Avrupa Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR) bugün yürürlüğe giriyor. GDPR, Avrupa Birliği (AB) içinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa’yla iş yapan Türk firmalarını da yakından ilgilendiriyor. Bilgi güvenliği kuruluşu ESET, yönetmeliğin başta şifreleme (encryption) olmak üzere çeşitli dijital güvenlik önlemleri almayı öngördüğüne dikkat çekti.
Genel Veri Koruma Yönetmeliği Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. Bugün itibarıyla (25 Mayıs) yürürlüğe giren yönetmelik, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaların bu düzenlemeyle uyumlu olmasını gerektiriyor. Yönetmelik aksi takdirde firmaların yasal sonuçlara katlanmak durumunda olduklarını ifade ediyor.
Uyumsuzluk durumunda 20 milyon avro ve üzerine ulaşabilen karışık kuralları ve cezalarıyla birlikte GDPR, tüm küçük ve orta ölçekli firmalar için karşılanması hiç de kolay olmayacak maddi yükümlülükleri de beraberinde getiriyor. Çalışan sayısı 10 ila 250 arası olan ve yıllık cirosu 2 ila 50 milyon avro arasında değişen firmalar için bunun gelir anlamında felakete varan sonuçları olabilir.
KOBİ’lerin sindirebileceğinden ağır yük var
ESET, son iki yıldır bu konuyu zaman zaman mercek altına alıyor, yönetmeliğin öngördüklerini ve alınması gereken dijital önlemlere dikkat çekiyor. Küçük ve orta ölçekli şirketlerde GDPR etkilerini analiz eden ESET Endpoint Encryption Yöneticisi David Tomlinson, bu firmaların karşılaşabileceği sorunları ortaya koydu. Tomlinson, “Bu yönetmelik, küçük ve orta ölçekli firmalar için büyük bir yük teşkil ediyor. Gereksinimler listesi, sindirebileceklerinden çok daha fazla ve bir noktada tüm bunları görmezden gelerek sorunların zamanla ortadan kaybolmasını bekliyorlar” diye konuştu.
Avrupa’daki işletmeler bile henüz hazır değil
Yakın zamanda IDC tarafından gerçekleştirilen bir araştırmaya göre, Avrupalı küçük işletmelerin yalnızca yüzde 29’u ve orta ölçekli işletmelerinse yüzde 41’i GDPR ile uyumlu hale gelmek üzere bazı adımlar atmış durumda. Avrupa’da olmayan küçük ve orta ölçekli işletmeler arasındaysa bu oran, küçük işletmeler için yüzde 9, orta ölçekli işletmeler için ise yüzde 20 olarak görünüyor.
Anahtar, her iş kapsamında kişisel verinin rolünü ve GDPR gerekliliklerini karşılayabilmek için ne gibi koruyucu önlemler alınması gerektiğini anlayabilmek. Kişisel veriyi tanımlayalım. Direktif, bunu “Kimliği belirli veya belirlenebilir kişilerle ilgili her türlü bilgi” olarak tanımlıyor. Örneğin: ad, soyad, ev adresi, e-posta adresi, konum bilgisi”.
Firmalar hangi önlemleri almalı?
Avrupa’nın yeni veri koruma yasası, uygun gördüğü önlemleri de tanımlıyor. Firmalar tam anlamıyla veri güvenliği ve şeffaflığı sağlayabilmeli. Bu doğrultuda uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption)ve benzeri güvenlik ürünlerinin kullanılması öngörülüyor.
Avrupa Birliği, özellikle şifrelemenin altını çiziyor. Şifreleme teknolojisinin başlıca faydaları; karmaşık algoritmalar sayesinde şifrelemenin çok güçlü olması, dolaşım halindeki verilerin ele geçirilmesi durumunda kullanılamayacak olması, geniş erişilebilirlik ve yönetim imkânı ile birlikte nispeten düşük uygulama maliyeti olarak karşımıza çıkıyor.
David Tomlinson, “İşletmeniz için kişisel verileri korumak ve onlarla çalışabilmek amacıyla kullanımı kolay bir şifreleme yazılımına yatırım yaparsanız, kazanmaya yakınsınız” diyerek şifrelemenin önemine dikkat çekiyor.