6698 sayılı Kişisel Verilerin Korunması Kanunu ile ISO 27001 ne kadar ilişkili?

TS EN ISO/IEC 27001 standardı bilgi koruması için genel bir çerçevedir. 6698 sayılı Kişisel Verilerin Korunması Kanununa göre, kişisel veriler tüm kurumların korumaya ihtiyacı olduğu kritik varlıklardır. Elbette doğrudan doğruya ISO 27001 kapsamına girmeyen bazı KVKK gereklilikleri vardır, örneğin kişisel veri konularının haklarının desteklenmesi gibi: kişilerin bilgi edinme hakkı, verilerin silinmesi hakkı ve veri taşınabilirliği. Ancak, ISO 27001 standardının uygulanması ile kişisel veriler bir bilgi güvenliği varlığı olarak tespit edilirse, 6698 sayılı kişisel verilerin korunması kanunu şartlarının çoğu ele alınacaktır.

Kabul edilen teknik kontrollere, yapılandırılmış belgelere, izlemeye ve sürekli iyileştirmeye ek olarak, ISO 27001 standardının uygulanması, kurumlarda bir kültür oluşturmakta ve güvenlik olayları bilincini desteklemektedir.  Bilgi güvenliği sadece teknoloji ile ilgili değildir, aynı zamanda insanlar ve süreçler hakkındadır.

ISO 27001 standardı, 6698 sayılı Kişisel Verilerin Korunması Kanununa uyum için mükemmel bir çerçevedir. Bir işletmenin yapması gereken ilk şey, 6698 sayılı KVKK şartlarını yerine getirmek için yapılması gerekenleri belirlemek için bir KVKK GAP Analizi gerçekleştirmektir ve bu şartlar, ISO 27001 tarafından belirlenen Bilgi Güvenliği Yönetim Sistemi aracılığıyla kolayca eklenebilir.

ISO 27001, kişisel verileri korumayı sağlamanın yollarını sunar. ISO 27001 standardının şirketlerin bu 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum sağlamasına yardımcı olabileceği birçok nokta vardır. İşte en alakalı olanlardan sadece birkaçı aşağıda listelenmiştir:

Risk Değerlendirmesi – KVKK’da tanımlanan yüksek para cezaları ve kurumlar üzerindeki büyük mali etkiler nedeniyle, kişisel verilerle ilgili risk değerlendirmesi sırasında ortaya çıkan riskin ele alınmaması çok doğaldır. Diğer yandan, KVKK’ın yeni gerekliliklerinden biri, şirketlerin ISO 27001 tarafından öngörülenin aynısını kendi gizliliklerini analiz etmek zorunda kalacakları Veri Koruma Etki Değerlendirmelerinin uygulanmasıdır.

Uyumluluk – Kontrol A.18.1.1 (Uygulanabilir yasaları ve sözleşmeye tabi gereksinimleri tanımlama) nedeniyle, ISO 27001 standardını uygulayarak ilgili yasal, kanuni, düzenleyici ve sözleşme şartlarının bir listesini bulundurmak zorunludur. Kuruluşun 6698 sayılı KVKK uygun olması gerekiyorsa, bu yönetmeliğin bu listenin bir parçası olması gerekecektir. Her halükarda ISO 27001’in kontrolü olan A.18.1.4 (Kişi tespit bilgisinin gizliliği ve korunması), bir veri politikasının uygulanması ve kişisel olarak tanımlanabilir bilgilerin korunması yoluyla kuruluşlara yol gösterir.

İhlal bildirimi – Şirketler, kişisel verilere yönelik bir ihlal tespit edildikten sonra veri yetkililerini bilgilendirmek zorunda kalacaklardır. ISO 27001 kontrol A.16.1’in (Bilgi güvenliği ihlal olaylarının ve iyileştirilmelerin yönetimi) uygulanması, “güvenlik olayları hakkında iletişim de dahil olmak üzere, bilgi güvenliği olaylarının yönetiminde tutarlı ve etkili bir yaklaşım” sağlayacaktır. Kişisel veri olaylarının raporlanması, 6698 sayılı KVKK’ya uymak isteyen kuruluşa bir iyileştirme getirecektir.

Varlık Yönetimi – ISO 27001 kontrol maddesi A.8 (Varlık Yönetimi), kişisel verilerin bilgi güvenliği varlıkları olarak dahil edilmesine yol açar ve KVKK’nın tüm gereksinimleri olan kurumlarda hangi kişisel verilerin yer aldığını ve nerede saklanacağını, ne kadar süre, hangi kaynakta olduğunu ve kimin neyin olduğunu anlamasını sağlar.

Tedarikçi İlişkileri – ISO 27001 kontrol A.15.1 (Tedarikçi ilişkilerinde bilgi güvenliği) “kuruluşa ait tedarikçiler tarafından erişilebilen varlıkların korunmasını” gerektirir. KVKK’ya göre, kuruluş, tedarikçilerin kişisel verilerin işlenmesini ve saklanmasını yapması için resmi anlaşmalarla yönetmeliğin gerekliliklerine uyulmasını gerektirecektir.

ISO 27001 standardını tek başına uygulamak KVKK uyum için tek başına yeterli değildir. Ancak faaliyet gösteren hemen hemen her şirket bu düzenlemeye uymak zorunda kalacaktır. ISO 27001 uluslararası olarak tüm dünyada tanınan ve uygulanan bir standart olduğu için, 6698 sayılı Kişisel Verilerin Korunması Kanun ve mevzuatlarına anında uyumu kolaylaştırmak en iyi seçenek olabilir.