izlenecek yöntemlerin belirlenmesi,
  • Verilere ihtiyaç kalmadığında nasıl imha edileceğinin belirlenmesi,
    • Yakma
    • Kırpma
    • Parçalama
    • Elektronik verilerin silinmesi için yazılım kullanılması,
  • Verilerin gizliliğinin ihlali halinde kurumsal reaksiyonun planlanması

Kişisel verilerin gizliliğinin sağlanması maksadıyla Güvenlik birimleri tarafından alınabilecek tedbirler 

  • Verilerin saklandığı mekanlarda anahtar kontrolünün sağlanması,
  • Giriş kontrol sistemlerinin kullanılması,
  • Ziyaretçi ve yüklenici firma personelinin bina içi hareketlerinin kontrol altında tutulması,
  • Bina içinde evrak ve medya imha cihazlarının kullanılması,
  • Bina ve tesisin atık toplama ve imha işlemlerinin kontrol altında tutulması,  
   

Yorum Yapın