25 Mayıs’ta yürürlüğe girecek GDPR yönetmeliği ile ilgili önemli uyarılar

Son zamanların en çok konuşulan konularından biri 25 Mayıs’ta Avrupa Birliği ülkelerinde yürürlüğe girecek olan Genel Veri Koruma Yönetmeliği (GDPR). Özellikle Avrupa Birliği ülkeleriyle ticaret yapan şirketlerin bu yönetmeliği çok iyi anlaması ve uyum sağlaması gerekiyor. Sistemlerin güvenliğini sağlamak, tüm GDPR uyum projelerinin önemli bir parçası olacak. Şirketler erişim ve kimlik doğrulamanın iyi bir şekilde kontrol edildiğinden, verilerin güvenli bir şekilde depolanıp taşındığından, yeterli veri akışı ve akış kaydına sahip olduklarından emin olmalı.

Citrix, Genel Veri Koruma Yönetmeliğine uyum için şirketlere çeşitli önerilerde ve uyarılarda bulunuyor. Güncel McKinsey & Company raporuna göre, küresel veri akışları 2005-2014 arasında 45 kat büyüdü ve GSYİH büyümesi üzerinde aynı döneme ait fiziksel mal satışlarından daha büyük bir etkiye sahip oldu. 2020’ye kadar bağlı cihazların sayısının 50 milyara ulaşması bekleniyor. Her zamankinden daha fazla veri oluşturuyor ve paylaşıyoruz. Veri hacmi, büyüme hızı ve kişisel bilgilerimizi paylaştığımız üçüncü şahısların sayısı da doğal olarak git gide artıyor. Privacy Rights Clearinghouse’a göre, 2005’ten bu yana kamuyla paylaşılan 8 binden fazla veri ihlali gerçekleşti ve bu da 10 milyardan fazla kaydın ifşa edilmesiyle sonuçlandı.

İşte tam da bu nedenlerden ötürü Avrupa Birliği, Genel Veri Koruma Yönetmeliği’ni (GDPR) mecliste kabul etti. GDPR, “Privacy by Design” kavramı (veri işleyen sistemleri tasarlarken gizliliğe önem verme) ve kişisel bilgilerin korunması için gereken önemli teknik ve kurumsal güvenlik denetimlerinin uygulanması da dahil olmak üzere, operasyonel denetim ve izlenebilirlik ilkelerini esas alıyor. GDPR 1995’te yürürlüğe giren AB Veri Koruma Direktifinin yerini alacak.

GDPR’nin İzlenebilirlik İlkesi

PwC tarafından 2017’de yapılan bir ankete göre, şirketlerin yüzde 77’si GDPR hazırlık ve uyum çabalarına 1 milyon dolar veya daha fazla kaynak ayırmayı planlıyor. Bunlardan %68’i, GDPR yükümlülüklerini yerine getirmek için 1 milyon ile 10 milyon dolar arasında yatırım yapacaklarını; %9’u ise 10 milyon doların üzerinde harcama yapmayı beklediklerini söylüyor.

AB’de iş yapan ve AB kaynaklı kişisel bilgileri işleyen firmaların GDPR standartlarını karşıladıklarından emin olmak için birkaç adımı tamamlamaları gerekecek. Bunlardan bazıları şöyle:

• Yetkisi olmayan kişilerin varsayılan hesap veya parola gibi bilgileri kullanarak veriye erişimlerini sınırlamak gibi “akıllı güvenlik” adımlarını uygulamak.
• Kişisel verilere erişimi olan üçüncü şahısların temel veri işleme gerekliliklerini yerine getirdiğinden emin olmak. Bu gerekliliklerin alt işlemcilere de uygulandığından, güvenlik kontrollerinin yapıldığından ve veri işleme anlaşmalarının GDPR gerekliliklerini yansıttığından emin olmak.
• Ürünlerin ve sistemlerin nasıl çalıştığını, verilerin nerede depolandığını, işlendiğini ve nereye (şirket dışı ve/veya bölge dışı) aktarıldığını anlamak.
• Bilinen güvenlik açıklarını zamanında kapatmak da dahil olmak üzere sistemleri kullanım ömürleri süresince izlemek ve denetlemek.

Sistemlerin güvenliğini sağlamak tüm GDPR uyum projelerinin önemli bir parçası olacak. Şirketler erişim ve kimlik doğrulamanın iyi bir şekilde kontrol edildiğinden, verilerin güvenli bir şekilde depolanıp taşındığından, yeterli veri akışı ve akış kaydına sahip olduklarından emin olmalı.

Şirketler ayrıca, topladıkları verilerin nasıl kullanıldığını, nerelere transfer edildiğini ve nerelerde depolandığına da dikkat etmeli. Şirketler veri yaşam döngüsünü değerlendirirken satıcıların verileri doğru bir şekilde güvenceye aldıklarından ve uygun erişim, kullanım ve depolama hizmeti sağladıklarından emin olmak için üçüncü taraf sağlayıcılarla yaptıkları sözleşmeleri gözden geçirmeli.