KVKK uyum projeniz şirketinize ne kadar uyumlu?

0

Dünya dijitalleşiyor, teknoloji sürekli gelişiyor. Şirketlerin ya da kurumların sahip olduğu “Büyük Veri” ise bir dizi sorumluluğu beraberinde getiriyor. Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı Barış Karadenizli, KVKK uyum projelerini şirketinize daha iyi nasıl entegre edebileceğinize dair görüşlerini sizler için paylaştı.

İçinde bulunduğumuz dönemde oldukça önem kazanan verilerin işlenmesi ve korunması konusunda, herkes kendince önlemler almaya devam ediyor. Pek tabii belirsiz kalan noktalar da var. Bugün bu noktalara geniş bir perspektiften bakacağız…

KVKK uygulamalarında eksik halka: Ürün/Süreç sahipleri

Bilişimciler (yazılımcı, veri güvenlikçi, sistemci, donanımcı herkes dahil) ve Hukukçular KVKK çıktığından bu yana ciddi bir tartışma içindeler. Kanun yayınlandıktan sonra birçok etkinliğe katılmış biri olarak söylüyorum bunu… Zaman zaman hararetlenen birçok tartışma var. Süreçleri uygulamak için kanun mu IT’den,  IT mi kanundan başlayacak? Bir tarafta “Hukukçuların liderlik ettiği bir KVKK projesi var mı?” savları, bir tarafta da ise “IT’ciler, hukuk bilmeden yorum yapmasın” bakış açısı…

Yaklaşık 3 yıldır bu konuda milyonlarca bireyin verileriyle yüzbinlerce işverenin verilerinin buluştuğu bir uyum sürecinde, gözlemlediklerimi dışarıdan bir bakışla paylaşmak istiyorum.

Buyurun resme bir de “Süreç/Ürün sahipleri” penceresinden bakalım.

Her iki disiplin de protokollerden oluşuyor

Yazılım dili de hukuk dili de aslında protokoller üzerine kurulu. Bu kapsamda bir ”Sözleşme” ile “Kod” fazlaca birbirine benziyor. Sözleşmede de birçok yerde birileri bir şeyleri “Kabul ettiğini beyan eder” iken “Kod”un içinde “If /then/else”ler ile oldukça keskin biçimde neyin nasıl akacağına dair başka bir dilde “Beyan kabul ve taahhüt” vardır.

Mesela hepimizin ağzındaki meşhur “eypiay”lar (API) bir sisteme girişin hangi kriterlerle yapılacağını belirtir ve bu yazılım parçalarının, farklı yazılım dillerinde geliştirilmiş olması da işin temelini değiştirmez.

API’lar tarafların üzerinde anlaştıkları entegrasyon “Protokol”leridir. Evinizdeki prizlerden tutun da uzaydaki XYZ space center’a roketlerin nasıl bağlanacağına kadar düşünebilirsiniz. Bunların hepsi farklı farklı “API”larla birbiriyle konuşan entegrasyon parçalarıdır.

Kimisinde standardı bir firma, (Microsoft, Google, Apple vs.) kimisinde bir konsorsiyum (GSMA, IEEE vb.) kimisinde de devletler belirler. “Devletler mi?” diye sorabilirsiniz. Evet, devletler… Vize almak için başvuru formlarında farklı devletlerin farklı bilgiler istemesi de API protokollerinden farklı bir şey değildir. Dünyanın her türlü sisteminin “Bulut”laştığı günümüzde “Protokol”ler her şeyin ötesinde bir yerde duruyor.

2004’te The MIT Press tarafından basılmış olan “Protocol: How Control Exists After Decentralization” kitabını, ilgilenenlere naçizane olarak tavsiye ederim. Özellikle teknik olmayan kitlelerin okuması amaçlandığından basit bir dille yazılmış, hızlı okunan bir kitaptır. Kitabı okuduğunuzda; tartışmalı sosyal konulardan teknolojik başlıklara kadar birçok konunun, temelde benzer yerlerden geçtiğinin altının çizildiğini göreceksiniz.

Her inovasyon er ya da geç regulasyonunu da getirir

Her yüzyılın kendi içinde önemli inovasyonları her zaman regulasyonlarını da er ya da geç getirmiştir. Birkaç örnekle gidelim:

İlk örnek trafik ışıkları;

“İlk araba ne zaman keşfedildi?” derseniz, tarih sizi 1769’a kadar götürebiliyor; ama ilk trafik ışığı 1914 yılında ortaya çıkıyor. (İlginç biçimde at arabaları sokaklarda gezerken bir trafik ışığı ihtiyacı olmamış. Atlar, fren yapmak konusunda daha mı insaflıydı acaba? 😊)

Bir başka örnek olarak telefon kablolarına bakalım;

Sene 1800’lerin sonu 1900’lerin başı. Telefon hizmeti veren, birbirine rakip onlarca firmanın ve her birinin ayrı ayrı kablo çekerek altyapı kurduğu şehirler… 25-30 metrelik direkler ve bunların üzerinde yirmişerli otuzarlı farklı kablolar.

Sonra “Yahu bir dakika, bu işler böyle gitmiyor, buna bir düzen getirelim” kurgusu işleri toparlamaya başlıyor.

Bunların tümünde şu detayı atlamamak gerekiyor: Önce birileri başımıza bir “İcat” çıkarıyor (Sağ olsunlar, hayat onlar sayesinde ilerliyor) sonra da birileri “Yahu iyi güzel tabii ki de şunu toplumsal bir zemine oturtalım, bunun bir kuralı düzeni olsun (böyle olmuyor)” diyor.

AR-GE en önden koşar, sonra hukuk, en son da “Uygulamacı”lar gelir

Birileri “Algoritmalar” geliştiriyor ve “Böyle bir şey yaptım” diye piyasaya sürüyor. Buluşları yapanlar aslında mevcut yasal çerçeveyi bilerek ya da bilmeyerek “İcadı” başımıza çıkarıyorlar. 2000’lerin başındaki MP3 tartışmalarını düşünün… Belli bir süre, piyasadaki mevcut yerleşik iş akışlarının sahipleri (Plak şirketleri vb.) yasa dışı olmakla itham ediliyorlar. O an için baktığınızda gerçekten de bunlar mevcut kurgu için yasalarla çelişen birçok yeni yol da içeriyor.

Daha sonra başka birileri çıkıyor ve diyor ki “Peki bunlara bir çerçeve getirelim” (MP3 örneğinden devam edersek, Digital Rights Management DRM protokollerini buna örnek verebiliriz) Daha sonra da birileri çıkıp, “Artık hem yasal hem de hayatınızı kolaylaştıran teknoloji haline getirelim” diyor (Mesela Apple itunes) ve deyim yerindeyse “Büyük ödül” ün sahibi oluyor. Sonuçta Apple ne MP3’ü keşfetti, ne de DRM’i, ama en büyük parayı da kazandı. Bunu atlamamak gerek…

“Hayatın olağan akışı” tartışması  

Şunu kabul edelim ki her meslek dalının bir “AR-GE”cileri var, bir de uygulamacıları. Üçüncü halkanın sahipleri ise günümüz dünyasında daha çok “Endüstri/İşletme Mühendisleri” gibi disiplinlerden gelen,  her iki tarafın da dilinden anlayan, süreçleri, iş akışlarını bilen kişilerden oluşuyor. Bu ortada duran ekipler sektörde; İş Analisti, Ürün Müdürü, Süreç Tasarımcısı vb. olarak yer alıyor.

Bu disiplinlerde en önemli başlıklardan biri “Kullanılabilirlik” konusu. 1950’lerde  ergonomiyle başlayan bu tartışma şimdilerde “Kullanıcı deneyimi”, “Front-end” gibi birçok alt kırılımla yoluna devam ediyor. Bu grup için geliştirilen bir ürünün, teknolojik gelişmenin nasıl tüketileceğine kafa yoranlar grubu diyebiliriz.

Burada da yeni gelişmelere karşı ilk tepki “Ama bu hayatın olağan akışına aykırı” noktasından başlıyor, sonra büyük bir hızla değişiyor, gelişiyor. “Aslında şöyle de olabilir, şurayı şöyle çevirsek, buraya bir kontrol eklesek, şuraya bir uyarı koysak…” gibi gelişiyor ve hayata entegre oluyor.

Tüm teknolojik gelişmelerde olduğu gibi “Uygulamacılar” çok kritik bir yerde duruyor

Yazının başındaki “AR-Ge/Hukuk/Uygulamacılar” üçgenine dönelim.

Şu anda “KVKK Uyum Projesi” yapan herkese ufak bir not: “Proje”,  tanımı icabıyla belli bir sürede belli bir işi hayata geçirme eforudur. Eğer kurumunuzda bu “Proje” bittikten sonra bunun hayatın genel akışına nasıl oturacağını tasarlamıyorsanız, akan bir nehirde kumdan kaleler dikiyorsunuz demektir.

Nehrin akışının değişmesini gerektiren bir süreci “İki kutucuk, üç metin koyacağız” kapsamında yönetiyorsanız, bilin ki en geç bir iki yıl içinde yaptıklarınızın hepsi çöp olacak ve sıfırdan başlayacaksınız. Artık veri mahremiyeti konusu her türlü iş akışının “Tasarım” evresinde dikkate alınması gereken, janjanlı tabiriyle “Privacy by design” (Tasarımda mahremiyeti temel almak) kapsamını içeren temel bir katmandır ve tüm iş süreçlerinizi ilgilendirir.

Bilişim firması olmamanız sizi bu kurguların dışında tutmayacaktır. “Hizmet aldığım firmanın sorunu ya da ben her türlü sorumluluğu onlara veririm, top yere düşerse de hesabını sorarım” türü bir yaklaşımla bu süreçler yönetilemeyecek.

“Sıra bize gelene kadar” yaklaşımı da hatalı bir yaklaşımdır. Bir şikayete istinaden bir eczaneden Facebook’a kadar herkesin ceza alabildiği temel bir değişimden geçiyoruz. Ne kadar kısa sürede bunun önemi fark edilirse o kadar iyi olur.

Bu nedenle şirketinizde bu konuya “Hukukçularla IT’ciler halletsin işte” diye bakıyorsanız, bilin ki bir gün canınız çok yanabilir ve işin kötüsü her iki taraf da kendi baktıkları çerçeveden işleri yaptıklarını söyleyebilir. Lütfen, bir an önce tüm süreçlerinizi teker teker gözden geçirip, önlemlerinizi hızla alın.

Son olarak sorumluluğun tek bir birim ya da kişide olmadığını belirtelim. Yani ne “Hukukçu”lar ne de “IT’ci”ler… Önemli olan “Süreççi”ler…

Konuk yazar: Barış Karadenizli

Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı