• Sonuç bulunamadı

Bilgi Güvenliği ve Kişisel Verilerin Korunması İlişkisi

2. HASSAS BİLGİ VARLIKLARININ VE KİŞİSEL VERİLERİN HUKUKSAL

2.2. MCCUMBER BİLGİ GÜVENLİĞİ MODELİ KAPSAMINDA BİLGİ

2.2.1. Bilgi Güvenliği ve Kişisel Verilerin Korunması İlişkisi

Bilgi güvenliği konusunda yapılan ilk çalışmaların, askeri amaçlı bilgilerin gizliliğini ve kontrolünü sağlamaya yönelik olarak 1970’li yıllarda yapıldığı bilinmektedir. Gizliliğin korunmasına yönelik çalışmalar, bilgilerin dört gizlilik derecesi (tasnif dışı, özel, gizli ve çok gizli) altında sınıflandırılması ile devam etmiş ve bilgilerin bu sınıflandırmaya bağlı olarak korunması için stratejiler geliştirilmiştir (Waguespack, 2013). 1980’li yıllarda ise ticari alanda bilginin bütünlüğünün sağlanmasına yönelik kaygıların oluşması, bilgi

güvenliğinin bu boyutunun da dikkatleri üzerine çekmesine neden olmuştur. 1990’lı yıllarda da bilgi güvenliğinin gelişim sürecinde görülen kaygılar artmaya devam etmiştir. Bu süreçte iletişim teknolojisinin bilgisayar ağları ile gelişimine bağlı olarak tehditlerin çeşitliliğinin artması, bilgi güvenliği konusunda yeni boyutların oluşmasını (Landwehr, 2001) ve oluşan yeni boyutlar arasındaki karmaşık ilişkiyi açıklayacak bilgi güvenliği modellerinin geliştirilmesini sağlamıştır. 2000’li yıllardan itibaren kişisel haklara yönelik gelişmelere bağlı olarak kişisel verilerin korunması konusu da kamu kurumlarındaki verilerin gizliliğinin korunması kadar önemsenmeye başlanmıştır. AB ülkeleri ve diğer bilgi toplumuna dönüşüm sağlamış ülkelerde bu konuya ilişkin çalışmalar hukuk ve diğer sosyal alanlara da yayılarak disiplinler arası boyutun gelişmesi hız kazanmıştır (Whitman ve Mattord, 2011). Ancak farklı alanlarda yapılan çalışmaların genellikle bağımsız olarak yürütülmesi ve aralarında yeterli düzeyde iletişim sağlanamaması, bilgi güvenliği zincirinin kırılgan hale gelmesine neden olmuştur.

Bilgi güvenliği, bilgi ve bilgi sistemlerine yetkisiz erişim, bilginin kullanımı, ifşa edilmesi, bozulması, değiştirilmesi veya bilginin gizlilik, bütünlük ve kullanılabilirliğine zarar vermek için yapılan kötü niyetli girişimlere karşı sağlanacak korumadır (McCumber, 2005). Her ne kadar bu tanımda geleneksel vurgu yapılarak bilgi ve bilgi sistemlerine karşı koruma birlikte ifade edilse de, stratejik olarak bilgi güvenliğinin öncelikli konusu bilgi sistem altyapısının korunmasından ziyade bilgi içeriğinin korunmasıdır (Garigue, 2007). Bu kapsamlı tanımda koruma sağlanması öngörülen “bilgi”, kişisel bilgileri de kapsayan genel bir ifade olarak kullanılmaktadır. Zira gerçekleşen veri ihlallerinde en fazla zarar gören kişi ve kurumlar, kişisel verilere yönelik olarak yapılan saldırılar nedeniyle zarara uğramaktadırlar. Bu nedenle verilerin korunması konusunda hazırlanan bilgi güvenliği politikalarında ve hukuksal düzenlemelerde, risk odaklı bilgi güvenliği4 boyutunun daha fazla göz önünde bulundurulduğu ve aralarındaki ilişkiye yer verildiği görülmektedir (Avrupa Komisyonu, 2001b; Feiler, 2011). Bununla birlikte, bu düzenlemelerde yer alan bilgi güvenliğinin sağlanması konusu, literatürde yaygın olarak ifade edilen sadece teknik önlemlerin

4Bu bölümde “bilgi güvenliği” ifade ile kast edilen unsurlar, McCumber modelinde öngörülen bilginin karakteristik özellikleri, durumu ve güvenlik önlemlerine ilişkin tüm boyutları göz önünde bulunduran kapsamlı bir korumayı içine almaktadır. Konuya ilişkin detaylı bilgiye “2.2.4. McCumber Bilgi Güvenliği Modelinin Unsurları” başlığı altında yer verilmiştir.

alınmasının ötesinde, kişisel verilerin kapsamlı bilgi güvenliği önlemleri çerçevesinde korunarak hukuk dışı kullanımının önüne geçilmesi ve bireyin kendisine ait veriler üzerinde söz sahibi olmasının sağlanmasını da öngörmektedir (Backhouse, Bener, Chauvidul, Wamala ve Willison, 2005). Genel olarak büyük verilerin bulunduğu ortamlara yönelik bilgi güvenliği kapsamında teknik önlemler alınmaktadır. Ancak kurum ve kuruluşlarda bilgi güvenliği politikalarının geliştirilmesi ve farkındalığın arttırılması da, bilgi güvenliği kapsamında yer alan ve kişisel verilerin korunmasında en az teknik önlemler kadar etkili ve gerekli olan unsurlardır (Rhee, Ryu ve Kim, 2005).

Son yirmi yıl içerisinde bilgi işleme ve bilgi yönetimi alanında meydana gelen büyük değişim ve gelişim, McCumber tarafından 1991 yılında geliştirilen ve güncelliğini koruyan kapsamlı bilgi güvenliği modeli üzerinde görülmektedir (Simpson ve Endicott-Popovsky, 2010). Bu süreçte bilgi güvenliğine ilişkin politikalar, hukuksal önlemler ve hassas verileri işleyen personelin yeni yapısal değişikliklere uyum sağlamasına yönelik eğitim programlarında da değişimlerin olduğu görülmektedir. Hassas ve kişisel verilerin korunması da bu daha kapsamlı bilgi güvenliği modeli içinde, tüm etkenlerin (çevresel, kurumsal, hukuksal, personel ve teknoloji) dikkate alındığı bir yaklaşım ile sağlanabilmektedir (Backhouse ve diğerleri., 2005). Bu nedenle, hangi alanın diğer alanı kapsadığına ilişkin tartışmaların uzağında, bilgi güvenliği modeli içindeki tüm etken unsurları dikkate alarak belirlenen bilgi güvenliği politikalarının kurum ve kuruluşlarda kişisel verilerin korunmasına yönelik olarak daha büyük katkı sağlayacağı değerlendirilmektedir.

Kişisel verileri işleyen kurum ve kuruluşların sorumluluklarının belirlenmesinde hukuksal düzenlemeler öncelikli kaynaklar olarak kullanılmaktadır. KVKKT’nın 3. Maddesinde5 “kişisel verilerin işlenmesi” ile ilgili tanımın, geniş bir alanı kapsadığı ve verilerin elde edilmesinden imha edilmesine kadar olan tüm süreci içine aldığı görülmektedir (T.C. Başbakanlık, 2014a). Bu ifade, üniversite birimleri tarafından kişisel veriler üzerinde bilgi sistemleri aracılığıyla ya da elden yapılan tüm işlemleri

5KVKKT, 3. Madde: d) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen, otomatik olan veya

olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

kapsamaktadır. Bu nedenle, üniversitelerde verilerin işlenmesine yönelik olarak izlenen süreç ile McCumber’in bilgi güvenliği tanımında yer alan koruma aşamaları arasında önemli ölçüde yakınlık bulunmaktadır.

ABD’de yapılan araştırmalar (PrivacyRightsClearinghouse, 2014), 2005 yılından itibaren kurum ve şirketlerden 931.357.921 kayıt6 çalındığını göstermektedir. Veri ihlali konusunda belirlenen hedefler arasında üniversitelerin de bulunduğu görülmektedir. ABD’de yaşayanların %55’ninden fazlasının kişisel verilerinin çalındığı ya da kaybedildiği tahmin edilmektedir (INVISUS, 2014). 2013 yılında meydana gelen en büyük veri ihlalleri incelendiğinde, tüm önlemlere rağmen hassas verilerin bulunduğu alanların ilk sıralarda hedef alınmış olması dikkat çekicidir (Westervelt, 2013). Veri ihlaline ilişkin 95/46/EC sayılı AB veri koruma direktifinin 17. Maddesinde gerekli hukuksal düzenlemelerin yapılmış olduğu görülmektedir. Ancak kullanıcı farkındalığının bulunmaması ve temel bilgi güvenliği standartlarının sağlanmaması nedeniyle AB’de de veri ihlallerinin hızla arttığı görülmektedir (Wong, 2013). AB’nin verilerin korumasına ilişkin hukuksal düzenlemeler üzerinde başlatmış olduğu reform çalışmaları kapsamında hazırlanan yeni veri koruma direktifi taslağında, veri ihlaline yönelik sorumluluklara da yer verilmektedir. Tasarının 31. ve 32. Maddelerinde7, herhangi bir veri ihlali olması durumunda, veri koruma otoritesine ve veri sahibine karşı bilgilendirmeye ilişkin sorumluluklar belirlenmiştir (Wong, 2013).

2.2.2. Kişisel Verilerin Korunmasına İlişkin Hukuksal Düzenlemeler ile Bilgi