KVKK BOŞLUK ANALİZİ NEDİR NASIL YAPILIR?
KVKK BOŞLUK ANALİZİ NEDİR?
KVKK Boşluk Analizi bir kurumun Kişisel verileri koruma kanunu kapsamında teknik, idari, hukuki ve iş süreçlerini genel alanı tanımlayan, mevcut durumu belirleyen, bulunduğunuz yer ile nerede olmak istediğiniz arasındaki boşluğu belirleyip boşluğun doldurulması için yapılması gereken faaliyetleri bütünüdür.
KVKK Boşluk analizi Nasıl Yapılır?
Kişisel verileri koruma kanunu kapsamında Boşluk Analizi kurum için hazırlanmış soruların kurumdaki kvkk yetkilisine sorularak alınan cevaplar kapsamında düzeltici faaliyetleri uygulanması ile yapılır.
Kişisel verileri koruma kanunu kapsamında Boşluk Analizi için oluşturulan soruların bir kısmı aşağıda sunulmuştur.
BOŞLUK ANALİZİ Sorular
KVKK uyum süreci ile ilgili bir karar aldınız mı?
Veri sorumlusunu temsilen irtibat kişisi belirlediniz mi?
İrtibat kişisi değişikliği olduğunda bilgilendirilecek kişi var mı?
KVKK süreçleri ve ilgili kişi başvurularını değerlendirecek bir komite oluşturdunuz mu?
Kişisel veri envanterini oluşturdunuz mu?
Kapsam dahilinde iseniz VERBİS Kaydınızı yaptırdınız mı?
Kişisel verilerin azaltılması ile ilgili bir çalışma yaptınız mı?
Kişisel verilerin korunmasına yönelik bir politika belirlediniz mi?
Politikayı tüm çalışanlarınıza duyurabildiniz mi?
Saklama ve imha politikası oluşturdunuz mu?
Politikayı tüm çalışanlarınıza duyurabildiniz mi?
Personellerinizin kişisel verilerin korunmasına ilişkin uyması gereken kurallara uymamaları halinde uygulanacak ceza ve uyarıları içeren bir disiplin yönetmeliğiniz var mı?
Verilerini işlediğiniz her bir İlgili kişi grubu için gizlilik sözleşmeniz mevcut mu?
Personellerinize kişisel verilerin korunması ve bilgi güvenliğine yönelik eğitimler verdiniz mi?
Eğitimleri periyodik olarak tekrarlıyor musunuz?
İşe yeni başlayan her personeliniz bu eğitimleri alıyor mu?
Kişisel veri içeren tüm sözleşmelerinizi hukuk danışmanınıza inceleterek düzenleme yaptırdınız mı?
İlgili kişiler için başvuru ortamlarınız mevcut mu?
Verilerini işlediğiniz her bir İlgili kişi grubu için aydınlatma metinleriniz hazır mı?
Bu metinleri ilgili kişilerle paylaşıyor musunuz?
Açık rıza gerektiren durumlar için bir yapı oluşturdunuz mu?
Bilgi güvenliğine ilişkin risklerinizi belirlediniz mi?
Bu risklere ilişkin önlem aldınız mı?
Kişisel verilerin korunmasına ilişkin bir iç denetim prosedürünüz var mı?
Bu prosedürü çalışanlarınızla paylaştınız mı?
Kişisel verilerin korunmasına ilişkin bir iç denetim planınız var mı?
Denetlemeleri plana uygun olarak yapıyor musunuz?
Görülen uygunsuzlukları takip ettiğiniz bir düzeltici faaliyet çalışmanız mevcut mu?
Kişisel verilerin bulunduğıu fiziki ortamların (arşiv, dolap, klasör, vb.) güvenliğine yönelik bir çalışma yaptınız mı?
Arşiv girişleri için bir yetkilendirme mevcut mu?
Sunucu odaları girişleri için yetkilendirme mevcut mu?
Bir yetki matrisiniz var mı?
Kullanıcıların yaptıkları işlemlere dair erişim loglarını tutuyor musunuz?
Bir güvenlik duvarınız var mı?
Konfigürasyonu doğru yapılmış mı?
Üzerinde çalışan yazılım güncel sürüm mü?
Verilerinizi düzenli olarak yedekliyor musunuz?
Yedeklerinizi firma/kurum dışına aktarıyor musunuz?
Veri kaybı önleme yazılımınız var mı?
Kişisel verilerin dışarı aktarılmasını engelleyen cihaz, yazılım kullanıyor musunuz?
Kişisel verilerin dışarı aktarılmasını engelleyen cihaz, yazılım kullanıyor musunuz?
Güncel ve lisanslı bir antivirüs kullanıyor musunuz?
Sızma testi yaptırdınız mı?
Saldırı tespit ve önleme sistemi kullanıyor musunuz?
Bir şifre politikanız var mı?
E-devlet, banka, vb. kurum girişlerinde kullanılan şifrelerin güvenliği için bir ortam oluşturdunuz mu?
Kullanıcıları grup veya rol bazında yönetiyor musunuz?
İşten ayrılan personelinizin kurum içi uygulamalara erişimini hemen kapatıyor musunuz?
Veri ihlali olması durumunda yapılacakları belirlediğiniz bir kriz yönetim prosedürünüz var mı?
Veri ihlali olması durumunda ilgili kişileri nasıl bilgilendireceğinize ilişkin bir prosedürünüz var mı?
Veri işleyenlerle olan ilişkilerinizi takip ediyor ve denetliyor musunuz?