Veri ihlali Müdahale Planı

INTEGRO SAĞLIK HİZMETLERİ VE BİLİŞİM TEKNOLOJİLERİ TİC. A.Ş.

Organizasyon / Yetkili Birim	Bilgi Güvenliği Yönetim Sistemleri Ekibi
Politika sürümü	v.1
Yürürlük tarihi	01.01.2023
İnceleme tarihi	01.02.2023
İşbu Politika hakkında sorular için iletişim bilgisi:	[email protected]

AMAÇ

Veri ihlali Müdahale Planı, IntegroHealth tarafından gerçekleştirilmekte olan kişisel veri saklama ve işleme faaliyetleri sırasında, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, ihlalden etkilenmiş kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini veya en aza indirilmesini sağlamak için yapılacak iş ve işlemler konusunda usul ve esasları belirlemek amacıyla, Kanun'un 12/5 maddesine istinaden ve Kurul'un Karar'ına uygun olarak hazırlanmıştır.

Kişisel veri ihlalinin tespiti halinde yapılacak iş ve işlemler, IntegroHealth tarafından hazırlanmış olan bu plana uygun olarak gerçekleştirilir.

TANIMLAR


KISALTMA / TANIM	Açıklama

IntegroHealth	INTEGRO Sağlık Hizmetleri Ve Bilişim Teknolojileri Ticaret Anonim Şirketi
Kanun veya KVKK	6698 sayılı Kişisel Verilerin Korunması Kanunu
Karar	Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 tarih ve 2019/10 sayılı Kararı
Kurul	Kişisel Verileri Koruma Kurulu
Kurum	Kişisel Verileri Koruma Kurumu
Plan	Veri İhlali Müdahale Planı

KAPSAM

Veri ihlali Müdahale Planı, kişisel veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimlerin şekli ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda sorumluluğun kimde olduğunun belirlenmesi konularını kapsamaktadır.

SORUMLULUK ve GÖREVLER

IntegroHealth bünyesindeki tüm birimler ve çalışanlar, IntegroHealth tarafından saklanmakta ve işlenmekte olan kişisel verilere yetkisiz veya kanuni olmayan yollarla müdahale edildiğini veya yetkisi olmayan kişilere bilerek veya yanlışlıkla iletildiğini öğrendikleri anda yöneticilerine veya sorumlu birimlere durumu bildirmekle yükümlüdürler. IntegroHealth bünyesindeki tüm çalışanlar işbu Plan'ı ve EK-1'de yer alan adımları bilip takip etmekten sorumludur.

Kişisel Veri ihlali Müdahale Planı uyarınca görevli olan kişilerin unvanları, birimleri ve görev tanımları dağılımı aşağıdaki şekilde olacaktır:

Ünvan / Birim	Görev
Genel Müdür	Tüm çalışanların bu plana uygun hareket etmesinden sorumludur.
Avukat	Bu planın hazırlanması ve güncellenmesinden sorumludur. Veri ihlali tespiti halinde Kanun kapsamında yapılacak bildirimleri hazırlamak ve süreci takip etmekten sorumludur.
Bilgi İşlem	Planın yayınlanması ve uygulanması için gerekli altyapı ve çözümleri sağlamakla yükümlüdür.
Diğer birimler	Veri ihlalinin olası sonuçlarının değerlendirilmesinden ve planın görevlere uygun olarak yürütülmesinden sorumludur.
IntegroHealth	Veri Sorumlusu
Veri İşleyen	IntegroHealth'in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

VERİ İHLALİ GERÇEKLEŞMESİ HALİNDE DAHİLİ RAPORLAMA YAPILACAK KİŞİLER

Kişisel veri ihlalinin tespiti halinde derhal, tespiti yapan personel tarafından bağlı olduğu bölüm yöneticisine, Genel Müdüre ve avukata durum raporlanacaktır. Kişisel Verileri Koruma Kurumu'na ve ilgili kişilere yapılacak bildirimlere esas olmak üzere, raporlamada;

İhlalin gerçekleştiği tarih ve saat,
İhlalin tespit edildiği tarih ve saat,
İhlalin kaynağı,
İhlalden etkilenen kişisel veri kategorileri,
İhlalden etkilenen tam veya tahmini kişi ve kayıt sayısı,
İhlalden etkilenen ilgili kişi grupları ve
İhlalin ilgili kişiler üzerindeki olası etkileri (Finansal kayıp, İtibar kaybı gibi)

belirtilecektir.

KANUN KAPSAMINDA YAPILACAK BİLDİRİMLER

KVKK'nın 12/5 maddesine ve Kurul'un Karar'ına istinaden, kişisel veri ihlalinin tespiti üzerine gecikmeksizin ve en geç 72 saat içerisinde veri sorumlusu adına yetkilendirilen avukat tarafından Kurul'a bildirim yapılacaktır.

Ayrıca, IntegroHealth tarafından söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa IntegroHealth internet sitesi üzerinden yayımlanmak suretiyle bildirim yapılacaktır.

Veri sorumlusu tarafından Kurul'a haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul'a açıklanacaktır.

Kurul'a yapılacak bildirimde Kurul tarafından yayımlanan ve https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi# adresinde bulunan “Kişisel Veri İhlal Bildirim Formu” kullanılacaktır.

Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanacaktır.

KİŞİSEL VERİ İHLALİNİN OLASI SONUÇLARININ DEĞERLENDİRİLMESİ

Kişisel veri ihlali tespit edilmesi halinde ilgili bölüm sorumlusu, avukat ve Genel Müdür ile birlikte yapılacak değerlendirme ile veri ihlalinin olası sonuçları tespit edilmeye çalışılacaktır. Ayrıca Kurul'un Karar'ına istinaden;

Veri ihlaline ilişkin bilgiler, etkileri ve alınan önlemler kayıt altına alınacak ve Kurul'un incelemesine hazır halde bulundurulacaktır.
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusu olan IntegroHealth'e bildirmesi gerekmektedir. Veri işleyenin bildirimini müteakip IntegroHealth tarafından bu plan doğrultusunda süreç izlenerek gerekli bildirimler yapılacaktır.

PLANIN YAYINLANMASI VE SAKLANMASI

Plan, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası IntegroHealth merkezinde dosyasında saklanır.

PLANIN GÜNCELLENME PERİYODU

Plan, ihtiyaç duyuldukça ve en fazla 1 yıllık periyotlarda gözden geçirilir ve gerekli olan bölümler güncellenir.

EK 1 - Veri İhlal Sürecine İlişkin 5 Adım

1. ADIM – Sistemlerinizi Koruyun

Sistemlerinizi korumak için hızlı hareket edin ve veri ihlalinin hala devam edip etmediğini tespit edin

Ek veri kaybını durdurun

Kanıtları yok etmeyin

Organizasyonunuz içinde veri ihlalini fark eden veya veri ihlallerini raporlamak üzere belirlenmiş irtibat kişisini bilgilendiren kişilerle konuşun

Soruşturmanızı belgelendirin/kayıtlarını tutun

2. ADIM – Aksiyon Alınması & Zafiyetlerin Giderilmesi

Veri ihlalinin büyüklüğüne bağlı olarak görevli bir Müdahale Ekibi (Task Force) oluşturun; her halükarda avukatların sürece dahil edildiğinden emin olun

İhlale neden olmuş olabilecek zafiyetleri giderin

Hizmet sağlayıcılarınızdan biri ihlale karışmış ise, erişim sahibi oldukları kişisel verileri gözden geçirin ve erişim ayrıcalıklarını değiştirmeye gerek olup olmadığına karar verin

Hizmet sağlayıcılarınızın başka bir ihlalin gerçekleşmesini engellemek üzere gerekli tedbirleri aldığından emin olun

3. ADIM – Bildirim

Kişisel Verileri Koruma Kurumu başta olmak üzere ilgili otoritelerin gerekli şekilde bilgilendirildiğinden emin olun

Kişisel Verileri Koruma Kurumuna bildirim veri ihlali fark edildikten sonraki 72 saat içinde gerçekleştirilmelidir

Genel kural: kişisel veri ne kadar çoksa, ihlalin bildirilmesi de bir o kadar önemli olacaktır

Veri ihlalinden etkilenen ilgili kişiyi bilgilendirin

İlgili kişiye ve diğer ilgili taraflara ve kurumlara sağladığınız bilginin ve bildirimlerin hızlı ve gerekli kapsama sahip olduğundan emin olun.

4. ADIM – İletişim

İhlalden haberdar olması gereken IntegroHealth organizasyonuyla birlikte tüm etkilenen kitleye ulaşan kapsamlı bir iletişim planı oluşturun

5. ADIM – Veri Koruma Çabanızı Arttırın

Gelecekteki veri ihlallerinden kaçınabilmek için ilgili ekipleri veri koruma hususunda eğitin

Veri ihlali gerçekleşen spesifik IntegroHealth departmanını veya alanını takip altında tutun

Gelecekte benzer durumlarla nasıl başa çıkılacağı konusunda çalışanların eğitildiğinden ve destek aldığından emin olun

Organizasyonunuz kapsamında veri koruma ve güvenlik ihlalleriyle nasıl başa çıktığınız konusundaki çabalarınızı kayıt altına alın