close
Share with your friends

Kişisel verileri koruma mevzuatıyla birlikte kanun koyucunun belirlediği kontrol süreçleri ve tespit yöntemleri de iş hayatının bir parçası oldu. Ancak şirketlerin büyük veri yapılarıyla bu süreç ve yöntemleri tespit etmek çok zor.  Değişen ve gelişen mevzuata uyum sağlamak için tek çözüm, dijitalleşme

Kuruluşlarda ivme kazanan dijital dönüşüm çalışmaları mevzuat uyum çalışmalarına da kaçınılmaz bir şekilde etki ediyor. Bir yandan güvenlik ve kişisel verilerle ilgili mevzuata uyumda, kuruluşların karmaşıklaşan teknolojik altyapılarını göz önünde bulundurarak tedbirleri ve koruma önlemlerini almak gerekiyor. Diğer yandan ise uyum çalışmalarının teknoloji platformlarına taşınması bu alandaki çalışmalarının etkinliği ve verimliliği için anahtar niteliğinde. Artan iş hacmi ve değişen iş süreçleri, departmanlar üzerinde iş yükünü artırmakla birlikte, uyum ya da hukuk gibi birimlerin dijitalleşme süreçlerini bir zorunluluk haline getiriyor. Kuruluşların mevzuata uyum amacıyla dijital dönüşümüne tüm bölümleriyle ayak uydurması süreçlerin etkin işleyişi açısından oldukça kritiktir.

Kişisel verileri koruma mevzuatıyla birlikte kanun tarafından belirlenen kontrol süreçleri ve tespit yöntemleri hayatımıza girdi. Ancak kuruluşların sahip olduğu büyük veri yapıları, kontrol süreçlerinin ve tespit yöntemlerinin manuel takip edilmesine imkan vermez.  Değişen ve gelişen mevzuata uyum sağlamak için en etkili yöntem, tekrar eden süreçlerin kademeli olarak otomatize edilmesi ve önleyici kontrollerin devreye alınmasıdır. Dijitalleşme, mevzuata uyum konusunda her zaman organizasyonların en büyük destekçisi konumunda..

Adım adım dijitalleşme

Kişisel verilerle ilgili mevzuata uyumun sağlanması için dijitalleşme dört başlıkta incelenebilir:

Organizasyon, yönetişim, risk ve etki analizi: Dijital çözümler günümüzde kişisel verileri koruma mevzuatı açısından organizasyon ve yönetişim yapısının yönetilmesine, kişisel veri etki analizi (PIA, Privacy Impact Analysis) çalışmalarının otomatize ve merkezi olarak yürütülmesine ve uluslararası çerçevelere göre (örn. GAPP, Genel Kabul Gören Gizlilik Prensipleri gibi)  olgunluk değerlendirme modellerinin otomasyonuna yardımcı olabilir. Veri koruma sorumluluğunu elinde bulunduran birimler ve veri koruma sorumlusu (DPO) konumundaki kişiler bu tür araçları kullanarak ilgili birimlerin, süreçlerin ve uyum durumunun/yol haritasının kontrolünü elinde bulundurabilirler.

Süreçler ve iş akışı otomasyonu: Çeşitli bilgi türlerinin ve süreçlerin daha verimli yönetilmesini destekleyecek elektronik bir ortama taşınmasını ifade eder. Süreçlerin uçtan uca dijitalleştirilmesi bilgiyi tutarlı ve etkili bir şekilde işlemeyi sağlayarak gereksiz çalışmaların çoğunu ortadan kaldırma fırsatı sunar. Dijitalleşme, veri kümelerinin kalitesini zenginleştirir, nitelikli analizler için ortam hazırlar. Otomasyon, tekrarlanabilir görevlerin insan müdahalesi ihtiyacını ortadan kaldırarak veya en aza indirerek gerçekleştirilmesini ifade eder. İş akışı otomasyonu, mevzuata uyumun değerlendirilmesinde veya hukuk, uyum ve bilgi güvenliği birimleri içinde gerçekleştirilen iş süreçlerinde otomasyonu ifade eder. Belirli faaliyet ve süreçlerin otomasyonu zaman tasarrufu sağlarken görüş ve danışmanlık gerektiren faaliyetler için insan kaynağının daha etkin kullanımına destek olur. Otomasyon sonrasında elde edilen bulgular doğrultusunda risk veya aksiyon değerlendirmeleri ya da otomatik raporlama yapılabilir. Denetimler kapsamında incelenebilecek bir süreç akışı çizilebilir. İş süreçlerinin dijitalleşmesi gibi otomasyon da veri analitiği fonksiyonunu zenginleştirir.

Tasarımda kişisel veriler (privacy by design): Geleneksel yazılım geliştirme süreçlerinde “security by design” (tasarımda güvenlik) bakış açısı, günümüzde “privacy by design”, (tasarımda kişisel verilerin korunması) kavramıyla genişletildi. Dijital çözümlerde ve daha geniş perspektifle kuruluşlarda, kişisel verilerin korunması bakış açısı gömülü şekilde bulunmadıkça, geriye yönelik önlemlerin alınması ve çözümlerde bu özelliklerin hayata geçirilmesi daha zor hale gelir. O nedenle kuruluşların özellikle yeni dijital ürün ve çözümlerinde geliştirme, test ve uygulama  aşamalarında kişisel verilerin korunması kriterlerini dikkate almaları önümüzdeki dönemde uyum çalışmalarında daha verimli olunmasını sağlar.

Veri yönetişimi: Kuruluşların uyum çalışmalarında sahip oldukları fakat anlamlı şekilde keşfedemedikleri büyük veri kitlelerinin yönetimini ifade eder. Yapısal ve yapısal olmayan verilerin keşfinden, bu verilerin, veri sözlüğü ve veri envanterinde sınıflandırılması ve sahiplendirilmesine, sınıflandırmayı temel alarak gerekli veri yönetimi süreçlerinin işletilmesinden, verilerle ilgili gerekli idari ve teknik tedbirlerin ve koruma önlemlerinin alınmasına kadar etkin bir veri yönetişimi altyapısının tesis edilmesi önem taşıyor. Bunun özellikle kurumsal seviyede ilerleyen dönemde mevzuata uyum çalışmalarının ayrılmaz bir parçası haline geleceğini söylemekte fayda var. 

Dijjitalleşme ve rekabet avantajı

KVKK uyum faaliyetlerinin dijitalleşmesi, hataya açık süreçlerin değiştirilmesi ile birlikte kalite ve etkinlik avantajı sağlanmasına işaret eder. Bununla birlikte, mevzuatın değişen yapısına ayak uydurmak için dijital uygulamaların kullanımı maliyet yönetimi açısından değerli bir fırsattır. Ayrıca, dijitalleşme sadece uyum risklerinin etkili şekilde yönetilmesini ve ilişkili maliyetlerin azaltılmasını değil, aynı zamanda hizmet kalitesinin de optimize edilmesini destekler. Artan hizmet kalitesi son kullanıcıların sisteme daha çok güven duymasını sağlar. Djitalleşme, mevzuata uyum açısından bir rekabet avantajı sağlar; organizasyonların büyük resmi daha kolay bir şekilde görüp  akıllı yatırımlar yapmasına olanak tanır.

Temmuz 2020'de kaleme alınmıştır.

İlayda Aydın, Bilgi Teknolojileri Danışmanlığı Analist

Bize ulaşın