Kişisel Veri Yönetim Sistemi ISO 27701 ile İlgili Akla İlk Gelenler!

Kişisel verilerin güvenliği, geçtiğimiz yıllarda regülasyonların yayınlamış oldukları kanun, mevzuat ve yönetmeliklerle uyum süreci daha da sıkı takip edilen bir konu haline geldi. ISO 27701 ve Kişisel Veri Yönetim Sistemi (KVYS) 2019 yılında yayınlandıktan sonra GDPR ve KVKK uyumu gerçekleştirmekle yükümlü firmalar için dikkat çekici bir standart oldu. ISO 27701:2019 standardının yayınlandığı tarihten bu yana gerçekleştirdiğimiz eğitimlerde bir çok soru ile karşılaşıyoruz ve sizler için bu konulara ilişkin genel bir derleme yaptık.

ISO 27701 Kişisel Veri Yönetim Sistemi nedir?

ISO 27701, kuruluş bağlamında kişisel veri/gizlilik yönetimi için ISO/IEC 27001 ve ISO/IEC 27002’nin bir uzantısı şeklinde Kişisel Veri Yönetim Sisteminin (PIMS, KVYS) kurulması, uygulanması, sürdürülmesi ve sürekli olarak iyileştirilmesi için gereksinimleri belirtir ve rehberlik sağlar.
Kişisel Veri Yönetim Sistemi, sorumluluk ve hesap verebilirlik sahibi olan veri sorumluları ve veri işleyenlerine rehberlik eder. Bu standart bilgi güvenliği yönetim sistemi işleten, veri işleyen ve/veya veri sorumlusu olan tüm kurum ve kuruluşlar için geçerlidir.

ISO 27701 sertifikalandırılabilir / denetlenebilir bir standart mıdır?

ISO 27701 “Gereksinimler ve Yönergeler” standardıdır. Standartta 67 adet kontrol vardır ve hepsi denetlenebilir. Ancak, bir kuruluş, ISO 27001:2013 süreçlerini tamamlamadan ve denetimlerden başarıyla geçmeden ISO 27701:2019 denetimine tabi olamaz ve sertifikalandırılamaz. ISO 27701 KVYS, ISO 27001 BGYS standardının bir uzantısıdır ve ISO 27701 sertifikası sadece ISO 27001 sertifikasının bir uzantısı olarak alınabilir.

ISO 27701 standardı, GDPR Madde 42 ya da KVK Teknik ve İdari Tedbirler kapsamında kabul ediliyor mu?

ISO 27701, GDPR ya da KVKK nezdinde tüm gereksinimleri karşılayan bir standart değildir. Ne AB Konseyi ne de KVK Kurulu henüz GDPR/KVKK kapsamında herhangi bir sertifikasyon mekanizması tanımadı. Ancak ISO 27701, potansiyel bir belgelendirme mekanizması olabilir.

Neden ISO 27701 uygulanmalı?

ISO 27001 uygulanabilir en iyi güvenlik standardı olmakla birlikte, ISO 27701 eklentisi kuruluş içerisinde güvenlik katmanlarınızı geliştirmenize ve özelleştirmenize olanak sağlar. ISO 27701 çerçevesi, düzenleyici gereklilikleri operasyonel kontrollere dönüştürür. Veri Koruması ve Gizlilik, bilgi güvenliğine dayanır ve dünyanın en çok bilinen güvenlik standardı olan ISO 27001: 2013, Bilgi Güvenliği Yönetim Sistemi (BGYS) üzerinde veri güvenliği ve gizlilik çerçevesi oluşturulmasına imkan verir. ISO 27701:2019 Ek D’ de yapılan GDPR eşlemesi gibi farklı düzenlemeleri ISO 27701’e eşleyerek yerel kanunlara uyumlu bir standart oluşturur. BGYS uygulayıcıları için KVYS uygulamak bir artı olacaktır.