PAGE

Kişisel Veri Güvenliği — Teknik ve İdari Tedbirler Yönergesi

Dr. Abdurrahman Efem — Kişisel Veri Güvenliği Yönergesi

1. Giriş

Bu Kişisel Veri Güvenliği Yönergesi (Yönerge); kişisel veri güvenliği kapsamı ve riskleri dikkate alınarak Abdurrahman Efem'in işlettiği Efem Klinik için oluşturulacak veri güvenliği politikalarına dayalı tedbirler alınmasını ile uygulama süreçlerinin düzenlenmesini, veri koruma düzenlemeleri yapılırken Kişisel Verileri Koruma Kanunu (KVKK) yükümlülüklerinin yerine getirilmesini, "Abdurrahman Efem Kişisel Verilerin İşlenmesi, Korunması ve İmha Edilmesi Politikası"nda işaret edilen idari ve teknik tedbirlerin detaylarının ortaya konulmasını hedeflemektedir.

2. Kapsam

Abdurrahman Efem'e ait işletmesi ve buradaki tüm bilgi işlem donanımları (bilgisayar, sunucu, taşınabilir bilgisayarlar, ağ elemanları, ağa bağlı veri depolama cihazları), yazılımları (işletim sistemleri), taşınabilir tüm donanım (taşınabilir harici diskler, cep telefonları), kullanılan iletişim yolları (e-posta, yazılı ve sesli mesajlaşma, dijital sesli iletişim), sosyal medya hesaplarının yönetimi ile bunlara ilişkin olarak çalışanların yükümlülükleri, tüm faaliyetlerde ve işleyişte, kişisel veri işlenmesini gerekli kılan işlemlerde kişisel verilerin korunmasını sağlayacak teknik ve idari tedbirlerin içerikleri bu yönerge kapsamındadır.

3. Risk Analizi

Efem Klinik'e ait veri güvenliği ile ilgili olarak aşağıdaki riskler belirlenmiş ve alınacak tedbirler bu riskleri azaltacak şekilde hazırlanmıştır.

  • Fiziksel güvenlik
  • Bilgisayarlara izinsiz erişim
  • Yedekleme
  • Sanal sızma
  • Sosyal medya hesaplarına saldırı
  • Akıllı telefonlardaki bilgilere izinsiz erişim
  • Elektronik posta kullanımı
  • Veri işlenmesi şartlarının yerine getirilmesi
  • Kişisel verinin yetkisiz üçüncü kişilere aktarımı
  • Çalışanların eğitimi ve farkındalığı

4. Kişisel Veri Güvenliği Tedbirleri

I. Teknik Tedbirler

  • Efem Klinik'e ait bilgisayarlar üzerinde kullanıcı erişimi denetimi uygulanır. Her bilgisayara atanacak şifreler güvenli bir yerde muhafaza edilir; çalışanlar arasında paylaşılmaz. Şifrelerin en az 8 karakter uzunluğunda, büyük/küçük harf, rakam ve özel karakter içermesi tavsiye edilir. "Beni hatırla" özelliği kullanılmaz. Şifreler ortalama altı ayda bir değiştirilir.
  • Tüm bilgi işlem donanımları ve yazılımları için "donanım ve yazılım envanteri" hazırlanır (Ek-1 Donanım ve Yazılım Envanteri); envanterin güncel tutulmasına özen gösterilir.
  • Bilgisayarların otomatik kilitleme fonksiyonu işlevsel hale getirilir ve zamanlayıcı 1 dakika olarak belirlenir. "Temiz ekran ilkesi" benimsenir.
  • İşlenen tüm veriler Estesoft Stella'da tutulur. Sunucu üzerindeki veriler Efem Klinik dışında otomatik olarak yedeklenir. Sunucu yedekleri SSL/TLS destekleyen bulut sistemine alınır. Yedekleme sistemi takibi için otomatik e-posta uyarı sistemi kurulur.
  • Çalışanların bilgisayarları yedeklenmediği için kullanıcılar çalışma dosyalarını kendisine gösterilen alanda yedekler ve düzenli olarak burada tutar.
  • Çalışanların bilgisayarlarındaki dosyaları, internet geçmişleri ve web portal şifreleri düzenli aralıklarla temizlenir.
  • İşletim sistemleri ve antivirüs yazılımları güncel tutulur. Her 6 ayda bir güncellemeler kontrol edilir.
  • Sosyal medya hesap bilgileri bilgisayarlarda saklanmaz. Görevlendirilen çalışan(lar) hariç diğer çalışanların kişisel telefonlarına kurulmaz. Şifreler 6 ayda bir güncellenir.
  • E-posta kullanımı SSL/TLS destekleyen Gmail üzerinden yapılır. Telekonferanslar SSL/TLS destekleyen WhatsApp, Google Meet, Zoom, Jitsi veya Skype üzerinden yapılır.
  • Efem Klinik'in kendi arasında ve üçüncü taraflar ile yapacağı dijital sözlü ve yazılı iletişim mutlaka iletim katmanı güvenliğine uygun olur.

II. İdari Tedbirler

  • Kişisel veri güvenliği tedbirlerinin uygulanması Dr. Abdurrahman Efem tarafından desteklenir; gerekli kaynakların sağlanması temin edilir. Yönerge çalışanlar içinde yayılır ve klinik ortamında ulaşılabilir bir alanda yayınlanır. Düzenli aralıklarla bilgi ve veri güvenliği farkındalık eğitimleri organize edilir.
  • Kişisel veriler, KVKK ve Politika'ya uygun olarak işlenir, korunur ve imha edilir.
  • Çalışanlara, KVKK, Politika ile bu Yönerge'nin kapsamı, uygulanması ve esasları hakkında her yıl Aralık ayı içinde farkındalık eğitimi düzenlenir.
  • Yönerge dışı kullanımlar ve/veya ihlal olaylarında aynı olayın tekrarlanmaması için kök neden araştırması yapılır ve Yönerge'de ilgili tedbir bu kök nedeni kaldıracak şekilde yeniden düzenlenir.
  • Tüm çalışanlara kişisel verilerin gizliliği ve güvenliği hususunda uyması gereken önlemler "gizlilik sözleşmesi" ile birlikte tebliğ edilir. Yönerge'nin yürürlük tarihinden sonra işe başlayan çalışanlar için iş sözleşmelerinde veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • İşten ayrılan çalışanların kişisel verileri içeren belgelere ve bu belgelerin depolandığı yerlere erişim dahil tüm erişim yetkileri derhal kaldırılır.
  • Kişisel veriler yalnızca Efem Klinik'in çalışmaları için gereken ölçüde ve mümkün olduğunca azaltılarak işlenir.
  • İmzalanan hizmet sözleşmeleri ve diğer sözleşmeler kişisel veri güvenliği hükümleri içerir.
  • Kurum içi periyodik ve/veya rastgele denetimler yetkili kişi tarafından yapılır.
  • Kişisel veri işleme kurallarına göre düzenlenmiş açık rıza ve aydınlatılmış onam taslakları, veri işleyen çalışanlar tarafından kullanılır. Kişisel veri sahiplerinden alınan açık rıza ve aydınlatılmış onam belgeleri, konularına göre tasniflenerek muhafaza edilir.
WhatsApp