Yetki Nedir? Nasıl Hazırlanır? (Örnekler)
Büyük operasyonlarının yönetildiği kurumlarda birçok kişisel veri işlenmektedir. Bu işleme işlemini de tek bir kişi değil her bir personelin farklı adımlarında sürece dahil olduğu büyük ekipler yapmaktadır. Hal böyle olunca kişisel verilere birçok kişinin erişimi sağlanıyor. Ancak her personelin veri işleme sürecine yardım etmesi için verilerin tümüne erişmesi gerekmez. Bu sebeple hangi çalışanın işini yapabilmek için hangi hangi verilere erişmesinin zorunluluk olduğunu belirten bir bir tablo hazırlanır. Bu tablo veri matrisi nedir sorusunun cevabı nitleiğindedir.
Yetki Matrisinin Amacı Nedir?
Veri matrisinin oluşturulmasının amacı hangi personelin hangi veriye erişebileceğinin net bir şekilde belirlenerek veri ihlalalerinin önenü geçilmesidir. KVKK’nın temel prensiplerinden birisi olan veri minimizasyonu ilkesine uygun olarak herkesin sadece ihtiyacı olduğu kişisel veriye ulaşması hedeflenmektedir.
Yetki Matrisini Öneren Regülasyonlar
Yetki matrisi başta KVKK olmak üzere birçok kişisel veri regülasyonu tarafında önerilmektedir. Bu regülasyonlar aşağıdaki gibidir:
- KVKK
- Bilgi ve İletişim Güvenliği Rehberi
- ISO 27001
- ISO 27701
- NIST 800-53
- TOGAF
- COBIT 5
- NIST CSF
Yetki matrisi KVKK’nın önerdiği güvenlik önlemlerinin başında yer alır. Bu önlemler Kişisel Verileri Koruma Kurumunun hazırladığı Veri Güvenliği Rehberi’nde belirtiğimiştir. Kişisel verilerin korunması için gerekli olan güvenlik önlemlerinden birisi olan veri matrisinin neden önemli olduğuna bakabilirisiniz.
Veri Matrisi Nerede Kullanılır?
Veri matrisleri özellikle ERP ve CRM ismini verdiğimiz kullanıcıların ve müşterilerin verilerinin bulunduğu sistemlerde ve birçok ekipten kişinin girebildiği durumlarda kullanılması önemlidir. Bu sistemlere giriş için her bir personele hesap oluşturulur. Personel bu hesap üzerinden verilen izinlerin sınırı kadar kişisel verilere erişebilir. Örneğin personellerden birisi sadece kullanıların yaşları üzerinden bir istatistik çıkartarak çalışma yaparak ürünlerinin hangi yaştaki kişiler tarafında daha çok tercih edildiğini bulmaya çalışıyor. Veri minimizasyonu ilkesine göre hareket ederekbir CRM sistemi üzerinden yetki matrisi oluşturduğumuzda bu personele sadece kullanıcıların yaş verisini paylaşmak yeterli olacaktır. Çok basit bir örnek olmakla birlikte yetki matrisinin kullanımını anlatması açısından açıklayıcı olmuştur umarız.
Matris Çeşitleri
Kişisel veriler alanında kullanılan 2 temel veri matrisi vardır. Bunlar:
Erişim Yetki Matrisi
Kurumlar içerisinde hangi çalışanın hangi veriye erişebileceğini belirleyen matris tablosudur. Kişilerin verilere erişim istekleri bu matrise bakarak cevap verilir.
Yetki Ve Sorumluluk Matrisi
RACI olarak bilinen bu sistemlerde projelerdeki karar verici olarak tanımlanacak kişislerin hangi veri işleme işlemlerinden hangi ölçde sorumlu olduklarının belirlendiği matris tablolarıdır. Bu matris sayesinde hangi veri işleminin kimin sorumluluğunda olduğu açıkça herkes tarafında bilinmesi sağlanır.