CIO’lar KVKK uygunluk kriterlerine nasıl hazırlanıyor?

CIO’lar KVKK uygunluk kriterlerine nasıl hazırlanıyor?

Son dönemde, Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde, IT yöneticileri kriterlerin sağlanması noktasında mevcut uygulamalarda birtakım değişikliklere gidiyor. Farklı sektörlerin CIO’ları ile KVKK’ya nasıl hazırlandıkları konusunda görüştük.
KVKK uygunluk kriterlerinden kişisel bilgi kullanımının söz konusu olduğu her alanda bahsedebilmek mümkün. CIO’ların bir kısmı KVKK uygunluk kriterlerinin sağlanması konusunda mevcut uygulamalarda önemli değişiklikler yaparken, diğer kısmı ise mevcut politika ve uygulamalarda sıkılaşmaya giderek gerekli adımları atmaya çalışıyor.

İngiltere’de faaliyet gösterdiği sektörde adından söz ettiren IT yöneticileri ile KVKK uygunluk kriterlerinin yerine getirilmesi konusunda attıkları adımlarla ilgili konuştuk…

1. Martyn Wallace – İskoç Yerel Hükümeti
İskoç Yerel Hükümeti KVKK’yı içerisinde fırsatçı satıcıların da bulunduğu odadaki fil olarak görüyor.
Martyn Wallace’ın KVKK uygunluk kriterlerini yerine getirme konusundaki stratejisi merkez konsey tarafından alınan aksiyonların ülkenin geri kalan 32 yerel konseyinde uygulanması sürecinden oluşuyor.
Wallace, ideal şartlar içerisinde yaptığı işin dijital ofis olarak hayata geçirilen bir uygulamanın 32 kez tekrarlanmasını sağlamak olduğunu söylüyor.
Bu strateji Wallace ve ekibine belirlenen uygulamaların sürekli tekrarlanarak tüm detaylarına hakim olma ve İskoç Yerel hükümeti Dijital Ofisi’nin KVKK uygunluğuna daha iyi odaklanma imkanı sağlıyor.

2. David Ivell – Price’s Trust
Price’s Trust yardımlaşma kuruluşunun çalışmalarında genç kişilerin kolaylıkla hedef alınabilecek pek çok kişisel bilgiyi kullanmasının, KVKK uygunluk kriterleri ile ilgili hazırlıkları organizasyon dâhilinde kapsamlı bir proje haline dönüştüğünü söylemek mümkün. Çalışanların desteklenen kişilerle genelde samimi konuşmalar gerçekleştirmesi fakat bazı durumlarda yapılan konuşmaların taciz düzeyine ulaşması KVKK uygunluk kriterlerinin sağlanmasına yönelik adımlardaki hassasiyeti artırıyor.

Price’s Trust CIO’su David Ivell, KVKK uygunluk kriterlerini sağlama şirket olarak şartları güvence altına almak adına verilerini kişisel bilgilerden arındırmayı tercih ettiğine dikkat çekiyor ve ekliyor: “Bizim böyle bir şansımız yok. Genç kişilerle yaptığımız samimi görüşmeler sunduğumuz destekte önemli rol oynuyor. Bu nedenle kişisel bilgilerin kullanımı konusunda doğru dengeyi bulmamız kritik öneme sahip.”

Kişisel bilgilerin toplanması konusunda doğru dengeyi sağlamanın yanında toplanan bilgileri korumaları gerektiğinin altını çizen Ivell, sadece gerekli kişilerin kişisel bilgilere erişimini mümkün kılmanın önemli olduğunu vurguluyor.

Kuruluş olarak gerekli dengenin sağlandığından emin olmak için kurum genelinde verilerin toplanmasından hangi sistemler ve kişiler tarafından verilerin kullanımına kadar olan süreçte KVKK uygunluk kriterlerinin sağlanması konusunda izlenen bir program bulunuyor.
KVKK uygunluğunun sağlanması için müşterilere yönelik teknolojileri değiştirmek zorunda kaldıklarını söyleyen Ivell, daha önceki süreçte kağıt ve kalem ile başlayan bilgi girişlerinin şu anda şifrelenmiş tablet üzerinden gerçekleştirildiğini dile getiriyor.

3. Claire Priestley – City, University of London
KVKK uygunluk kriterlerinin sağlanması City, University of London CIO’su Claire Priestley için büyük önem taşıyor. Priestley’in, çalışan, üniversite ve yaklaşık 20 bin öğrencinin verilerini koruma ve gelecek için kişiselleştirilmiş eğitim sunma süreçlerinde kullanılan verileri KVKK uygunluk kriterlerine uygun hale getirme zorunluluğu bulunuyor.
Priestley, sekiz ay önce veri yapısını yeniden yapılandırdıklarını ve yeni yapılandırmada uygunluk kriterlerinin sağlanmasının ötesinde güvelik, veri kalitesi ve veri hareketliliği gibi konulara oluşturdukları stratejide yer verdiklerini ifade ediyor
Endişeliden çok kendinden emin bir durumda olduğunu söyleyen Priestley, aynı alanda faaliyet gösteren kuruluşlara göre çok daha iyi bir noktada bulunduklarını düşünüyor. Priestley, KVKK ile ilgili konular üzerinde birkaç yıldan bu yana çalıştıklarını ifade ederek uygunluk kriterlerini mümkün olduğunca yerine getirmeye odaklandıklarını dile getiriyor.

4. Sean Harley – Ascential
Ascential CIO’su Sean Harley, medya şirketinin hukuki işlerinden sorumlu kişileriyle çalışarak şirketinin tamamını kapsayan şekilde KVKK uygunluk kriterlerinin sağlanmasına yönelik çalışmalar yürütüyor

Kişisel bilgilerle ilgili yasal düzenlemelerin hukuki ya da pazarlama problemi olarak gördüğüne dikkat çeken Harley, kendilerinin bu konuyu kurumsal bir konu olarak değerlendirdiğini ifade ediyor ve ekliyor: “Kişisel bilgilerin kullanımıyla ilgili yasal konular pazarlama, insan kaynakları, hukusal, teknoloji ve veri ile ilgili olma niteliği taşıyor. Bu nedenle tüm bu detayların sorumluluğunu kurumsal bir sorumluluk olarak ele alıyoruz.
Harley, KVKK kriterlerine uygunluğun sağlanması konusunda yakın gelecekte problem yaşamamak için organizasyon yapısının tamamını gözden geçirdiklerini ifade ederek kurumsal organizasyonun ötesinde B2B ilişkilerinin parçası olarak gerekli şartların yerine getirildiğinden emin olmak için süreçlerde bazı değişiklikler yaptıklarını dile getiriyor.

5. David Jone – AEG
AEG’nin Avrupa bölgesi IT başkan yardımcısı David Jones’un, Londra’daki O2, Paris’teki AccorHotels, Stockholm’daki Ericsson Globe ve Berlin’deki Mercedes-Benz Arena gibi farklı eğlence merkezlerindeki veri altyapısını koruması gerekiyor.
KVKK kriterlerine uygunluğun sağlanması konusunda Jones’un üzerinde durduğu noktaların başında hukuki olarak belirlenen kriterlerin detaylandırılması ve bu detaylara rehberlik edilmesi geliyor. Bu sayede Jones ve şirketi KVKK uygunluk kriterlerinin yerine getirilmesine karşı olması gerekenden daha hazır durumda olması hedefleniyor.

Jones, pek çok organizasyonun muhtemelen olması gerektiği yerde bulunmadığı gerçeğinin altını çizerek KVKK kriterlerine uygunluğun sağlanmasında en önemli problemin yasal düzenlemelerdeki detayların gündelik hayatta ne anlama geldiğini bilmemek olduğunu söylüyor.
Üç Avrupa ülkesinde faaliyet gösteren bir şirket olarak karmaşık yapıları olduğunu ifade eden Jones, KVKK ile tüm ülkelerde belirli standartları yakalayacaklarını belirtiyor. Jones, uygulamalarda küçük farklılıklar olmasına karşın neredeyse aynı yapıyı oluşturmanın KVKK için gerekli olan kriterlerin yerine getirilmesi esnasında mümkün olacağını söylüyor.
Almanya’daki bazı KVKK uygulamalarıyla ilgili çalışmalar yaptıklarını dile getiren Jones, Almanya’nın pazarlama izni gibi konularda daha ileri durumda olmasının erken uygulamaya koyulan prosedürlerde etkili olduğunu vurguluyor.

Jones, kişisel verilerle ilgili konuların Bilgi Komisyonu Ofisi (ICO – Information Comissioner’s Office) tarafından uygulanacak cezalar ile daha fazla netlik kazanacağının altını çizerek Google ve Facebook gibi devlere sonrasında daha küçük ölçekteki organizasyonlara uygulanacak yaptırımlarla yasal konuların gündemde daha fazla yer tutacağına inanıyor.

6. Dave Roberts – Radius Payment Solutions
Radius Payment Solutions şirketinin CIO’su Dave Roberts, KVKK uygunluk kriterlerinin sağlanması sürecini ISO 27001 Bilgi Güvenliği Yönetimi sertifikasyonu ile ilgili hazırlık sürecine paralel olarak yürütüyor.
Güvenlik ve filo hizmetleri konusunda faaliyet gösteren şirkette IT güvenlik ve uyumluluk ekibi gerekli şartların sağlanması konusunda çalışıyor. Şirket tarafından KVKK stratejisi konusundaki eksiklerin tespit edilmesine yönelik analiz ve geliştirme ile ilgili yasal uzmanlık arayışında bulunuluyor.

Roberts, denetlemelerde 114 kontrol ve ISO 27001 konusunda yapılanların ortaya koyulduğuna dikkat çekerek yapılanların KVKK mevzuatları ile eşleştirilmesini sağladıklarını söylüyor ve ekliyor: “ISO 27001 ile ilgili şartları yerine getirmede oldukça iyi durumdayız. Bu süreç KVKK konusunda attığımız adımlar öncesinde büyük fayda sağladı.”
KVKK’nın bir IT projesi olmanın ötesinde kurumsal bir proje olduğunun KVKK konusunda gözden kaçırılmaması gereken en önemli nokta olduğunu belirten Roberts, bu nedenle KVKK yürütme komitesinde organizasyondaki her kısımdan paydaşların yer aldığını söylüyor.

7. Adam Gerard – Yoldel
Yoldel şirketinin CIO’su Adam Gerard dağıtım hizmetleri sağlayan şirketinde KVKK uygunluk kriterlerinin sağlanması konusunda çalışmalar yürütüyor.
Gerard, veri koruma uzmanlarını kişisel verilerin korunması ile ilgili eğitime tabi tuttuklarını ve KVKK konusundaki detayları hızlıca kavraya IT siber uzmanları olduğunu dile getiriyor ve ekliyor: “Bu sayede her iki taraftan veri kaynaklarımızı ince eleyip sıkı dokuyarak KVKK konusunun bizim için ne anlama geldiğini irdeleyebiliyoruz.”

Kişisel verilerin korunması konusundaki gelişmelere karşı doğru bir yaklaşım ortaya koyduklarını düşünen Gerard, teknoloji altyapısı konusunda yapılması gereken pek çok şey olduğunu ifade ediyor. Gerard, pek çok kişi veri korumanın sadece depolanan verilerle ilgili olmadığı gerçeğini göz ardı ettiğini dile getirerek ekibinin kişisel bilgilerin korunması konusunun veri depolamadan ibaret olmadığını ayırt etmede oldukça akıllı olduğunu belirtiyor.
Şirketin daha önceki CIO’su ile yaptığı görüşmeler doğrultusunda Gerard, ,şirket olarak KVVK ile ilgili gelişmelere olması gerekenden çok daha iyi şekilde uygun hale geldiğine inanıyor.
Gerard, müşterilerin verilerini korumanın şirketinin görevi olduğunu ve KVKK ile ilgili mevzuatların getireceği yaptırımlara inanmayan kişileri en azından yaşanabilecek ihlalle ilgili riskleri bilmesi gerektiğini söylüyor.

KVKK ile ilgili yaptırımların kısa süre içerisinde başlamasının kendisi için sürpriz olmayacağını vurgulayan Gerard, kendi şirketinin uygunluk konusundaki problemlerden dolayı ceza uygulamalarına maruz kalmasını kesinlikle istemediğini ifade ediyor.

8. Mark Holt – Trainline
Trainline şirketinin CTO’su Mark Holt, KVKK uygunluk kriterlerini yerine getirmeyi zorluk yerine fırsat olarak gören IT yöneticileri arasında yer alıyor.
Holt, ten bileti satış hizmeti sağlayan bir şirket olarak veri kullanımına “KVKK uygunluk yaklaşımı”yla bütünleştirdiklerini ve bu kapsamda uygunluk sürecini yürütme, verinin güvenli bir şekilde depolama ve müşterilerin şirkete güvenini sağlama konularında gerekli adımları attıklarını söylüyor.

KVKK konusunda takıntılı olduklarını vurgulayan Holt, kişisel bilgilerin korunmasıyla ilgili gelişmeleri yakından takip ettiklerini ve tüm organizasyonların bu yönde ilerlemesi gerektiğini belirtiyor ve ekliyor: “Eğer KVKK tarafından gerekli görülen adımları atmıyor ve müşterilerinizin gizliliğini önemsemiyorsanız bir şeyleri yanlış yapıyorsunuz demektir.”

Categories: STRATEJİ

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*