ISO 27701 Kişisel Veri Yönetim Sistemi

Kişisel verilerin korunması, günümüzde yalnızca yasal bir zorunluluk değil, aynı zamanda kurumsal itibarın ve müşteri güveninin temel unsurlarından biri haline gelmiştir. Özellikle KVKK, GDPR ve sektörel düzenlemelerin artmasıyla birlikte kuruluşlar, kişisel veri işleme faaliyetlerini sistematik bir yapıya oturtma ihtiyacı duymaktadır.

ISO 27701 Kişisel Veri Yönetim Sistemi (Privacy Information Management System – PIMS), ISO 27001 Bilgi Güvenliği Yönetim Sistemi üzerine inşa edilen ve kuruluşların kişisel verileri güvenli, kontrollü ve mevzuata uyumlu şekilde yönetmelerini sağlayan uluslararası bir standarttır.

BTYÖN olarak, kurumların KVKK ve uluslararası veri koruma gerekliliklerine uyum sağlamaları için ISO 27701 kurulum, danışmanlık, eğitim ve denetim hazırlık hizmetleri sunuyoruz.

‍

1. Mevcut Durum Analizinin Yapılması

Kurulum çalışmalarının ilk aşaması mevcut durum analizidir.

Bu aşamada kuruluşun;

• Kişisel veri işleme faaliyetleri
• KVKK uyumluluk seviyesi
• ISO 27001 olgunluğu
• Teknik ve idari tedbirleri
• Politika ve prosedürleri

incelenir.

Amaç, mevcut durum ile ISO 27701 gereklilikleri arasındaki farkların belirlenmesidir.

BTYÖN danışmanları bu aşamada ayrıntılı GAP Analizi gerçekleştirerek yol haritasını oluşturur.

2. Kapsamın Belirlenmesi

Her yönetim sisteminde olduğu gibi ISO 27701'de de kapsamın doğru belirlenmesi kritik öneme sahiptir.

Kapsam belirlenirken:

• Hangi iş birimlerinin dahil olacağı
• Hangi süreçlerin kapsama alınacağı
• Hangi lokasyonların değerlendirileceği
• Veri sorumlusu ve veri işleyen rollerinin kapsamı

netleştirilir.

Yanlış belirlenen kapsam ilerleyen aşamalarda önemli uyumsuzluklara neden olabilir.

3. Kişisel Veri Envanterinin Oluşturulması

ISO 27701'in temelini kişisel veri envanteri oluşturur.

Bu aşamada aşağıdaki soruların cevapları aranır:

• Hangi kişisel veriler işleniyor?
• Veriler hangi amaçlarla işleniyor?
• Veriler kimlerle paylaşılıyor?
• Veriler ne kadar süre saklanıyor?
• Veriler hangi sistemlerde tutuluyor?
• Verilere kimler erişebiliyor?

Ortaya çıkan envanter aynı zamanda KVKK Veri İşleme Envanteri çalışmalarının da temelini oluşturur.

4. Veri İşleme Faaliyetlerinin Haritalandırılması

Kuruluş içerisinde gerçekleşen tüm veri işleme faaliyetleri detaylı şekilde dokümante edilir.

Örneğin:

• İnsan kaynakları süreçleri
• Müşteri yönetimi süreçleri
• Tedarikçi yönetimi süreçleri
• Pazarlama faaliyetleri
• Çağrı merkezi operasyonları
• Web sitesi ve mobil uygulamalar

ayrıntılı olarak değerlendirilir.

Bu çalışma sayesinde veri akışları görünür hale gelir.

5. Risk Değerlendirmesi Yapılması

ISO 27701 risk temelli bir standarttır.

Bu nedenle kişisel veriler açısından oluşabilecek risklerin belirlenmesi gerekir.

Örneğin:

• Yetkisiz erişim
• Veri sızıntısı
• Hatalı paylaşım
• Yetersiz saklama süreçleri
• Tedarikçi kaynaklı riskler
• İnsan hataları
• Siber saldırılar

değerlendirilerek risk seviyeleri belirlenir.

BTYÖN, ISO 31000 ve ISO 27005 yaklaşımlarını kullanarak kişisel veri risk değerlendirme çalışmalarını yürütmektedir.

6. Politika ve Prosedürlerin Oluşturulması

ISO 27701 kapsamında çeşitli dokümantasyonların hazırlanması gerekir.

Bunlardan bazıları:

• Kişisel Veri Koruma Politikası
• Veri Saklama ve İmha Politikası
• Veri İhlali Yönetim Prosedürü
• Veri Sahibi Başvuru Süreci
• Tedarikçi Yönetim Prosedürü
• Erişim Yönetimi Prosedürü
• Risk Yönetimi Prosedürü
• Eğitim ve Farkındalık Süreci

Hazırlanan dokümanların kurumun gerçek süreçleri ile uyumlu olması kritik önem taşır.

7. Teknik ve İdari Tedbirlerin Uygulanması

ISO 27701 yalnızca dokümantasyondan oluşan bir standart değildir.

Kuruluşun teknik ve organizasyonel tedbirleri de değerlendirilir.

Örnek tedbirler:

Teknik Tedbirler

• Çok faktörlü kimlik doğrulama
• Log yönetimi
• Veri şifreleme
• DLP sistemleri
• Güvenlik duvarları
• Zafiyet yönetimi
• Yedekleme süreçleri

İdari Tedbirler

• Gizlilik sözleşmeleri
• Yetkilendirme süreçleri
• Farkındalık eğitimleri
• Tedarikçi sözleşmeleri
• Periyodik denetimler

8. Eğitim ve Farkındalık Çalışmaları

Personelin kişisel veri koruma konusundaki farkındalığı sistemin başarısında belirleyici rol oynar.

Bu nedenle çalışanlara;

• KVKK farkındalığı
• Bilgi güvenliği farkındalığı
• Veri ihlali bildirim süreçleri
• Güvenli veri işleme yöntemleri

konularında düzenli eğitimler verilmelidir.

9. İç Denetimlerin Gerçekleştirilmesi

Kurulan sistemin etkinliğinin ölçülmesi amacıyla iç denetimler gerçekleştirilir.

İç denetimlerde:

• Süreçlerin standarda uygunluğu
• Dokümantasyon yeterliliği
• Risk yönetimi etkinliği
• Teknik kontrollerin uygulanması

incelenir.

Tespit edilen uygunsuzluklar için düzeltici faaliyetler başlatılır.

10. Yönetimin Gözden Geçirmesi

Üst yönetim belirli periyotlarla sistemi değerlendirir.

Bu toplantılarda:

• Riskler
• Veri ihlalleri
• Denetim sonuçları
• Hedefler
• İyileştirme fırsatları

ele alınır.

Bu aşama sürekli iyileştirme yaklaşımının temelini oluşturur.

11. Belgelendirme Denetimine Hazırlık

İç denetim ve iyileştirme çalışmalarının tamamlanmasının ardından kuruluş belgelendirme denetimine hazır hale gelir.

Denetim sürecinde:

• ISO 27701 gereklilikleri
• ISO 27001 entegrasyonu
• KVKK uyumu
• Kişisel veri yönetim süreçleri

değerlendirilir.

Başarılı denetim sonucunda kuruluş ISO 27701 sertifikasını almaya hak kazanır.

‍

ISO 27701 doğrudan KVKK sertifikası değildir.

Ancak standardın uygulanması;

• Veri envanteri oluşturulması
• Veri işleme süreçlerinin yönetimi
• Risk değerlendirmesi
• Teknik ve idari tedbirlerin uygulanması
• Veri sahibi haklarının yönetimi

gibi KVKK yükümlülüklerinin büyük bölümünü sistematik hale getirir.

Bu nedenle birçok kuruluş ISO 27701'i KVKK uyumluluk çalışmalarının önemli bir bileşeni olarak değerlendirmektedir.

‍

BTYÖN, bilgi güvenliği, risk yönetimi ve mevzuat uyumluluğu alanlarındaki tecrübesiyle kuruluşların ISO 27701 projelerini uçtan uca yönetmektedir.

Hizmet kapsamımız:

• Mevcut durum analizi (GAP Assessment)
• ISO 27701 kurulum danışmanlığı
• KVKK uyumluluk çalışmaları
• Kişisel veri envanteri oluşturulması
• Risk değerlendirmesi
• Politika ve prosedür geliştirme
• Eğitim ve farkındalık çalışmaları
• İç denetim hizmetleri
• Belgelendirme hazırlık desteği

Özellikle finans, enerji, telekomünikasyon, sigorta, üretim ve kamu sektörlerinde edindiğimiz deneyim sayesinde kuruluşların kişisel veri yönetim süreçlerini uluslararası standartlara uygun hale getiriyoruz.

ISO 27701 Danışmanlığı Hakkında Bilgi Alın

Kuruluşunuzda ISO 27701 Kişisel Veri Yönetim Sistemi kurulumu, KVKK uyumluluğu veya belgelendirme hazırlıkları hakkında detaylı bilgi almak için BTYÖN uzmanlarıyla iletişime geçebilirsiniz.

BTYÖN Teknoloji A.Ş., bilgi güvenliği ve kişisel veri yönetimi alanındaki uzman kadrosuyla sürdürülebilir ve denetlenebilir bir gizlilik yönetim sistemi oluşturmanıza destek olmaktadır.

‍