Bir ERP Sistemini KVKK / GDPR Uyumlu Hale Getirmek 14 Eylül 2018

Hep böyle ilgi çekici bir başlık atmak istemiştim. Bu tip başlıkları bir nevi ‘’hile’’ gibi görsem de ilgi çekici olduğu muhakkak. Geçtiğimiz hafta SAP’nin Cybersecurity konferansına katıldım. Yine muazzam bir içerik ile SAP sistemlerini GDPR uyumlu hale getirmek için birbirinden değerli sunumlara katıldım. Orada şunu fark ettim ki, aslında kelime olarak ‘KVKK’ ya da ‘GDPR’ sadece Türkiye’de değil, Avrupa’da da baya bir ilgi çekici ve kafa karıştırıcı olmaya başlamış. Bu yazıda, KVKK’ya biraz daha detay bir perspektiften bakıp, ERP sistemlerini KVKK uyumlu hale getirmek için yapılması gerekenleri anlatmaya çalışacağım.

Öncelikle şunu belirtmek isterim: 

Bir avukat ya da hukuk uzmanı değilim, o yüzden KVKK uyumluluğu için nihai onayı bu niteliklere sahip kişi ya da kurumlardan almalısınız.

Sonrasında şunu da söylemeliyim:

Bir avukat ya da hukuk uzmanı değilim, o yüzden KVKK uyumluluğu için nihai onayı bu niteliklere sahip kişi ya da kurumlardan almalısınız.

Bu yazıyı yazmama vesile olan, sıklıkla duyduğum bir kaç soru var;

•      Neden KVKK uyumluluğunu ERP sistemleri kapsamında da incelememiz gerekir ?

•      Her sistem için ayrı ayrı KVKK uyumluluk planları mı çıkaracağız ?

•      Network ya da veritabanı koruması sağladığımızda ERP sistemlerimiz de KVKK uyumlu hale gelmiyor mu ? 

•      Şirketimizi KVKK uyumlu hale getirmek için hangi yazılımı implemente edelim ?

En son söyleyeceğimi en başında söyleyeyim ki konu hakkında henüz detaylı çalışma yapma fırsatı bulamayan okuyucular kendilerini neyin beklediğini hızlıca bir görsün.

Görünen o ki;

• KVKK uyumluğu için SAP ERP gibi kişisel veri tutulan tüm sistemler için bir aksiyon planı oluşturmalısınız.

• Veritabanı ya da network yönetimi ile ilgili çözümler şirketinizi KVKK uyumlu hale getirmez.

• KVKK uyumluluğu için tek bir yazılım çözüm olmayacaktır.

• ERP sistemlerinizi KVKK uyumlu hale getirmek için süreçsel ve sistemsel farklı projeleri olabildiğince hızlı bir şekilde hayata geçirmelisiniz.

• ERP, Veri Ambarları, Entegrasyonlar ve Excel içerisinde tutulan veriler KVKK kapsamındadır, her bir katmanda KVKK uyumluluğuna sağlayacak veri maskeleme ya da gizleme çalışması yapmalısınız ve evet şirketinizdeki bütün kişisel verilerin envanterini çıkarıp bu verileri işleme amaçlarına göre sınıflandırıp bu amaçlar dışında kullanılmadığını tüm regülatörlere ve kişilere kanıtlayabilir olmalısınız.

• Ayrıca kişilerin verileri üzerindeki haklarını kanıksamalı, kişilerden gelen taleplere kanunen belirlenen süreler içerisinde tatmin edici yanıtlar vermelisiniz. 

Bir nefeste okuması bile içinizi karartmaya yetmiş olabilir ancak bugüne kadar dijital dünyanın vahşi batı kanunsuzluğu ile yönetiliyor olması sebebiyle, bedava ve hiç bir kısıtlama olmadan kullandığımız verilerin bir şekilde regüle edilmesi gerektiğinde hepimiz hem fikiriz diye düşünüyorum. Kişisel veriler er ya da geç regüle edilecekti, kısmet 2018’e imiş diyip işe koyulmak ve bunu bir fırsat olarak görmek en iyisi sanırım.

ERP sistemleri ve KVKK arasındaki ilişkiyi biraz daha açık bir hale getirmek için ERP sistemlerine KVKK bağlamında bir bakmak istiyorum: (Uzmanlık alanım SAP olduğu için ERP örneklerimi SAP üzerinden vereceğim)

Neden SAP - ERP şirketler içerisinde pozisyonu itibari ile kişisel verinin en yoğun kullanıldığı yazılım programlarından biri, hızlıca bir kaç örnek vereyim;

•       Forbes 2000 listesinin %91’i SAP müşterisi,

•      Dünyada gerçekleşen finansal işlemlerin %76’sı SAP sistemlerine dokunmakta,

•      SAP, şirketlerin en çok kişisel veriyi işlediği insan kaynakları, büyük data ve veri ambarı ihtiyaçlarının tümünü karşılayan en büyük yazılım tedarikçisi ve

•     SAP’nin sadece bulut servislerine üye 150 milyon kullanıcı bulunmaktadır. *

*Safeguard Your BusinessOperations with SAP Security Solutions 

Gerlinde Zibulski, SAP SE 

Sonuç olarak; hassas müşteri bilgileri, çalışan bilgileri, kişilerin finansal işlemlerinin kaydının ERP sistemlerinde tutulması ya da analiz edilmesi hemen her ERP müşterisi firmanın yaptığı bir operasyon olduğu için de ‘ERP içerisinde tutulan kişisel verilerin gizli tutulduğu kanıtlanamadığı müddetçe bir şirketin KVKK uyumluluğundan bahsedilemez.' Tabi burada asıl soru ortaya çıkıyor, Nedir bu KVKK uyumluluğu ve nasıl sağlanır ? KVKK kapsamının net olmadığına dair çokça fikir var açıkçası. Hem Türkiye’deki hem de yurtdışındaki firmalar için bu soru işaretlerini gidermek şu ana kadar çok mümkün olmadı. Bir de ben kendi şansımı deneyeyim; Nitelik olarak KVKK’nın diğer kanuni hükümlere göre çok ama çok basit bir anafikri olduğunu söyleyebiliriz. Kısaca KVKK’nın tanımını yapacak olsam şunu derdim:

‘ KİŞİSEL VERİLER; ticari sözleşmeler, kanuni yükümlülükler, hayati değerler gibi HAKLI AMAÇLAR ya da veri sahibi kişinin AÇIK RIZASI olan konular dışında İŞLENEMEZ.’ 

Burada iki konuyu ele almak gerekiyor. Kişisel veri ve kişisel verinin işlenmesi ne anlama gelmektedir ? Kişisel veri, kişiyi benzersiz bir şekilde tanıtacak olan benzersiz her bir değişken ya da değişken kombinasyonudur. Bu bir isim ya da kimlik numarası olabileceği gibi, yaş ve lokasyon gibi bilgilerin kombinasyonu da olabilmektedir. Kişinin telefon numarası, ev adresi, etnik kökeni, dini inancı, hobileri gibi tüm veriler kişisel veri kapsamına girmektedir. Örneğin, Apple Yönetim Kurulu Başkanı ve Ölüm Tarihi: 5 Ekim 2011 bilgilerini gördüğünüzde herhangi bir isim ya da kimlik numarası bilgisine ihtiyaç duyulmaksızın Steve Jobs'dan bahsedildiğini anlıyorsanız, bu veri setinde bir kişisel veri ihlali olduğu sonucunu çıkarabilirsiniz.

Kişisel verinin işlenmesi ise kişisel verinin kayıt altına alınması, kullanılması, üçüncü partilere gönderilmesi, depolanması gibi veri üzerinde yapılan her işlemdir. 

Sonuç olarak yükümlülük bu şekilde biraz daha anlaşılır hale geliyor. Tabi bu kişisel verilerin toplanması, hangi verilerin hangi amaçla kullanılacağı kararının verilmesi, hangi kişilerin verilerinin kullanılacağı ve kişilerin verileri üzerindeki haklarının takibinin yapılması kanunun ikinci temel parçasını oluşturuyor. 

‘ VERİ SAHİBİ SİSTEMLERDE TUTULAN KİŞİSEL VERİLER ÜZERİNDE HAK SAHİBİDİR.’

Kişisel verilerin işlenmesine yönelik kontroller konulsa dahi, KVKK uyumlu bir şirket olabilmek için veri sahibinin aşağıdaki konulardaki haklarını bilmek ve talep halinde bu hakları sağlayabilmek gerekiyor;

•       Kişiler, kendi verilerine erişebilirler ve bilgilerinin hangi amaçla kullanıldığını öğrenebilirler.

•      Kişiler, verilerinin silinmesini talep edebilirler.

•      Kişiler, verilerini kendilerine okunabilir bir formatta eksiksiz bir şekilde gönderilmesini talep edebilirler.

•      Kişiler, verilerinin nasıl ve hangi amaçla kullanıldığına dair bilgilendirilmeli ve bu veriler kullanılmadan önce, şüpheye yer bırakmayacak bir şekilde kişilerden rızası alınmalıdır.

•      Kişiler, verilerinin doğruluğunu kontrol edebilir ve ihtiyaç halinde verinin güncellenmesini talep edebilir.

•      Kişiler, verilerinin işlenmesini engelleyebilirler ya da belli amaçlar için kısıtlayabilirler.

•       Kişiler, verilerine bir saldırı ya da açık olduğu durumlarda 72 saat içerisinde bilgilendirilmelidirler.

Bu noktada, verinin işlenmesi için haklı sebeplerin ne olduğu ile ilgili de kısa bir not yazmak istiyorum

•       Açık rıza:Kişisel veri sahibiyle kontrolör arasındaki anlaşmadır. Bu anlaşma bağlamında kişi verilerinin işlenmesini belirli koşullar için kabul etmektedir. (Doğum günü bilgisinin özel indirimlerden faydalanmak amacıyla kullanılması.)

•      Sözleşmeler: Kişisel verinin hizmet ya da ürün sağlayıcı tarafından belirli bir amaç doğrultusunda bir sözleşme referansı ile kullanılması süreçlerini kapsamaktadır. (Siparişin teslimatı için teslimat adresinin kullanılması.)

•      Kanuni yükümlülükler:Şirketlerin kanuni yükümlülükler çerçevesinde tutmakla yükümlü olduğu verileri ifade etmektedir. (Vergi kurumlarına bilgi vermek için personel maaş bilgilerinin sistemde tutulması.)

•      Hayati Önem Taşıyan Veriler:ERP kapsamında olduğunu çok söyleyemesek de hayati önem taşıyan kişisel verilerin tutulma hakkını ifade etmektedir. (Bir hastanenin hasta teşhis bilgilerini tutması.)

•      Kişisel Verilerin İşlenmesinin Bir Hakkın Korunması için Kullanılması:Kişisel verilerin şirketin kanuni hakları için kullanılması hususunda açık rızanın aranmadığı durumları ifade etmektedir. (Kanuni zaman aşımına kadar müşteri bilgilerinin sistemde tutulması.)

•      Veri Sorumlusunun Meşru Menfaatleri için Veri İşlemenin Zorunlu Olması:Veri sorumlusunun menfaatleri doğrultusunda veri işleme hakkını ifade etmektedir. (Şirket satın almalarında, alıcı şirketin şirketin durumunu anlayabilmek amacıyla kişisel verileri işleme hakkı.)

Şimdi KVKK kapsamını tekrar tanımlayacak olursak;

Kişisel veriler,  haklı sebepler dışında  rızası alınmamış amaçlarla işlenemez. 

Tabi tanımı kısıtlı bilgimle yapmaya çalıştıktan sonra biraz daha işin ERP bakış açısına dönmek benim adıma daha kolay olacaktır. Bir ERP sistemini KVKK uyumlu hale getirmek için ne gibi çalışmalar yapılmalıdır ? Bu konuda SAP’nin Veri Güvenliği Direktörü Volker Lehnert’in önerdiği ‘A Pragmatic Roadmap for GDPR’ modelini çok kullanılabilir buluyorum. Bu modele göre KVKK uyumluluğu için ‘Tümdengelim’ ve ‘Tümevarım’ yaklaşımlarından bahsedeceğim: 

Tümdengelim yaklaşımında veri işleme amaçlarının ve işlemlerinin belirlenmesi, sonrasında bu amaçlara veri sağlayan teknik mimarinin KVKK uyumlu hale getirilmesi (Bu konuya yazının ikinci bölümünde tekrar değineceğim) esas alınır.

Tümevarım yaklaşımında ise sistemlerdeki kişisel veri elementlerinin belirlenmesi ve bu verilerle tüm raporlama ya da işlemlerin gizliliğinin sağlanması esas alınır.

Bu kapsamda Tümdengelim yaklaşımını yeni sistemleriniz için, Tümevarım yaklaşımını ise eski sistemleriniz için önerebiliriz. 

Peki, tümevarım yöntemini 5 adımda açıklamaya çalışayım;

1.    Kişisel veri envanterinin çıkarılması, geçerliliğini yitiren kişisel verilerin silinmesi ya da bloke edilmesi:Bu adım, bu çalışma setinin önündeki en büyük engellerden biri olacak kuşkusuz. Ancak sistemlerdeki kişisel veri envanterini çıkarmak bugün ya da bir sene sonra kaçınılmaz olarak yapmanız gereken bir çalışma. (Sistemdeki mobil telefon numarası, medeni durum vb. Bilgilerin veri öğesi bazında envanterinin çıkarılması)

2.   Kişisel verilerin, işleme amaçları doğrultusunda sınıflandırılması:Kişisel verilerin kullanılmasının açık rızaya dayandırılması onu sınırsızca kullanabileceğiniz anlamına gelmiyor. Bir çok kişisel bilgi farklı bilgi setleri için kullanım izni verilebileceği için işleme amaçlarını ve bu işleme amaçlarının kullandığı veri öğelerini listelemek gerekiyor. (Doğum gününde hediye çeki alımı için personel doğum tarihi bilgisinin, ayrı bir açık rıza olmadığı takdirde herhangi bir rapor ya da işlemde kullanılamaması) 

3.1 İşleme amaçları bazında ERP Yetkilendirmesi:En zor kısımlardan biri daha. Tüm ERP kullanıcılarınızı ve kabiliyitlerinizi (raporlarınız, analizleriniz, entegrasyonlarınız) işleme amaçları bazında yetkilendirilmelidir. (Doğum gününde hediye çeki almak için açık rıza veren bir personelin, rızası olmadan yaş gruplarına göre çalışan profil raporunda kullanılamaması)

3.2 Kişisel verilerin zaman bazlı yönetimi: Kişisel verilerin işlenme hakkı her zaman belli koşullar ve tarih aralığında geçerlidir. Bu koşulları ve rıza zamanını geçen veriler tekrardan silinmeli ya da maskelenmelidir. (Teslimatı yapılan siparişlerin, adres bilgilerinin maskelenmesi)

3.3 Sistemdeki işlemlerin kayıt altına alınması:Sistemde kişisel verilere erişimin olmadığına dair şüpheye yer bırakmayacak şekilde loglar tutulmalıdır. (Tüm geliştirme ve kontrollere rağmen sistemde ekstra yetki veya yanlış kullanım amacıyla kişisel veriye erişimin olmadığının kanıtlanması)

3.4 Veri anonimleştirme - maskeleme (Anonymisation & Pseudonymisation): Kişisel veri içeren işlemlerde, ilgili alanların kullanım izni olmayan kullanıcılar için kapatılması ya da anonimleştirilmesi gerekmektedir. (Sipariş içerisindeki müşteri hesap bilgisinin lojistik uzmanından gizlenmesi )

4.1 Veri aktarımının güvenli hale getirilmesi:ERP sistemlerinden dış sistemlere aktarılan kişisel verilerin güvenli bağlantılar aracılığı ile şifreli olarak aktarıldığı gösterilmelidir.

4.2 Verinin taşınması:Kişisel veriler ERP sistemleri içerisinde korunsa dahi, Excel ya da Web-servis aracılığı ile indirilememesi ve kullanılamaması gerekmektedir.(Personel maaş bilgilerinin Excel dokümanlarına indirilerek raporlarda kullanılması)

5.  Denetim, kayıt ve dokümantasyon:Kişisel verilerin amaçlar dışında işlenmediğinin, kişilerin kendi verileri ile ilgili haklarının yerine getirildiğinin, veri işleme dönemlerine uyulduğunun düzenli olarak raporlanması ve onaylanması gerekmektedir.

Bu 5 madde kapsamında ERP sistemlerinin KVKK uyumlu hale getirilmesi mümkün olacaktır. Tabi yazması kolay olan bu 5 maddenin gerçekleştirilebilmesi için önemli bir iş gücü ve yazılım desteğine ihtiyaç bulunmaktadır. Daha önce de yazdığım gibi;

KVKK uyumluluğu tek bir yazılım aracılığı ile sağlanabilen bir regülasyon değildir.

Ayrıca bilgi sistemlerini KVKK uyumlu hale getirme çalışmaları kapsamında iki yanlış bilinen bilgiyi iş birimlerine açıklamak ve bu doğrultuda ilerlemek gerekmektedir.

1.    KVKK bir veri güvenliği regülasyonu değildir. KVKK veri gizliliği ile ilgili bir regülasyondur.

2.   KVKK teknolojik bir regülasyon değildir. Avrupa Birliği tarafından yayımlanan GDPR içeriğinin 99 maddesinden yalnızca 5 tanesi teknoloji ile ilgilidir. Dolayısıyla bir şirketin KVKK uyumlu olabilmesi, teknolojik yatırımdan çok birimler arası işbirliği ve gizlilik kültürünün oluşturulmasına bağlıdır.

Sonuç olarak KVKK kapsam ve içerik itibari ile her ne kadar karışık ve anlaşılmaz ya da denetlenemez gözükse de temelinde basit bir kabule dayanmaktadır. Yakın gelecekte farklı sistemler için, farklı uzmanlar aracılığıyla denetimler detaylandırılacak ve ancak erken yatırım yapan şirketler bu süreci başarı ile atlatacaktır. KVKK’yı bir külfet olarak görmek yerine, dijital dünyanın en önemli varlığı olan kişisel verilerin yapılandırılması için bir fırsat olarak görmek bu yolda şirketler için en önemli motivasyon olacaktır diye düşünüyorum.

Naçizane önerim, KVKK uyumlu bir ERP sistemi yaratmak için aşağıdaki beş altın kuralı uygulamayı deneyin ve olabildiğince hızlı bir şekilde bu işin bir yerinden başlayın;

1.    Hangi verilere neden sahip olduğunuzu bilin.

2.   Kişisel verileri işlemeden önce neden bu verilere ihtiyaç duyduğunuzu ve hangi verilerin bu amaçlar için yeterli olduğunu belirleyin.

3.   Kişisel verilerin sorumlularını ve tüketicilerini belirleyin ve buna göre bir yetkilendirme yaklaşımı gerçekleştirin.

4.   ERP sisteminiz içerisindeki hassas bilgileri şifreleyin, gizleyin ya da maskeleyin. Kişisel verileri yalnızca haklı bir amaca hizmet ettiği sürece kullanabileceğinizi unutmayın.

5.   Kişisel verilerin sizin varlığınız olmadığını, açık rıza ile kişilerden kiraladığınızı unutmayın. Bu verileri işlerken bu farkındalık ile çalışmalarınızı yürütün. Şirket olarak gizliliğin farkında olan bir çalışma ekibi ve kültürü oluşturun.

Bir sonraki yazımda asıl uzmanlığım olan SAP sistemlerinin KVKK uyumlu hale getirilmesi için yapılması gereken 8 adımdan bahsedeceğim. 

SAP sistemleri için KVKK uyumluluğuna yardımcı olacağını düşündüğümüz ürünümüz  Data Access Manager hakkında bilgi almak için  https://www.youtube.com/watch?v=jAuB2N0Quco linkindeki videoyu izleyebilirsiniz.