İnsan kaynakları departmanları, bir siber saldırganın veya kötü niyetli bir kişinin en çok ilgisini çeken verileri barındırır: T.C. Kimlik numaraları, ev adresleri, banka hesap bilgileri, sağlık raporları ve adli sicil kayıtları. Bu verilerin güvenliği, sadece bir IT problemi değil, hukuki ve itibar meselesidir. Fiziksel arşivlerde “kilitli dolap” neyse, dijital dünyada “şifreleme ve yetkilendirme” odur.
Dijital İK Arşivlerinde Güvenlik Katmanları
Güvenli bir İK arşiv sistemi şu 3 temel katmana sahip olmalıdır:
1. Rol Bazlı Yetkilendirme (RBAC)
Her İK çalışanı her dosyayı görmemelidir. Erişim yetkileri hiyerarşik olarak ayarlanmalıdır:
- Stajyer/Asistan: Sadece izin formlarını görebilir, maaş ve sağlık verilerini göremez.
- Bordro Uzmanı: Maaş ve banka bilgilerini görür, disiplin tutanaklarını göremez.
- İK Direktörü: Tüm dosyalara erişim yetkisi vardır. Bu yapı, “Bilmesi Gereken Prensibi” (Need-to-know basis) üzerine kuruludur.
2. Veri Maskeleme ve Anonimleştirme
Özellikle üçüncü taraf denetimlerde veya raporlamalarda, kişilerin kimliklerinin açıkça görünmemesi gerekebilir. Dijital arşiv yazılımları, T.C. Kimlik numarasının ilk 7 hanesini veya maaş bilgisini ekranda otomatik olarak yıldızlayarak (****) gösterebilmelidir.
3. Loglama (Erişim Kayıtları) – En Kritik Unsur
KVKK denetimlerinde sorulan ilk soru şudur: “Bu personelin sağlık raporuna kim, ne zaman erişti?” Dijital sistemler, dosyaya yapılan her tıklamayı, indirmeyi, yazdırmayı veya değiştirmeyi silinemez bir “Log Kaydı” olarak tutar. Fiziksel arşivde bir dosyanın fotokopisinin çekildiğini ispatlayamazsınız, ancak dijitalde ispatlayabilirsiniz.
Özel Nitelikli Kişisel Veriler ve Hassasiyet
KVKK’ya göre sağlık verileri, sendika üyeliği, ceza mahkumiyeti gibi veriler “Özel Nitelikli” veridir. Bu verilerin saklandığı dijital ortamların çift faktörlü kimlik doğrulama (2FA) ile korunması Kurul tarafından tavsiye edilmektedir.
Sıkça Sorulan Sorular (SSS)
Soru: Bulut tabanlı arşivleme güvenli mi? Cevap: Evet, modern bulut sağlayıcıları (AWS, Azure vb.), yerel sunuculardan çok daha gelişmiş güvenlik duvarlarına ve şifreleme sertifikalarına sahiptir.
Soru: Fidye yazılımlarına (Ransomware) karşı ne yapmalıyız? Cevap: Dijital arşivin düzenli (günlük/haftalık) yedeklenmesi ve bu yedeklerin ağdan bağımsız (offline) tutulması, verilerinizi fidye yazılımlarına karşı korur.
