İçereği Atla

KVKK ve siber Güvenlik: Veri Sorumlusunun Teknik Yükümlülükleri Nelerdir?

Dijital dönüşümün hız kesmediği çağımızda, Kişisel Verilerin Korunması Kanunu (KVKK) ile siber güvenlik, bir kuruluş için ayrılmaz iki parça haline gelmiştir. KVKK’nin 12.Maddesi, veri sorumlusuna ( kişisel verilerin işlenme amaç ve vasıtlarını belirleyen kişi veya kurum) açıkça üç temel görev yüklenir: 1-kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 2-kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 3-kişisel verilerin muhafazasını sağlamak. Bu görevleri yerine getirmenin yolu ise, Kişisel Verileri Koruma Kurulu (KVKK) tarafından yayımlanan rehberlerde detaylandırılan uygun teknik ve idari tedbirleri almaktan geçer.
26 Kasım 2025 yazan
KVKK ve siber Güvenlik: Veri Sorumlusunun Teknik Yükümlülükleri Nelerdir?
Ayşe CAN
 
  1. Sistem Güvenliği ve Erişim Kontrolü

  2. Veri sorumlusu, kişisel verilerin işlendiği tüm bilişim sistemlerinde yetkisiz erişimi ve veri ihlallerini önlemek için en temel güvenlik kontrollerini uygulamakla yükümlüdür.

    1. Yetki Kontrolü ve Kimlik Yöntemi 
      1. Yetkilendirme Matrisi:Verilere kimin, hangi amaçla ve hangi düzeyde (okuma, yazma, silme) erişebileceği net bir şekilde tanımlanmalıdır.
      2. Erişim Kontrolü:Tüm kullanıcılar için en az yetki ilkesi (Principle of Least Privilege) uygulanmalı; kullanıcıların yalnızca görevlerini yerine getirmek için gerekli verilere erişimi sağlanmalıdır.
      3. Güçlü Parola Politikaları:Parolaların düzenli olarak değiştirilmesi, karmaşık olması ve asla paylaşılmaması sağlanmalıdır. Mümkünse Çok Faktörlü Kimlik Doğrulama (MFA) zorunlu kılınmalıdır.
    2. Ağ Güvenliği
      Güvenlik Duvarları (Firewall) ve Saldırı Tespit Sistemleri (IDS/IPS): Bilişim ağlarına yetkisiz erişimi engellemek ve sızma girişimlerini anında tespit etmek için modern ağ güvenliği çözümleri kullanılmalıdır.
      Periyodik Sızma Testleri (Pentest): Veri sorumlusu, dijital altyapısındaki zafiyetleri saldırgan bakış açısıyla tespit etmek için düzenli olarak (genellikle yılda en az bir kez) sızma testi yaptırmalı ve çıkan sonuçlara göre iyileştirmeler yapmalıdır.
  3. Verilerin Kriptografik Korunması (Şifreleme)

    1.  Özel nitelikli kişisel veriler (sağlık, ceza mahkûmiyeti, biyometrik veriler vb.) başta olmak üzere, tüm kişisel verilerin güvenliği için şifreleme kritik bir teknik tedbirdir.
    2. Veri Maskeleme ve Anonimleştirme: Verilerin işleme amacına uygun, ancak kimliği belirlenemez hale getirilmesi için gerektiğinde veri maskeleme, takma ad verme (pseudonymization) ve anonimleştirme teknikleri uygulanmalıdır.
    3. Depolama ve Aktarım Şifrelemesi:
    4. Hareket Halindeki Veri (Data in Transit): Verilerin ağ üzerinden (özellikle açık ağlarda veya e-posta yoluyla) aktarılması sırasında, bu veriler SSL/TLS gibi güvenli protokollerle şifrelenmelidir.
    5. Durmakta Olan Veri (Data at Rest): Verilerin tutulduğu veri tabanları ve depolama birimleri (diskler, yedekler) güçlü algoritmalarla şifrelenmeli ve şifreleme anahtarları farklı birimlerce yönetilmelidir.
  4. Olay Yönetimi ve Kayıt Tutma (Loglama)

    1. Bir güvenlik ihlali veya saldırı durumunda hızlıca müdahale edebilmek ve olayın kök nedenini tespit etmek, veri sorumlusunun sorumluluğundadır.
    2. Erişim Logları: Sisteme kimin, ne zaman, hangi cihazdan ve hangi verilere eriştiğine dair tüm işlem hareketleri (erişim logları) düzenli olarak, değiştirilemez bir şekilde tutulmalıdır. KVKK, log kayıtlarının yasal sürelere uygun olarak saklanmasını zorunlu kılar.
    3. Saldırı Tespit ve Müdahale: Güvenlik olaylarını (yetkisiz erişim denemeleri, şüpheli hareketler) izleyen ve analiz eden SIEM (Security Information and Event Management) gibi çözümler kullanılmalı; güvenlik sorunları hızlı bir şekilde raporlanarak müdahale planı işletilmelidir.
    4. İhlal Bildirimi: Kanuni olmayan yollarla kişisel verilerin başkaları tarafından elde edilmesi durumunda, veri sorumlusu bu durumu öğrendiği andan itibaren gecikmeksizin Kurula ve ilgili kişilere bildirmekle yükümlüdür.
  5. Yedekleme ve Kurtarma Sistemleri

Kişisel verilerin sistem arızası, doğal afet veya siber saldırı (örneğin fidye yazılımı) nedeniyle kaybolması veya kullanılamaz hale gelmesi durumunda, verilerin kurtarılabilir olması gerekir.

Felaket Kurtarma Planı (Disaster Recovery Plan): Olası bir veri kaybı senaryosuna karşı detaylı bir plan oluşturulmalıdır.

Güvenli Yedekleme: Yedeklenen kişisel verilerin de en az ana sistemdeki veriler kadar güvenliğinin sağlanması zorunludur. Yedekler, ağdan izole edilmiş (çevrimdışı/offline) veya kriptolanmış bir ortamda saklanmalıdır.

Yedekleme Testi: Yedeklerin gerçekten çalışır durumda olup olmadığı, periyodik olarak test edilerek doğrulanmalıdır.

Sonuç

KVKK kapsamında veri sorumlusunun teknik yükümlülükleri, sadece mevzuata uyum sağlamakla kalmaz, aynı zamanda bir kuruluşun itibarını, finansal sağlığını ve operasyonel devamlılığını koruyan kritik bir siber güvenlik duruşu oluşturur.

KVKK Kurulunun rehberleri ve kararları, veri sorumlularının "uygun güvenlik düzeyini" sağlamak için sürekli olarak risk analizi yapmasını, teknolojik gelişmeleri takip etmesini ve tedbirleri sürekli güncel tutmasını gerektirmektedir. Aksi takdirde, teknik tedbirlerin eksikliği, ciddi idari para cezalarıyla sonuçlanabilir.


KVKK ve siber Güvenlik: Veri Sorumlusunun Teknik Yükümlülükleri Nelerdir?
Ayşe CAN 26 Kasım 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment