Veri Güvenliği & Olay Yönetimi • 2025
Veri ihlali bir kurum için yalnızca teknik değil, aynı zamanda itibar, yasal ve operasyonel bir krizdir. KVKK ve GDPR, ihlal tespiti sonrası 72 saat içinde otoriteye bildirim yapılmasını zorunlu kılar. Bu nedenle, her kurumun “incident response plan” yani olay müdahale planını önceden tasarlaması gerekir.
1. İhlal Yönetimi Neden Kritik?
- Veri ihlali sadece teknik sistem açığı değildir; insan hatası, e-posta yanlış yönlendirmesi veya taşınabilir bellek kaybı da ihlaldir.
- Her dakikalık gecikme, hem veri sahiplerinin zarar riskini hem de idari para cezası oranını artırır.
- KVKK’ya göre “en kısa sürede”, GDPR’a göre “72 saat içinde” bildirim zorunluluğu vardır.
“Veri ihlali teknik değil, yönetimsel bir sınavdır.”
2. 72 Saatlik Kriz Planı: Adım Adım Süreç
| Aşama | Süre (örnek) | Faaliyet |
|---|---|---|
| 0–4 Saat | İlk tespit | İhlal kaynağının belirlenmesi, sistem erişimlerinin kısıtlanması |
| 4–12 Saat | Analiz | Etki kapsamı, etkilenen kişi sayısı, veri türü (kişisel / özel nitelikli) analizi |
| 12–24 Saat | İç raporlama | Üst yönetime ve veri sorumlusuna bildirim, hukuki danışman bilgilendirmesi |
| 24–48 Saat | Kurul bildirimi | KVKK’ya veya AB otoritesine ön bildirim gönderimi |
| 48–72 Saat | Kamu bilgilendirme | Web sitesi veya basın yoluyla açıklama, etkilenen veri sahiplerine e-posta bildirimi |
“72 saat, panik için değil; plan için vardır.”
3. Kurum İçi “Incident Response” Plan Şablonu
- Olay Tanımı: Ne tür bir veri ihlali yaşandı?
- Etki Analizi: Kaç kişi, hangi veriler etkilendi?
- Teknik Müdahale: Sistem erişimleri, log incelemesi, parola sıfırlama
- Yasal Bildirim: KVKK / GDPR otoritelerine gönderilecek formlar
- Kamu İletişimi: Şeffaf duyuru metni ve Q&A dokümanı
- Post-mortem Analiz: Süreç sonrası öğrenilen dersler ve prosedür güncellemeleri
4. B10 Digital Agency Örnek Vaka Anlatımı
Vaka: Bir e-ticaret markasının e-posta servisinde yanlış yönlendirme sonucu 1.200 müşterinin iletişim bilgisi 3. taraflara ulaştı.
- İhlal 2 saat içinde tespit edildi, sistem erişimi kapatıldı.
- Veri Sorumlusu 18 saat içinde KVKK Kurumu’na bildirim yaptı.
- 48. saatte müşterilere e-posta bilgilendirmesi yapıldı.
- Sonrasında “phishing farkındalık eğitimi” ve “çift onaylı e-posta” sistemine geçildi.
“İhlal kaçınılmaz olabilir; ancak ihlal yönetimi profesyonelce yürütülebilir.”
5. Kriz Anında İletişim Stratejisi
- Tek bir sözcü belirleyin — bilgi dağınıklığı güven kaybına yol açar.
- İlk açıklamada teknik detay vermeyin; “inceleme sürüyor” ifadesi yeterlidir.
- Kamuya yapılacak açıklamada özür değil,
vurgulanmalıdır. - Basın veya sosyal medya açıklamaları, hukuki ekip kontrolünde yapılmalıdır.
Veri ihlali riskine hazırlıklı olun.
B10 Digital Agency, ihlal tespiti, bildirim yönetimi ve kriz iletişimi planlamasında kurumlara tam kapsamlı danışmanlık sağlar.
İhlali 72 saat içinde bildirmezsek ne olur?
KVKK ve GDPR’a göre gecikmeli bildirimlerde, “gecikme nedeni” açıklanmalıdır. Gerekçesiz bildirim gecikmesi idari yaptırımlara neden olabilir.
Kamu bilgilendirmesi zorunlu mu?
Evet. Veri ihlalinden etkilenen kişilerin bilgilendirilmesi zorunludur. KVKK, ihlalin web sitesinde veya basın açıklamasıyla duyurulmasını ister.
Olay müdahale planı küçük işletmeler için de gerekli mi?
Evet. KOBİ ölçeğinde dahi, basit bir olay akış planı (kimin, ne zaman, ne yapacağı) belirlenmelidir. Bu, denetimlerde avantaj sağlar.
