KVKK teknik ve idari tedbirler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin veri sorumlularına yüklediği “uygun güvenlik düzeyini sağlamaya yönelik” önlemlerdir. Teknik tedbirler sistemlerde alınan somut güvenlik kontrollerini (şifreleme, erişim yönetimi, loglama, yedekleme, sızma testi), idari tedbirler ise politika, eğitim, sözleşme ve süreç düzeyindeki düzenlemeleri kapsar. Bu yazıda, bir işletmenin denetime ve veri ihlaline karşı hazır olması için sahada uygulanabilir bir kontrol listesi sunuyoruz; ağırlığı teknik tarafa veriyoruz.
KVKK teknik ve idari tedbirler arasındaki fark nedir?
İkili ayrım Kişisel Verileri Koruma Kurumu’nun (KVKK) yayımladığı “Kişisel Veri Güvenliği Rehberi”nden gelir. Teknik tedbirler bir BT uzmanının kurguladığı, ölçülebilir ve denetlenebilir kontrollerdir: güvenlik duvarı kuralı, disk şifrelemesi, log kaydı, yetki matrisi. İdari tedbirler ise insan ve süreç odaklıdır: kim hangi veriye neden erişiyor, çalışanlar gizlilik taahhüdü imzaladı mı, bir ihlal anında hangi prosedür işliyor.
İki taraf birbirinden ayrılamaz. En güçlü şifreleme bile, parolayı bir kağıda yazan ya da yetkisini bırakırken hesabı kapatılmayan bir çalışanla anlamını yitirir. Bu nedenle KVKK uyumu, teknik ve idari kontrollerin birlikte ve sürekli işletilmesini gerektirir.
Hangi teknik tedbirler mutlaka alınmalı?
Aşağıdaki başlıklar, kişisel veri işleyen hemen her işletme için temel kabul edilir. Sektör, veri hacmi ve özel nitelikli veri (sağlık, biyometrik, ceza mahkûmiyeti vb.) işlenip işlenmediğine göre derinlik artar.
| Tedbir | Ne yapılır | Pratik araç/yöntem |
|---|---|---|
| Yetki ve erişim yönetimi | En az yetki ilkesi, rol bazlı erişim, ayrılan personelin hesabının anında kapatılması | Active Directory/LDAP, rol matrisi, periyodik yetki gözden geçirme |
| Kimlik doğrulama | Güçlü parola politikası + çok faktörlü doğrulama (MFA) | MFA, parola yöneticisi, oturum zaman aşımı |
| Şifreleme | Hareketli ve duran verinin şifrelenmesi | TLS/HTTPS, veritabanı/disk şifreleme, VPN |
| Loglama ve izleme | Erişim ve işlem kayıtlarının tutulması, kayıtların değiştirilemez saklanması | Merkezi log sunucusu/SIEM, NTP ile zaman senkronizasyonu |
| Yedekleme ve kurtarma | Düzenli yedek + yedeğin geri dönüş testi | 3-2-1 yedek kuralı, çevrimdışı/offsite kopya |
| Ağ güvenliği | Sınır güvenliği, segmentasyon, saldırı önleme | Yeni nesil güvenlik duvarı, IPS, ağ bölümleme |
| Zafiyet ve sızma testi | Düzenli zafiyet taraması ve periyodik sızma testi | Otomatik tarayıcı + yetkili sızma testi raporu |
| Uç nokta güvenliği | Anti-malware, güncel yama, cihaz şifrelemesi | EDR/antivirüs, yama yönetimi |
Bu listede en sık atlanan iki kalem logların değiştirilemez saklanması ve yedeğin geri dönüş testidir. Log tutmak yeterli değildir; bir ihlal soruşturmasında kayıtların bütünlüğü ve doğru zaman damgası kritik olur. Aynı şekilde, test edilmemiş yedek aslında bir yedek değildir.
Şifreleme: nerede ve nasıl?
Şifrelemeyi iki katmanda düşünün. Hareketli veri (in-transit): web sitesi, e-posta, uzaktan erişim trafiği TLS/HTTPS veya VPN ile korunmalıdır. Duran veri (at-rest): veritabanları, dosya sunucuları, dizüstü diskleri ve yedek ortamları disk/birim düzeyinde şifrelenmelidir. Özel nitelikli kişisel veriler için Kurum, şifrelemenin yanı sıra anahtar yönetiminin de güvenli yürütülmesini bekler. Şifreleme anahtarlarının verinin tutulduğu yerden ayrı ve erişimi kısıtlı saklanması iyi bir pratiktir.
Loglama: ne kaydedilmeli?
Asgari olarak; kim, ne zaman, hangi kayda, hangi işlemi yaptı (okuma, değiştirme, silme, dışa aktarma) bilgisi tutulmalıdır. Sunucularda zaman kaynağının NTP ile senkron tutulması, farklı sistemlerin loglarını birlikte yorumlayabilmek için şarttır. Logların yetkisiz değişikliğe karşı korunması ve makul bir süre saklanması beklenir.
Sızma testi: ne sıklıkla?
Zafiyet taraması otomatik ve sık (örneğin aylık) yapılabilir; sızma testi ise uzman eliyle yürütülen, gerçek saldırgan bakış açısıyla yapılan derin bir testtir. Yaygın iyi uygulama, sızma testinin yılda en az bir kez ve önemli altyapı değişikliklerinin ardından tekrarlanmasıdır. Test sonrası bulguların kapatıldığını doğrulayan bir kontrol turu (re-test) süreci tamamlar.
Hangi idari tedbirler gerekli?
Teknik kontroller ne kadar güçlü olursa olsun, idari tedbirler olmadan KVKK uyumu eksik kalır. Temel başlıklar şunlardır:
- Kişisel veri envanteri ve işleme süreçleri: Hangi veriyi, neden, hangi hukuki sebeple, ne kadar süre işlediğinizi yazılı olarak bilmek.
- Politika ve prosedürler: Kişisel veri saklama ve imha politikası, erişim politikası, ihlal müdahale planı.
- Aydınlatma metni ve açık rıza yönetimi: İlgili kişilere yönelik şeffaf bilgilendirme.
- Çalışan farkındalık eğitimi: Oltalama (phishing), parola hijyeni ve veri paylaşımı konularında düzenli eğitim.
- Gizlilik taahhütleri ve sözleşmeler: Çalışan gizlilik taahhüdü; veri işleyen tedarikçilerle (hosting, yazılım, muhasebe) veri işleyen sözleşmeleri.
- VERBİS kaydı: Yükümlülük kapsamına giriyorsanız Veri Sorumluları Sicili kaydının güncel tutulması.
Eşik değerleri (örneğin VERBİS kayıt zorunluluğu için çalışan sayısı ve ciro kriterleri) zaman zaman güncellenebildiğinden, kendi durumunuz için güncel resmi kaynağı, yani kvkk.gov.tr üzerindeki açıklamaları kontrol edin ya da bir uzmandan destek alın.
Bir veri ihlalinde ne yapılmalı?
KVKK, kişisel veri ihlalini öğrenildiği tarihten itibaren makul bir süre içinde Kurula bildirmeyi öngörür; mevcut uygulamada bu süre genellikle “en kısa sürede ve 72 saat içinde” şeklinde ifade edilir. İlgili kişilere de uygun yöntemle bildirim yapılması beklenir. Bu yüzden işletmenizde önceden hazır bir ihlal müdahale planı bulunmalı: kim haberdar edilecek, deliller nasıl korunacak, etki nasıl ölçülecek ve kim bildirim yapacak. Bildirim süreleri ve yöntemleri değişebileceğinden güncel Kurul kararlarını ve rehberlerini takip etmek önemlidir.
KVKK teknik tedbirler için Giza Teknoloji nasıl yardımcı olur?
Gaziantep Şehitkamil merkezli Giza Teknoloji, hem Logo Yazılım yetkili Netsis bayisi hem de kurumsal BT hizmetleri sağlayıcısı olarak teknik tedbirlerin kurulum ve işletim tarafında destek verir:
- Server ve Güvenlik / Fortinet hizmetleri ile güvenlik duvarı, ağ segmentasyonu, VPN ve sınır güvenliği kurgusu.
- Donanım ve Bakım kapsamında yedekleme altyapısı, uç nokta güvenliği ve yama yönetimi.
- Özel Yazılım Hizmetleri (PDKS, Tapu, Desen) tarafında erişim ve loglama gereksinimlerinin uygulamaya işlenmesi.
- Netsis 3 ERP ve e-Dönüşüm çözümlerinde kullanıcı yetkilendirme ve veri erişim disiplini.
- Proje ve İş Zekası ile log/erişim verilerinin izlenebilir raporlanması.
ERP ve saha satış süreçleriniz için Xenon çözümümüzü, kurumsal kimliğimiz için Hakkımızda sayfasını inceleyebilirsiniz.
Sıkça Sorulan Sorular
KVKK teknik ve idari tedbirler her işletme için zorunlu mu? Kişisel veri işleyen her veri sorumlusu, 6698 sayılı Kanun’un 12. maddesi gereği uygun güvenlik düzeyini sağlamakla yükümlüdür. Tedbirlerin kapsamı ve derinliği; işlenen verinin niteliğine (özellikle özel nitelikli veri), hacmine ve riske göre değişir.
Sızma testi yaptırmak yasal bir zorunluluk mu? Kanun belirli bir testi ismen şart koşmaz; ancak Kurum’un rehberlerinde zafiyet taraması ve sızma testi, “uygun güvenlik düzeyini” sağlamanın beklenen pratikleri arasında yer alır. Özellikle özel nitelikli veri işleyen kurumlar için periyodik test güçlü biçimde tavsiye edilir.
Yedekleme tek başına yeterli bir tedbir midir? Hayır. Yedek almak gerekli ama yeterli değildir. Yedeğin düzenli geri dönüş testiyle çalıştığının doğrulanması, en az bir kopyanın çevrimdışı/offsite tutulması ve yedeklerin de şifrelenmesi beklenir.
VERBİS kaydı şart mı? VERBİS (Veri Sorumluları Sicili) kayıt zorunluluğu belirli eşiklere bağlıdır ve istisnalar bulunur. Eşik kriterleri güncellenebildiğinden, kendi durumunuz için kvkk.gov.tr üzerindeki güncel açıklamaları kontrol edin veya uzman desteği alın.
Bir veri ihlalini ne kadar sürede bildirmeliyim? Mevcut uygulamada ihlalin “en kısa sürede ve 72 saat içinde” Kurul’a bildirilmesi beklenir; ilgili kişilere de uygun yöntemle bildirim yapılır. Süre ve yöntemler değişebileceğinden güncel Kurul kararlarını takip edin.
KVKK teknik tedbirlerinizi kurmak, mevcut altyapınızı denetlemek veya güvenlik duvarı, yedekleme ve loglama kurgunuzu güçlendirmek için bizimle iletişime geçin. Telefon desteği 0532 599 51 12, WhatsApp 0532 599 51 12, e-posta bilgi@gizateknoloji.com. Detaylı görüşme için İletişim sayfamızı ziyaret edebilirsiniz.