18 Mar, 2022

ISO 27701 (PIMS Privacy Information Management System) KVYS’nin KVKK Uyum Açısından Önemi

ISO 27701 VE KVKK UYUM ÇALIŞMALARININ YÜRÜTÜLME SÜRECİ VE ÖNEMİ 

Kişisel Verilerin Korunması Kanunu (KVKK) mevcut şartlar altında en kapsamlı ve sistematik şekilde Türkiye’de giderek daha fazla önem kazanmaktadır. Bu anlamda ISO / IEC 27701, AB Veri Koruma Yönetmeliği (GDPR) ve KVKK’ya aynı anda uyum sağlamak isteyen kuruluşlar için kılavuz olarak belgelendirilebilecek bir standarttır. 

Ülke kanunları her zaman standartların üzerindedir. Dolayısıyla kuruluşlar, standart maddelerinde yasal şartları bilmeli, kuruluş içerisinde uygulamalı ve gerekliliklerini yerine getirmelidir.

ISO 27701’in size, personelinize ve müşterilerinize birçok faydası bulunmaktadır.

Kuruluşunuza olan faydalarından bahsetmek gerekirse: 

  • Markanızın itibarini korur, 
  • Yeni ve mevcut müşterilerden daha fazla iş yapmanızı sağlar, 
  • Satış maliyetini azaltır, daha fazla iş elde etmenize olanak sağlar,
  • Mevzuata uyumsuzluktan kaynaklanan para cezalarından kaçınmanıza katkı sunar (GDPR, KVKK gibi), veri ihlalinden kaynaklanan hukuki süreçlerden kaçınmanıza olanak sağlar,
  • Olaylardan ve/veya ihlallerden kaynaklanan düzeltici faaliyet maliyetlerinden kaçınmanızı kolaylaştırır, kurum kültürünüzü ve vizyonunuzu artırır. 
  • Kuruluşunuzun kişisel veri yönetiminin diğer yönetim sistemleri ile entegre olmasını sağlar. 

Personelinize faydaları ise: 

  • Eğitimler sayesinde farkındalık, politika ve prosedürlere uygun çalışma, 
  • Kuruluşun sürdürülebilirliğine güven, fazladan iş yükü ve gereksiz zaman kaybının önüne geçme. 

Müşterilerinize faydaları ise son olarak: 

  • Firmanıza karşı olan güven ve güvence, tedarikçilerinize karşı olan güven ve güvence, 
  • Daha az maliyetli bir ihlal olasılığı, uygulanan sistem ve yöntemle müşteri memnuniyetini artırır,
  • Müşteri bilgi güvenliği ve kişisel verisini güvence altına alır, 
  • İş sürekliliğininizi sağlar. 

ISO 27701 KVYS (Kişisel Veri Yönetim Sistemi) ve KVKK Uyum Süreçleri; Organizasyon, Planlama, Uygulama, Kontrol Etme, İyileştirme, Belgelendirme adımlarından oluşur. Bu adımlar şirketlerin uyum çalışmalarında çok büyük öneme sahiptir. Bütün adımların doğru ve sırasıyla uygulanması gerekir.

ISO 27701 KVYS ve KVKK UYUM SÜREÇLERİNİN ADIMLARI VE YAPILMASI GEREKENLER:

Organizasyon Adımı:

Organizasyon adımı uyum süreçlerini başlatan ekiplerin belirlenmesi, ekiplerin yöneticilerinin belirlenmesi noktasında rol oynayan bir adımdır. 

  • ISO 27701 yani KVYS ve KVKK Organizasyonu genel anlamda eş değer şekilde ilerler.
  • Bir açılış toplantısı yapılmalıdır.
  • ISO 27701 yani KVYS için roller ve sorumluluklar konusunda yönetim temsilcisi ve komite üyeleri belirlenirken, KVKK’da roller ve sorumluluklar konusunda irtibat kişisinin ve komite üyelerinin belirlenmesi söz konusudur.
  • Kişilerin rol ve sorumluluklarının belirlenmesinin ardından proje ekiplerine ISO 27701 uyum sürecinde KVYS eğitimi, KVKK içinse KVKK Eğitimi verilmesi gerekir. Verilecek eğitimler çok önemlidir. Veri ihlallerinin engellenmesi noktasında proje ekiplerine verilen eğitimler sayesinde çalışanlar çok daha bilgili olmaktadırlar.
  • ISO 27701 Uyum çalışmalarının organizasyon bölümünde proje ekibine verilen eğitimden sonra üst yönetimin beyanı talep edilir sonrasında iç-dış hususlar ve kapsam belirlenir.
  • KVKK Uyum çalışmalarının eğitim sonrası kısmında  Kişisel Veri İşleme Politikaları hazırlanma aşamasında geçilmekte politikaların hazırlanması sonrasında incelenerek beklenti ve gereklilikler gözden geçirilmektedir. Tedarikçiler ve hizmet alınan kişi ve kurumlardan kişisel veri güvenliğine dair taahhütler alınmaktadır.

Planlama Adımı:

  • Planlama adımı, ekiplere rollerin atandığı organizasyon adımının bitmesi ile beraber ISO 27701 Uyum süreci için Prosedürlerin hazırlandığı, bilgi varlıklarının belirlendiği, kişisel veri envanterinin hazırlandığı bilgi sınıflarının belirlenip mahremiyet etki analizinin yapıldığı PIA raporunun hazırlandığı risk işleme planlamasının yapılması ve bilgi güvenliği hedeflerinin belirlenmesinden sonra son olarak uygulanabilirlik bildirgesinin hazırlandığı bir adımdır. KVKK uyum süreci için ise Kişisel Veri Envanterinin oluşturulduğu, mahremiyet etki analizinin yapıldığı PIA Raporunun hazırlandığı bir aşamadır. 
  • ISO 27701 Uyum sürecinin planlama adımının ilk aşaması Varlık ve Risk Analizi Prosedürünün Hazırlanması iken KVKK’da böyle bir prosedür gerekliliği mevcut değildir.
  • ISO 27701 Uyum sürecinde Varlık ve Risk Analizi Prosedürünün Hazırlanmasından sonra Bilgi Varlıkları belirlenir. Bu aşamada KVKK Uyum sürecinde Kişisel Veri Envanteri oluşturulması gerekir.
  • Bilgi Varlıklarının Belirlenmesinden sonra ISO 27701 Uyum sürecinde de KVKK gibi Kişisel Veri Envanteri hazırlanması gerekir.
  • Kişisel Veri Envanteri; veri sorumlularının iş süreçlerine bağlı olarak veri işleme amaçlarını, sürelerini, faaliyetlerini, hukuki sebeplerini, veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırılan envanterdir.
  • ISO 27701 Uyum sürecinde envanterin hazırlanmasından sonra Bilgi Sınıflarının belirlenmesi gerekir ardından Risk Analizleri yapıldıktan sonra Mahremiyet Etki Analizi yapılır. KVKK Uyum sürecinde de kişisel veri envanteri oluşturulduktan sonra envanterdeki verilerin MED yani Mahremiyet Etki Değerlendirmesi yapılarak PIA Raporu hazırlanır. Bu rapor ve değerlendirme KVKK zorunlu olmamasına karşın GDPR’da zorunludur.
  • İki uyum süreci için de mahremiyet etki analizlerinin yapılmasının ardından Risk İşleme Planlaması ISO 27701 Uyum sürecinde yapılırken KVKK Uyum sürecinde sistematik bir gereklilik mevcut olmasa da idari ve teknik tedbirler kapsamında değerlendirilir.
  • ISO 27701 Uyum sürecinde Bilgi Güvenliği Hedeflerinin Belirlenmesi yapılırken KVKK’da sistematik bir hedef yönetimi gerekliliği mevcut değildir.
  • Bilgi Güvenliği Hedeflerinin Belirlenmesi yapıldıktan sonra ISO 27701 Uyum sürecinde Uygulanabilirlik Bildirgesi hazırlanarak planlama aşaması sona erer. KVKK’da Bilgi Güvenliği Hedeflerinin Belirlenmesi aşamasında sistematik bir uygulama kontrol gerekliliği mevcut olmasa da idari ve teknik tedbirler incelenerek hangi tedbirlerin alınması gerekliliğinin belirlenmesi önerilmektedir.

Uygulama Adımı:

Uygulama adımı iki süreç için de politikaların hazırlandığı Risk işleme ile ilgili aksiyonların hayata geçirildiği, ISO 27701 Uyum süreci için veri sahiplerine karşı yükümlülüklerin belirlendiği KVKK Uyum Süreci içinse Aydınlatma ve Açık Rıza Metinlerinin hazırlandığı bir adımdır. Bu adımda yapılan ve çok önemli olduğunu düşündüğümüz bir diğer aşama ise ISO 27701 Uyum sürecinde yükümlülüklerin belirlenmesinden sonra kişisel veri paylaşımı, aktarımı ve ifşa edilmesinin nasıl yapılacağı belirlenir. KVKK Uyum sürecinde ise bu aşamada Yurtdışına Veri Aktarım Aksiyonlarının incelenir ve düzenlenirken aynı zamanda Üçüncü Kişilere Veri Aktarım Aksiyonlarının incelenmesi ve düzenlenmesi de yapılır. İncelenen dokümanlar için ISO 27701 Uyum süreci için EK-A Dökümanı denilen doküman hazırlanır. 

  • ISO 27701 Uyum sürecinde uygulama adımında ilk aşama Bilgi Güvenliği Politikasının hazırlanmasıyken ikinci aşamada ise Kişisel Veri İşleme ve Koruma Politikaları hazırlanır. KVKK Uyum sürecinde ilk aşamada Kişisel Verileri İşleme Politikası hazırlanmaktadır.
  • Politikaların hazırlanmasının ardından ISO 27701 Uyum sürecinde Risk İşleme Aksiyonları Hayata Geçirilirken KVKK’da idari ve teknik tedbirlerle ilgili aksiyonlar hayata geçirilmektedir.
  • Aksiyonların hayata geçirilmesinin ardından ISO 27701 Uyum sürecinde toplama ve işleme koşullarına geçirilir. KVKK Uyum sürecinde ise bütün birimlerle görüşülerek risk analizi yapılmaktadır. Bu analizlerde kişisel veri tespiti, saklama koşulları ve işleme şartları belirlenmektedir.
  • ISO 27701 Uyum sürecinde tasarım gereği gizlilik ve varsayılan olarak gizlilik birbirinden ayrılırken KVKK Uyum sürecinde İşlenen kişisel verilerin azaltılması adına süreçler revize edilmektedir. Bu aşama GDPR’da zorunluyken KVKK’da zorunlu değildir.
  • ISO 27701 Uyum sürecinde veri sahiplerine karşı yükümlülükler belirlenir. KVKK Uyum sürecinde Aydınlatma ve Açık Rıza Metinleri hazırlanırken ilgili kişi hakları ve bu hakların kullanılma süreçleri de belirlenir.
  • ISO 27701 Uyum sürecinde yükümlülüklerin belirlenmesinden sonra kişisel veri paylaşımı, aktarımı ve ifşa edilmesinin nasıl yapılacağı belirlenir. KVKK Uyum sürecinde ise bu aşamada Yurtdışına Veri Aktarım Aksiyonlarının incelenir ve düzenlenirken aynı zamanda Üçüncü Kişilere Veri Aktarım Aksiyonlarının incelenmesi ve düzenlenmesi de yapılır.
  • KVKK Uyum sürecinde idari ve teknik tedbirler incelenerek alınması gerekli tedbirlerin belirlenmesi gerekir fakat tedbirler için bir doküman gerekliliği mevcut değilken ISO 27701 Uyum sürecinde EK-A Dokümanları hazırlanır.
  • KVKK Uyum sürecinde uygulama adımının son aşaması olarak kişisel veri içeren formlar incelenir ve düzenlenirken ISO 27701’de Organizasyonel dokümanlar hazırlanır.

Kontrol Etme Adımı:

Kontrol adımı özellikle ISO 27701 Uyum süreci kapsamında çok önemli bir adımdır. 27701 Uyum süreci için bu adımda öncelikle İş Sürekliliği Tatbikatları yapılır, sonrasında izlem, ölçme analiz ve değerlendirilmelerin analiz ve kontrol edilmesi gerekir. İç denetimin yapıldığı bu aşamada yapılan iç denetim YGG toplantısının yapılması ile son bulur. KVKK Uyum Süreci için bu aşama idari ve Teknik tedbirler kapsamında değerlendirilir. 

  • ISO 27701 Uyum süreci kapsamında ilk olarak İş Sürekliliği Tatbikatları yapılırken KVKK Uyum sürecinde bu aşama idari ve teknik tedbirler kapsamında değerlendirildiği için sistematik bir gereklilik mevcut değildir.
  • ISO 27701 Uyum sürecinde İzleme, Ölçme, Analiz ve Değerlendirmelerin Analiz Edilmesi gerekirken KVKK’da sistematik bir performans yönetimi gerekliliği mevcut değildir.
  • ISO 27701 Uyum sürecinde İç Denetim yapılır ve sonrasında kontrol etme adımı YGG toplantısının yapılması ile sonlandırılır. KVKK Uyum sürecinde iç denetim aşaması idari ve teknik tedbirler kapsamında değerlendirildiği için sistematik bir gereklilik mevcut değildir. YGG toplantısının yapılması aşamasında ise KVKK’da veri sorumlusu olarak uyum gerekliliği mevcuttur ancak yönetimi gözden geçirme zorunda değildir.

İyileştirme Adımı:

  • Bu adımın KVKK Uyum sürecinde gerekliliği mevcut değildir fakat ISO 27701 Uyum sürecinde ilk aşamada İç Denetimin raporlanması ve bulguların takibi yapılırken son olarak düzeltici faaliyetlerin planlanması ve takip edilmesi yapılmaktadır.

Belgelendirme Adımı:

  • KVKK Uyum sürecinde belgelendirme gerekliliği mevcut değildir. ISO 27701 Uyum sürecinde ise öncelikle belgelendirme başvurusunun yapılması sonrasında denetimin yapılması gerekir. Denetimin yapılmasından sonra uygunsuzlukların giderilmesi aşamasına geçilir. Bu aşamada uygunsuzluklar giderildikten sonra belgelendirme yapılır.

ISO 27701 KVYS – KVKK Karşılaştırma Tablosu

ISO 27701 Uyum İş Adımları KVKK Uyum Karşılığı
KVYS Organizasyonu KVKK Organizasyonu
Açılış Toplantısı Açılış Toplantısı
Roller ve Sorumluluklar  (Yönetim Temsilcisinin ve Komite Üyelerinin Belirlenmesi) Roller ve Sorumluluklar (İrtibat kişisinin ve Komite Üyelerinin Belirlenmesi)
Proje Ekibine KVYS Eğitimi Verilmesi Proje Ekibine KVKK Eğitimi Verilmesi
Üst yönetimin Beyanı Kişisel Veri İşleme Politikaları hazırlanmaktadır
İç ve Dış Hususlar / Kapsamın Belirlenmesi Sözleşmeler incelenerek beklenti ve gereklilikler  gözden geçirilmektedir. Tedarikçiler ve hizmet alınan kişi ve kurumlaradan Kişisel veri güvenliğine dair taahhütler alınmaktadır.
Planlama Planlama
Varlık ve Risk Analizi Prosedürünün Hazırlanması Prosedür gerekliliği mevcut değildir.
Bilgi Varlıklarının Belirlenmesi Kişisel veri envanterinin oluşturulması.
Kişisel Veri Envanterinin Hazırlanması Kişisel veri envanterinin oluşturulması.
Bilgi Sınıflarının Belirlenmesi Kişisel veri envanterinin oluşturulması.
Risk Analizinin Yapılması Envanterdeki verilerin MED- Mahremiyet Etki Değerlendirmesi (PIA Raporu) yapılacaktır. (GDPR’da zorunlu KVKK’da zorunlu değil)
Mahremiyet Etki Analizinin Yapılması Envanterdeki verilerin MED- Mahremiyet Etki Değerlendirmesi (PIA Raporu) yapılacaktır. (GDPR’da zorunlu KVKK’da zorunlu değil)
Risk İşleme Planlanması İdari ve teknik tedbirler kapsamında değerlendirilmektedir, sistematik bir gereklilik mevcut değildir.
Bilgi Güvenliği Hedeflerinin Belirlenmesi Sistematik bir hedef yönetimi gerekliliği  mevcut degildir.
Uygulanabilirlik Bildirgesi’nin Hazırlanması İdari ve teknik tedbirler incelenerek alınması gerekli tedbirler önerilmektedir. Sistematik bir uygulama kontrol gerekliliği  mevcut değildir.
Uygula Uygulama
Bilgi Güvenliği Politikasının Hazırlanması Kişisel Veri İşleme Politikaları hazırlanmaktadır.
Kişisel Veri İşleme ve Koruma Politikalarının Hazırlanması Kişisel Veri İşleme Politikaları hazırlanmaktadır.
Risk İşleme Aksiyonlarının Hayata geçirilmesi İdari ve teknik tedbirlerle ilgili aksiyonlarının hayata geçirilmesi
Toplama ve işleme koşulları Bütün birimlerle görüşülerek risk analizi yapılmaktadır. Bu analizlerde kişisel veri tespiti, saklama koşulları ve işleme şartları belirlenmektedir.
Tasarım gereği gizlilik ve varsayılan olarak gizlilik İşlenen kişisel verilerin azaltılması adına süreçler revize edilmektedir. (GDPR’da zorunlu KVKK’da zorunlu değil)
Veri sahiplerine karşı yükümlülükler Aydınlatma ve açık rıza metinlerinin hazırlanması. İlgili Kişi haklarının  ve bu hakların kullanılma sürecinin belirlenmesi.
Kişisel veri  paylaşımı, aktarımı ve ifşa edilmesi Yurtdışına Veri Aktarım Aksiyonlarının İncelenmesi, Düzenlenmesi. Üçüncü Partilere Veri Aktarım Aksiyonlarının İncelenmesi, Düzenlenmesi
EK-A Dokümanlarının Hazırlanması İdari ve teknik tedbirler incelenerek alınması gerekli tedbirler önerilmektedir. Tedbirler için doküman gerekliliği  mevcut değildir.
Organizasyonel Dokümanların hazırlanması Kişisel veri içeren formların incelenmesi ve düzenlenmesi.
Kontrol Et Kontrol Et
İş Sürekliliği Tatbikatların yapılması İdari ve teknik tedbirler kapsamında değerlendirilmektedir, sistematik bir gereklilik mevcut değildir.
İzleme, Ölçme, Analiz ve Değerlendirmelerin Analiz Edilmesi Sistematik bir performans yönetimi gerekliliği mevcut değildir.
İç Denetim İdari ve teknik tedbirler kapsamında değerlendirilmektedir, zorunluluk mevcut değildir.
YGG Toplantısının Yapılması Veri sorumlusu olarak uyum gerekliliği mevcuttur ancak  yönetim gözden geçirme zorunlu değildir.
İyileştir İyileştir
İç Denetimin Raporlanması ve Bulgularının Takibi Sistematik bir iç denetim gerekliliği mevcut değildir. 
Düzeltici Faaliyetlerin Planlanması ve Takip Edilmesi Sistematik bir iç denetim gerekliliği mevcut değildir. 
Belgelendirme Belgelendirme
Belgelendirme başvurusunun yapılması Belgelendirme gerekliliği  mevcut değildir.
Denetimin yapılması Belgelendirme gerekliliği  mevcut değildir.
Uygunsuzlukların giderilmesi Belgelendirme gerekliliği  mevcut değildir.
Belgelendirme Belgelendirme gerekliliği  mevcut değildir.

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram