Şirketler tarafından kişilerden istenen belgelerde yer alan bilgilerin kişilerden istenen bilgilerden daha fazla bilgiyi barındırması, yine kişilerden istenen bilgi, belge ve diğer verilerin gerçekten gerekli olup olmadığının belirlenmesi, kişiye özel bilgi / veri olarak KVKK’da belirtilmiş özel nitelikli veya nitelikli verilerin ne zaman, nerede, ne gerekçe ile ve kimlerle paylaşılması gerektiği gibi konuların vatandaşlarca bilinmemesi konusunda öneri niteliğinde bir yazıyı sizlerle paylaşmak istedim.
Kamu Kurumlarında ve bilgi güvenliğine önem veren bazı özel sektör firmalarında Bilgi Güvenliği kapsamında kullanılan önemli bir temel kavram vardır. Bu kavram İngilizcede “Need to Know”, Türkçede ise “Bilmesi Gereken Prensibi” olarak bilinir. Peki nedir bu kavram ne anlama geliyor tanımı nedir?
Bilmesi Gereken Prensibi (need to know): Herhangi bir konu veya işi, ancak görev ve sorumlulukları gereği öğrenmekle, incelemekle, gereğini yerine getirmekle ve korumakla sorumlu bulunanların yetkisi düzeyinde bilgi sahibi olması ve nüfuz etmesi şeklinde tanımlanır.
Ancak günümüzde Bilgi Paylaşımı kavramının ciddi anlamda öne çıktığı bir geleceğe doğru evrilmemiz yeni bazı tedbirler almamızı gerektiriyor. Bu durum ise yeni bir kavrama ihtiyaç duymamızı sağlıyor. Bu ihtiyacın gerekliliklerini ise en üst düzeyde kurallar, tedbirler halinde yazmalı ve uygulamalıyız. Peki bu ihtiyacımızdan doğan kavrama ne diyelim derseniz, “Paylaşılması Gereken(ler) Prensibi” buna en uygun isim olabilir.
Hatırlarsanız bu kavramı ise “Senaryolar Üzerinden Türkiye’nin Bilgi Güvenliği Farkındalık Seviyesi” yazımda da belirtmiştim ve tanımını; “Hangi belgede hangi bilgilerin paylaşılması hangi bilgilerin gizli kalması / karartılması gerektiğinin kurumlarca belirlenmesi ve gereken tasnifin yapılması sonucunda paylaşılması durumu” şeklinde belirtmiştim.
Peki nedir bu prensibi ortaya çıkaran etken maddeler;
- Şirketler tarafından kişilerden istenen belgelerde yer alan bilgilerin kişilerden istenen bilgilerden daha fazla bilgiyi barındırması,
- Şirketler tarafından kişilerden istenen / talep edilen bilgi, belge ve diğer verilerin gerçekten gerekli olup olmadığının belirlenmesi,
- Kişiye Özel bilgi / veri olarak KVKK’da işlenen özel nitelikli veya nitelikli verilerin ne zaman, nerede, ne gerekçe ile ve kimlerle paylaşılması gerektiğinin vatandaşlarca bilinmemesi
gibi daha birçok madde sayılabilir.
Burada özellikle ilk maddeye dikkat çekmek ve bu konuda bir örnek vermek istiyorum. İlk maddede bir siteye / hizmete üye olduktan sonra sizin gerçek bir kişi olup olmadığınız öğrenilmek isteniyor ve sizden kimliğinizin ön ve arkasını tarayıp göndermeniz isteniyor.
Peki kimliğiniz üzerinde hangi bilgileri göndermiş oluyorsunuz görelim:
- Türkiye Cumhuriyeti Kimlik Numaranız ,
- Fotoğrafınız,
- Adınız Soyadınız,
- Doğum Tarihiniz,
- Cinsiyetiniz,
- Uyruğunuz,
- Seri Numarası,
- Geçerlilik Tarihi,
- İmzanız,
- T.C. Kimlik Barkodu,
- Anne Adı,
- Baba Adı,
- Veren Makam,
- PEN Kodu (Kimliğiniz ile e-devlete girişte kullanılan bir nevi doğrulama kodudur),
- Arka Alt kısımda son olarak kimliğinize özgün bir alfa-numerik bilgiler.
Şimdi karşı tarafa sizin gerçek olup olmadığınız için verdiğiniz bu kimlik görselinde hangi bilgilerin karşı tarafa verilip verilmemesi gerektiği konusunda şuan için kimsenin bilgisi yok. Bu nedenle de bu bilgilerin tamamı karşı taraf ile paylaşılıyor. Bu konuda (bence) paylaşılmasına gerek olmayan birkaç bilgiyi sıralamak gerekirse; seri numarası, imza, PEN kodu ve alfa-numerik bilgiler diyebiliriz. Bu bilgileri karşı tarafa vermenizi gerektirecek bir durum yoktur. Özellikle PEN kodu size özel olması gereken bir bilgidir. Bu nedenle taramalarda ve fotokopilerde karartılması gerekiyor diye düşünüyorum.
Şimdi bu örnekte de olduğu üzere sizin paylaştığınız belgelerde karşı tarafın ihtiyacı olan bilgilerin verilmesinin yeterliliği konusunda Kurumların bir açıklama yapması ve karşı taraf diye bahsettiğim şirketlerin de bu bilgileri istememesi gerektiğinin belirtilmesi gerekiyor.
İşte bu kapsamda “Paylaşılması Gereken Prensibi” kavramının altının doldurulması bence değerlidir. Bu açıdan Kamu Kurumlarınca, Kamunun bilgi güvenliğinin sağlanması için ilgili tedbirleri alması ve şirketlerin vatandaşların hangi bilgilerini hangi amaçla alabileceğini, hangi bilgilerini alamayacağını belirten bir rehber hazırlaması gerekiyor.
Umarım bu yazı vatandaşların hangi bilgilerini paylaşıp paylaşmayacağı konusunda faydalı bir sürecin başlamasına önayak olur. Zira ben kimliğimdeki bilgilerin bazılarını bir firma ile paylaşmak istemediğim zaman ilgili firma benim işlemimi gerçekleştirmemişti. Bu sebep doğrultusunda bu bana göre çok değerli bir çalışma olacaktır.
1 yorumlar On Bilgi Güvenliği Kapsamında Hangi Bilginin Paylaşılıp Paylaşılmayacağı Konusunda Bir Kavram ve Tedbir Önerisi
gizlilik açısından oldukça önemli olan bir konu kesinlikle herkesin bilmesi gereken bir konu