Veri İhlali Yaşandıysa Ne Yapmalı?

Bazen her şeyi doğru yaptığınızı düşünürsünüz ama yine de bir şeyler ters gidebilir. Özellikle dijital dünyada işler saniyeler içinde değişiyor.
Bir e-posta, yanlış bir tıklama ya da güncellenmemiş bir sistem yüzünden kişisel veriler dışarı sızabilir. Bu gibi durumlarda ne yapılacağı belli değilse paniğe kapılmak kolaydır ama aslında KVKK bu konuda bize oldukça net bir yol çiziyor. Gelin birlikte adım adım bakalım: Bir veri ihlali yaşanırsa neler yapılmalı?

Durumu Fark Et – Olayın Ciddiyetini Anla !

Her şey ilk sinyalle başlar.
Bir çalışandan gelen “Garip bir mail aldım” mesajı, sistemde olağan dışı bir hareket ya da dışarıya sızmış bir dosya… Burada önemli olan şu: Küçük gibi görünen bir detay, büyük bir ihlalin habercisi olabilir. O yüzden önce şunu sor: “Bu olayda kişisel veriler risk altına girmiş olabilir mi?”

Sakince İncele – Ne Olduğunu Netleştir !

Panikle tepki vermek yerine, kısa sürede olayı anlamaya çalış.

• Ne tür veriler etkilenmiş?
• Kimlerin verileri bunlar?
• Ne zamandır sistem açıktı?
• Hâlâ devam ediyor mu?

İşin teknik kısmını bilgi işlem ya da dış destekle çözebilirsin ama önemli olan bu sorulara hızlı ve doğru cevap verebilmek.

Kurum’a Bildir – Süren 72 Saat !

KVKK, burada net konuşuyor:
Eğer kişisel veriler etkilenmişse, bunu en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirmek zorundasın.

Yani “önce çözelim, sonra bakarız” mantığı burada işlemiyor.

Ne yapacaksın?

• KVKK’ nin sitesindeki “Veri İhlali Bildirim Formu” nu dolduracaksın.
• İlk bilgiler eksik olabilir, sorun değil. Ama bildirimi yapman şart.

Etkilenen Kişilere Dürüstçe Bilgi Ver !

İhlalden etkilenen kişiler varsa, onları da bilgilendirmek gerekiyor ama bu kısmı özenle yapmak lazım.

“Bir güvenlik ihlali yaşandı, kişisel verileriniz bu durumdan etkilenmiş olabilir. Gerekli önlemler alındı, şifrenizi değiştirmenizi öneririz.” gibi kısa, net ve açık bir bilgilendirme yeterlidir.

Unutma, insanlar dürüstlüğe güvenir. Açık iletişim hem güveni korur hem de panik yaşanmasını önler.

Zarar Nerede, Nasıl Kapatılır ?

İhlal hâlâ devam ediyor olabilir. İlk iş:

• Sistemi durdurmak, erişimi kapatmak, gerekirse dışarıyla bağlantıyı kesmek.
• Açığı kapatmak ve tekrarını önleyecek teknik önlemleri devreye almak.

Her Şeyi Kaydet – Sonradan Geriye Dönemezsin !

Olay sırasında alınan tüm aksiyonları yazılı hale getir.
Kiminle konuştun? Ne zaman bildirim yaptın? Hangi sistem etkilendi?

Bu kayıtlar hem iç denetim için hem de KVKK tarafından bir inceleme olursa en büyük dayanağın olur.

Gerekirse Hukuki Süreci Başlat !

Eğer ihlal bir üçüncü tarafın ihmali ya da suistimali sonucu olduysa (örneğin dış kaynaklı bir hizmet sağlayıcı), hukuk birimiyle birlikte değerlendirme yap.
Sigorta, sözleşme feshi, tazminat ya da dava süreçleri gerekiyorsa, zaman kaybetmeden başlat.

Sonuç: Kriz Anında Soğukkanlılık Kazandırır !

Veri ihlali yaşanması bir kurumun sonu değildir. Ama doğru yönetilmezse itibar kaybı, müşteri güveni ve hukuki yaptırımlar peş peşe gelir.

Bu yüzden unutma: İhlali durdurmak kadar, nasıl yönettiğin de çok şey anlatır.