Yetki Matrisi Nedir?
Yetki matrisi, bilgi sistemlerinde kullanıcıların belirli kaynaklara (örneğin: veri tabanı, kurumsal kaynak planlaması (ERP) ve müşteri ilişkileri yönetimi (CRM) yazılımları erişim yetkisinin olup olmadığı ve bu yetkinin kapsamının belirlenmesinde kullanılan bir tablodur. Yetkilendirmenin rol bazlı veya kullanıcı bazlı oluşturulması mümkündür. Rol bazlı yetki matrisinde, aynı role sahip kullanıcılara role özgülenmiş yetkiler verilirken, kişi bazlı yetkilendirmede, o kullanıcıya özgü yetki verilmesi söz konusudur.
Kişisel Verilerin Korunması Kanunu Bakımından Yetki Matrisinin Önemi
Kişisel Verilerin Korunması Kanunu (“Kanun”) m. 12 uyarınca veri sorumluları, kişisel veri güvenliğini sağlamaya yönelik olarak her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberinde[1] teknik tedbirler arasında yetki matrisi oluşturulmasına yer vermiştir. Periyodik zaman dilimlerinde erişim yetkilerin kontrol edilmesine ve geçici yetkilendirmelerin takip edilmesine yönelik olarak prosedürlerin belirlenmesi, kişisel verilerin korunması bakımından önem taşımaktadır. Özellikle işten ayrılma süreçlerinde kullanıcı yetkilerinin kaldırılmasında yetki matrisinden faydalanılmalıdır. Rol bazlı yetkilendirmelerde, belirlenen rol ile verilen yetkiler arasında doğru orantı olmalı, kullanıcıların gerektiği ölçüde kişisel verilere erişimi sağlanmalıdır.
Kişisel Verileri Koruma Kurulu Kararları Bağlamında Yetki Matrisi
Kişisel Verileri Koruma Kurulu (“Kurul”) 2019/43 sayılı kararında[2], bir banka çalışanın yetkilendirme sistemini devre dışı bırakarak yetkisiz alanlara erişimi sonucunda ortaya çıkan kişisel veri ihlalinin duyurulmasına karar vermiştir. Veri ihlal bildirimiyle, yetki kontrolüne yönelik önlemlerinin alınması ve yetkilendirmenin önemi bir kez daha ortaya çıkmıştır.
Bir ilgili kişi başvurusunda, başvurucu, İnsan kaynakları süreçlerinde kullanılan yazılımda veri güvenliğinin sağlanmasına yönelik olarak erişim yetkilerinin belirlenip belirlenmediği ve yetki matrisinin oluşturulup oluşturulmadığı konusunda bilgi talebinde bulunmuştur. Bu başvurudan hareketle, çok fazla kişisel veri işlenen yazılımlarda kişisel verilerin korunmasına uygun olarak bir yetki matrisinin oluşturulup oluşturulmadığı kontrol edilmelidir.
Son olarak, Kurul, 2020/787[3] sayılı karar özetinde, veri sorumlusunun ihlalden önce çalışanlar için yetki matrisi oluşturmasını da gözeterek, veri sorumlusunun makul teknik ve idari tedbirleri aldığını değerlendirmiş ve Kanunun 12. maddesi kapsamında herhangi bir işlem yapılmasına gerek olmadığına karar vermiştir.
Yukarıdaki Kurul kararları ve yapılan değerlendirmeler ışığında, veri sorumluları tarafından teknik tedbirler kapsamında yetki matrisinin oluşturulması ve kullanıcı yetkilerinin periyodik olarak kontrol edilmesine yönelik olarak gerekli çalışmaların yapılması gerekmektedir.
[1] https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf (Erişim Tarihi: 1.6.2021)
[2] https://kvkk.gov.tr/Icerik/5375/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-ING-Bank-A-S- (Erişim Tarihi: 1.6.2021)
[3] https://kvkk.gov.tr/Icerik/6913/2020-404 (Erişim Tarihi: 1.6.2021)
İlginizi çekebilecek bir içerik önerimiz var; Görünmez Çerez Duvarları Artık Tamamen Yıkılmalı!