Bulut Bilişimde Kişisel Veri Güvenliği: KVKK Uyumu

BumerangData Hukuk Ekibi · · 12 dk okuma
Bulut Bilişimde Kişisel Veri Güvenliği: KVKK Uyumu

Bulut Bilişimde Kişisel Veri Güvenliği: KVKK Uyumlu Stratejiler

Dijital dönüşümün hızlandığı günümüzde, şirketler operasyonel verimliliği artırmak için bulut bilişim teknolojilerine yönelmektedir. Ancak bulut platformlarında kişisel verilerin depolanması ve işlenmesi, KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında ciddi sorumluluklar getirmektedir. BumerangData olarak, Türkiye'deki işletmelerin bulut ortamında kişisel veri güvenliğini nasıl sağlayabileceğini ve KVKK mevzuatına nasıl uyum gösterebileceğini açıklamaya karar verdik.

Bulut bilişim hizmetlerinin sunduğu esneklik ve maliyet avantajlarına rağmen, veri güvenliği konusundaki endişeler işletmelerin buluta geçişini engelleyebilmektedir. Özellikle kişisel verilerin bulut ortamında işlenmesi, Türkiye Veri Koruma Kurulu'nun (KVKK Kurulu) sık sık inceleme konusu haline gelmektedir. Bu rehberde, bulut bilişimde kişisel veri güvenliğinin nasıl sağlanacağını, ilgili yasal çerçeveyi ve pratik uygulamalarını detaylı şekilde inceleyeceğiz.

KVKK Kapsamında Bulut Bilişim ve Veri Güvenliği

KVKK Kanunu'nun Temel İlkeleri

KVKK, 24 Nisan 2016 tarih ve 6698 sayılı kanun ile Türkiye'de kişisel verilerin korunmasının yasal çerçevesini belirlemiştir. Kanunun 4. maddesi, kişisel verilerin işlenmesinde hangi ilkelerin uygulanması gerektiğini tanımlamaktadır. Bu ilkeler şunlardır:

  • Hukuka uygunluk: Kişisel veriler ancak kanunda belirlenen hallerde işlenebilir.
  • Amaçlılık: Veriler sadece belirlenen meşru amaçlar için işlenebilir.
  • Veri minimizasyonu: İşlenen veriler, belirlenen amaçlar için gerekli ve münasip olmalıdır.
  • Doğruluk ve güncellik: Veriler doğru, güncel ve eksik olmayan şekilde tutulmalıdır.
  • Şeffaflık: Veri işleme faaliyetleri şeffaf ve açık bir şekilde yürütülmelidir.

Bulut bilişim ortamında bu ilkeleri uygulamak, geleneksel veri yönetimi uygulamalarından daha karmaşıktır çünkü veriler fiziksel sunuculardan ziyade sanal ortamda birden fazla yerde depolanabilir.

KVKK Madde 5: Veri İşlemenin Yasal Dayanakları

KVKK'nın 5. maddesi, kişisel verilerin işlenmesinin yasal dayanağını belirlemektedir. Bulut ortamında veri işlemek için aşağıdaki dayanaklar geçerlidir:

  • İlgili kişinin açık rızası
  • Bir sözleşmenin kurulması veya ifası için gerekli olması
  • İşletmenin meşru menfaatleri için zorunlu olması
  • Kanunda açıkça öngörülmesi
  • Genel ve kamu yararının korunması
  • Kamu kurumlarının görevlerini yerine getirmesi

Bulut hizmet sağlayıcılarıyla çalışan şirketlerin, verilerini buluta aktarmadan önce bu yasal dayanakları net olarak belirlemeleri gerekmektedir.

Bulut Bilişimde Veri Güvenliği Tehditleri ve Riskleri

Bulut Ortamında Yaygın Güvenlik Tehditleri

Bulut bilişim platformlarında kişisel veriler, geleneksel sunucu ortamlarından farklı türde tehditlerle karşı karşıya gelmektedir. BumerangData tarafından yapılan analiz sonuçlarına göre, bulut ortamında en sık karşılaşılan güvenlik tehditleri şunlardır:

  • Yetkisiz erişim: Bulut sistemlerine dayanak noktası olarak (brute force) saldırılar veya kimlik hırsızlığı yoluyla veri tabanlarına erişim sağlanabilir.
  • Veri sızıntısı: Bulut platformlarının paylaşılan altyapısı nedeniyle, yetkisiz kişilerin diğer müşterilerin verilerine erişmesi mümkün olabilir.
  • Kötü amaçlı yazılımlar: Bulut ortamında depolanan verileri hedef alan ransomware ve diğer malware türleri ciddi tehlike oluşturmaktadır.
  • DDoS saldırıları: Bulut hizmetlerini çevrimdışı hale getirerek veri kayıpına neden olan saldırılardır.
  • İçeriden gelen tehditler: Bulut sağlayıcısının personelinin haksız yere verilere erişmesi riski bulunmaktadır.
  • Yanlış konfigürasyon: Bulut ayarlarının hatalı yapılandırılması, verileri halka açık hale getirebilir.

Bu tehditlere karşı korunmak için, KVKK Kanunu'nun 11. maddesi uyarınca veri sorumlusu olarak yeterli teknik ve idari önlemler alınması zorunludur.

Bulut Sağlayıcıları ile İlişkili Riskler

Bulut bilişim hizmetlerini kullanan işletmeler, birden fazla taraf arasındaki veri paylaşımı nedeniyle ilave risklerle karşı karşıya gelmektedir. KVKK Kanunu'nun 3. maddesi uyarınca veri sorumlusu olarak şirket, bulut sağlayıcısının (veri işlemeci olarak) uyum göstermediği durumlardan da sorumlu tutulabilmektedir.

Türkiye Veri Koruma Kurulu'nun 2022-2023 yıllarında aldığı kararlar incelendiğinde, bulut sağlayıcılarıyla yapılan anlaşmaların yetersizliği sık bir ihlal nedeni olarak belirtilmektedir. Kurulun özellikle dikkat çektiği noktalar şunlardır:

  • Bulut sağlayıcısı ile yazılı bir sözleşmenin olmayışı
  • Veri işleme sözleşmesinde (DPA) güvenlik önlemlerinin net olarak tanımlanmaması
  • Sözleşmede veri taşıma yetkilerinin açıkça belirlenmemesi
  • Denetim ve erişim haklarının sınırlandırılmaması

KVKK Madde 11: Güvenlik Önlemleri

Teknik Güvenlik Önlemleri

KVKK Kanunu'nun 11. maddesi, veri sorumlusu ve işlemecinin kişisel verilerin güvenliğini sağlamak için yeterli düzeyde teknik önlemler alması zorunluluğunu belirtmektedir. Bulut bilişim ortamında alınması gereken teknik güvenlik önlemleri şunlardır:

  • Veri şifreleme: Hem transit (aktarım) sırasında hem de rest (dinlenme) durumunda veriler şifrelenmelidir. AES-256 standartı minimum olarak kullanılmalıdır.
  • Erişim kontrolü: Bulut ortamında verilere erişim, kimlik doğrulama (authentication) ve yetkilendirme (authorization) mekanizmaları ile kontrol edilmelidir.
  • Çok faktörlü kimlik doğrulama (MFA): Bulut hesaplarına erişim için MFA kullanılması, yetkisiz erişim riskini önemli ölçüde azaltmaktadır.
  • Günlük tutma ve izleme: Bulut sistemlerine yapılan tüm erişimler detaylı şekilde loglanmalı ve izlenmelidir.
  • Yedekleme ve felaket kurtarma: Veriler düzenli olarak yedeklenmeli ve bir felaket durumunda kurtarılabilir olmalıdır.
  • Güvenlik duvarı (Firewall): Bulut kaynaklarına erişim, uygun güvenlik duvarı kuralları ile sınırlandırılmalıdır.
  • İçeriğe koruma ve ayrıştırma: Farklı müşterilerin veya bölümlerin verileri, bulut ortamında tamamen birbirinden ayrılmış olmalıdır.

BumerangData platformu, müşterilerinin bulut ortamında bu teknik güvenlik önlemlerini nasıl uygulayacağını izlemelerine ve kanıtlamasına yardımcı olmaktadır.

İdari Güvenlik Önlemleri

Teknik güvenlik önlemlerinin yanı sıra, KVKK mevzuatı kapsamında idari önlemler de kritik öneme sahiptir. Bulut bilişim ortamında alınması gereken idari güvenlik önlemleri:

  • Veri Koruma Politikası: Bulut ortamında verilerin nasıl işleneceğine dair kapsamlı bir politika belirlenmelidir.
  • Personel eğitimi: Bulut sistemlerine erişimi olan tüm personel, KVKK ve veri güvenliği konusunda düzenli olarak eğitilmelidir.
  • Erişim kontrolü ve roller: Personelin bulut sistemlerine erişimi, 'en az yetki' (least privilege) ilkesine göre sınırlandırılmalıdır.
  • Veri işleme kayıtları: Bulut ortamında yapılan tüm veri işleme faaliyetleri belgelendirilmelidir.
  • Gizlilik anlaşmaları: Bulut sistemlerine erişim hakkına sahip personel ile gizlilik anlaşmaları imzalanmalıdır.
  • Olay müdahale planı: Veri ihlali durumunda ne yapılacağını belirten kapsamlı bir plan oluşturulmalıdır.
  • Düzenli denetimler: Bulut güvenlik uyumluluğu düzenli olarak denetlenmelidir.

Veri İşleme Sözleşmesi (DPA) ve Bulut Sağlayıcıları

DPA'nın Önemi ve İçeriği

KVKK Kanunu'nun 8. maddesi uyarınca, veri sorumlusu ve veri işlemeci arasında yazılı bir sözleşme yapılması zorunludur. Bulut hizmetleri söz konusu olduğunda, bu sözleşme (Veri İşleme Sözleşmesi - DPA) son derece kritik öneme sahiptir.

Türkiye Veri Koruma Kurulu'nun yayınladığı rehberlerde, DPA'nın aşağıdaki unsurları içermesi gerektiği belirtilmiştir:

  • Verilerin işlenme amacı, türü ve kapsamı
  • Verilerin işleme süreleri
  • Veriler üzerinde veri sorumlusunun haklarının korunması
  • Veri işlemecinin alacağı teknik ve idari güvenlik önlemleri
  • Veri işlemecinin görevlendireceği alt işlemeciler (subprocessor) hakkında bilgiler
  • Veriler üzerinde müşteri kontrolünün sağlanması
  • Denetim ve erişim haklarının belirlenmesi
  • Verilerin iadesi veya silinmesi şartları
  • Sözleşmenin ihlali durumunda cezai hükümler

Uluslararası Veri Transferi ve Bulut

Bulut hizmetlerinin birçoğu uluslararası altyapı üzerinde çalıştığından, veriler Türkiye dışına aktarılabilir. KVKK Kanunu'nun 9. maddesi uyarınca, Türkiye dışına veri transferi için özel koşullar sağlanmalıdır.

Türk Kişisel Veriler Kurulu'nun aldığı kararlardan biri olan 2018/77 no'lu karar, ABD merkezli bulut sağlayıcılara yapılan veri transferini ele almıştır. Kurulun vurguladığı nokta, sağlayıcının ülkesinin veri koruma mevzuatının, Türkiye standartı kadar güçlü olmasının gerektiğidir.

Türkiye dışına veri transferi yapılacaksa, aşağıdaki şartlardan en az birisi sağlanmalıdır:

  • Hedef ülkenin veri koruma mevzuatı yeterli bulunmalıdır (Avrupa Birliği üyesi ülkeler bu kapsamdadır).
  • Yeterli güvenceler (yeterlilik kararı) bulunmalıdır.
  • İlgili kişi açık rızası alınmalıdır.

Pratik Bulut Güvenliği Uygulamaları

Bulut Altyapısı Seçerken Dikkat Edilecek Noktalar

Şirketiniz için uygun bir bulut sağlayıcısı seçmek, KVKK uyumluluğunun temeli oluşturmaktadır. Bulut sağlayıcısı belirlerken kontrol etmeniz gereken kriterler:

  • Sertifikasyonlar: ISO 27001 (bilgi güvenliği yönetim sistemi), SOC 2 (sistem ve organizasyon kontrolleri) gibi uluslararası sertifikaları olması;
  • Veri merkezi konumu: Verilerinizin Türkiye'de tutulup tutulacağının netleştirilmesi;
  • Gizlilik ve güvenlik politikaları: Bulut sağlayıcısının ayrıntılı güvenlik politikalarını paylaşması;
  • Uyum belgeleri: GDPR, KVKK gibi mevzuata uyumluluğunu gösteren belgeler;
  • Denetim özür raporu: Bulut sağlayıcısının bağımsız denetçiler tarafından denetlenmesi;
  • Müşteri desteği ve müdahale süresi: Güvenlik olayında hızlı yanıt verebilme kapasitesi.

Bulut Güvenliği Kontrol Listesi

Bulut ortamında veri güvenliğini sağlamak için şirketiniz aşağıdaki adımları izlemeli:

  • 1. Adım - Envanter oluşturma: Bulut ortamında depolanan kişisel veriler ve bunların işleme amacını belirleyin.
  • 2. Adım - Risk değerlendirmesi: Bulut ortamında hangi güvenlik riskleri olabileceğini analiz edin.
  • 3. Adım - Sözleşme gözden geçirmesi: Bulut sağlayıcısı ile yapılan anlaşmaların KVKK tarafından zorunlu tutulan unsurları içerip içermediğini kontrol edin.
  • 4. Adım - Teknik kontroller: Veri şifreleme, erişim kontrolü, yedekleme gibi teknik önlemlerin yapılandırıldığından emin olun.
  • 5. Adım - İdari kontroller: Personel eğitimi, rol bazlı erişim, olay müdahale planı gibi idari önlemleri alın.
  • 6. Adım - İzleme ve denetim: Bulut sistemlerinde yapılan tüm işlemleri izlemek ve düzenli denetimler yapmak.
  • 7. Adım - Olay müdahale: Veri ihlali durumunda hızlı tepki vermek için hazırlıklar yapın.

Türkiye Veri Koruma Kurulu'nun Bulut Bilişim Kararları

Öne Çıkan Kurul Kararları

Türkiye Veri Koruma Kurulu, bulut bilişim konusunda birden fazla önemli karar almıştır. Bu kararlar, şirketlerin bulut ortamında KVKK mevzuatına nasıl uyum göstermesi gerektiğine dair rehber niteliğindedir.

2021/77 no'lu karar: Bu kararda Kurul, bir kamu kurumunun kişisel verileri, uygun güvenlik sözleşmesi olmaksızın bulut ortamına aktarması nedeniyle cezalandırılmıştır. Karar, DPA'nın bulut ortamında ne denli kritik olduğunu ortaya koymaktadır.

2022/234 no'lu karar: Bir özel şirketin bulut sağlayıcısından, kişisel verileri hakkında yeterli bilgi almadığı ve veri işleme kayıtları tutmadığı için cezalandırılmıştır. Bu karar, veri sorumlusunun bulut sağlayıcısı faaliyetlerini takip etme zorunluluğunu vurgulamaktadır.

2023/156 no'lu karar: Kurul, bulut ortamında yetkisiz erişimi engellemek için uygun multi-factor authentication kullanılmadığını gerekçe göstererek ceza vermiştir.

Bu kararlardan çıkarılacak temel mesaj, KVKK mevzuatının bulut bilişim konusunda katı uyum beklediğidir.

Veri İhlali Bildirimi ve Bulut Platformları

KVKK Madde 12: Veri İhlali Bildirimi

KVKK Kanunu'nun 12. maddesi uyarınca, veri sorumlusu bir veri ihlali meydana geldikten sonra makul bir süre içinde (genellikle 72 saat içinde) Kişisel Verileri Koruma Kurulu'na ve etkilenen kişilere bildirim yapması zorunludur.

Bulut ortamında veri ihlali durumunda, veri sorumlusu şu adımları izlemeli:

  • İhlali tespit etme ve kapsamını belirleme
  • Bulut sağlayıcısı ile iletişime geçme ve detay bilgi alma
  • Ihlal hakkında dökümentasyon oluşturma
  • Gerekli güvenlik adımlarını alma (örneğin, etkilenen hesapları devre dışı bırakma)
  • Kurula ve etkilenen kişilere bildirim yapma

Bulut platformlarında ihlal bildirimi için hazırlıklı olunması, cezalandırılma riskini önemli ölçüde azaltmaktadır.

Bulut Bilişimde Uyum Programı Geliştirme

KVKK Uyum Program Adımları

Bulut bilişim ortamında KVKK mevzuatına tam uyum gösterebilmek için sistematik bir yaklaşım gereklidir. Şirketiniz aşağıdaki adımlardan oluşan bir uyum programı geliştirmelidir:

  • 1. Veri envanteri: Bulut ortamında depolanan tüm kişisel verilerin bir listesini oluşturun.
  • 2. Etki değerlendirmesi: Bulut mimarisinin oluşturduğu riskleri değerlendirin.
  • 3. Politika oluşturma: Bulut ortamında veri işleme konusunda net politikalar belirleyin.
  • 4. Teknik ve idari kontroller: Gerekli güvenlik kontrolleri kurun.
  • 5. Eğitim ve farkındalık: Tüm personeli bulut ortamında veri güvenliği konusunda eğitin.
  • 6. Düzenli denetim: Uyumluluğu düzenli olarak kontrol edin ve raporlayın.

Bulut Ortamında Veri Talebi ve İlgili Kişi Hakları

KVKK Kanunu'nun 12, 13 ve 14. maddeleri, ilgili kişilere (veri sahiplerine) kendi verileri hakkında bilgi talep etme, düzeltme, silme ve işleme durdurma gibi haklar vermektedir. Bulut ortamında bu taleplerle başa çıkmak karmaşık olabilir.

Bulut sağlayıcısı ile yapılan sözleşme, bu haklara ilişkin talepler geldiğinde sağlayıcının ne yapacağını açıkça belirtmelidir:

  • Veri silinmesi talebi geldiğinde, veriler bulut ortamında tamamen silinmeli veya anonimleştirilmelidir.
  • Veri taşınabilirlik hakkı kapsamında, veriler standart ve makine tarafından okunabilir formatta sağlanmalıdır.
  • İlgili kişi, bulut ortamında depolanan verilerine erişim hakkına sahiptir.

BumerangData: Bulut Ortamında KVKK Uyumu Sağlamak

BumerangData, Türkiye'deki işletmelerin bulut bilişim ortamında KVKK mevzuatına uyum göstermelerine yardımcı olmak için tasarlanmış kapsamlı bir SaaS platformudur. BumerangData'nın sunduğu özellikler:

  • Bulut Uyum Modülü: Bulut ortamında veri işlemesi yapan şirketlerin KVKK uyumluluğunu sistematik olarak yönetmesi için özel modüller.
  • Veri Envanteri Yönetimi: Bulut ortamında depolanan tüm kişisel verilerin merkezi olarak yönetilmesi ve kategorizasyonu.
  • Risk Değerlendirmesi: Bulut mimarisinin oluşturduğu riskler hakkında otomatik raporlar.
  • Sözleşme Şablonları: Bulut sağlayıcıları ile yapılacak DPA'lar için KVKK uyumlu şablonlar.
  • İhlal İzleme: Bulut ortamında olası güvenlik ihlallerini izleme ve bildirme mekanizması.
  • Denetim İzleri: Bulut ortamında yapılan tüm veri işleme faaliyetlerinin kayıtlanması ve raporlanması.
  • Kurul Kararları Veri Tabanı: Türkiye Veri Koruma Kurulu'nun bulut bilişim konusundaki tüm kararlarının güncellenmesi ve analiz edilmesi.

BumerangData platformu sayesinde, şirketler bulut ortamında KVKK mevzuatına tam uyum gösterirken aynı zamanda operasyonel verimliliklerini arttırabilmektedir.

Sonuç ve Tavsiyeler

Bulut bilişim teknolojisi, Türkiye'de hızla yaygınlaşmaktadır. Ancak bulut ortamında depolanan kişisel veriler, KVKK Kanunu kapsamında kesinlikle korunması gereken kıymetli varlıklardır. Bu rehberde ele aldığımız teknik ve idari güvenlik önlemleri, KVKK mevzuatının bulut ortamında uygulanması için temel oluşturmaktadır.

Bulut bilişim ortamında kişisel veri güvenliğini sağlamak için alınması gereken temel adımlar şunlardır:

  • Uyumlu bulut sağlayıcısı seçimi
  • Kapsamlı ve KVKK uyumlu DPA'lar imzalanması
  • Teknik güvenlik önlemleri (şifreleme, erişim kontrolü, izleme) alınması
  • İdari güvenlik önlemleri (eğitim, politikalar, denetimler) uygulanması
  • Düzenli uyumluluğun denetimi ve gerekli güncelleme yapılması

BumerangData gibi uzmanlaşmış KVKK uyum platformları kullanarak, işletmeler hem yasal riskleri minimize edebilir hem de bulut teknolojisinden maksimum fayda sağlayabilir. Bulut bilişime geçişi yapmaya karar verdiğinizde, veri güvenliğini ve KVKK uyumluluğunu her zaman birinci sırada tutmalısınız.