Uzaktan çalışmada veri güvenliği

Uzaktan çalışmada dikkat edilmesi gereken en önemli konulardan birisi de veri güvenliği... Bu yazımda özellikle veri güvenliği tedbirleri üzerinde durmak istiyorum.

Data terimiyle de ifade edilen veri, her türlü bilgi ve belge anlamına geliyor. Veri, iki farklı şekilde karşımıza çıkıyor: (1) kişisel veri, (2) ticari veri.

Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veri olarak tanımlanıyor. Örneklemek gerekirse, çalışanların, yöneticilerin, gerçek kişi müşterilerin isimleri, iletişim bilgileri, adresleri, kimlik numaraları gibi bilgilerin tamamı kişisel veri… Yani şirketlerin verileri kişisel veri olarak değerlendirilmiyor; kişisel veriyi salt gerçek kişiye ait veriler olarak anlamamız gerekiyor. Kişisel verilerin korunması 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’da düzenleniyor. Kişi aydınlatılmadan ve rızası alınmadan verileri işlenemiyor, paylaşılamıyor.

Ticari veri ise bir şirketin, ticari işletmenin finansal, operasyonel, teknik, hukuki ve bunlarla sınırlı olmaksızın muhtelif verileri olarak tanımlanabilir. İş geliştirme stratejileri, müşteri portföyü, tedarikçi bilgileri, fatura ve muhasebe kayıtları, cari hesaplar, teklifler gibi ticari yaşamda kullanılan araçları ticari verilere örnek olarak verilebilir. Bu verilerin hukuka aykırı olarak ifşası ve sızdırılması haksız rekabete yol açabileceği gibi sözleşme ihlallerine, itibar kaybına, maddi ve manevi birçok zarara yol açabilir.

Asıl sorun bu verilerin uzaktan çalışmada nasıl korunacağı konusunda yoğunlaşıyor.

(1) Çalışan verileri fiziki olarak korumak zorundadır. Çünkü çalışırken fiziki materyal veya dosya kullanması muhtemeldir ve en basitinden bilgisayarın kendisini güvende tutulmalıdır.

(2) Diğer yandan uzaktan çalışmanın yapıldığı yerdeki riskler en aza indirilmelidir. İşveren tarafından uzaktan çalışma için çalışana verilen elektronik cihazlar üzerinde siber güvenlik önlemleri alınmalı, gerekli yazılımlar ve virüs koruma programları yüklenmelidir. Çalışana bu yazılım ve programların nasıl kullanılacağı öğretilmelidir. Özellikle belirtmek istediğim notları aşağıda sıralamak istiyorum:

-uzaktan çalışma yapılacak lokasyon(lar) net olarak belirlenmelidir;

-uzaktan çalışma araçları işveren tarafından çalışana yazılı teslim tutanağıyla teslim edilmelidir;

-araçların muhafaza ve güvenlik koşulları belirtilmelidir; araçlar içindeki siber güvenlik yazılımları ve programlarının kullanımı talimatları yazılı imza karşılığı teslim edilmelidir;

-veri güvenliği, risk analizi ve siber güvenlik eğitimleri yapılmalıdır ve bu eğitimlere ilişkin imza karşılığı eğitim belgeleri alınmalıdır;

-mevzuata uygun bir şekilde işveren tarafından fiziki lokasyonda risk analizleri yapılmalı ve risk analizi raporu doğrultusunda iyileştirmeler yapılmalıdır.

Uyarmak istediğim bir hususta ortak internet kullanım ağları… Kafe, restoran, havalimanı gibi yerlerde ortak ağ kullanmak bazen pratik görünse de hacklenmeye çok müsait bir zemin yaratılıyor. Bu bakımdan böyle lokasyonlarda yapılan çalışmalarda ortak ağ yerine işveren tarafından tahsis edilen çalışana özel internet paketlerinin kullanımı riski düşürmek açısından tercih edilmelidir.

Uzaktan çalışma da veri güvenliği tedbirleri de işverenler aşina olmadığı konular ve aksiyona geçmekte yarar olduğunu düşünüyorum.

Av. Oğuz Kara

(kara@oguzkara.av.tr)