Veri Gizliliği Rehberi 2020
Veri gizliliği veya bilgi gizliliği, veri rızası, bildirim ve düzenleme yükümlülüklerinin uygun şekilde ele alınması ile ilgili bir veri güvenliği dalıdır. Daha spesifik olarak, pratik veri gizliliği ile ilgili endişeler genellikle aşağıdakileri kapsar:
- Verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı veya nasıl paylaşıldığı,
- Verilerin yasal olarak nasıl toplandığı veya saklandığı,
- Yasal kısıtlamalar (GDPR, KVKK vb.)
Bu kılavuzda veri gizliliğinin neden önemli olduğuna ve veri güvenliğiyle nasıl bağlantılı olduğuna bakacağız. Ardından, birkaç kilit ülkede ve bazı kilit endüstrilerde veri gizliliğini kapsayan mevzuata bakacağız. Son olarak, hem kişisel hem de iş ortamlarında veri gizliliğinizi artırmanın bazı yollarını vereceğiz.
Göreceğimiz gibi, verilerin güvenliği ve gizliliği sıkı bir şekilde birbirine bağlıdır ve bu nedenle veri gizliliğinin sağlanması, Lundo Data tarafından sunulanlar gibi eksiksiz bir güvenlik çözümünün kullanılması anlamına gelir.
İçerik Özeti
Veri Gizliliği Neden Önemlidir?
Veri gizliliğinin endüstrimizdeki en önemli sorunlardan biri olmasının iki nedeni vardır.
Veriler, bir şirketin sahip olduğu en önemli varlıklardan biridir. Veri ekonomisinin yükselişiyle birlikte şirketler veri toplama, paylaşma ve kullanma konusunda muazzam bir değer buluyor. Google, Facebook ve Amazon gibi şirketlerin hepsi veri ekonomisinin üstünde imparatorluklar kurdu. İşletmelerin rıza talep etme, gizlilik politikalarına uyma ve topladıkları verileri yönetme konusundaki şeffaflık, gizlilik beklentisi olan müşteriler ve ortaklarla güven ve hesap verebilirlik oluşturmak için hayati önem taşımaktadır. Birçok şirket, yüksek düzeyde gizlilikten mahrum bırakılarak gizliliğin önemini zor yoldan öğrendi.
İkincisi, gizlilik, bireyin davetsiz gözetimden uzak olma hakkıdır. Birinin alanında güvenli bir şekilde var olmak ve kapalı kapılar ardında düşüncelerini özgürce ifade etmek demokratik bir toplumda yaşamak için çok önemlidir.Gizlilik, özgürlüğümüzün temelini oluşturur.
Veri Gizliliği ve Veri Güvenliği
Şirketler genellikle hassas verilerin bilgisayar korsanlarından korunmasının, veri gizliliği düzenlemelerine otomatik olarak uyumlu olduğu anlamına geldiğine inanır. Olay bu değil.
Veri güvenliği ve veri gizliliği genellikle birbirinin yerine kullanılır, ancak belirgin farklılıklar vardır:
- Veri Güvenliği, verileri harici saldırganlardan ve kötü niyetli kişilerden korur.
- Veri Gizliliği, verilerin nasıl toplandığını, paylaşıldığını ve kullanıldığını yönetir.
Kişisel olarak tanımlanabilir bilgileri güvence altına almak için büyük çaba sarf ettiğiniz bir senaryo düşünün. Veriler şifrelenir, erişim kısıtlanır ve birden çok örtüşen izleme sistemi mevcuttur. Ancak, bu bilgiler uygun rıza olmadan toplanmışsa, veriler güvenli olsa bile bir veri gizliliği düzenlemesini ihlal ediyor olabilirsiniz.
Veri Koruması, Gizlilik Hakkımızın Arkasındaki Güçtür
Veri gizliliği mevzuatı ve uygulamasındaki son gelişmelere rağmen, tüketicilerin gizliliği şirketler ve hükümetler tarafından düzenli olarak istila edilmektedir. Bu, bazılarının tüketicilerin gizlilik savaşını zaten kaybettiğini iddia etmesine yol açtı.
Veri gizliliği olmadan veri korumasına sahip olsanız da, veri koruması olmadan veri gizliliğine sahip olamazsınız.
Veri gizliliğinin sağlanması, pasif konum izleme, kişisel adres defterinizi gizlice kaydeden uygulamalar veya her klavye hareketinizi izleyen web siteleri olsun, müşterinizin tüm kişisel bilgilerini açgözlü bir şekilde toplayan tüyler ürpertici şirket olmadığınız anlamına gelir.
Bunun yerine çalışanlar, veri güvenliği portföyünün bir parçası olarak hassas verilerin düzgün bir şekilde toplanmasını, paylaşılmasını ve kullanılmasını sağlamak için gerekli süreçleri ve prosedürleri anlamaları için düzenli olarak veri koruma konusunda eğitilmelidir.
Bilgi gizliliği, şirketlerin verileri koruması için gerekli düzenlemeleri de içerir. Dünya genelinde veri koruma düzenlemesi büyüdükçe, küresel gizlilik gereklilikleri ve talepleri de genişleyecek ve değişecektir. Ancak, geçerli veri koruması: şirketlerin hem yasalara uymasını hem de bilgi gizliliğini garanti etmelerini sağlamanın en iyi yoludur.
Lundo Data hizmetleri, mevcut en gelişmiş veri korumasından bazılarıdır. Bu nedenle, sistemlerimiz ülkemizde tüketici gizliliğini korumak için kullanılmaktadır.
Veri Gizliliğinin Farklı Tanımları- Küresel Mevzuat
Her ne kadar çoğu insan veri gizliliğinin önemi üzerinde hemfikir olsa da, “veri gizliliği” tanımının kendisi oldukça karmaşıktır.
Bu makalede bahsettiğimiz küresel ve yerel yasaların hiçbiri – GDPR, CCPA veya HIPAA – veri gizliliği ile ne anlama geldiğini tam olarak tanımlamıyor. Bunun yerine, içerdikleri hükümler bir dizi en iyi uygulamayı önermekte ve tüketicilerin ve işletmelerin haklarını dile getirmektedir. Her bir mevzuat farklı olduğundan, “gizlilik” ile neyin kastedildiğini tam olarak tanımlamaya çalışmak son derece zor olabilir.
Kapsamımızı tek bir mevzuatla sınırlarsak durum daha iyi olmaz. Avrupa’nın GDPR’si tartışmasız en kapsamlı veri gizliliği mevzuatının parçasıdır. Ne yazık ki, kafa karıştırıcı: Mayıs 2018’de New York Times, “büyük, kafa karıştırıcı bir karışıklık” yorumunu getirdi.
Sorun şu ki, bu kuralların pratik sonuçları inanılmaz derecede karmaşıktır. GDPR – birçok AB kanunu gibi – birçok farklı ulus devletin farklı sistemleri ve değerleri arasında bir uzlaşma sunmaya çalışmaktadır. Bu nedenle, “yasaya tabi olacak birçok bilim adamı ve veri yöneticisi onu anlaşılmaz buluyor” ve mutlak uyumun bile mümkün olduğundan şüphe ediyor.
Küresel Mevzuat
ABD’deki işletmeler için bu büyük bir sorun gibi gözüküyor. Hem GDPR’ye hem de CCPA’ya tabi olmak bir sıkıntılı bir mevzuu çünkü iki mevzuatın kullandığı veri gizliliğinin tanımı ve verilerin “adil kullanımını” tanımlama biçimleri çok farklıdır. Temel farklar şunlardır:
- İlk olarak, CCPA’nın, şirketinizin neresinde olursa olsun, Kaliforniya sakinleri için (biraz garip bir şekilde tanımlanmış olsa da) uygulandığını kabul etmelisiniz. Benzer şekilde, GDPR, şirketinizin neresinde olursa olsun, AB vatandaşlarının haklarını korur. AB veya Kaliforniya vatandaşlarıyla ilgilenirseniz, koruma altına girersiniz.
- CCPA, Kaliforniyalıların verilerini şirketler tarafından satmama haklarını korur. Kaliforniyalılarla (yani bir web sitesine sahip tüm şirketler) ilgilenen şirketler, tüketicilerin bilgilerinin satılmasına izin vermeme hakkını vermek için web sitesi ana sayfalarında “kişisel bilgilerimi satma” bağlantısını içermelidir. GDPR ise bu konuyla ilgilenmiyor.
- Diğer bir önemli fark, GDPR’ın 6. maddesi uyarınca şirketlerin müşteri bilgilerini işlemek için yasal bir dayanak oluşturduklarını göstermeleri gerektiğidir. Öte yandan CCPA, özel veri toplamayı veya işlemeyi haklı kılmanızı gerektirmez.
- GDPR ayrıca sağlık verilerinin nasıl toplanıp saklanabileceğine ilişkin özel kurallar içerir. GDPR “biyometrik veri” ve “genetik veri” yi iki ayrı kişisel veri türü olarak tanımlarken, CCPA kapsamında bu bilgiler tek bir “kişisel bilgi” kategorisi altında yer almaktadır.
- GDPR, verilerle çalışan tüm şirketler için geçerliyken, CCPA yalnızca kâr amaçlı işletmeler için geçerlidir.
- Bazı açılardan, GDPR, uyumu sağlamak için gerekli yönetim süreçleri söz konusu olduğunda daha katıdır. Mevzuat, şirketler içinde “veri koruma görevlilerinin” atanmasını gerektirmektedir. Yönetmelikteki diğer hükümlere uyulduğu sürece CCPA buna gerek duymaz.
- Her iki mevzuatta da alınabilecek cezalar açısından da büyük farklılıklar vardır. GDPR’nin 83. Maddesi, şirketlerin dünya çapındaki toplam cironun 20 milyon € veya % 4’üne kadar para cezasına maruz kalabileceğini belirtiyor. Bu, bazı şirketler için büyük bir miktar olabilir ve Google, Fransa’daki veri gizliliği ihlalleri için zaten 50 milyon € para cezasına çarptırıldı. Öte yandan CCPA, çok daha yumuşaktır: şirketlere ihlali düzeltmeleri için 30 günlük ek süre tanınır ve ihlal başına sadece 2500 dolar para cezası verilir.
Kafa Karıştıran Tanımlar
Kısacası, sadece bu iki mevzuat parçasında kullanılan farklı veri gizliliği tanımlamaları son derece kafa karıştırıcıdır. “Makul” kabul edilen şey her yasada önemli ölçüde farklılık gösterir ve bu yasaları çiğnemenin cezası da değişir.
Uygulamada bu, özel verilerle çalışan şirketlerin veri uygulamalarının mevzuatta beklenenin çok üzerinde olmasını sağlamak için kanunları aşması gerektiği anlamına gelir. Bunu kısa bir süre içinde nasıl yapacağımıza bakalım, ama önce daha önce bahsettiğimiz mevzuat parçalarına daha yakından bakalım.
Önemli Küresel/Yerel Veri Gizliliği Yasaları
Neyse ki, kanun yapıcılar veri gizliliği düzenlemesine sahip olmanın önemini ve şirketleri son kullanıcı verilerinden sorumlu tutma ihtiyacını kabul ettiler.
Şirketler artık kullanıcılarını hangi veri gizliliği yasalarının etkilediğini belirlemelidir. Örneğin, verilerin nereden kaynaklandığını (ülke ve eyalet), hangi kişisel bilgileri içerebileceğini ve kullanım yöntemini bilmeniz gerekir.
En son veri gizliliği düzenlemelerinin kullanıcıları ve şirketleri nasıl etkilediğine daha yakından bakalım. İşte veri gizliliği mevzuatının en önemli dört parçası.
GDPR: AB Veri Gizliliği Yasaları
Mayıs 2018’de yürürlüğe giren GDPR, AB vatandaşlarının kişisel verilerini korumayı amaçlıyor ve Avrupa’daki şirketler üzerinde zaten büyük etkileri var. GDPR’nin birçok yönü vardır ve şirketlerin GDPR’ye uyum sağlamak ve sürdürmek için üstlenmeleri gereken birçok görev vardır. Bunlar aşağıdakileri içerir, ancak bunlarla sınırlı değildir:
- Kullanıcılardan açık rıza izni
- Şirketlerden veri talep etme hakkı
- Verilerinizi silme hakkı
GDPR, tüketicilere verileri üzerinde belirli haklar verirken, verilerini tutan şirketlere güvenlik yükümlülükleri de getirir. Şirketler için, mevzuatın zorlayıcı yönlerinden biri, konu erişim taleplerine cevap verme zorunluluğudur.
Sağlık Hizmetlerinde Veri Gizliliği
AB’nin GDPR’si olmasına rağmen, federal düzeyde ABD’nin en önde gelen veri koruma ve gizlilik yasalarından biri HIPAA’dır – hasta kişisel sağlık bilgilerini korumak için yürürlüğe konan bir veri gizliliği düzenlemesi.
Sağlık hizmeti sunucuları veri ihlalleri için her zaman çekici bir hedef olmuştur. Aslında, sağlık kayıtları son derece değerlidir – kredi kartı numaralarından yaklaşık 10-20 kat daha değerlidir. Bu yüzden HIPAA ile uyumlu olmalarını sağlamalıdırlar.
GDPR ve HIPAA’nın nasıl karşılaştırıldığını merak ediyorsanız, GDPR’nin HIPAA’dan daha geniş bir kapsamlı olduğunu ve yalnızca sağlık verilerine odaklanmadığını unutmayın. GDPR, sağlık verilerinin korunmasını içeren “hassas(özel nitelikli) kişisel verilerin” korunmasını gerektirir.
Finansal Kurumlar için Veri Gizliliği
Diğer Veri Gizliliği Yasaları
Yukarıda belirtilen yasalar, veri gizliliği söz konusu olduğunda en yüksek profilli düzenleyici çerçeveler olsa da, belirli türdeki şirketlere veya belirli veri türlerine uygulanan veri gizliliği yasalarının da olduğunun farkında olmalısınız.
Bunlardan hangisi işletmeniz için geçerli olacak, hem sektörünüze hem de verileri nasıl depoladığınıza ve işlediğinize bağlıdır, ancak ISO 27001 uyumluluğu, FISMA uyumluluğu ve Sox uyumluluğu için hükümleri kontrol etmeye değer.
Lundo Data, verilerinizin hem güvenli hem de ilgili mevzuata tam olarak uyumlu olmasını sağlayacak tam veri koruma çözümleri sunarak tüm bu çerçevelere uyum sağlamanıza yardımcı olabilir. Veri gizliliği gereksinimlerinizi öğrenmek istiyorsanız, bugün bizi arayın.
Veri Gizliliği İpuçları
İş Odaklı Veri Gizliliği İpuçları
Daha önce işletmelerin veri güvenliğini nasıl sağlayabileceği hakkında yazmıştık ve veri güvenliği ile veri gizliliği arasındaki bağlantıdan dolayı tavsiyemiz, işletme olarak sahip olduğunuz verilerin gizliliğini sağlamanıza da yardımcı olacaktır.
Bu teknikler şunları içerir:
- Şirketinizdeki her çalışan için veri güvenliği ve gizlilik endişeleri ve teknikleri konusunda farkındalık sağlamak. Veri gizliliği konusundaki eğitimi genel eğitim programınıza entegre etmelisiniz ve bu, yeni personel için işe alım sürecinin bir parçası olmalıdır.
- Dışarıdaki ücretsiz güvenlik araçlarından yararlandığınızdan emin olun. Bu, şifreli depolama çözümlerini, şifre yöneticilerini ve VPN’leri içerir. Bu küçük araçlar saldırılara karşı savunmasızlığınızı önemli ölçüde azaltabilir ve kullanımı ve kurulumu kolaydır.
- Ağınızı şüpheli etkinlik açısından izleyin, böylece hasarı azaltmak için erken pozisyon alabilirsiniz..
- Bilgisayar korsanlarının şirketinize olan ilgilerini küçümsemeyin, çünkü daha yeni başlıyor – ihlaller ve saldırılar yeni kurulan işletmeler ve küçük işletmeler de dahil olmak üzere her büyüklükteki kuruluşu etkiliyor.
- Sıfır güven modelini uygulayın. Lider Siber Bayanlar ve Cyber19w’un kurucusu Sivan Tehila’nın bize söylediği gibi, “Zero Trust uygulamaları yalıtarak ve ağ erişimini kullanıcı izinleri, kimlik doğrulama ve kullanıcı doğrulamasına göre bölümlere ayırarak tüm ağa erişimi kısıtlıyor. Zero Trust ile uygulama, kullanıcıların nereden bağlandıklarına bakılmaksızın tüm kullanıcılar, cihazlar, uygulamalar ve veriler için kolayca uygulanır. Bu kullanıcı merkezli yaklaşım, yetkili kuruluşların doğrulanmasını zorunlu kılar, isteğe bağlı değildir. Bu “güven, ancak doğrula” zihniyeti bugünün örgütleri için kesinlikle gereklidir.
Tüketici Odaklı Veri Gizliliği İpuçları
Tüketici olarak, şirketlerin verilerinizi nasıl sakladığı ve verileri ne kadar iyi sakladıkları üzerinde çok fazla kontrole sahip değilsiniz. Bununla birlikte, verilerinizin gizliliğini artırabilecek birkaç kolay adım vardır. İyi bir ilk adım, mevcut gizlilik araçlarını tanımaktır. Bu, en azından internet bağlantınızı şifrelemek için bir VPN ve çevrimiçi hesaplarınızın güvenliğini artırmak için bir şifre yöneticisi anlamına gelir.
- Ek güvenlik katmanları için çok faktörlü kimlik doğrulamayı kullanın ve şifreler kırılırsa önemli hesapların kolayca ele geçirilmediğinden emin olun. Tercihen SMS tabanlı olmayan MFA seçeneklerini kullanın. Birçok çevrimiçi şirket artık çok faktörlü kimlik doğrulamasını ücretsiz olarak sunuyor, bu yüzden hesabınıza uygulamasını isteyin.
- IoT’deki casus yazılımların veri gizliliği için ne anlama geldiğinin farkında olun: Bu, geçen yılın en büyük siber güvenlik hikayelerinden biri olmuştur ve tüm IoT cihazlarınızı en son güvenlik yazılımı ile güncel tutmanın önemine işaret etmektedir.
- Verileri sık sık yedekleyin. Veri depolama alanından ödün verilirse, güvenli bir yedeğiniz varsa şanşlısınız demektir.
- Garip istekler, yazım ve dilbilgisi hataları, gösterişli tıklama, yem içeriği gibi görünen diğer şeylere dikkat edin.
Lundo Data Veri Gizliliğine Nasıl Yardımcı Olur
Hassas ve düzenlenmiş verilere erişimi yönetin
Hiç kimsenin çok fazla erişime sahip olduğundan şikayetçi olduğunu duymazsınız. Bu nedenle Lundo Data ile yapılan düzenli yetkilendirme incelemeleri, yalnızca doğru kişilerin doğru verilere erişmesini sağlar: sınırsız erişim, şirketleri veri ihlali, hırsızlık veya kötüye kullanım riskiyle karşı karşıya bırakır. En az ayrıcalık ve uyumluluğa daha hızlı ulaşmak istiyorsanız, Lundo Data oraya ulaşmanıza yardımcı olur – böylece global erişimi otomatik olarak düzeltebilir ve dosya sistemi izinlerini düzeltebilirsiniz.
Uygun uyumluluk gereksinimlerini izleyin
Hassas verilerdeki şüpheli davranışı izleyin ve tespit edin
İşletmenizi Lundo Data ile koruma altına almak, kuruluşunuzun tüm verilerini sürekli olarak izleyeceğiniz ve uyarı alacağınız anlamına gelir. Bu, şirketlerin tüketici kişisel verilerini belirleyip izleyebileceği, kimlerin eriştiğini izleyebileceği, olağandışı etkinliği vurgulayabileceği ve düzenlenmiş ve hassas olan garip davranışlar hakkında rapor oluşturabileceği anlamına gelir. Sonuçta, verilerinizin her zaman güvenli olduğunu bilmek de veri gizliliğini sağlar.
Veri Gizliliği Haberleri ve Kaynakları
Veri gizliliği geçtiğimiz yıl boyunca yaygın bir endişe haline geldi ve konunun kapsamı tüm büyük gazetelerde yer aldı. Bununla birlikte, veri gizliliği alanında son dakika haberlerini almak istiyorsanız, küresel özel medyayı da kontrol etmeye değer: WIRED, HackerNoon ve InfoSecurity Magazine gibi kaynaklar veri gizliliği hakkında sık sık rapor sunar.
Şu anda dünyada veri gizliliğindeki gelişmelerden bazıları şunlardır:
Kaliforniya Tüketici Gizlilik Yasası (CCPA)
Google’ın Nightingale Projesi Veri Gizliliği Kaygılarını Artırıyor
Hindistan ve Yeni Veri Gizliliği Yasası
Veri Gizliliği Hakkında Sık Sorulan Sorular
S: Küresel Veri Gizliliği Yasası Var mı?
S: Verilerimizi Diğer Ülkelerde Koruyabilir Miyiz?
S: Şirketler Bulut Teknolojisi Kullanırken Veri Gizliliğine Sahip Olmalarını Nasıl Sağlayabilir?
Sonuç
Veri gizliliği birkaç nedenden dolayı önemlidir. Tüketici olarak, verilerinizin bir dizi şirket tarafından saklandığını ve kullanıldığını bilmeniz ve gerekenden fazlasını paylaşmadığınızdan emin olmanız gerekir. Ne de olsa mahremiyet temel bir haktır.
Şirket olarak, veri gizliliği daha da önemlidir. Kişisel verileri nasıl topladığınız, sakladığınız ve işlediğinizle ilgili yasal sorumlulukları yerine getirmeniz gerekebilir ve bu kurallara uyulmaması ağır bir para cezasına neden olabilir. Bir saldırıya maruz kalırsanız, gelir kaybı ve müşteri güveni kaybı açısından sonuçlar daha da kötü olabilir.
Bu nedenle, gelişmiş veri güvenliği özellikleri sağlayan eksiksiz bir güvenlik çözümü oluşturduk. Lundo Data, yalnızca verilerinize erişmesi gereken kişilerin çalışmasını sağlayan bir çözüm sunar.