Veri İhlali Müdahale Planı

 

 

INTEGRO SAĞLIK HİZMETLERİ VE BİLİŞİM TEKNOLOJİLERİ TİC. A.Ş.

Organizasyon / Yetkili Birim Bilgi Güvenliği Yönetim Sistemleri Ekibi
Politika sürümü v.1
Yürürlük tarihi 01.01.2023
İnceleme tarihi 01.02.2023
İşbu Politika hakkında sorular için iletişim bilgisi:  [email protected]

 

AMAÇ

 

Veri ihlali Müdahale Planı, Integro Health tarafından gerçekleştirilmekte olan kişisel veri saklama ve işleme faaliyetleri sırasında, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, ihlalden etkilenmiş kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini veya en aza indirilmesini sağlamak için yapılacak iş ve işlemler konusunda usul ve esasları belirlemek amacıyla, Kanun’un 12/5 maddesine istinaden ve Kurul’un Karar’ına  uygun olarak hazırlanmıştır.

 

Kişisel veri ihlalinin tespiti halinde yapılacak iş ve işlemler, Integro Health tarafından hazırlanmış olan bu plana uygun olarak gerçekleştirilir.

 

TANIMLAR

 

KISALTMA / TANIM Açıklama
IntegroHealth INTEGRO Sağlık Hizmetleri Ve Bilişim Teknolojileri Ticaret Anonim Şirketi
Kanun veya KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu
Karar Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 tarih ve 2019/10 sayılı Kararı
Kurul  Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
Plan Veri İhlali Müdahale Planı

 

KAPSAM

 

Veri ihlali Müdahale Planı, kişisel veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimlerin şekli ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda sorumluluğun kimde olduğunun belirlenmesi konularını kapsamaktadır.

 

SORUMLULUK ve GÖREVLER

 

Integro Health bünyesindeki tüm birimler ve çalışanlar, Integro Health tarafından saklanmakta ve işlenmekte olan kişisel verilere yetkisiz veya kanuni olmayan yollarla müdahale edildiğini veya yetkisi olmayan kişilere bilerek veya yanlışlıkla iletildiğini öğrendikleri anda yöneticilerine veya sorumlu birimlere durumu bildirmekle yükümlüdürler. Integro Health bünyesindeki tüm çalışanlar işbu Plan’ı ve EK-1’de yer alan adımları bilip takip etmekten sorumludur.

 

Kişisel Veri ihlali Müdahale Planı uyarınca görevli olan kişilerin unvanları, birimleri ve görev tanımları dağılımı aşağıdaki şekilde olacaktır:

 

Ünvan / Birim Görev
Genel Müdür Tüm çalışanların bu plana uygun hareket etmesinden sorumludur.
Avukat Bu planın hazırlanması ve güncellenmesinden sorumludur.

Veri ihlali tespiti halinde Kanun kapsamında yapılacak bildirimleri hazırlamak ve süreci takip etmekten sorumludur.

Bilgi İşlem  Planın yayınlanması ve uygulanması için gerekli altyapı ve çözümleri sağlamakla yükümlüdür.
Diğer birimler Veri ihlalinin olası sonuçlarının değerlendirilmesinden ve planın görevlere uygun olarak yürütülmesinden sorumludur.
IntegroHealth Veri Sorumlusu
Veri İşleyen Integro Health’in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

 

VERİ İHLALİ GERÇEKLEŞMESİ HALİNDE DAHİLİ RAPORLAMA YAPILACAK KİŞİLER

 

Kişisel veri ihlalinin tespiti halinde derhal, tespiti yapan personel tarafından bağlı olduğu bölüm yöneticisine, Genel Müdüre ve avukata durum raporlanacaktır. Kişisel Verileri Koruma Kurumu’na ve ilgili kişilere yapılacak bildirimlere esas olmak üzere, raporlamada;

belirtilecektir.

 

KANUN KAPSAMINDA YAPILACAK BİLDİRİMLER

 

KVKK’nın 12/5 maddesine ve Kurul’un Karar’ına istinaden, kişisel veri ihlalinin tespiti üzerine gecikmeksizin ve en geç 72 saat içerisinde veri sorumlusu adına yetkilendirilen avukat tarafından Kurul’a bildirim yapılacaktır.

Ayrıca, IntegroHealth tarafından söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa IntegroHealth internet sitesi üzerinden yayımlanmak suretiyle bildirim yapılacaktır.

Veri sorumlusu tarafından Kurul’a haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanacaktır.

Kurul’a yapılacak bildirimde Kurul tarafından yayımlanan ve https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi# adresinde bulunan “Kişisel Veri İhlal Bildirim Formu” kullanılacaktır.

Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanacaktır.

 

KİŞİSEL VERİ İHLALİNİN OLASI SONUÇLARININ DEĞERLENDİRİLMESİ

 

Kişisel veri ihlali tespit edilmesi halinde ilgili bölüm sorumlusu, avukat ve Genel Müdür ile birlikte yapılacak değerlendirme ile veri ihlalinin olası sonuçları tespit edilmeye çalışılacaktır. Ayrıca Kurul’un Karar’ına istinaden;

 

 

PLANIN YAYINLANMASI VE SAKLANMASI

 

Plan, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası IntegroHealth merkezinde dosyasında saklanır.

 

PLANIN GÜNCELLENME PERİYODU

 

Plan, ihtiyaç duyuldukça ve en fazla 1 yıllık periyotlarda gözden geçirilir ve gerekli olan bölümler güncellenir.

 

EK 1 – Veri İhlal Sürecine İlişkin 5 Adım

 

1. ADIM – Sistemlerinizi Koruyun

Sistemlerinizi korumak için hızlı hareket edin ve veri ihlalinin hala devam edip etmediğini tespit edin

Ek veri kaybını durdurun

Kanıtları yok etmeyin

Organizasyonunuz içinde veri ihlalini fark eden veya veri ihlallerini raporlamak üzere belirlenmiş irtibat kişisini bilgilendiren kişilerle konuşun

Soruşturmanızı belgelendirin/kayıtlarını tutun

 

2. ADIM – Aksiyon Alınması & Zafiyetlerin Giderilmesi

Veri ihlalinin büyüklüğüne bağlı olarak görevli bir Müdahale Ekibi (Task Force) oluşturun; her halükarda avukatların sürece dahil edildiğinden emin olun

İhlale neden olmuş olabilecek zafiyetleri giderin

Hizmet sağlayıcılarınızdan biri ihlale karışmış ise, erişim sahibi oldukları kişisel verileri gözden geçirin ve erişim ayrıcalıklarını değiştirmeye gerek olup olmadığına karar verin

Hizmet sağlayıcılarınızın başka bir ihlalin gerçekleşmesini engellemek üzere gerekli tedbirleri aldığından emin olun

 

3. ADIM – Bildirim

Kişisel Verileri Koruma Kurumu başta olmak üzere ilgili otoritelerin gerekli şekilde bilgilendirildiğinden emin olun

Kişisel Verileri Koruma Kurumuna bildirim veri ihlali fark edildikten sonraki 72 saat içinde gerçekleştirilmelidir

Genel kural: kişisel veri ne kadar çoksa, ihlalin bildirilmesi de bir o kadar önemli olacaktır

Veri ihlalinden etkilenen ilgili kişiyi bilgilendirin

İlgili kişiye ve diğer ilgili taraflara ve kurumlara sağladığınız bilginin ve bildirimlerin hızlı ve gerekli kapsama sahip olduğundan emin olun.

 

4. ADIM – İletişim

İhlalden haberdar olması gereken IntegroHealth organizasyonuyla birlikte tüm etkilenen kitleye ulaşan kapsamlı bir iletişim planı oluşturun

 

5. ADIMVeri Koruma Çabanızı Arttırın

Gelecekteki veri ihlallerinden kaçınabilmek için ilgili ekipleri veri koruma hususunda eğitin

Veri ihlali gerçekleşen spesifik IntegroHealth departmanını veya alanını takip altında tutun

Gelecekte benzer durumlarla nasıl başa çıkılacağı konusunda çalışanların eğitildiğinden ve destek aldığından emin olun

Organizasyonunuz kapsamında veri koruma ve güvenlik ihlalleriyle nasıl başa çıktığınız konusundaki çabalarınızı kayıt altına alın