Koronavirüs Sürecinde Gizlilik Politikasını Dijital Dönüşüm ile Aynı Eksende Tutmak

Dünyanın dört bir yanındaki şirketler için Covid-19 pandemisi dijital dönüşümü inanılmaz bir hıza çıkardı. Hayatta kalabilmek ve işlerini sürdürebilmek için şirketler hızlı bir şekilde temassız ödeme, genişletilmiş müşteri ilişkileri yönetimi gibi dijital unsurları kullanmaya başladı. Diğer yandan tüm bu dönüşüm her şirket için kritik önem taşıdığı gibi belli riskler de beraberinde getiriyor.

Operasyonlarını çevrimiçi ortama aktaran tüm şirketlerin, yönetimlerinde başarısız olmaları halinde büyük zararlara yol açabilecek gizlilik unsurları beliriyor. ABD ve diğer ülkelerdeki yeni düzenlemeler kapsamında, dijital dönüşümü doğru bir şekilde gerçekleştirebilmek daha önce hiç olmadığı kadar önemli.

Birçok sektör içerisinde fiziksel dünyada uzmanlığı bulunan ekipler artık dijital alanlara akın ederken, acemi oldukları bu alana çok yüksek miktarda müşteri bilgisi aktardıkları görülüyor. Restoran sektöründe işletmeler altyapılarını çevrimiçi sipariş ve evlere servise dönüştürmeye çalışırken bu sektörlerdeki şirketler ile iş birliği kuruyorlar.

Yüksek eğitimde ise eğitim kurumları tüm müfredatlarını çevrimiçi ortama aktarırken derslerden öğrencilerin sağlık kayıtlarına kadar tüm bilgileri dijital ortama taşıyor.

Canlı etkinlikler sektöründe, üretim uzmanları iyi altyapılara sahip süreçlerini çevrimiçine ve yeni bulut teknolojilerine taşıyor.

Her türlü senaryoda, büyük miktarlarda kişisel bilginin kötü yönetimi ve sızıntıya uğrama tehlikesi artıyor…

Bu durum birçok şirket için iki büyük mücadele unsuru doğuruyor: İlk olarak, yeni teknoloji üretiminde hızlı kararların alınması gerekiyor. Çevrimiçi vitrinler oluşturmaları ve müşterilerin kişisel bilgilerini işleyen iletişim platformları kurmaları gerek.

İkincisi, veri işleme teknolojileri veya gerekli teknolojilerin genelinde eksiklikler yaşıyorlar. Bu da ekiplerin uzman olmadıkları teknolojiler konusunda çok hızlı karar vermelerini gerekli kılıyor.

İşte tam da buradaki hızlı karar alma güdüsü, şirketlerin gizlilik hususunu ikinci plana atmalarına neden olabiliyor. Gizlilik hususu ani krizlerin ardından çözülebilir, ancak bu bir hata olarak beliriyor. Bu hata, yasal sorunlar doğurduğu gibi halkla ilişkiler alanında baş ağrısı yaratabiliyor ve süreç genellikle yasal yaptırımlar, para cezaları ve çeşitli davalara kadar uzanabiliyor.

Atlantik’in her iki yakasında da düzenlemelerin artırdığı bir baskı söz konusu. Örneğin Avrupa’da Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Düzenlemesi (The General Data Protection Regulation – GDPR) ve ABD’de 1 Temmuz’da hayata geçen ve 25 milyon dolar üzerinde yıllık geliri olan şirketleri ilgilendiren California Tüketici Gizliliği Yasası (California Consumer Privacy Act – CCPA), müşteri verilerinin yönetimi hakkında sıkı protokoller getirirken, verilerin yanlış kullanılması halinde büyük cezalar öngörüyor. Özellikle ABD’de, yasal düzenleyicilerin pandemi nedeniyle standartları hafiflettiği görülmedi. California Başsavcısı Xavier Becerra, CCPA hakkında yaptığı açıklamada, “İçinde bulunduğumuz acil kriz sürecinde şirketlerin veri güvenliği hususunda daha da dikkatli olmaya teşvik ediyoruz” ifadesini kullanmıştı.

İyi haber, işinizi çevrimiçine aktarmak için gereken olağanüstü yükün yanında gizlilik endişelerini yönetmeye çalışmanın çok külfetli olmayacağı. Gizlilik ihlaline uğramamak için takip etmeniz gereken birtakım kolay ve anlamlı adım söz konusu.

Önümüzdeki aylar içinde dijital dönüşümünüzü olabildiğince güvenli kılabilmek için bu gizlilik odaklı önlemleri hayata geçirmeyi düşünebilirsiniz. Her biri bağımsız olarak uygulanabilir, ancak eğer işiniz tüm bu maddelerin içine dahil olursa gizlilik riskini fazlasıyla azaltabilirsiniz:

1- Satıcıların ve iş ortaklarının müşteri verilerini nasıl kullandığı konusunda bilgili olun

Şirketler dijital dönüşüm engellerini aşmak için “tak-çalıştır” mantığı ile çalışan iş ortakları seçebilirler. Her ne kadar şirketler bu süreçte Veri İşleme Anlaşmaları’nı (Data Processing Agreements – DPA) gözden geçirmeleri gerektiğini bilse de, bu basamağı geçmeyi tercih edebilirler. CCPA ve GDPR altında, şirketler üçüncü partilerin müşteri verilerini nasıl işlediklerine dair müdahalede bulunmadıkları sürece finansal yükümlülük altına girmelerini öngörüyor. Marriott Hotel Group, Bilgi Komisyonu Bürosu (ICO) tarafından 2019’da 123 milyon dolarla cezalandırılmıştı.

Satıcılar ile Veri Güvenliği Anlaşmaları’nı gözden geçirirken dikkat edilmesi gereken unsurlar, iş ortaklarının gizliliğe uyumlu olduğu ve veri politikalarının şirketinizin veri politikaları ile uyuşmasıdır. Aksi takdirde bir şirket kendi gizlilik politikasını ihlal etme riskine girer. Ayrıca sözleşmelerde taşeronlar ile ilgili kısmı da dikkatle inceleyin. Hiçbir üçüncü parti çalıştığı şirketin özel izni olmadan taşeronlarına veri işleme yetkisi vermemelidir. Eğer bir satıcı tek taraflı olarak veri sorumluluklarını uyumlu olmayan bir üçüncü partiye aktarırsa, şirketiniz yasal olarak korunmuş olacaktır.

2- Verileri işlerken riskleri denetlemek adına tesir değerlendirmesi yapın 

Şiddetli değişim döneminde veri faaliyetleri için temel risk değerlendirmeleri uygulamak her ne kadar yorucu olsa da şirketlerin veri depolama ve taşeronluk gibi konularda olası zararlı kararlar verilmesi riskine karşılık kritik değerlendirme yapılmasını sağlar. Dahası, bir gizlilik ihlali suçlaması durumunda riskleri azaltmak için alınmış olan önlemleri sunan belgeler düzenleyicilerin gözünde büyük önem taşır.

Birleşik Krallık Bilgi Komisyonu Bürosu, şirketlerin gizlilik riski üzerinde değerlendirme yapabilmesi için bedava veri koruma tesir değerlendirme şablonu sunmaktadır.

3- Gizlilik politikanızda açıklığa önem verin 

Hissedarların CCPA karşısına çıkacak bir gizlilik politikasını yeniden değerlendirirken dikkat edeceği husus, nasıl okunacağı olacaktır. Amacınız gizlilik politikasını sadece yasal dili güçlü olan müşteriler için değil, tüm müşteriler için erişilebilir kılmaktır. Maddelerinizi yazarken ileride şart koşulacak bir düzenleme şartı için gerekli ifadeleri kullanmak gerektiğinizi düşünebilirsiniz, ancak önceliğiniz gizlilik konusunda uzman ve beklentisi bulunan müşterilerin politikanızı anlaması ve size güvenmesini sağlamaktır. Popüler bir yazılım olan Slack’in hazırladığı gizlilik politikası, verilerin dikkatin okuyucuları gözardı etmemesine bir örnek oluşturuyor.

4- Bir veri güvenlik müdürü (DPO) atayın 

Bir şirketin büyüklüğünde bağımsız olarak veri kararları için sorumluluğu merkezileştirmek, sorumluluğu birçok departman arasında bölüştürmekten daha uygun olacaktır. Bu tercih, hızlı değişim sürecinde daha doğru olarak belirmektedir. DPO’lar bir şirket içinde gizlilik meseleleri için odak noktası olarak belirir ve kanun uygulayıcı kurumların karakteri belirsizken düzenleyici kurumlar ile bağlantıyı sağlar. DPO olarak atanan kişi gizlilik konusunda yeterli tecrübeye sahip olmasa bile gizlilik üzerine bir çift gözü odaklamak maliyet bilinci yüksek bir risk önleyici olacaktır.

Hızlı dijital dönüşün yönetimi riskli kararlar alınmasını gerektirebilir. Ancak mevcut şartlar altında şirketler için düzenleyiciler karşısında gereksiz riskler almak yerine kolay, süreç doğrultusunda ilerleyen adımlar belirlemek gizliliği artırmak doğru olacaktır.

Veri gizliliği uygulaması ekonomistlerin “zaman uygunsuzluğu” ikilemine ait birçok içerik barındırır. Çok geç harekete geçene kadar harekete geçmek için çok erkendir. Son birkaç haftada tanık olduğumuz gibi “çok geç” kritik bir iş kavşağında ciddi bir tökezlemeye neden olabilir.