top of page
HESAP KONTROLÜ TETRA BİLİŞİM

KVKK Uyumunda Yetki Kontrol Süreci ve Erişim Yetki Matrisi

Kişisel Verilerin Korunması Kanununa Bakış

Kişisel Verilerin Korunması Kanunu (KVKK) kurum ve kuruluşların işledikleri kişisel verileri koruması için uygun teknik ve kurumsal önlemleri alma yükümlülüğü getirir. Uzun yıllar boyunca düzenlemenin çıkması beklenmiş, Meclis ve pek çok platformda yapılan çalışmalar ve tartışmalar sonucunda 2016 yılında Kanun taslağı mecliste kabul edilmiştir. Kanun 2016 yılı mart ayında çıkmasına rağmen, Kanuna ait ikincil düzenlemeler 2017 Ekim ayında yayımlanan ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’ ve devamında gelen diğer ikincil düzenlemelerle daha uygulanabilir hale gelmiştir. 

 

Bununla birlikte Kanunun ‘Veri güvenliğine ilişkin yükümlülükler’ başlıklı 12’nci maddesi veri sorumlularının uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalarını şart koşmaktadır. Bu konuda Kanun özellikle üç konuda gerekli tedbirlerin almasını istemektedir. Bunlar;​

 

olarak sıralanmıştır. Dolayısıyla kişisel verilerin işlenmesi, erişilmesi ve muhafazası kapsamında idari ve teknik tedbirlerin alınması şarttır. 

Kurumun kişisel verilerin korunmasına yönelik süreçte veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu (Kurul) tarafından Kişisel Veri Güvenliği Rehberi (Rehber) hazırlanmıştır. 

Rehber teknik tedbirlere yönelik olarak on yedi madde içeren bir tablo içermektedir ve bu tablonun iki önemli konusu “Yetki Kontrol” ve “Erişim Yetki Matrisi” olarak belirlenmiştir. 

Yetki Kontrolü Nedir? 

Kişisel verilerin hukuka aykırı erişilmesini önlemek, Kanunun 12’nci maddesi gereğince alınması gereken bir tedbirdir. Hangi kişisel verilere kimin hangi ortamlardan erişeceğini belirlemek için öncellikle veri analizi yapılarak kişisel verilerin elektronik ya da fiziksel olarak saklandığı alanları tespit etmek gerekmektedir. Bu tespit çalışması mutlaka kişisel verilerin türleri dikkate alınarak yapılmalıdır. Örneğin kurumsal amaçlarla kullanılan bir ERP yazılımının hangi modülünde hangi tür (sağlık bilgisi, kimlik bilgisi, finans bilgisi gibi) kişisel verilerin bulunduğu ayrı ayrı ele alınmalıdır. 

 

Kişisel verilerin tespit edilmesi sürecinde elde edilen bilgiler Kişisel Veri Envanteri adı verilen bir veri haritası tablosuna kaydedilmelidir. Bu bilgilerin bir tablo üzerinden takip edilmesi hem güncellemelerin yapılması hem de haritalama açısından kolay sağlamaktadır. 

 

Kişisel verilerin saklandığı alanlar ve veri türleri tespit edildikten sonra, hangi kullanıcıların bu alanlara nasıl bir yetkiyle (okuma, yazma, yönetici gibi) erişebileceği planlanmalıdır. Bu planlama ve uygulama süreci yetki kontrol süreci olarak adlandırılmaktadır. 

 

Yetki kontrol sürecinin elektronik ortamlarda yönetilmesi için kimlik doğrulama sistemleri kullanılmalıdır. Etki alanı denetleyici uygulamalar (Domain Controller, SAMBA gibi) kullanılarak e-posta, kurumsal uygulamalar (ERP, CRM, SAP gibi) ve web tabanlı uygulamalara girişlerde merkezi kimlik doğrulama yazılımları ile erişim yetkileri kontrol edilmeli ve doğrulama yapılmalıdır. 

 

Erişim yetkileri kontrol edilirken hassas verilerin ya da özel nitelikli kişisel verilerin tutulduğu alanlar için iki faktörlü ya da çok faktörlü doğrulama yapılmalıdır. 

Kişisel Veri Türleri Hangileridir?

KVKK tarafından yayımlanan ikincil düzenlemeler ve rehberler dikkate alındığında 25 adet veri kategorisi belirlenmiştir. Bunlar Kimlik Bilgisi, İletişim Bilgisi, Lokasyon Verisi, Özlük Bilgisi, Sağlık Bilgisi gibi kategorilerdir. Bu kategoriler dışında kuruluşlar farklı veri sınıfına girdiğini düşündüğü veri tipleri için kategori oluşturabilmektedir. 

Bilgi Varlığı Nedir?

Belgelerin, görüntülerin, seslerin, evrakların ve her türlü verinin saklandığı fiziksel ve elektronik bilgi işleme ortamlarına bilgi varlığı denmektedir. Sunucular, depolama üniteleri, veri içeren ağ cihazları, kurumsal yazılım ve uygulamalar (ERP, SAP vb.) birer bilgi varlığıdır. 

Kişisel verilerin hukuka aykırı işlenmesini önlemek,

Kişisel verilerin hukuka aykırı erişilmesini önlemek,

Kişisel verilerin muhafazasını sağlamak.

Erişim Yetki Matrisi Nedir?

Erişim Yetki Matrisi, bir kuruluş tarafından kullanılan bilgi varlıklarına, hangi kullanıcıların hangi yetki düzeyinde eriştiğini gösteren tablodur. Ayrıca, KVKK gereğince hangi kişisel veri türlerine hangi kullanıcıların eriştiği bilgisinin de bu tabloda tutulması gerekmektedir.

Erişim Yetki Matrisi, filtrelenebilir bir yapıda tutularak; kimin hangi ortamlara giriş yetkisi olduğu ya da hangi veri tiplerini görebildiği ile ilgili sorulara hızlıca yanıt verebilecek yapıda tutulması önemlidir. Ayrıca yetki matrisi, yetki değişimlerinde (işten ayrılma, görev değişikliği vb.) mutlaka gecikmeksizin güncellenmelidir. Güncellemeler merkezi olarak yönetilmeli ve farklı birimlerde farklı versiyonların oluşmasına izin verilmemelidir. 

Matriste bilgi varlıklarına erişen personele ilişkin bilgiler yer almalıdır. Bu alanda personelin çalıştığı birim, alt birim bilgileri girilmeli, personelin görev ya da rolü yer almalıdır. Bu alanın doldurulması için kuruluş bünyesinde çalışan tüm personel bilgileri, çalıştıkları birimler ve rollerini de içerecek şekilde İnsan Kaynakları biriminden alınmalı ve matrise dahil edilmeyen personel bırakılmamalıdır. 

Aynı bilgi varlıklarına ve kişisel veri tiplerine erişim yetkisi olan personel için gruplandırma yapılabilir. Örneğin, web tabanlı bir uygulamada kullanıcı yetkileri için gruplandırma yapılmışsa (mutemet, güvenlik görevlisi gibi) ve bu kategorideki kişiler aynı veri tiplerini görebiliyor ise bu grupta yer alan personel için tek tek satır oluşturmadan rolleri yazılarak da ilgili satır doldurulabilir. Ancak bu durumda, grup içerisinde yer alan tüm personelin aynı bilgi varlıklarına ve kişisel veri tiplerine eriştiğinden emin olunmalıdır, aksi taktirde gruplandırma yapılmamalıdır. 

Erişim Yetki Matrisi bilgi varlıklarını, kişisel veri tiplerini ve kritik öneme sahip fiziksel ortamları da içermelidir. Kuruluş tarafından kullanılan tüm kurumsal uygulamalar, yazılımlar, veri içeren donanımlar ve web uygulamaları gibi varlıklar bu alanda yer almalıdır. Bu aşmada kuruluş tarafından kullanılan tüm bilgi varlıklarının listesi çıkarılmalıdır. Tüm birimlerle görüşülerek kullandıkları bilgi varlıkları istenmeli ve gözden kaçan uygulama, yazılım ya da donanım olmadığına dikkat edilmelidir.

KULLANICI HESAP YÖNETİMİ

Kullanıcı hesap yönetimi, firmaların domain sisteminde bulunan kullanıcıların ve donanımların kimlik doğrulama ve yetkilendirme süreçlerinin merkezi olarak yönetilmesidir. Kullanıcıların çalışma ortamları, yönetimsel ihtiyaçları doğrultusunda kısıtlamalar yapılmaktadır. Böylece ağ kaynakları daha verimli şekilde kullanılmaktadır.

bottom of page