Önceki iki blog yazısında başladığımız yolculuğumuza devam edelim. Birinci yazıda Veeam’in GDPR uyumluluğu ile ilgili bir genel bakış sunduk ve öğrendiğimiz 5 dersi paylaştık. İkinci yazıda ise bu beş ilkenin birincisini derinlemesine tartıştık.
- Verilerinizi bilin
- Verileri yönetin
- Verileri koruyun
- Belgelendirin ve uyum sağlayın
- Sürekli iyileştirin
İkinci ilkeye yakından bakalım: Verileri yönetin.
Birinci ilkedeki görevleri tamamladıysanız ve sahip olduğunuz kişisel olarak tanımlanabilir bilgileri (PII) ve de bunların nerede tutulduğunu tanımladıysanız, artık söz konusu PII verilerine erişim ile bunların kullanımı ile ilgili kural ve süreçleri belirleme sürecini başlatabilirsiniz.
Burada sorulması gereken önemli sorular şunlardır:
- Bilgilere kimin erişimi var (ve erişim sağladıklarında haberdar oluyor musunuz)?
- Bu bilgilere neden erişiyorlar?
- Bunun amacı nedir?
Bu süreç boyunca kuruluşunuzda birbirinden farklı kurumlar olduğunu ve bunların her birinin farklı nedenlerden dolayı PII verilerini işlediğini ayrıca kullandığını gördük. Bunlara pazarlama, satış ve insan kaynakları dahil. Bu bölümler arasında en kritik olanı İnsan Kaynaklarıdır (İK). İK sahip olduğu veya çalışanlarınızdan topladığı bilgilerin bazıları yalnızca PII verisi olmakla kalmaz; bazıları ise hassas PII verileridir. Bu nedenle daha sıkı güvenlik önlemleri ve koruma gerekir. Veriler yönetilirken İK’ya özellikle odaklanılması ve dikkat edilmesi gerektiğini öğrendik.
Verilerimizi yönetmek tamamen şirket içinde gerçekleştirdiğimiz bir şey değildi. Veeam söz konusu belirli verileri yönetmek için üçüncü taraf satıcılarla ortaklık kurdu. Üçüncü taraflarla iş ilişkisine girmeden önce GDPR uyumluluklarını değerlendirmeyi ve bunun süreçlerinize ve de iş akışlarınıza dahil edilmesi gerektiğini unutmayın. Verilerin üçüncü taraf satıcıda olup olmamasından sorumlu olduğunuzu unutmayın.
Kim, neden ve ne?
Tam kapsamlı kuruluş verilerini anladıktan ve sınıflandırdıktan sonra elbette kuruluşların çoğu bu verilere erişimin dikkatle yönetilmediğinin farkına varmaktadır. Sunduğumuz şablonları kullanıyorsanız bu bilgilere neden erişim sağladıklarını ve bu bilgilerle ne yaptıklarını (amaç) öğrenmiş olmalısınız. Tam bu adımda iş akışlarını ve süreçleri oluşturmanız ayrıca kişilerin bu verilere yalnızca iş ile ilgili görevlerini yerine getirmeleri gerektiğinde ulaşmalarını sağlamanız gerekir.
Ayrıca sözleşmelerinizi inceleyin ve gerekli olan unsurları revize edin. GDPR artık hangi verileri topladığınızı, verilerin amacını ve kullanım alanını, son olarak ne süreyle depolayacağınızı tam olarak belirtmenizi zorunlu kılıyor. Aynı zamanda kişilerin hangi verileri depoladığınızı ve söz konusu verilerin değiştirilmesi ya da silinmesi olasılığını öğrenmek üzere tarafınıza talep gönderilmesini sağlayacak bir süreç oluşturmalısınız.
Son olarak, şirket içi ekiplerin Erişim Kontrol Listelerini incelemelisiniz. BT personelinin tüm verilere erişim sağlaması sıkça görülen bir durumdur. Bu süreci belgeleyin ve BT bölümünün işini yapması için verilere erişmesi gerektiğinde denetim sağladığınızdan emin olun.
Sonuç
Verilerinizin ne oluğunu ve nerede olduğunu öğrendikten sonra hangi nedenlerden dolayı kullanıldığını ve kimlerin erişebildiğini öğrenmeniz büyük önem taşımaktadır. Teknik çözümler kullanın ve üçüncü tarafların uyumluluğu nasıl ele aldığını öğrenmek için üçüncü taraf firmalarla ortak çalışın. Veriler için sorumluluğun sizde olduğunu bilin. Konumları tanımlayabildiğiniz noktalarda; PII ile hassas PII verilerini etiketleme çözümlerini benimseyin. Birisi verilere eriştiğinde denetim raporları oluşturun. Veri geri yükleme için plan yapın. (Geri yükleme operatörlerinin istedikleri her şeyi geri yükleme olanağı varsa üretim verilerinize kimin erişim sağladığını bilmek yeterli olmayacaktır). Son olarak, çoğu “tehdit” içeriden geleceği için altyapınızı fiziksel olarak koruduğunuzdan emin olun.
