ISO 27701 Kişisel Veri Yönetim Sistemi (KVYS)
KVYS, Kişisel Veri Yönetim Sistemi, kişisel olarak tanımlanabilen bilgilerin işlenmesinden potansiyel olarak etkilenebilecek gizliliğin korunmasını içeren bilgi güvenliği yönetim sistemidir.
Kişisel Verilerin Korunması Kanunu (KVKK) mevcut şartlar altında en kapsamlı ve sistematik şekilde Türkiye’de giderek daha fazla önem kazanmaktadır. Kişisel Verilerin Korunması Kanunu (KVKK) ‘na uyum ve denetim için mevcut koşullarda en kapsamlı ve sistematik yaklaşım ISO / IEC 27701 Kişisel Veri Yönetim Sistemi kurmak, uygulamak, sürdürmek ve sürekli olarak iyileştirmektir. AB Veri Koruma Yönetmeliği (GDPR) ve KVKK’ya aynı anda uyum sağlamak isteyen kuruluşlar için kılavuz olarak belgelendirilebilecek bir mükemmel bir standarttır.
ISO 27701 Kişisel Veri Yönetim Sistemi ISO 27001 de tanımlanan güvenlik ihtiyaçlarına kişisel veri güvenliği ile ilgili gereksinimlerin eklenmesi ile tasarlanmıştır. Kişisel veri işlenmesine ilişkin sorumlulukların tanımlanması, Kişisel veri yönetim sisteminin oluşturulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereklilikleri içermektedir.
KVKK Uyum sürecinde belgelendirme gerekliliği mevcut değildir. ISO 27701 Uyum sürecinde ise öncelikle belgelendirme başvurusunun yapılması sonrasında denetimin yapılması gerekir. Denetimin yapılmasından sonra uygunsuzlukların giderilmesi aşamasına geçilir. Bu aşamada uygunsuzluklar giderildikten sonra belgelendirme yapılır. Bu sayede kişisel verilerin korunmasına yönelik alınan ve uluslararası kabul edilen sertifikasyon, işletmenizin itibarını ve güvenilirliğini en üst seviyeye taşımaya yardımcı olmaktadır.
- ISO 27701 Kişisel Veri Yönetim Sistemi KVYS belgesine sahip olmak müşterilerden çalışanlara kurumunuzda veya kuruluşunuzda verilerin etkin bir şekilde korunduğunun ve yönetildiğinin ispatıdır. ISO/IEC 27701 verilerin işlenmesi ve kontrol edilmesi ile ilgili sorumlu olan kurumların birbirleriyle karşılıklı olan veri alışverişinde entegre edilmiş bir yönetim sistemine uyum sağlandığının göstergesidir.
- Kişisel verilerin güvenliğinin sağlanmasında ve korunmasında bir yönetim sistemi olduğunu ve bu sistemin devamlı iyileştirildiğini gösterir. Ayrıca yasal zorunluluklara da önem verildiğini ve uygulandığını da belirtir.
- Kuruluşun rollerini ve sorumluluklarını netleştirir ve açıklar.
- Gizlilik düzenlemelerine uyumlu olunduğunu belgeler.
- Uluslararası platformlarda uluslararası yasal mevzuatlara uygun hale gelinmesine yardımcı olur.
- Türkiye ve Uluslararası iş ortakları ile ilgili iş sözleşmelerini kolaylaştırır.
- Markanın itibarını geliştirir.
- Müşterilerin güvenini kazandıkça müşteri memnuniyetini artırır.
- Genel güvenlik tedbirleri için bir standardizasyon sağlar.
- Kurumsal dijital sorumluluğuna sahip olunduğunun güvenini verir.
- Kişisel verilerin nitelik ve etkin bir şekilde tüm riskleriyle iyi yönetilmesini gerçekleştirir.
- Güvenli ve hızlı bir şekilde kurum veya kuruluşlar arasında veri paylaşımı avantajı sağlar.
- Gizlilik yönetimi için tüm kontroller ile ilgili şeffaflık sağlar.
- Veri sahipleri, müşteriler, çalışanlar, tüketiciler ve diğer paydaşlar arasında şeffaflık sağlar.
- 27001 ve 27002 standartları ile bir bütün olarak bilgi güvenliği standartlarını yerine getirildiğini açıklar.
- Gizliğin sağlanmasına ve doğru bir şekilde yönetilmesine önem verildiğini gösterir.
- Mahremiyetin korunmasına ilişkin iyi bir yönetim sistemi oluşturuldu güvenini verir.
- ISO 27701:2019 İlgili şikayetlere doğru bir yönetim yapılmasını sağlar.
- Kişisel veri imha yöntemlerinin nasıl yapılabileceği konusunda bilgi sahibi olunmasını sağlar.
ISO 27701 KVYS Denetim Hizmetimiz
Bu hizmet kapsamında sertifikalı uzmanlarımız tarafından işletmenizin kişisel veri yönetim sistemi standardına uygun olarak çalışıp çalışmadığı ayrıntılı şekilde kontrol edilmektedir. Yapılacak denetim sonucunda kişisel veri yönetim sisteminizin uygulamadaki eksiklikleri belirlenir, işletmenizdeki izleme ve denetim mekanizmaları ve bunlarda olası aksaklıklar tespit edilir, iyileştirme süreçleri kontrol edilerek detaylı olarak raporlanır.
ISO 27701 KVYS Denetim Hizmet Adımlarımız:
ISO 27701 Uyum Danışmanlığı Hizmetimiz
ISO 27701 Kişisel Veri Yönetim Sistemi Standardı kapsamında faaliyette bulunan kuruma; detayları verilen süreçlerin ve dokümantasyonun uyumluluğunu sağlamak amacıyla gerekli koordinasyon ve destek sağlanmaktadır.
Hizmet, Kurum bünyesinde KVYS kapsamına dahil birimlere, ürünlere ve hizmet portföyüne ilişkin tüm hassas bilgi varlıklarını ve standart dahilindeki iş süreçlerini kapsamaktadır.
ISO 27701 KVYS Uyum Danışmanlığı Hizmet Adımlarımız:
Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment)(*)
Veri koruma etki değerlendirmesi; bilişim sistemleri ve politika ve prosedürlerin veri güvenliği mevzuatına uygunluğu denetiminin yanı sıra, potansiyel risklerin belirlenerek yasal denetimin ötesinde, karar alıcılara politika ve prosedürler dahil olmak üzere bilişim sistemleri hakkında genel ve tam bilgi sağlamaktadır.
Veri koruma etki değerlendirmesi süreci kurumdan kuruma göre farklılıklar gösterse de şu beş aşamadan oluşmaktadır:
Projenin Tanımlanması: Projenin amaçları ve kişisel verilerin işlenip işlenmeyeceğin de kapsayan genel bir değerlendirme;
Enformasyon Akışının ve Gizlilik Çerçevesinin Belirlenmesi: Projede kişisel veri akış şemasının ve ilgili tüm yasal ve kurumsal mevzuatın tespit edilmesi;
Veri Koruma Etki Değerlendirmesi: Projenin gizlilik etkilerinin belirlenmesi ve analizi;
Gizlilik Yönetimi: Gizlilik etkilerinin nasıl yönetileceği ve gizlilik korunurken projenin amaçlarının da gerçekleştirilmesini sağlayacak alternatiflerin belirlenmesi;
Tavsiyeler: Yukarıdaki aşamaları ve tavsiyeleri de içeren nihai Gizlilik Etki Değerlendirmesi raporunun hazırlanması
(*) M. Tataroğlu / Mahremiyet Sorunlarının Önlenmesinde Mahremiyet Etki Değerlendirmesi (MED), 2013
ISO 27701 Sürdürülebilirlik Danışmanlığı Hizmetimiz
ISO 27701 KVYS kapsamında faaliyette bulunan kuruluşlara; standartta belirlenen süreçlerin ve dokümantasyonun sürdürülebilirliğini sağlamak amacıyla gerekli takip, koordinasyon ve destek sağlanmaktadır. Hizmet kapsamında Kurum/Kuruluş bünyesinde KVYS kapsamına dahil birimlere, ürünlere ve hizmet portföyüne ilişkin tüm hassas bilgi varlıklarını ve standart dahilindeki iş süreçleri yer almaktadır.