Kişisel Verileri Şifreleyin ve Anonimleştirin

Mehmet Nart
MBIS Ar-Ge Merkezi Takım Lideri

Dijital dönüşümün hayatımıza getirdiği yeniliklerle birlikte kişisel verilerin korunması, kurumların öncelikli faaliyetleri arasında yerini aldı. Kişisel verilerin anonimleştirilmesi ve özellikle hassas verilerin veri tabanında şifrelenerek tutulması, kurumlar için çok büyük bir önem arz ediyor. Yürürlüğe giren kanunlarla birlikte gizlilik taleplerine yanıt vermek, artık yalnızca bir seçenek olmaktan çıktı. Ülkemizde halihazırda değişen KVKK regülasyonlarıyla, kurumların kişisel verileri işleme şeklinde yeni bir dönem başladı bile. Peki, bu yeni kanun işletmeniz için ne anlama geliyor? Kişisel Veri Yönetim süreçlerinizi KVKK’ya uyumlu hale getirmenin yolları neler?

Bu yazıda bu soruları mercek altına alarak size MBIS dera çözümünü sunuyoruz. Siz de MBIS dera çözümü ile kişisel veri barındıran alanları keşfedin, hassas kişisel verilerinizi veri tabanı bazında şifreleyin ve KVKK uyarınca sistemlerinizde bulunan kişisel verileri kalıcı olarak anonim hale getirin.

Kişisel Verileri, Veri Tabanında Anonimleştirmek Neden Önemli?

Konuya, bu dönüşüme sebep olan regülasyonlar ile başlayalım. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili diğer kanun hükümlerine uygun olarak sisteminizde tutulan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Yönetmelikte geçen maddeler şöyledir:

·        MADDE 8 – (1) Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

·        MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

·        MADDE 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Veri güvenliğine ilişkin yükümlülük ve yaptırımlar ise aşağıdaki maddelerde ifade edilmiştir:

·        MADDE 12- (1) Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

·        MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümleri uygulanır. (2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

Dolayısıyla sistemlerinde kişisel veri tutan firmalar, veri işleme ve saklama aktivitelerinde, veri hassasiyet derecesine uygun olarak KVKK ile uyumluluğu sağlayabilmek amacıyla bir dizi önlem almakla yükümlüdür. Bu önlemlerin başında kişisel verileri anonimleştirmek ve özellikle kişisel verilerin veri tabanında şifrelenerek tutulması geliyor.

Kişisel Verileri Anonimleştirmek Ne Anlama Geliyor?

Bu kanunla birlikte kurumlar veri saklama süresinin dolmasına müteakip, KVKK yükümlülükleri gereğince kişisel verileri sistemlerinden silmese bile anonim hale getirmek zorunda. Kişisel verileri anonim hale getirmek ise, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi anlamına geliyor.

Peki, SAP Sistemlerinde Kişisel Veri Anonimleştirme ve Şifrelemeyi Nasıl Sağlayabilirsiniz?

SAP sistemlerinizde, (UI Masking fonksiyonuna sahipseniz) maskeleme yoluyla verilerinizi gizlemeniz mümkün. Fakat bu işlem, veri tabanı katmanında bir anonimleştirme gerçekleştirmiyor, sadece ekrandaki görüntüyü anonim olarak gösteriyor. Dolayısıyla kişisel verilerin korunmasıyla ilgili risklere kalıcı bir çözüm sunmuyor ve KVKK ile uyumluluğunuz tam manasıyla sağlanamıyor.

SAP veya SAP dışındaki sistemlerde, kişisel verilerin bulunduğu alanların tespit edilmesi de halihazırda zaman alan, yüksek maliyetli ve uzmanlık gerektiren bir aktivitedir. Bu alanların eksiksiz bir biçimde keşfedilmesi, KVKK yükümlülükleri ile uyumluluğun tam olarak gerçekleştirilmesi için yapılması gereken aktivitelerin başında almaktadır.

İşte MBIS dera çözümü tam da bu noktada devreye giriyor.

MBIS dera (Discover | Encrypt | Redact | Anonymize)

MBIS dera SAP sistemlerinde kişisel veri barındıran alanları otomatik olarak keşfedebilir, hassas kişisel verilerinizi saklama süresi boyunca şifreleyerek tutabilir, keşfedilen kişisel verilerinizi belli kural tanımları ve belirlenen yöntemler ile SAP ve SAP dışı sistemlerde veri tabanı seviyesinde kalıcı olarak anonimleştirerek (redaksiyon) KVKK ile uyumluluğunuzu sağlayabilir.

MBIS dera’nın Fonksiyonları Nelerdir?

Kişisel veriler yetki bazlı kontrol sayesinde standart kullanıcılara anonim olarak gösterilirken yetkilendirmiş kullanıcılara verilerin orijinal (decrypted) hali gösterilir. Kişisel veri barındırdığı tespit edilen alanlardan saklama süresi sona eren veriler için hangi redaksiyon kuralı uygulanacağı belirlenir. Seçilen yönteme uygun olarak (rastgele veya sabit bir metin, rakamlar veya tarih ile) redaksiyon işlemi anlık olarak gerçekleştirilebildiği gibi kullanıcı tarafından belirlenen bir zamanda gerçekleştirilmek üzere arka plan işi olarak planlanabilir.

Öte yandan dera, SAP ve SAP dışı sistemler için geliştirilen merkezi kişisel veri anonimleştirme işlevi sayesinde operasyonları, tek noktadan gerçekleştirme imkanı sağlar. Böylece sistemlerinizde yer alan tüm kişisel veriler, tek noktadan bir kişiyle ilişkilendirilemeyecek hale getirilerek anonimleşmiş olur.

Genel hatlarıyla “dera” fonksiyonlarını şöyle sıralayabiliriz:

1) SAP Kişisel Veri Keşfi; kullanıma hazır alan kataloğu sayesinde, ilişkisel veri tabanlarında kişisel verilerin barındığı alanların tespit edilmesini sağlayan fonksiyondur. Otomatik alan keşif motoru, veri alanlarının detaylarını içeren bir rapor hazırlayarak keşif sonucunun bildirmesinin yanı sıra kullanıcının anonimleştirme faaliyeti dışında tutmak istediği İlgili Kişi Alanlarını seçme imkânı sunar. dera’nın bu fonksiyonu aşağıdaki adımları takip eder:

  • Kişisel veri bulunan alanların keşfi
  • Oluşturulan özel tablolara eklenen/değiştirilen alanların bulunması (Standart veri elementleri kullanıldığı sürece);
  • Kişisel verilerin bulunduğu alanların raporlanması ve bu alanların veri keşif kataloglarında kullanılması

2) SAPde Kişisel Veri Anonimleştirme; dera üzerinde Dinamik İlgili Kişi Profilleri tanımlanır ve oluşturulan İlgili Kişi gruplarına özel tanımlanan fonksiyonlar, redaksiyon yöntemleri ve keşif motoru bulguları sayesinde dera operasyon katalogları oluşturulur. Bu operasyon tanımlama işlemi sonrasında anonimleştirme işlemi aşağıda kısaca belirtildiği gibi gerçekleştirilebilir:

  • İki farklı opsiyonla kullanabilme imkanı sunulur; Arka plan işi olarak planlayabilme veya manuel olarak sürecin gerçekleştirilmesi
  • Redaksiyon işlemi gerçekleşmeden önce süreç kontrolünü sağlamak amacıyla önceden tanımlanan onay akışı takip edilir.

3) Veri Şifreleme (Encryption); KVKK yükümlülüklerini yerine getirmek için alınacak önlemlerden biri de şifreleme fonksiyonudur. dera ile hassas kişisel verilerin saklama süresi boyunca şifreli tutulması, kullanıcı bazlı yetkilendirme fonksiyonuyla yalnızca yetkilendirilen kullanıcıların orijinal veriyi görmesi sağlanır.

4) SAP Dışı Sistemlerde Anonimleştirme; seçilen dera operasyonu, SAP sisteminde çalıştırıldığında(manuel/planlanmış arka plan işi olarak) aynı kişi için tanımlı ID’ler SAP dışı sistemlerde SQL Script aracılığıyla bulunarak senkronize biçimde kişisel veriler veri tabanında anonimleştirir. Böylelikle dera, SAP ve SAP dışı sistemler için geliştirilen merkezi kişisel veri anonimleştirme işlevi ile operasyonları, tek noktadan gerçekleştirme imkanı sağlar.

Neden MBIS dera?

-Çoklu sistem desteği ile hassas kişisel verileri şifreleyerek ve anonimleştirerek KVKK’nın önemli gerekliliklerinin karşılanmasını sağlar.

-dera, düşük toplam sahip olma maliyeti (TCO) sayesinde mevcut çözüm ve yöntemlere kıyasla KVKK gerekliliklerini karşılayan uygun maliyetli bir çözümdür.

-Kullanıma hazır katalog ve ön tanımlı iş akışlarıyla, hızlı implementasyon imkanı sağlar, yazılımın canlı kullanıma alımı kısa sürede gerçekleştirilir.

-dera, SAP ECC ve S/4HANA sistemlerinin yanı sıra ABAP’ı destekleyen tüm SAP sistemlerinde çalışmaktadır. (HR, CRM, SRM vb.)

– SAP ve SAP dışı sistemler için geliştirilen merkezi kişisel veri anonimleştirme işlevi sayesinde operasyonları tek noktadan gerçekleştirme imkanı sağlar.

-SAP’de kişisel veri barındıran alanları otomatik bir şekilde tespit ederek zaman ve maliyet tasarrufu sağlarken kişisel verilerin yer aldığı alanların gözden kaçırılma olasılığını minimize ederek KVKK uyumluluğu üst seviyeye çıkarır.

-dera, müşteri ihtiyaçlarına uygun olarak uyarlanabilir, yeni fonksiyonlar ile geliştirilebilir.

-dera, ilgili kişi düzeyinde yetkilendirme, yetkili kişi onay süreci gibi işletmelerin ihtiyaç duyduğu birçok faydalı fonksiyonu içermektedir.

MBIS dera ile Kişisel Verileri Anonimleştirin

Siz de MBIS dera yazılımıyla SAP’nin yanı sıra SAP dışı sistemlerdeki kişisel verileri, belli kural tanımları ve belirlenen yöntemlerle veri tabanı seviyesinde kalıcı olarak anonimleştirerek KVKK ile uyumluluğunuzu sağlayabilirsiniz.

MBIS dera hakkında daha fazla bilgi almak ve KVKK’nın gerektirdiği dönüşümü hemen gerçekleştirmek için bizimle iletişime geçebilirsiniz.

Emre Demirel
Çözüm Mimarı - Monotect

SAP Commerce Cloud nedir?

SAP Commerce Cloud, eski adıyla Hybris, bulut tabanlı bir omni-channel e-ticaret çözümüdür. Tüm müşterilerin özel ihtiyaçlarına göre...

Devamını Oku
Eda Bahçetepe
Kıdemli İnsan Kaynakları Uzmanı

Yeni Normal ile Birlikte İşe Alım Sürecinin Yapılandırılması

Geçtiğimiz yıl hayatımıza dâhil olan pandemi, iş dünyasının pratiklerini değiştirmeye devam ediyor. Yeni normalin koşullarını, bu...

Devamını Oku
Bilge Dırmıkçı
Kıdemli Organizasyonel Gelişim Uzmanı

Uzaktan Çalışma Süreci Sonrasına Şirketler Nasıl Hazırlanmalı?

COVID-19 pandemisi, geçtiğimiz yıl hayatın birçok alanındaki ezberleri bozdu. Bu süreçte içinde bulunduğumuz zorunlu izolasyon durumu...

Devamını Oku

Daha fazla bilgi için lütfen bizimle iletişime geçiniz