Kişisel Verilerin Korunması Kanunu

Transkript

1 Kişisel Verilerin Korunması Kanunu Bilgilendirme ve Değerlendirme Sunumu SASDER Sektör Konuşuyor Toplantıları 15 Mart 2017

2 Türkiye de neler oluyor

3 Genel görünüm - mevzuat Yönetmelik, Kanun da belirlenen geçen prensipleri sağlık sektörü için özelleştirmiş, buna göre belirli alanlarda uygulama esaslarını belirlemiştir. 5 Veri işleme Merkezi sağlık veri sistemi ve kişisel sağlık kaydı sistemi Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistem ve kişilerin kendi verilerine erişimi sağlayan e- devlet uyumlu sistem. Açık rıza İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve muhafaza edilmesi hâlinde ilgili bilgiler rıza doğrultusunda işlenebilir ve aktarılabilir. İhlal bildirimi Veri ihlali durumunda Bakanlığa bildirim yapılır. Kişisel Sağlık Verileri Komisyonu Kanun ve Kurulca belirlenen hususlar hakkında Bakanlık politikalarına uygun şekilde görüş bildirmek, anlaşmazlıkları çözmek, şikayetleri incelemek, denetimleri yapmak önlemlerinin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir Veri aktarımı Kurumlar ve Bakanlık nezdinde paylaşımlar için veri aktarım protokolleri. Silme & anonimleştirme Kullanım amacı kalmayan veriler silinir ya da anonimleştirilir. Silinmesi talep edilen veriler Bakanlıkça kurulan merkezi sistemde arşivlenir, 10 yıl sonra yerel sistemden silinir. Sağlık Bilgi Sistemleri Genel Müdürlüğü Merkezi veri sisteminin kurulması, entegrasyonun sağlanması, gerekli standartların belirlenmesi, güvenlik alınması, Gizli - EY EY - SASDER KVKK Sunumu 3

4 Türkiye de kanunun etkilerini hangi alanlarda görüyoruz Veri sorumlusunun yükümlülükleri Suçlar ve kabahatler TCK uyarınca suçlar 1M TL ye varan idari cezalar Hukuki tanımlar: Açık rıza, kişisel veri, veri sorumlusu, vb. Kişisel verilerin işlenme şartları Kişisel verilerin silinmesi ya da anonimleştirme Kişisel verilerin aktarılması (yurt içi, yurt dışı) Kişisel veri sahibinin hakları Kişisel Veri Koruma sorumlusu atanması (CPO) Veri işleme, saklama ve imha süreçleriyle yeni gelebilecek rol ve sorumluluklar Tedarikçilerin ve hizmet sağlayıcıların rolleri Sürekli eğitim Kişisel veri keşfi ve envanteri Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Veri sınıflandırma, etiketleme Kimlik ve erişim yönetimi Veri gizliliği ve bütünlüğü koruma Veri kaçakları koruma Tedarikçi güvenliği (ör: bulut hizmet sağlayıcıları) Güvenlik izleme ve değerlendirme Güvenlik denetimleri Veri yaşam döngüsünün BT iz düşümü Veri mimarisi ve modeli Veri saklama, yedekleme ve kurtarma prosedürleri Veri imha ya da anonimleştirme teknolojileri Yönetim Kurulu başta olmak üzere, tüm üst yönetimin sorumluluğu, sahiplenmesi ve sponsorluğu Süreç modeli optimizasyonu ve süreç revizyonu Süreç kontrolleri Gizli - EY EY - SASDER KVKK Sunumu 4

5 Uyum aksiyon alanları Yönetişim ve organizasyon Süreçlerin adaptasyonu 1 KVKK sorumluluğu ve personelinin atanması KVKK ekibinin rol ve sorumluluklarının ve çalışma esaslarının tanımlanması Üst yönetim raporlama yöntem, zamanlama ve içeriklerinin tanımlanması 3 Talep ve şikayet yönetimi sürecinin nihai hale getirilmesi ve Şirket çapında uygulamaya konması, gerekli eğitimlerin verilmesi Kişisel veri ve paylaşım envanterleri ışığında gerekli olabilecek süreç değişikliklerinin değerlendirilmesi ve hayata geçirilmesi En önemli husus olarak KVKK etki değerlendirme çalışmalarının yeni ürün ve hizmet geliştirme süreçlerinin bir parçası haline getirilmesi Kişisel veri envanteri Otomasyon ve raporlama 2 KVKK için veri envanteri çalışmalarının tamamlanması 4 Süreç ve IT alanında çıkabilecek değişiklik ihtiyaçlarının IT tarafında ele alınması İç / dış veri paylaşım envanterinin tamamlanması ve buna ilişkin aksi Envanterdeki hukuk, mevzuat, uyum ve IT yorumlarına göre gerekli düzenlemelerin yapılması, buna ilişkin olası süreç ve IT değişiklik ihtiyaçlarının belirlenmesi Veri yönetimi tarafında gerekli otomasyon ihtiyaçlarının analiz edilmesi ve hayata geçirilmesi IT sistemlerindeki kayıt alma (log) ve gerekli olabilecek diğer güvenlik sistemi ihtiyaçlarına karar verilmesi, hayata geçirilmesi Gizli - EY EY - SASDER KVKK Sunumu 5

6 Organizasyon için neler yapılabilir? Gizli - EY EY - SASDER KVKK Sunumu 6

7 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Veri Yönetişim ve Koruma Komitesi KVKK sorumlusunun CxO ya ve İcra Komitesine raporlama yapabilmesi önerilmektedir. Organizasyon alanındaki öneriler İcra Komitesi CxO KVKK Müdürü / Sorumlusu KVKK konusunda Şirket çapında yürütülen faaliyetlerin organizasyonu, koordinasyonu ve yönetimi KVKK konusunda kaynak ihtiyacının tespit edilmesi Uyum ve sürdürülebilirlik için aksiyon planlarının belirlenmesi ve takip edilmesi KVKK konusunda ilgili politika, prosedür ve/veya talimatların değerlendirilmesi, onaylanması ve Şirket çapında duyurulması Personelin bilinçlendirilmesi için gerekli eğitim programlarının koordinasyonu Müşteriler, iş ortakları, Şirket personeli ve/veya Kurul / Kurum dan gelebilecek talep, istek ve şikayetlere ilişkin hazırlanacak çözümlerin ve raporlamaların koordinasyonu KVKK sorumlusunun sadece bu göreve atanmış ve başka görevi olmayan bir rol olması önerilmektedir. Örnektir KVKK Personeli Hukuk / Uyum Uzmanı KVKK sürecinin koordinasyonu ve operasyonu için KVKK konusunda uzman olarak 2-3 kişinin istihdam edilmesinde yarar görülmektedir. KVKK Personeli IT / Bilgi Güvenliği Uzmanı KVKK Personeli Süreç Uzmanı Gizli - EY EY - SASDER KVKK Sunumu 7

8 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Organizasyon alanındaki öneriler Yönetişim anlamında ilgili organizasyon belirlendikten sonra yapılması gereken 3 önemli husus bulunmaktadır 1 3 KVKK politikası Şirket çapında geçerli olacak Kişisel Verilerin Korunmasına ilişkin politikanın hazırlanması Eğitim ve farkındalık Kişisel verilern korunmasına yönelik gerek Kanun gerekse de diğer iyi uygulamalar ışığında tüm personelin düzenli olarak bilgilendirilmesi 2 KVKK uyum programının performans yönetimi Hedeflerin ve buna ilişkin performans göstergelerinin belirlenmesi, buna ilişkin ölçümlerin yapılarak düzenli olarak raporlanması Gizli - EY EY - SASDER KVKK Sunumu 8

9 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Organizasyon alanındaki öneriler Dünyada nasıl yönetiliyor? Kişisel bilgilerin korunmasıyla ilgili başlatılan programların gerekçeleri* Ek olarak organizasyonlarda işi yalnızca Kişisel Verilerin Korunması olan personelin oranının azlığı sebebiyle, eforun doğru ve konsantre bir şekilde yönlendirilememesi bir problem olarak gözükmektedir. Konu ile ilgili çalışanların yalnızca %36 sının* tek görevi Kişisel Bilgilerin Korunmasına yöneliktir * EY-IAPP Annual Privacy Governance Report 2015 Gizli - EY EY - SASDER KVKK Sunumu 9

10 Kişisel verileri nasıl yöneteceğiz? Gizli - EY EY - SASDER KVKK Sunumu 10

11 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Veri alanındaki öneriler Veri alanı, Kanun dan en çok etkilenen alanların belki de başında gelmektedir. Nitekim kişisel verilerin envanterinin hazırlanması, hangi üçüncü kişilerle paylaşıldığı, bunların hangi sistemlerde nasıl görüntülenebildiği ve izlerinin sürülebildiği gibi bir çok konu, veri yönetimi disiplini altında incelenebilmektedir. 1 Kişisel veri envanteri 2 Şirket içi ve dışı veri paylaşım envanteri 3 Açık rıza temin edilmesi 4 Veri yönetimi ve raporlama otomasyonu Kanal bazında ürün, hizmet, vb. türündeki farklılıklara göre ek değerlendirmeler Envanteri hazırlanan verilerden hangilerinin kişisel veri olarak tanımlanması gerektiğine karar vermek Envanteri hazırlanan verilerden hangilerinin yasal dayanaklara göre mecburen hangilerinin iş ihtiyaçları doğrultusunda alındığını tespit etmek Envanteri hazırlanan verilerden hangileri için açık rıza alınacağına karar vermek Kişisel verilerin gizliliği ve korunmasına ilişkin karşılıklı hükümler Kişisel veri paylaşılan taraf üzerinde Şirketin in kontrol ve gözetim hakkkı Şirket tarafından paylaşılan verileri işleyen ve/veya depolayan taraf üzerinde Şirket in denetim hakkı Paylaşılan verilerin kullanım süresi dolduğunda ya da amacı ortadan kalktığında, kişisel veri sahibi talebi uyarınca ilgili veri kayıt sistemlerinden silinmesi Açık rıza alınması gereken veriler, istisnalar, bunlar dışında kalan verilerin nasıl rızası alınacak? Rıza almak için hukuk, süreç ve BT değişiklikleri Bunların sistemler arası izlerinin nasıl sürüleceği ve raporlanacağı Düzenli olarak kontroller Kişisel Veri Envanteri nin hazırlanması sonrasında veri unsurlarının detaylı bir şekilde yönetilmesine imkan sağlanması Kanun kapsamında dışarıdan gelebilecek taleplere verilecek cevaplarda hangi veri unsurlarının hangi sistemler üzerinde ve/veya süreçlerde işlendiği, saklandığı vb. gibi gerekli bilgilere kılavuzluk edebilmesi Loglama ve raporlama yeteneklerinin KVKK uyarınca tespit edilmesi, gerekli ihtiyaçların analizi Gizli - EY EY - SASDER KVKK Sunumu 11

12 Süreçlerde öngörülen değişiklikler Gizli - EY EY - SASDER KVKK Sunumu 12

13 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Süreç optimizasyonu alanındaki öneriler Süreç optimizasyonu alanında atılması gereken adımlar aşağıdaki gibi gruplandırılabilir Kişisel veri edinimi ve veri işleme Kişisel Veri Envanteri hazırlığı sonrasında aşağıdakilerin değerlendirilmesi önerilmektedir: Yasal ya da iş ihtiyacı dışında toplanmasına gerek olmayan verilere ilişkin süreçlerde gündeme gelebilecek düzenlemeler Açık rızası alınması gereken müşteri ve hedef müşterilerde ve çalışanlarda buna ilişkin iş süreci değişiklikleri Talep ve şikayet yönetimi Şirket bünyesinde kişisel verileri saklanan müşteriler ya da hedef müşterilerden veya çalışanlardan gelebilecek taleplerin ve devamında şikayete dönebilecek konuların nasıl ele alınacağına dair yeni sürecin tasarlanması, buna ilişkin akış ve prosedürlerin hazırlanması kritik öneme sahiptir. Buna ilave olarak Kurul tarafından başlatılacak incelemelerde akışların nasıl olacağı belirlenmeli ve yazılı hale getirilmelidir. Tüm bu belirtilenler arasında en önemli husus, herhangi bir ihtiyaç durumunda Hukuk ekibini sürecin zorunlu bir parçası haline getirmek olacaktır. Yeni hizmet geliştirme Bu alan, Dünya da sıklıkla başarılamayan konulardan biridir. Şirket bünyesinde yeni bir ürün geliştirilirken daha analiz ve tasarım aşamalarında geliştirilmek istenen ürün ve/veya hizmet içerisinde KVKK açısından uyumsuzluk yaratabilecek unsurlar tespit edilecek şekilde ilgili değerlendirmelerin yapılması önerilmektedir. Bu değerlendirmelerin KVKK uyumunu gözetecek kişi(ler) tarafından yapılabilmesi önerilmekte olup, kritik olan husus, söz konusu değerlendirme adımının geliştirme, değişiklik vb. süreçlerde bir istasyon olarak belirlenmesi ve buna ilişkin yapılacakların da yazılı hale getirilmesi gerektiğidir. Gizli - EY EY - SASDER KVKK Sunumu 13

14 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Süreç optimizasyonu alanındaki öneriler Dünyadaki örneklere baktığımızda en önemli problemin KVK konusundaki etki analizlerinin ve Privacy by Design prensibinin süreçlere entegrasyonunun sağlanamaması olduğu görülmektedir. Bu anlamda buradaki başarı, genel KVKK uyum programının da uzun vadeli sürdürülebilirliği açısından önemli olarak değerlendirilmelidir. İş yapış modellerinde ve süreçlerinde kişisel verilerin korunmasına yönelik etki analizlerinin kullanımının düşük olması sebebiyle, bu konudaki ihlaller ve problemler ya çok uzun sürelerde tespit edilmekte, ya da hiç tespit edilememektedir. Yeni süreçlerde ve teknolojilerde yapılan etki analizleri 16% Etki değerlendirmelerine yakın gelecekte başlayacakların oranı 28% Etki analizleri plansız bir şekilde / ad-hoc uygulanmaktadır 23% Yeni süreçlerde ve teknolojilerde güvenlikle ilgili risklere bakanların oranı 33% KVK etki analizlerinin iş süreçlerine entegrasyonu* * EY, Global Information Security Survey, 2015 Gizli - EY EY - SASDER KVKK Sunumu 14

15 Bilgi güvenliği alanındaki öneriler Gizli - EY EY - SASDER KVKK Sunumu 15

16 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Bilgi güvenliği alanındaki öneriler Konu / Alan KVKK yönetişim yapısının teşkil edilmesi Kişisel Veri Envanterinin hazırlanması ve yönetimi Veri paylaşım listesinin hazırlanması ve yönetimi Bilgi güvenliği açısından değerlendirilmesi gereken hususlar Bilgi güvenliği ekibi olarak oluşturulacak üst komite / çalışma grubu yapısında yönetici seviyesinde temsil edilme Veri sınıflandırma çalışmasının güncellenmesi Gerekli güvenlik önlemlerinin ve erişim politikalarının değerlendirilmesi Şirket politika ve prosedürlerinde güncellemeler yapılması, bunların mevcut sistemler üzerindeki uygulamalarına dair değişikliklerin yapılması Veri kaçaklarını engelleyen çözümler ya da daha teknik eklentiler yapılması Veri erişim ve işlem loglarının ve bunlara dair sistemlerin değerlendirilmesi, gerekli ek loglama konfigürasyonlarının hazırlanması ya da yeni loglama sistemlerinin temin edilmesi Özellikle Şirket dışındaki taraflarla paylaşılan veriler açısından listenin değerlendirilmesi, risk değerlendirmesi yapılmamış paylaşımlar için Kanun da göz önünde tutularak ilgili önlemlerin güncellenmesi ya da tesis edilmesi Veri paylaşımının kayıt altına alınması adına BG ekibi olarak ilgili yönlendirmelerin yapılması, söz konusu kayıt sistemlerinin ve kayıtların güvenliğinin sağlanması Gizli - EY EY - SASDER KVKK Sunumu 16

17 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Bilgi güvenliği Süreç optimizasyonu Bilgi güvenliği alanındaki öneriler Son yıllardaki siber güvenlikle ilgili saldırılara baktığımızda kişisel verilerin, bu verilere erişim için kullanılan erişim bilgilerinin, yetkisiz bir şekilde en çok ifşa olan veriler arasında olduğunu görüyoruz. Bununla birlikte yetkisiz erişimlerden kaynaklı veri ihlallerin en çok kurumların içinden kaynaklı hatalar/saldırılar sebebiyle gerçekleşmesi de öne çıkan çarpıcı sonuçlardandır. Bu anlamda bilgi güvenliği alanındaki çalışmalar, kişisel verilerin korunmasına yönelik birçok unsur içereceğinden, KVKK uyum programının en önemli bileşenlerinden biri olacaktır. Son 1 yıl içinde siber saldırılar sonucu ifşa olan bilgilerin oranı* Verilere ilişkin ihlallerin kaynakları ve oranları* * Forrester, Understand the state of data security and privacy: 2015 to 2016 Gizli - EY EY - SASDER KVKK Sunumu 17

18 Başarıyı nasıl ölçeceğiz?

19 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Performans Değerlendirme ve Denetim Bilgi güvenliği Süreç optimizasyonu KVKK uyum programının performans yönetimi Hedeflerin ve buna ilişkin performans göstergelerinin belirlenmesi, buna ilişkin ölçümlerin yapılarak düzenli olarak raporlanması Performans değerlendirme Örnek performans göstergelerine ilişkin alanlar ya da konular şunlar olabilir: KVKK raporlamasının otomasyonu KVKK kontrollerini otomasyonu (veri yönetimi, veri kaçaklarını koruma, vb.) Süreçlerde tamamlanan KVKK etki analizi çalışmaları KVKK eğitim tamamlanma oranı Üçüncü taraflarda gerçekkeltirilen denetim / inceleme çalışmaları Kişisel veri envanterinin tamamlanma durumu KVKK ya ilişkin gelen taleplerin karşı tarafı tatmin edecek şekilde kapatılması oranı KVKK konusunda yaşanan ihlaller, cezalar Gizli - EY EY - SASDER KVKK Sunumu 19

20 Organizasyon Veri yönetimi Hukuk Kişisel Verilerin Korunması Kanunu Performans Değerlendirme ve Denetim Bilgi güvenliği Süreç optimizasyonu Düzenli denetim çalışmaları Kanun kapsamında düzenli denetimlerin yaptırılması zorunlu kılınmıştır. İç denetim Şirket nın iç denetim fonksiyonu tarafından düzenli olarak gerçekleştirilecek denetim çalışmalarıdır Yurtdışı ortaklar tarafından gelebilecek denetimler de bu kategoride dğeerlendirilebilecektir. Bu anlamda Kurul tarafından başkaca bir yönlendirme gelmese bile Şirket yönetimlerinin gerek iç, gerekse de dış denetim çalışmalarıyla KVKK uyum durumunun bağımsız ekiplerce durum tespitine yönelik inisiyatif göstermesi beklenecektir. Dış denetim Tedarikçilerin denetimi Kurul ve/veya sektörel düzenleyici tarafından düzenli ya da düzensiz KVKK uyumu konusunda yürütülebilecek denetim çalışmalarıdır Bunun dışında Şirket yönetimi konu hakkında yetkin ve tecrübeli dış firmalardan da benzer şekilde çalışmalar gerçekleştirilmesini isteyebilir Şirket nın iç denetim fonksiyonu tarafından ya da Şirket yönetimi tarafından tutulacak bir dış danışman tarafından KVKK uyumu açısınan kritik görülen tedarikçi / destek hizmeti firmaları bünyesinde gerçekleştirilecek denetimlerdir Yoğun veri paylaşımı yapılan firmalar buna en büyük adaylardır (çağrı merkezi, kart & çek basım, vb) Denetim çalışmaları yanda belirtilen farklı alanlarda uygulanabilir. Diğer güvence seçenekleri Privacy SOC 2/3 raporlama seçenekleriyle dış paydaşlara karşı güvence oluşturulması Benzer çalışmaların ve raporlamaların tedarikçi firmalardan da talep edilmesi Gizli - EY EY - SASDER KVKK Sunumu 20

21 Sektöre ilişkin uyum riskleri

22 Uyum riskleri (1/4) Risk alanı & konusu Gerçekler ve trendler Sorulması gereken sorular Hizmet kanallarının ve üçüncü kişilerin fazlalığı Dijitalleşmeyle birlikte pazarlama ve hizmet kanallarında artış (internet, mobil, sosya medya, vb.) Sektörün doğası gereği veri alışverişi yapılan bir çok kurum ve kuruluş bulunması (Sağlık Bakanlığı, SGK, sigorta firmaları, asistan firmalar, v.b) BT uygulamaları ve sistemleriyle ilgili olarak dış firmalara bağımlığın yüksek olması, hassas verilere erişimlerin yeterli derecede kontrol edilememesi Üçüncü partilerle hizmet ve bilgi alışverişi sözleşmelerim var mı? Bunlar KVKK açısından uygun mu? Kişisel verilerin bu taraflarca hangi amaçlarla nasıl kullanıldığının çerçevesi belli mi, bunu takip edebiliyor muyum? Bu verilere kimler nasıl ve hangi koşullarla erişebiliyor, bunların kontrolünü nasıl sağlıyorum? Yasal paylaşımlar haricindekiler için denetim ve gözetim fonksiyonum bulunuyor mu, bu denetim ve gözetimler için sözleşmesel bir hakkım var mı? Gizli - EY EY - SASDER KVKK Sunumu 22

23 Uyum riskleri (2/4) Risk alanı & konusu Gerçekler ve trendler Sorulması gereken sorular Organizasyon yapısındaki belirsizlikler, eksiklikler Konunun sadece bir BT sorumluluğu olarak görülmesi BT biriminin şirketler içindeki temsil ve yaptırım gücü gerekse de kaynak problemleri sebebiyle konunun sahipliğinde eksiklikler Kanundaki yaptırım ve cezalar sebebiyle sorumlu atama konusunda yaşanabilecek zorluklar Özellikle hasta verisinin birçok iş birimi tarafından kullanıyor olması nedeniyle kişisel verilerin sahipliğinde yaşanan sorunlar Yönetim kurulu başta olmak üzere üst yönetim yeterince bilgilendirildi mi? Kurum içinde, ana ortaklıklardan da gelen herhangi benzer bir sorumluluk var mı? Sektör neler yapıyor, araştırıldı mı? Roller ve sorumluluklar için İK ile iletişim kuruldu mu? Yeni roller ve sorumluluklar için ilgili kişilere eğitim verildi mi? Veri sahipliği konusunda herhangi bir çalışma yapıldı mı? Gizli - EY EY - SASDER KVKK Sunumu 23

24 Uyum riskleri (3/4) Risk alanı & konusu Gerçekler ve trendler Sorulması gereken sorular Süreç ve veri yönetimi konusundaki eksiklikler Kişisel verilere ilişkin envanterlerin eksikliği, dağınık bir şekilde bulunması ya da gerekli detaylara sahip olmaması İş modeli ve süreçlerinde kişisel verilerin kullanımıyla ilgili unsurların detaylı bir şekilde görünür olmaması Hukuki açıdan gerek Kanun dan kaynaklı gerekse de saha uygulamalarındaki muhtemel zorluklar sebebi ile açık rızanın temini, veri işleme, silme / anonimleştirme vb. konularındaki belirsizlikler Veri kalitesi problemleri Şirketimize özel bir Kişisel Veri Tanımımız var mı? Kişisel verilerin yaşam döngüsü belirlendi mi? Buna ilişkin süreç akışları, yazılı talimatlar vb. hazırlandı mı? Kişisel verilerin hangi sistem ve süreçler tarafından kullanılabildiğine dair bir envanter çalışması yapıldı mı? Farklı sistemler arası entegrasyon ya da veri uyumsuzluklarından kaynaklı kalite, mükerrerlik, ya da iz sürememe durumlarına ilişkin tespit / değerlendirme yapıldı mı? Doğrudan kontrol edemediğimiz veri kaynaklarına ilişkin bir politika oluşturuldu mu? Yakın zamanda süreç ve sistemlere ilişkin bir dönüşüm planlanıyorsa, bunların KVKK açısından etkisi değerlendirildi mi? Gizli - EY EY - SASDER KVKK Sunumu 24

25 Uyum riskleri (4/4) Risk alanı & konusu Gerçekler ve trendler Sorulması gereken sorular İç kontrol yapısındaki eksiklikler Sektördeki genel iç kontrol yapısı ve önlemleri mevzuat boşluğu sebebiyle veri koruma programlarının güncel olmaması ya da düzenlemesi olan sektörlerin gerisinde bulunması BT uygulamaları ve sistemleriyle ilgili olarak dış firmalara bağımlığın yüksek olması sebebiyle hassas verilere erişimlerin yeterli derecede kontrol edilememesi Mevcut durum tespiti açısından önceki dönemlere ait denetim, teftiş, inceleme vb. çalışmalar incelenip, iç kontrol ve erişim açısından problem olup olmadığı değerlendirildi mi? Hassas verilere ilişkin bir sınıflandırma var mı? Üçüncü kişilere ilişkin erişimler kontrol altında mı? Bunlar geriye dönük izlenebiliyor mu? Gizli - EY EY - SASDER KVKK Sunumu 25

26 Sağlık sektörüne özel tartışılması gereken bazı hususlar Sigorta ve Asistan firmalarla kontrolsüz bir şekilde paylaşılan veriler? Laboratuar numunelerinin paylaşımı? E-nabız ve Medula üzerinden eskiden alınmış olan verilerin sınıflandırılması / silinmesi? Hasta bilgileri gizliği Gizli - EY EY - SASDER KVKK Sunumu 26

27 Teşekkürler