MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
 

Tehdit ve saldırıların karmaşıklaşması, IS27001, ISO22301 gibi yönetimsel standartlar, KVKK, GDPR,PCI DSS, SOX gibi hukuki düzenlemeler  veya disiplinlerin getirdiği uyumluluk ihtiyaçları ve zorunluluklar temel güvenlik anlayışında değişimlere, özellikle verinin erişimi, sunumu ve işlenmesinde daha sıkı uygulamaların hayata geçirilmesine sebep olmuştur. Hemen hemen tüm iş ve üretim süreçlerinin elektronik ortamlarda takip edilmesi, güvenlik ihtiyacı ile birlikte BT alt yapılarını artık geri dönüşümü olan, üretimin gerçekleştirildiği hatta kârlılığın sağlandığı yapılar haline getirmiştir. Peki bu yapılar içerisinde KVKK dahilinde sistem, uygulama ve yetkilendirme için ne gibi tedbirler almamız gerekmekte ?

• BT yönetim birimi ve sorumluluk merkezi oluşturulmalı.
• BT süreçleri oluşturulmalı ve tanılanmalı ve dökümante edilmeli.
• Active Directory veya benzer merkezi ağ yönetim yapısına geçilmeli.
• Şifre politikaları belirlenmeli ve tüm kullanıcılara merkezi olarak uygulanmalı.
• Veriler sınıflandırılmalı
• Değerli veriler belirlenmeli. Verinin tek başına veya başka verilerle beraber olması halindeki değeri/değerleri belirlenmeli.
• Değerli verilerin ekranlarda bir arada sunulması gerektiğinde maskeleme gibi teknikler kullanılmalı.
• Değerli verilerin raporlanması, dışarı aktarılmaları (export) dikkatlice gözden geçirilmeli

Örnek: TCKN, Ad ,Soyad, Telefon no hepsi ayrı ayrı değerli bilgilerdir ama bir araya geldiklerinde daha tanımlanabilir bir veri ifade ettikleri için   , toplamlarından daha fazla değere sahip olacaklardır.

• Yetki matrisleri oluşturulmalı, her erişim veya kurulum sıfır yetki prensibi başlatılmalı.
• Süreçler incelenerek kullanıcılara ihtiyaçları kadar yetki verilmeli.
• Yetki talep ve onay yapısı oluşturulmalı
• Kullanıcı, servis veya uygulamalara tam yetki kesinlikle verilmemeli. Ancak sınırlı kişilerde olmalı.
• Silme, raporlama, dışarı veri çıkartma yetkileri özellikle incelenmeli.
• Kullanıcılar ve sistem yöneticileri günlük işlerini normal kullanıcı yetkileri ile gerçekleştirmeli.
• Ancak yönetimsel işlemlerde üst yetkili kullanıcılar ile işlem yapılmalı.
• Ağ paylaşımları merkezi olarak düzenlenmeli.
• Kişisel bilgisayarlarda paylaşımlara izin verilmemeli.

Bilgi Teknolojileri veya Bilgi Güvenliği Uzmanları tarafından bakıldığında, tanımlanmış olan bu yöntemler aslında kurumların, BT alt yapıları işletilirken alınan temel teknik önlemlerdir ve kişisel, ticari her veri için bu tip tedbirler alınmaktadır. Farklı bir açıdan baktığımızda aslında firmaların ticari kaygılar veya iş ilişkileri nedeni ile uyguladıkları bilgi güvenliği uygulamaları - tüm verileri kapsamasa da KVKK ile- yasal zorunluluklar olmaya ve her kurumu kapsar hale gelmeye başlamıştır.