2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi
10 Ocak 2023






GENELGE
2021 / ...

İlgi: a) 6698 sayılı Kişisel Verilerin Korunması Kanunu
        b) 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi
        c) Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı Kararı

1.Özel Nitelikli Kişisel Veriler ile Kritik Bilgi ve Verilerin Anlık İletişim Uygulamaları ile Aktarılmaması Hakkında

1.1.“Özel nitelikli kişisel veriler” ilgi (a) Kanun’un 6 ıncı maddesinde; “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanmıştır.

1.2."Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" başlıklı ilgi (c) Kararda: “Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması” gerektiği belirtilmiştir. İlgi (c) Kararda ayrıca, özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresi ile veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması gerektiği ifade edilmiştir.

1.3.İlgi (b) Genelgenin 1 inci maddesinde ise nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler, “kritik bilgi ve veri” olarak sınıflandırılmış olup bu bilgi ve verilerin yurt içinde güvenli bir biçimde depolanması gerektiği ifade edilmiştir.

1.4.Son olarak, ilgi (b) Genelgenin 4 üncü maddesinde: “Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.” ifadesi yer almaktadır.

1.5.İlgi (a) Kanun’da tanımlanan “özel nitelikli kişisel veriler” ile, ilgi (b) Genelgede tanımlanan “kritik bilgi ve verilerin” Bakanlık personeli tarafından anlık iletişim uygulamaları aracılığıyla aktarılması, bu verilerin Bakanlık personelinin mobil cihazlarında depolanması sonucunu doğuracağından; ilgi (b) Genelge’de belirtilen “yurt içinde güvenli biçimde depolama” şartı yerine getirilemeyecek, ilgi (c) Kararda bahsi geçen güvenlik önlemlerinden hiçbiri alınamayacaktır.

1.6.Bu sebeplerle ve güvenlik zafiyetini önlemek amacıyla;

1.6.1.Özel nitelikli kişisel verilerin anlık uygulamalar aracılığıyla hiçbir surette aktarılmaması gerekmektedir.

1.6.2.Özel nitelikli kişisel verilerin dijital ortamda aktarılmasının gerekmesi halinde Bakanlığımıza ait kurumsal e-posta hesaplarının kullanılması ve verilerin şifrelenmesi gerekmektedir.

1.6.3.İlgi (b) Genelge’de belirtilen kritik bilgi ve verilerden ilgi (a) Kanun kapsamında “özel nitelikli kişisel veri” kapsamına girmeyenlerin mobil uygulamalar aracılığıyla aktarılmamasına ve kurumsal e-posta adreslerinin kullanılmasına özen gösterilmelidir. Bu kritik bilgi ve verilerin mobil uygulamalar aracılığıyla aktarılmasının, gizlilik dereceli veri paylaşımı ve haberleşme yapılmasının gerekli olması halinde ilgi (b) Genelge’nin 4 üncü maddesinde belirtildiği üzere, mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamaların kullanılması gerekmektedir.

2.Kullanılacak Bulut Depolama Hizmetleri Hakkında

2.1.İlgi (b) Genelge’nin 3 üncü maddesinde; “Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.” ifadesine yer verilmiştir.

2.2.Bakanlığımıza ait verilerin bulutta depolanacak olması halinde yalnızca Bakanlığımıza ait https://sbtransfer.saglik.gov.tr adresinde hizmet veren bulut depolama hizmetinin kullanılması gerekmektedir.

3.Kurumsal Donanım ve Yazılımların Kullanılması Hakkında

3.1.İlgi (b) Genelge’nin 9 uncu maddesi uyarınca: “Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.”

3.2.Bu doğrultuda, kurumsal hiçbir bilgi ve belgenin Bakanlık tarafından kurumsal olarak yetkilendirilmemiş bilgisayar ve mobil cihazlarda bulundurulmaması, kurum dışına harici bellek ile çıkarılmaması gerekmektedir.

4.e-Posta Kullanımı Hakkında

4.1.İlgi (b) Genelge’nin 18 inci maddesi uyarınca; “Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.”

4.2.İlgi (b) Genelge’nin 19 uncu maddesi uyarınca ise; “Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.”

4.3.Bu doğrultuda, kurumsal bilgi ve belgelerin iletilmesinde yalnızca saglik.gov.tr uzantılı e-posta adreslerinin kullanılması gerekmektedir. Kurumsal bilgi ve belgeler hiçbir surette kişisel e-posta aracılığıyla iletilmemeli; gmail,yahoo vb. uzantılı kişisel e-posta adreslerinin kurumsal iletişimde kullanılmamalıdır.

5.Sosyal Medya Kullanımı Hakkında
İlgi (b) Genelge’nin 5 inci maddesi uyarınca sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmaması gerekmektedir.