Blog (tr) Privacy

Kişisel Veri Envanteri Hakkında Bir Kavramsal Çerçeve Çalışması

Elbette yukarıdaki tablo daha da geliştirilebilir. Fakat yukarıdaki tablonun iki özelliğine özellikle parmak basmak istiyorum:

  1. Tabloda veri tek bir olgu/varlık/nesne olarak ele alınmış ve her bir veri kapsamlı bir şekilde incelenmiştir.
  2. Tablo 5N1K ve “Veri Yaşam Döngüsü” esas alınarak hazırlanmıştır

Kanaatimce böyle bir yaklaşımın (5N1K yaklaşımı) seçilmesi en akıllı tercih olacaktır. Tabloda görüldüğü gibi verinin yaşam döngüsü esaslı soruları sorduğumuzda envanter basit bir matematik hesabının ötesine geçiyor.

Yukarıdaki tablo bizim amacımızı ve mantıksal çerçevenin kapsamını ortaya koysa bile kendi envanterimde kullanmak isteyeceğim sınıflandırmaya uygun değil. Bu yüzden envanter üzerinde biraz daha çalışmamız gerekecek.

Yaklaşım olarak verinin yaşam döngüsünü (bir kurum içindeki) esas almak makul duruyor. Bu döngüye göre veriler doğar, yaşam alanı bulur, etkileşime girer, ölür veya gönderilirler. Terminoloji olarak değerlendirirsek; veri yönetimi, verinin oluşturulması, depolanması, işlenmesi, kullanılması, paylaşılması ve imha edilmesini içerir. Tabii ki her bir süreç belirlenmiş standartlar kapsamında olur ya da olması gerekir. Bu perspektif aslında envanterimize anlamlı bir yaklaşım geliştirmek için fazlasıyla yeterlidir. Bu yaklaşıma göre başlıklar aşağıdaki gibi olacaktır:

  • Varlık / Yapı
  • Oluşturulma
  • İşlenme
  • Güncelleme
  • Depolanma
  • Denetlenme
  • Paylaşılma
  • İmha

5N1K kapsamında oluşturduğumuz başlıkları kısa açıklamalarıyla buraya yerleştirirsek:

  • Varlık
    • Veri -> envantere işlenen veridir
    • Kategori -> envantere işlenen verinin kategorisini belirtir
    • Kaynak -> verinin nereden geldiğini açıklar
    • Amaç -> verinin toplanma ve kullanılma amacını açıklar
    • Gerekçe -> veri toplanması için gerekçeyi sağlayan yasal altyapıyı açıklar
    • İzin Durumu -> verinin toplanması sırasında gerekli yasal iznin alınıp alınmadığını belirtir
  • Oluşturulma
    • Oluşturulma Tarihi -> verinin kurum içinde ne zaman oluşturulduğunu açıklar
    • Oluşturulma Metodu -> verinin kurumda hangi yollarla oluşturulduğunu açıklar
    • Departman -> veriyi oluşturan departmanı belirtir
    • Oluşturan Kişi -> veriyi kuruma getiren kişiyi belirtir. Bu aslında sanal bir kişilik de olabilir. (örn. Sitedeki çerezler, kayıt sistemi)
  • İşlenme
    • Kullanım Durumu -> verinin aktif bir şekilde kullanılıp kullanılmadığını belirtir
    • Kullanım Sıklığı -> verinin ne kadar sıklıkla kullanıldığını belirtir
    • Kullanma Tarihi -> verinin kullanıldığı tarihi belirtir
    • Son Kullanma Tarihi -> verinin ön görülen son kullanılma tarihini belirtir
    • Kullanım Yeri -> verilerin nerede kullanıldığını belirtir
    • Kullanılma Metodu -> verinin nasıl kullanıldığını açıklar
    • Çıktı -> veriden elde edilen çıktıları belirtir
    • Kullanılma Standardı -> bir referans göstergesi olarak kurumdaki ilişkili standartlara işaret eder
    • Erişim Yetkisi Olan Kişiler -> veriye erişim yetkisi olan kişileri belirler
    • Erişim Sorumlusu -> veriye erişim yetkisini veren kişiyi belirler
    • Erişim Uygulayıcısı -> veriye erişimi açan veya kapatan uygulayıcı kişiyi belirler
    • Erişim Standardı -> bir referans göstergesi olarak kurumdaki ilişkili standartlara işaret eder
  • Güncelleme
    • Güncelleme Durumu -> verinin değiştirilip değiştirilmeyeceğini belirtir
    • Güncelleme Metodu -> verilerin hangi yöntemlerle güncelleceğini belirler
    • Güncelleme Sıklığı -> verilerin ne kadar sıklıkla güncelleneceğini belirler
    • Güncelleme Sorumlusu -> verilerin güncellemesinden kimin sorumlu olduğu belirtir
    • Güncelleme Uygulayıcısı -> verilerin güncellemesini yapan kişiyi belirtir
    • Güncelleme Standardı -> bir referans göstergesi olarak kurumdaki ilişkili standartlara işaret eder
  • Depolama
    • Depolama Sorumlusu -> verilerin depolanmasından sorumlu olan kişiyi belirtir
    • Depolama Uygulayıcısı -> sorumlu adına verilerin depolanma süreçlerini yürüten kişiyi belirtir
    • Depolama Metodu -> verilerin sanal ya da fiziksel olarak depolanıp depolanmadığını belirtir
    • Veri Ortamı -> veriler sanal olarak depolandıysa depolandığı sunucuları, dizinlerini, sunucuların mekanını; fiziksel olarak depolandıysa mekanı tanımlar
    • Depolama Standardı -> bir referans göstergesi olarak kurumdaki ilişkili standartlara işaret eder
  • Denetlenme
    • Denetleme Durumu -> verilerin denetlenip denetlenmediğini belirtir
    • Denetleme Sorumlusu -> verilerin denetlenmesini kontrol eden kurum içindeki kişiyi ifade eder
    • Denetleme Uygulayıcısı -> sorumlu adına verilerin denetlemesini yapan kişiyi belirtir
    • Denetleme Metodu -> verilerin nasıl denetlendiğini açıklar
    • Denetleme Sıklığı -> verilerin ne kadar sıklıkla denetlendiğini açıklar
    • Denetleme Standardı -> bir referans göstergesi olarak kurumdaki ilişkili standartlara işaret eder
  • Paylaşılma
    • Paylaşılma Durumu -> verinin paylaşıp paylaşmadığını belirtir
    • Paylaşılma Amacı -> verinin paylaşılma amacını belirtir
    • Paylaşılma Gerekçesi -> verinin paylaşılmasına gerekçe oluşturan yasal durumu belirtir
    • Paylaşılan Kurum ve Kişiler -> verinin kimlerlere paylaştığını açıklar
    • Paylaşım Sorumlusu -> verinin paylaşılmasını yürüten ve denetleyen kurum içindeki kişiyi ifade eder
    • Paylaşım Uygulayıcısı -> sorumlu adına verilerin paylaşılmasını yürüten kişiyi ifade eder
    • Paylaşım Metodu -> verinin nasıl paylaşıldığını açıklar
    • Paylaşım Başlangıç Tarihi -> verinin ilk paylaşılma tarihini açıklar
    • Paylaşım Sıklığı -> verinin ne kadar sıklıkla paylaşıldığını belirtir
    • Paylaşım Son Tarihi -> verinin en son paylaşılacak tarihini ifade eder
    • Paylaşım Standardı -> bir referans göstergesi olarak kurumdaki ilişkili standartlara işaret eder
  • İmha
    • İmha Durumu -> verinin imha edilip edilmediğini belirtir
    • İmha Sorumlusu -> verilerin imhasına karar veren ve yöneten kişiyi ifade eder
    • İmha Uygulayıcısı -> sorumlu adına verileri imha eden kişiyi belirtir
    • İmha Tarihi -> verinin ne zaman imha edildiğini ifade eder
    • İmha Metodu -> verinin imha edilme metodunu ifade eder
    • İmha Standardı -> bir referans göstergesi olarak kurumdaki ilişkili standartlara işaret eder

 

Verinin Verisi

Görüldüğü üzere envanterin sosyal olmasıyla konu bir hayli karışmaya başlıyor. Kurul ve yasalar ne kadarını isteyecek bilememekle birlikte mevzuattaki bilgilendirme hakkı göz önüne alındığında yukarıda olduğu gibi tek bir veri için 50’den fazla parametrenin ortaya çıkabileceğini ön görebiliyorum. Pratikte nasıl uygulanacağı ise başlı başına bir sorun olarak çıkıyor karşımıza. Şu kadarını görmek için alemi cihan olmaya gerek yok: Bu envanter yepyeni iş kollarının doğmasına yol açacak. Belki muhasebeciler gibi veri yazmanları ya da artık adı her ne ise onlar doğacak. Hepsi büyük vaatlerle gelen yazılımlar, firmaların peşinde koşmaya başlayacak. Bu noktada Kurulun hatta Dünya’nın yavaş ve temkinli davranmasını anlayabiliyorum. Çünkü kontrol her zaman maliyetiyle gelecektir.

Ara Söz

Evet ara söz. Ne son sözü söyleyebilecek bir dönemdeyiz (her şey daha çok yeni) ne de son sözü söyleyebilecek bir otoriteye sahibim. Burada beklenti olarak sadece kamu, özel kuruluşlar ve bireylerin çok yorulmadan ortak bir noktada buluşabilmesini umut edebilirim.

Bilinmeyen numaralar gibi rahatsız edici servislerin bir son bulacak olması benim için çok değerli bir şey. Bunun gibi güzel pek çok gelişmelerin olacağı kesin. Fakat bilimsel özellikle medikal araştırmaların geleceği adına endişe duyuyorum. Özellikle benim gibi özel kuruluşlarda çalışıp bilimsel faaliyet göstermeye çalışan uzmanlar için devletin alacağı kararlar varlıkla yokluk arasında bir tercih gibi. Sürecin sağ duyulu ve tüm tarafların çıkarlarını koruyan bir şekilde tamamlanması dileği ile.

Sonraki sayfa…

Advertisements

Leave a Reply