İlk olarak eski Ontario Bilgi ve Gizlilik Komiseri Ann Cavoukian tarafından ortaya atılan bir kavram olan "Tasarım Yoluyla Gizlilik - Privacy By Design" , gizliliğe yönelik olarak düzenleyici ve yasal gereklilikleri karşılamanın ötesine geçen kapsamlı bir yaklaşımdır. Gizliliğin, amaçları, öncelikleri, proje yönetimi ve operasyonları dahil olmak üzere bir kuruluşun tüm yönlerine dahil edilmesini içerir. Gizlilik Avukatları ve BT uzmanları, bu önemli gizlilik çerçevesinin arkasındaki ilkeleri anlamalıdır.
Tasarıma Göre Gizlilik çerçevesi yedi (7) ilkeye dayanmaktadır:
İlke 1: Proaktif, Önleyici Yaklaşım – Kuruluşlar, gizlilik risklerini gerçekleşmeden önce tahmin etmeli ve önlemelidir.
İlke 2: Varsayılan Ayar Olarak Gizlilik – BT sistemleri ve iş uygulamaları, varsayılan olarak maksimum düzeyde gizlilik koruması içermelidir.
İlke 3: Tasarıma Gömülü – Gizlilik, BT sistemlerinin ve iş uygulamalarının tasarımına ve mimarisine dahil edilmelidir.
İlke 4: Tam İşlevsellik, Pozitif Toplam Yaklaşımı – Gizlilik ve güvenliğin yanı sıra gizlilik ve gelir elde edilebilir.
İlke 5: Uçtan Uca Güvenlik – Gizlilik ve güvenlik önlemleri, verilerin tüm yaşam döngüsünü kapsamalıdır.
İlke 6: Görünürlük ve Şeffaflık – Kuruluşlar, gizlilik standartları ve uygulamaları konusunda şeffaf olmalı ve bağımsız doğrulamaya açık olmalıdır.
İlke 7: Kullanıcı Odaklı Yaklaşım – Kuruluşlar, bireylerin gizlilik çıkarlarına öncelik vermeli ve güçlü gizlilik varsayılanları, uygun bildirim ve kullanıcı dostu seçenekler sağlamalıdır.
Bu ilkelerin amacı, mahremiyeti kurumsal hedeflerin, önceliklerin, proje yönetiminin ve operasyonların ayrılmaz bir parçası olarak teşvik etmektir. Bu yedi ilkeyi aşağıda daha ayrıntılı olarak tartışacağız:
Proaktif, Önleyici Yaklaşım
İlk ilke, potansiyel mahremiyet ihlallerinin oluşmasını beklemek ve sonrasında düzeltici önlemler önermek yerine, bunların öngörülmesini ve önlenmesini vurgular. Bu yaklaşım, mahremiyet risklerini gerçekleştikten sonra ele almak yerine, önleyici bir tutum benimsemektedir. Özünde, Tasarımla Gizlilik, olaydan sonra tepki vermek yerine, gizlilik ihlallerinin olmasını en başından durdurmayı amaçlar.
Varsayılan Ayar Olarak Gizlilik
İkinci ilke, gizlilik önlemlerini BT sistemlerinin ve iş uygulamalarının tüm yönlerine entegre ederek en üst düzeyde gizlilik koruması sağlamayı amaçlar. Bireyin eylemlerinden bağımsız olarak, mahremiyet odaklı tasarım ve mimarinin uygulanması yoluyla mahremiyeti varsayılan olarak korunur. Bu, kişisel verilerin potansiyel gizlilik ihlallerine karşı otomatik olarak korunduğu ve bireylerin gizliliklerini korumak için herhangi bir ekstra adım atma ihtiyacını ortadan kaldırdığı anlamına gelir.
Tasarıma Gömülü
Üçüncü ilke, gizliliğin sonradan akla gelen bir şey olarak eklenmesinden ziyade BT sistemlerinin ve iş uygulamalarının temeline entegre edilmesi gerektiğini belirtir. Bu, performansından ödün vermeden gizliliğin sistemin temel işlevselliğinin temel bir yönü haline gelmesiyle sonuçlanır.
Tam İşlevsellik, Pozitif Toplam Yaklaşımı
Sıfır Toplam değil, Pozitif Toplam, gizliliğe "pozitif toplam" bir bakış açısı getirir ve kuruluşların gizlilik ve güvenlik veya gizlilik ve gelir arasında seçim yapması gerekmediğini kabul eder, çünkü her ikisi de elde edilebilir.
Uçtan Uca Güvenlik
Beşinci ilke, kuruluşların, BT sistemlerinin ve iş uygulamalarının tasarımına mahremiyet yerleştirildikten sonra, verilerin tüm yaşam döngüsünü kapsayan uçtan uca gizlilik ve güvenlik önlemleri uygulamasını gerektirir.
Görünürlük ve Şeffaflık
Görünürlük ve şeffaflık ilkesi, kuruluşların kullanıcılara karşı şeffaf olmasını ve ilgili tüm paydaşların kendi gizlilik standartlarını ve uygulamalarını görmelerini sağlamasını gerektirir. Kuruluşlar ayrıca gizlilik sistemlerinin sağlamlığının bağımsız olarak doğrulanmasını sağlamayı düşünmelidir.
Kullanıcı Odaklı Yaklaşım
Son ilke, kuruluşları kullanıcı merkezli bir yaklaşım benimsemeye ve bireysel kullanıcıların ve müşterilerin gizlilik çıkarlarına öncelik vermeye çağırıyor. Bu, örneğin güçlü gizlilik varsayılanları, uygun bildirim ve kullanıcı dostu seçenekler sunarak gösterilebilir.
Kanada'da CPPA (Kanada Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası), Tasarım Yoluyla Gizliliğe veya onun yedi temel ilkesine açık bir atıfta bulunmaz. Bununla birlikte, Bilgiye Erişim, Gizlilik ve Etik Daimi Komitesi, tasarım gereği gizliliğin merkezi bir ilke haline getirilmesini ve yedi temel ilkesinin, mümkün olduğunda, Kanada gizlilik mevzuatına dahil edilmesini tavsiye etmiştir.
Öte yandan, Quebec'te, mahremiyet mevzuatı (Tasarı 64) Tasarımla Mahremiyet kavramlarını bünyesine katmıştır. Mevzuat, Quebec'te bulunan kişilerin kişisel bilgilerini toplayan, kullanan veya ifşa eden kuruluşların, varsayılan olarak gizlilik ayarlarını uygulamasını ve ilgili kişinin herhangi bir müdahalesi olmaksızın en yüksek düzeyde gizliliği sağlamasını gerektirmektedir. Kuruluşlar, Quebec'te fiziksel varlıkları olmasa bile bu gerekliliklere uymalıdır.
Avrupa'da faaliyet gösteren Kanadalı kuruluşlar, Tasarım Yoluyla Gizliliğin GDPR (Genel Veri Koruma Yönetmeliği) kapsamında açık bir yasal yükümlülük olduğunun da farkında olmalıdır. GDPR'nin 25. Maddesi, veri sorumlularının, veri sahiplerinin haklarının korunmasını sağlamak için veri koruma ilkelerini etkin bir şekilde uygulayan ve gerekli güvenceleri kişisel verilerin işlenmesine entegre eden teknik ve organizasyonel önlemleri uygulama görevi yükler. Takma adlaştırma ve veri minimizasyonu, uygun önlemlerin örnekleri olarak açıkça belirtilmiştir.
Tasarıma Göre Gizlilik, mahremiyet konularının bilgi teknolojisinin, ağ bağlantılı verilerin ve tüm organizasyonun tüm yönlerine dahil edilmesinin önemini kabul eden, mahremiyete yönelik kapsamlı ve proaktif bir yaklaşımdır.
Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!
