KVKK yönetim sistemi nedir?

KVKK yönetim sistemi; Kişisel Verilerin Korunması Kanunu (KVKK) bir kanun olarak, bir yonetim sistemi kurulumunu metinsel olarak şart koşmamaktadır. Fakat kanuna uyum sağlamak ve daha önemlisi bu uyumun sürekliliğini garanti altında almak için bir sistem ile çalışmak gerekmektedir.

BS 10012 benzeri sistemler hali hazırda standardize edilmiş olmakla birlikte veri yapısına göre oluşturulmuş envantere, veri mahremiyeti risklerine ve iç denetim yapısına yer veren bir sisteme ihtiyaç duyulmaktadır.

KVKK yönetim sistemin de biraz daha temele inilecek olursa;

Kişisel Verileri Koruma Sistemi (KVKS) nin, süreç yapısına göre işleyen bir yönetim sistemine entegre edilmesi doğru bir yaklaşım olacaktır.

Her zaman, ISO 27001 Standardına göre işletilen bir Bilgi Güvenliği Yönetim Sistemi (BGYS) olmadan KVKK uyumu sağlanamaz denir -ki gerçekten öyledir-

Zira bilgi varlıklarının listelenmesine, risklerinin belirlenip yönetilmesine, iş sürekliliği hedeflerinin gözetilmesine, yaşanan bilgi güvenliği olaylarına “Siber Olaylara Müdahale Ekibi (SOME)” benzeri bir yapılanma ile müdahale edilmesine, Sızma Testleri (Penetrasyon Testi / PenTest) ile açıklıkların tespit edilmesine, Yönetim Gözden Geçirme Toplantıları (YGG) ve iç / dış denetim bulguları gibi güçlü donelerle desteklenen bir BGYS, KVKK için OLMAZSA OLMAZ bir altlıktır.

Yönetim sistemlerinin bir hedef değil yolculuk olduğunu düşünürsek BGYS altlığı da KVKK için tek başına yetmeyebilecektir. Günümüz yönetim sistemlerinin merkezine konulabilecek ISO 9001’i de kısaca inceleyelim:

Risk analizinin dahil edildiği ISO 9001 in 2015 versiyonu aşağıdaki başlıkları içermektedir. Bu başlıklarla ilgili problemlerini aşamamış olan kurumların KVKS sisteminde de doğal olarak aksamalar olacaktır. KVK kanununa uyum uygulamalarını aşağıdaki başlıkları da dikkate alan bir yönetim sistemi ile kurgulamayan organizasyonlarda KVKK riskleri ile birlikte bir çok yönetim riskleri de yaşanacaktır.