KVKK’ya göre kişisel verilere yalnızca yetkili kişiler tarafından, görevleriyle sınırlı ölçüde erişilmesi gerekir.
Bu kapsamda, kurumların erişim sınırlarını belirleyen yetki matrislerini oluşturması ve gereksiz erişimi engelleyen veri maskeleme yöntemlerini uygulaması yasal bir zorunluluktur.
Firmamız;
- Görev tanımlarına uygun yetki matrislerinin hazırlanması,
- Kişisel verilerin erişim ve görünürlük düzeylerinin sınıflandırılması,
- Kritik veriler üzerinde maskeleme, anonimleştirme ve log takibi altyapısının oluşturulması
süreçlerinde kurumlara özel teknik ve hukuki danışmanlık sunmaktadır.
Örnek Vaka ve Denetim Riski
Bir özel hastanede, görev tanımı gereği yalnızca doktorların erişmesi gereken hasta verilerine, çağrı merkezi personelinin de erişebildiği tespit edilmiştir.
Kişisel Verileri Koruma Kurulu, yetersiz yetki kontrolü nedeniyle hastane hakkında idari para cezası uygulamış; erişim kayıtlarının tutulmaması ve maskeleme yapılmaması ayrıca veri güvenliği zafiyeti olarak değerlendirilmiştir.
Bu tür ihlaller;
- Veri güvenliği ihlali olarak raporlanmakta,
- Kurumsal itibar kaybına neden olmakta,
- Ve yüksek tutarlı idari yaptırımlarla sonuçlanabilmektedir.
