ISO 27701 Belgesi: Kişisel Veri Güvenliği Yönetim Sistemi

Anasayfa » ISO 27701 Belgesi: Kişisel Veri Güvenliği Yönetim Sistemi

ISO 27701, kişisel verilerin (PII) yönetimi için uluslararası düzeyde kabul görmüş bir Gizlilik Bilgi Yönetim Sistemi (KVYS) standardıdır. ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi‘nin bir uzantısı olarak geliştirilmiştir.

Bu standart, verinin sadece “güvende” olmasını değil, aynı zamanda “mahremiyet” ilkelerine (rıza, şeffaflık, hak arama) uygun olarak işlenmesini sağlar. ISO 27701 Kişisel Veri Yönetim Sistemi Belgesi için hazırladığımız bu makale sizleri konu hakkında detaylıca bilgilendirecektir.

ISO 27701 Belgesi Nedir?

ISO 27701 Belgesi, bir kuruluşun kişisel veri işleme süreçlerinin yasal (KVKK/GDPR) ve teknik standartlara uygun olduğunu kanıtlayan uluslararası sertifikadır. Bu belge, müşterilerinize ve iş ortaklarınıza şu mesajı verir: “Biz sadece verinizi korumuyoruz, aynı zamanda veri sahibi olarak haklarınıza da saygı duyuyoruz.”

Gizliliğin korunması, günümüz dijital ekonomisinde yalnızca hukuki bir zorunluluk değil, aynı zamanda sürdürülebilir bir kurumsal itibarın ve güven inşasının temel taşıdır. ISO 27701 Belgesi, kuruluşların gizlilik yönetimi süreçlerini uluslararası standartlara taşıyarak veri koruma kalkanını en üst düzeye çıkarmalarına yardımcı olur.

Özellikle Avrupa Birliği GDPR (Genel Veri Koruma Tüzüğü) ve ülkemizdeki 6698 Sayılı KVKK (Kişisel Verilerin Korunması Kanunu) gibi katı yasal düzenlemelerle tam uyum sağlamak isteyen vizyoner kuruluşlar için bu standart, bir belgeden çok daha fazlasını; “nasıl” sorusunun teknik cevabını ifade eder.

ISO 27701 Nedir ve Neden Önemlidir?

ISO/IEC 27701, dünyanın en yaygın bilgi güvenliği standardı olan ISO 27001’in “gizlilik odaklı” bir uzantısıdır.

Literatürde PIMS (Privacy Information Management System) yani KVYS Kişisel Veri Yönetim Sistemi olarak adlandırılan bu yapı, kişisel olarak tanımlanabilir bilgilerin (PII) nasıl toplanacağı, işleneceği, saklanacağı ve nihayetinde güvenle imha edileceği konusunda global bir çerçeve sunar.

Kritik Güncelleme: Standart, 2019 versiyonunun ardından ISO/IEC 27701:2025 sürümü ile güncellenmiştir. Bu yeni versiyon, gelişen yapay zeka teknolojileri ve bulut tabanlı veri işleme süreçlerine yönelik daha spesifik kontrol maddeleri getirerek, organizasyonların modern siber tehditlere karşı daha dirençli olmasını sağlar.

Neden Sadece ISO 27001 Yetmez?

ISO 27001, verinin Gizliliği, Bütünlüğü ve Erişilebilirliği (CIA) ilkelerine odaklanır. Ancak kişisel veriler söz konusu olduğunda bu üçlü yapıya; Rıza Yönetimi, Kullanım Sınırlılığı ve Veri Sahibi Hakları gibi etik ve hukuki katmanların eklenmesi gerekir. ISO 27701, bilgi güvenliği zırhının üzerine “mahremiyet” katmanını inşa eder.

ISO 27701 ve ISO 27001 İlişkisi: Mükemmel Entegrasyon

ISO 27701 müstakil (tek başına) alınabilen bir sertifika değildir. Bir kuruluşun bu belgeye sahip olabilmesi için ya geçerli bir ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olması ya da her iki sistemin denetimine eş zamanlı olarak girmesi gerekir.

Bu iki standart arasındaki simbiyotik bağ, kurumsal güvenliği şu şekilde güçlendirir:

  • Liderlik ve Politika: ISO 27001 genel bir güvenlik politikası talep ederken, ISO 27701 bu yapıyı spesifik bir “Gizlilik Politikası” ile derinleştirir.
  • Risk Yönetimi: Bilgi varlıklarına yönelik risklere ek olarak, “Veri Sahibi Üzerindeki Riskler” (DPIA – Veri Koruma Etki Analizi) sürece dahil edilir.
  • Uygulanabilirlik Bildirgesi (SoA): Mevcut SoA dokümanı, kişisel veri işleyen (Processor) veya veri sorumlusu (Controller) rollerine özel yeni kontrol maddeleriyle (Ek A ve Ek B) genişletilir.

Harika, derinliği artırarak devam ediyoruz. 2. Bölümde bu makaleyi rakiplerinden ayıracak olan “Teknik Mimari” ve “Yasal Uyum” katmanlarını inşa edeceğiz. Bu kısım, Google’ın “Uzmanlık” (Expertise) kriterini doğrudan hedefliyor.

ISO/IEC 27701 Standart Maddeleri ve Detaylı Açıklamaları

Rakiplerinizin çoğunun yüzeysel geçtiği, standardın ana omurgasını oluşturan maddeler aşağıdadır. Google, bu teknik dökümü “yetkinlik” (Expertise) kanıtı olarak değerlendirir:

1. Bölüm: Kişisel Veri Yönetim Sistemi Gereklilikleri (ISO 27001 ile Uyum)

  • Madde 5 (ISO 27701 Kişisel Veri Yönetim Sistemi Gereksinimleri): Kuruluşun bağlamını, veri sahiplerinin beklentilerini ve gizlilik kapsamını belirler. Liderlik ve politika taahhütlerini bu madde altında yönetiriz.
  • Madde 5.4 (Risk ve Fırsatlar): Kişisel verilerle ilgili risklerin analiz edilmesi; sadece kurumun değil, veri sahibinin uğrayabileceği zararların (maddi/manevi) hesaplanmasını içerir.

2. Bölüm: Kişisel Veri Yönetim Sistemi Kılavuz Bilgileri (ISO 27002 Genişletmesi)

  • Madde 6.3 (İç Organizasyon): Kişisel veri güvenliğinden sorumlu rollerin (DPO veya Veri Sorumlusu İrtibat Kişisi) atanmasını sağlar.
  • Madde 6.5 (Varlık Yönetimi): Verilerin sınıflandırılmasını ve taşınabilir ortamlardaki (USB, bulut vb.) kişisel verilerin korunmasını kapsar.
  • Madde 6.7 (Kriptografi): Verilerin şifrelenmesi ve sadece yetkili kişilerin “anlamlı veriye” ulaşmasını sağlayacak teknik kontrolleri açıklar.
  • Madde 6.13 (İhlal Yönetimi): Bir sızıntı durumunda yapılacak müdahale ve yasal bildirim süreçlerini düzenler.

3. Bölüm: Veri Sorumluları (Controllers) İçin Özel Gereksinimler (Madde 7)

  • Madde 7.2 (Toplama ve İşleme Koşulları): Verinin hangi yasal dayanakla (açık rıza, sözleşme vb.) alındığının belgelenmesidir.
  • Madde 7.3 (Veri Sahiplerine Karşı Yükümlülükler): Kişilerin verilerine erişme, düzeltme veya silme (unutulma hakkı) taleplerinin nasıl karşılanacağını belirler.
  • Madde 7.4 (Tasarımdan Gelen Gizlilik): Verinin en aza indirilmesi (data minimization) ve anonimleştirme tekniklerini zorunlu kılar.

4. Bölüm: Veri İşleyenler (Processors) İçin Özel Gereksinimler (Madde 8)

Madde 8.2 (Müşteri Anlaşmaları): Veri işleyenin sadece müşterinin talimatıyla hareket etmesini yasal güvenceye bağlar.

Madde 8.5 (Alt Yüklenici Yönetimi): Verinin üçüncü taraflara aktarımında aynı güvenlik seviyesinin korunmasını sağlar.

KVKK ve GDPR Uyumu: Hukuki Zorunluluktan Standart Güvenliğine

Türkiye’de 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği’nde Genel Veri Koruma Tüzüğü (GDPR), kuruluşlara ağır idari ve finansal sorumluluklar yükler. Ancak bu yasal metinler genellikle “neyin” korunması gerektiğini söyler, “nasıl” korunacağını teknik detaylarla açıklamaz.

ISO 27701, işte bu “nasıl” sorusunun küresel cevabıdır:

  • Teknik ve İdari Tedbirler: KVKK Kurumu’nun talep ettiği tüm idari ve teknik tedbirler, ISO 27701 maddeleriyle tam olarak örtüşür.
  • Veri İhlal Yönetimi (72 Saat Kuralı): Olası bir veri sızıntısında yetkililere yapılacak bildirim süreçlerini standart hale getirerek hata payını ortadan kaldırır.
  • Hesap Verebilirlik (Accountability): GDPR’ın en temel ilkesi olan “uyumluluğu kanıtla” prensibi, ISO 27701 belgesi ile somut bir kanıta dönüşür.

Veri Sorumlusu (Controller) ve Veri İşleyen (Processor) Rolleri

ISO 27701’in en güçlü yönlerinden biri, kuruluşun verideki rolüne göre özel sorumluluklar tanımlamasıdır. Standart, organizasyonun kimliğine göre iki ana kategori için özel kontroller sunar:

  1. Veri Sorumluları İçin (Ek A): Verinin işleme amaçlarını belirleyen kurumlardır. Müşteri verisi tutan her şirket bu kategoridedir. Odak noktası; rıza yönetimi ve veri sahibi haklarıdır.
  2. Veri İşleyenler İçin (Ek B): Başka bir kurum adına veri işleyen (bulut bilişim, çağrı merkezi vb.) kurumlardır. Odak noktası; sadece talimatla hareket etmek ve alt işleyen (sub-processor) yönetimidir.

ISO 27701 Standart Maddeleri: PIMS’in Teknik Mimarisi

Rakiplerinizin çoğunda bulunmayan, ancak Google’ın “rehber içerik” olarak kabul ettiği teknik madde yapısı şu şekildedir:

  • Madde 5: ISO/IEC 27001 ile ilgili PIMS gereklilikleri (Liderlik, Planlama ve Destek).
  • Madde 6: ISO/IEC 27002 kılavuz bilgilerinin gizlilik odaklı genişletilmesi (Varlık yönetimi, erişim kontrolü, şifreleme).
  • Madde 7: Veri Sorumluları için ek rehberlik (Rızanın alınması, kaydedilmesi ve DPIA süreçleri).
  • Madde 8: Veri İşleyenler için ek rehberlik (Müşteri anlaşmaları ve yasal olarak bağlayıcı ifşalar).

Tasarımdan Gelen Gizlilik ve DPIA Kavramları

Modern veri yönetiminde artık “sonradan düzeltme” mantığı yerini proaktif yaklaşımlara bırakmıştır:

  • Tasarımdan Gelen Gizlilik (Privacy by Design): Yeni bir ürün veya yazılım geliştirirken gizlilik ayarlarının en başından (kodlama aşamasında) sisteme entegre edilmesidir.
  • Veri Koruma Etki Analizi (DPIA): Yüksek riskli veri işleme süreçleri (biyometrik veri, çocuk verileri vb.) başlamadan önce, bu işlemin bireyler üzerindeki olası etkilerinin analiz edilmesidir.

ISO 27701 Belgesinin İşletmelere Sağladığı 10 Stratejik Avantaj

ISO 27701, sadece bir “yasal uyum” belgesi değildir; modern ticaret dünyasında güvenin dijital pasaportudur. Bu sistemi kurmak işletmenize şu kritik kazanımları sağlar:

  1. Hukuki Risklerin Minimize Edilmesi: KVKK ve GDPR kapsamındaki ağır idari para cezalarına (ciro üzerinden %4’e varan yaptırımlar) karşı en güçlü savunma mekanizmasını oluşturur.
  2. Küresel Pazarda Rekabet Üstünlüğü: Avrupa ve Amerika merkezli dev şirketlerle (B2B) çalışırken, “gizlilik tescili” sizi rakiplerinizin bir adım önüne taşır.
  3. Müşteri ve Paydaş Güveni: Müşterilerinize, verilerini korumayı bir “şirket kültürü” haline getirdiğinizi somut olarak ispatlarsınız.
  4. Tedarik Zinciri Güvenliği: İş ortaklarınızdan gelen karmaşık “güvenlik ve gizlilik anketlerini” zahmetsizce ve profesyonelce geçmenizi sağlar.
  5. Veri İhlali Maliyetlerinde Azalma: Olası bir sızıntıda, önceden simüle edilmiş müdahale planları sayesinde zarar ve operasyonel maliyet minimumda tutulur.
  6. Süreçlerin Standartlaşması: Kişisel veri işleme süreçleri “kişilere bağımlı” olmaktan çıkar, sürdürülebilir kurumsal bir sisteme dönüşür.
  7. Yatırımcı ve Sigorta Avantajı: Şirket değerlemesini artırırken, siber risk sigortası primlerinde daha uygun şartlar elde etmenizi sağlar.
  8. Personel Farkındalığı: Çalışanların gizlilik bilincini artırarak “insan kaynaklı” veri sızıntısı risklerini minimize eder.
  9. Şeffaflık ve Hesap Verebilirlik: Kurumun veri politikalarını şeffaf hale getirerek etik ve güvenilir bir marka imajı sağlar.
  10. Sürekli İyileştirme: Denetim mekanizması sayesinde sisteminiz, her yıl yeni nesil siber tehditlere karşı kendini günceller.

ISO 27701 Belgesini Kimler Almalı? (Sektörel Kapsam)

Bu standart, kişisel veri işleyen her ölçekteki yapı için uygun olsa da, bazı sektörlerde bir “lisans” kadar kritiktir:

  • Bankacılık ve Finans: Yüksek hassasiyetli finansal verilerin yönetimi.
  • Sağlık Sektörü: Hastaneler, klinikler ve biyometrik veri işleyen yapılar.
  • E-ticaret ve Dijital Pazarlama: Geniş çaplı kullanıcı profilleme ve ödeme verileri.
  • Telekomünikasyon: Konum ve iletişim trafik verilerinin güvenliği.
  • Kamu Kurumları ve Belediyeler: Vatandaş verilerinin yasal korunması (İZTO örneğinde olduğu gibi).

ISO 27701 Sertifika Ücreti ve Maliyet Analizi

ISO 27701 belgesi almak için yapılacak yatırım, sadece sertifika bedelinden ibaret değildir. Maliyeti belirleyen 4 ana unsur şunlardır:

  1. İşletme Büyüklüğü: Çalışan sayısı ve veri işleme süreçlerinin karmaşıklığı denetim süresini (adam/gün) belirler.
  2. Altyapı İyileştirmeleri: Veri maskeleme, şifreleme veya yeni yazılım ihtiyaçları gibi teknik yatırım maliyetleri.
  3. Danışmanlık ve Eğitim: GAP analizi, dokümantasyon hazırlığı ve personel eğitimleri için ayrılan bütçe.
  4. Akreditasyon Türü: TÜRKAK veya benzeri uluslararası akredite kuruluşlardan alınan onaylı belgelerin prestij ve maliyet farkı.

ISO 27701 Sistemi Nasıl Uygulanır? (Adım Adım Yol Haritası)

ISO 27701 sistemini kurmak, statik bir dokümantasyon çalışması değil, yaşayan bir Gizlilik Kültürü inşa etmektir. İşte başarıya giden 6 temel adım:

  1. Mevcut Durum ve GAP (Boşluk) Analizi: İlk adımda, mevcut gizlilik yönetim süreçleriniz ile ISO 27701 standardı arasındaki mesafeyi ölçüyoruz. Hangi veriler işleniyor? Hangi yasal açıklar var? Envanteriniz güncel mi?
  2. Kapsam ve Politika Geliştirme: Kuruluşun bağlamına uygun kapsam belirlenir. Bu aşamada, sadece genel güvenlik değil; Rıza Yönetimi, Veri İmha Politikası ve Aydınlatma Metinleri gibi spesifik PIMS dokümantasyonu oluşturulur.
  3. Risk Yönetimi ve DPIA: Kişisel veri işleme süreçlerindeki riskler belirlenir. Özellikle yüksek riskli veriler için Veri Koruma Etki Analizi (DPIA) yapılarak, olası sızıntıların bireyler üzerindeki etkisi proaktif olarak azaltılır.
  4. Eğitim ve Farkındalık: Sistem, çalışanlar tarafından benimsenmediği sürece kâğıt üzerinde kalır. Tüm personelin gizlilik yönetiminin önemi ve teknik gereklilikler konusunda bilinçlendirilmesi sağlanır.
  5. İç Denetim ve Gözden Geçirme: Dış denetim öncesinde, sistemin etkinliğini test etmek için bir “prova” gerçekleştirilir. İç denetçiler uygunsuzlukları belirler ve yönetim bu bulguları iyileştirme için değerlendirir.
  6. Sertifikasyon Denetimi: Bağımsız ve TÜRKAK gibi akredite bir belgelendirme kuruluşu (Örn: DSR Belgelendirme) tarafından gerçekleştirilen dış denetim sonucunda, uluslararası geçerliliğe sahip ISO 27701 belgeniz düzenlenir.

1. ISO 27701 Standartı ile İlişkisi

PIMS, dünya genelinde ISO/IEC 27701 standardı ile somutlaşmıştır. Bu standart, mevcut bir Bilgi Güvenliği Yönetim Sistemi’nin (ISO 27001) üzerine bir “gizlilik katmanı” ekler.

Eğer ISO 27001 bilginin genel güvenliğini (şifreleme, yangın duvarı vb.) sağlıyorsa, PIMS bu bilginin içindeki “kişisel mahremiyeti” (rıza alınması, veri sahibi hakları vb.) korur.

2. PIMS’in Temel Bileşenleri

Bir kuruluş PIMS uyguladığında şu mekanizmaları kurmuş olur:

  • Veri Envanteri: Hangi kişisel verinin nerede durduğunun ve neden işlendiğinin haritası.
  • Rıza Yönetimi: Kişilerden verilerini işlemek için nasıl izin alındığının takibi.
  • Veri Sahibi Hakları: Kişilerin “verimi silin” veya “verimi düzeltin” taleplerine yanıt verme süreci.
  • DPIA (Veri Koruma Etki Analizi): Yeni bir projeye başlarken kişisel verilere gelebilecek risklerin önceden hesaplanması.

3. Neden Gereklidir?

  • Yasal Uyum: Türkiye’de KVKK, Avrupa’da GDPR gibi yasalara tam uyum sağlar.
  • Hesap Verebilirlik: Sadece “veriyi koruyoruz” demek yerine, bunu nasıl yaptığınızı uluslararası bir belgeyle ispatlamanızı sağlar.
  • Güven İnşası: Müşterilere, verilerinin “mahremiyetine” önem verildiği mesajını verir.

4. PIMS Kimleri Kapsar?

PIMS kapsamında iki ana rol vardır ve sistem her ikisini de düzenler:

  1. Veri Sorumluları (Controllers): Verinin neden ve nasıl işleneceğine karar verenler.
  2. Veri İşleyenler (Processors): Veri sorumlusu adına teknik işlemleri yürütenler (bulut servisleri gibi).

Özetle PIMS; kişisel verilerin korunmasını bir “hukuk departmanı işi” olmaktan çıkarıp, tüm şirketin uyguladığı teknik ve idari bir yönetim kültürü haline getirir.

ISO 27701 Belgesiyle Geleceğinizi Güvence Altına Alın

Küresel rekabet ortamında ve hızla dijitalleşen dünyada, veri gizliliği artık lüks değil, temel bir ihtiyaçtır. ISO 27701 Belgesi, işletmenizi yalnızca yasal uyumluluk (KVKK/GDPR) için değil, aynı zamanda etik ve şeffaf bir pazar lideri olarak konumlandırmanız için en güçlü araçtır.

Bu standart sayesinde;

  • Bilgi güvenliği ile gizlilik yönetimini tek potada eritir,
  • Müşteri sadakatini “güven” üzerine inşa eder,
  • Yasal cezaların gölgesinden çıkarak ticari büyümenize odaklanırsınız.

ISO 27701 belgesi ile işletmenizin gizlilik yönetimi alanındaki farkını ortaya koyun, güven inşa edin ve yasal risklerinizi en aza indirerek geleceğin dijital dünyasında sağlam bir yer edinin.

ISO 27701 Belgesi ve PIMS Teknik Kaynak Listesi

Whatsapp
DSR Belgelendirme
DSR Belgelendirme
Merhaba!
Size nasıl yardımcı olabiliriz?
Cevap Yaz
1