1. Giriş
Veri, günümüz dünyasında güçtür. Büyük miktarda veri toplama ve kullanma yeteneği, şirketlere rekabet avantajı sağlayabilir. Ancak bu fırsatla birlikte risk ve veri gizliliğini koruma sorumluluğu da doğar. İşte burada şirket yönetim kurulları devreye girer.
Veriler rekabet ortamını değiştirmektedir. Artık şirketler için mevcut olan veri hacmi, verimlilikleri bulabilecekleri, yeni ürünler geliştirebilecekleri ve hedefleyebilecekleri, müşteri sezisi kazanabilecekleri, operasyonları optimize edebilecekleri ve iş stratejilerini daha önce hiç olmadığı kadar hızlı bir şekilde uyarlayabilecekleri anlamına gelmektedir. Ancak verilerin toplanması ve kullanılması, bunların kötüye kullanılması veya tehditkar aktörler tarafından erişilmesi riskini de beraberinde getirmektedir. Verileri güvenli ve etik bir şekilde değere dönüştürmek, önümüzdeki on yıl için iş dünyasının olmazsa olmazıdır.
Veri “yaşam döngüsü” boyunca verilerinin sorumluluğunu en etkin şekilde üstlenen şirketler, başarı için en büyük fırsatlara sahip olacaktır. Bu fırsat ve riskler göz önüne alındığında, yönetim kurullarının süreçte kilit bir rol oynaması çok önemlidir.
Yönetim kurulu, veri yaşam döngüsü boyunca çalışarak genel veri stratejisinin daha derinlerine inebilir. Şirketlerin müşterilerden, çalışanlardan ve diğerlerinden kişisel veriler toplarken, bu verileri güvende tutmaları ve sahiplerinin gizliliğini korumaları beklenir. Hızla büyüyen veri gizliliği düzenlemeleri, bunun bir kısmını dikte etmektedir. Ancak verileri toplanan kişiler, şirketlerin hangi verileri tuttuğunu, neden ve nasıl kullanıldığını da bilmek ister.
Bu verilerin korunmaması, şirketleri tüketici ve çalışan güvenini kaybetmeye açık hale getirir. Marka hasarına, finansal kayıplara ve düzenleyici kuruluşların ceza yaptırımı ve denetimlerine yol açabilir.
Bir şirketin gelecekteki büyümesi ve yenilik geliştirme yeteneği, bu verileri ne kadar iyi kullandığına ve koruduğuna bağlıdır. Şirketler veri ve gizlilik stratejilerinde yol alırken, yönetim kurulları şirketin bütünsel, paydaşlar arasında güven oluşturan ve ilgili riskleri yöneten bir strateji geliştirmesini sağlamak isteyecektir.
2. Verilerin keşfi
Temel olarak, şirketlerin verileri nasıl topladığı, kullandığı ve koruduğu sorusu iş stratejisine bağlıdır. Yönetim kurulunun bu bağlantıları kurması için şirketin hangi verileri topladığını, nasıl sakladığını ve nasıl kullanıldığını anlamakla başlar.
İş (faaliyet) amacını ve toplanan verilerin her bir öğesinin kullanımını anlamak için finans, iş kolları, bilişim teknolojisi (BT), pazarlama, insan kaynakları (İK), hukuk, veri yönetişimi, veri analitiği ve veri gizliliği alanlarında işlevler arası uzmanlığa sahip bir ekibin raporlama yapması gerekir. Bazı şirketlerin veri stratejisini denetleyen bir Bilişim Başkanı (CIO), Baş Teknoloji Yöneticisi (CTO), Baş Veri Gizliliği Yöneticisi (CDPO) veya başka bir üst düzey yöneticisi olabilir. Yönetim kurulu, bu uzmanlıktan yararlanarak veri stratejisinin genel risk profilini değerlendirebilir. Veriler yasal ve etik bir şekilde toplanıyor ve kullanılıyor mu? Veri sahibinin rızası var mı? Veriler güvenilir mi ve önyargısız mı?
Şirketler çeşitli türde verileri toplarken, yönetim kurulu ve bu ekip, toplanan kişisel ve hassas verilere çok dikkat etmek isteyecektir, bu da en kapsamlı veri korumasını ve veri gizliliği düzenlemelerine uyumu gerektirir.
Veri keşfi yapbozunun bir başka önemli parçası da, birçok küresel veri gizliliği düzenlemesinin bireylere bu hakkı vermesi nedeniyle, bireylerin artık kullanıcı verilerine erişme ve bunları silme konusunda artan bir beceriye sahip olmalarıdır.
Son olarak, veri toplayan şirketler için artan bir zorluk, birçok teknoloji platformunun tanımlama bilgilerinin kullanımı ve çevrimiçi izleme üzerindeki kısıtlamaları sıkılaştırması ve gizlilik ifşalarında daha fazla şeffaflık sağlamasıdır. Tüm bunlar, şirketlerin topladıkları bilgileri ve toplanma yöntemlerini yeniden düşünmelerine yol açmaktadır.
3. Veri koruması
Veri koruma, şirketin siber risk yönetimi programına entegre edilmelidir. Bir veri koruma stratejisi, paydaşlar arasında güven oluşturmalı ve bu güveni geliştirmeli; çalışanları, özellikle de uzaktan çalışanları, siber güvenlik ve gizlilik politikaları ve uygulamaları konusunda sürekli olarak eğitmeyi içermelidir. Şifreleme, verileri maskeleme, çok faktörlü kimlik doğrulama ve güçlü parolalar gibi teknolojilerle iyi bir siber ve mahremiyet hijyeni sağlanmalıdır.
Çoğu şirket, topladıkları verilerin gizliliğini güvence altına almak ve korumak için çalışsa da, siber güvenlik ihlallerindeki artış, bunu yapmanın zorluğunu göstermektedir. Kişisel verilerin yetkisiz kamuya açıklanmasını içerenler de dahil olmak üzere bildirilebilir veri ihlalleri, çeşitli küresel siber güvenlik ve veri gizliliği kural ve düzenlemelerine dayalı olarak zamanında açıklanmasını gerektirir. Bu hırsızlıklar şirketin itibarının zedelenmesine, mali maliyetlere, ceza yaptırımlarına ve güven kaybına neden olabilir. Dijitalleşme, uzaktan çalışma ve tehditkar aktörlerin karmaşıklığındaki artışla birlikte veri kaybı riski artmıştır.
Yönetim kurulları nerede devreye girerler? Yönetim verileri koruduğu için, yönetim kurulu, kontrollerin etkinliği ve kaynakların yeterli olup olmadığı hakkında bilgiler de dahil olmak üzere, koruma ve gizlilik programının yeterliliği hakkında sağlam tartışmalara girmelidir. Bu kurullar ayrıca, geçerli önemli siber güvenlik ve veri gizliliği yasalarından ve önemli ihlallerden haberdar olduklarından emin olmak isteyeceklerdir. Yönetim kurulu raporlaması, bildirilebilir siber güvenlik olayları, gizlilik koşullarına uyumsuzluk durumları ve yönetimin nasıl yanıt verdiği hakkında bilgileri içerecektir.
4. Veri minimizasyonu
Yönetim kurulu hangi verilerin toplandığını ve nasıl korunduğunu anladıktan sonra, şirketin veriler ile ilgili hedeflerine ulaşmaya devam ederken bu verilerden herhangi birinin en aza indirilip azaltılamayacağını yönetimle birlikte keşfetmeye başlayabilir. Hemen hemen her veri bir risk kaynağı olabilir ki; bu, kötü kararlardan ve hassas bilgilere erişen kötü niyetli aktörlerden kaynaklanabilir. Şirketler, hedefi en aza indirerek bu riski en aza indirebilir. İhtiyaç duydukları verileri ve yalnızca ihtiyaç duydukları verileri koruyarak geri kalanını eleyebilirler. Taslaklar, kopyalar, eski veriler, eski veriler ve gereksiz çalışan kişisel verileri, eleme için yaygın adaylardır.
Nitelikli bir işlevler arası ekip, daha iyi erişim ve kontrol için daha az, daha yetenekli veri havuzlarını kullanmanın yollarını da raporlayabilir ki; bu, hedefleri ve riski ortadan kaldırmanın başka bir yoludur.
5. Veri yönetimi/yönetişimi
Şirketin veri yönetişimi şu alanların tümüne dokunacaktır: verilerin toplanması, stratejik olarak kullanılması, korunması ve en aza indirilmesi. Yönetim kurulunun rolü, yönetimin veri yönetimini denetlemek ve yürürlükteki insanların, süreçlerin ve teknolojinin etkili olmasını sağlamaktır.
Bazı işletmeler, veri kontrollerini işlevine göre, bazıları ise iş koluna göre ayarlar. Ancak, verilerin tam değerini gerçekten elde etmek için, merkezi bir veri yönetişim programı, yanlış erişim ve uyumluluk hataları riskini azaltmaya ve kaçırılan fırsatları ortaya çıkarmaya yardımcı olabilir. Bununla birlikte, merkezileşmenin yararına her zaman ulaşılamaz. Ülkeler arasında etkili bir şekilde dijital duvarlar oluşturan artan sayıda veri yerelleştirme yasaları ve veri aktarımı kısıtlamaları ile sınırlıdır. Artık dünya nüfusunun %60’ı, verilerinin yerel olarak depolanmasının gerekli olduğu veya bir tür sınır ötesi veri akışı kısıtlamasına tabi olduğu bir bölgede yaşamaktadır. Bu, Amerika Birleşik Devletleri (ABD) merkezli çok uluslu şirketlerin artık ABD merkezli yeteneklerini, altyapılarını ve kontrollerini ve süreçlerini küresel operasyonlarını desteklemek için kullanamayacakları anlamına gelmektedir. Şirketin faaliyet gösterdiği her ülkede bu işlevleri ve faaliyetleri kurmaları gerekir ve bu da işletme modelleri üzerinde önemli bir etkiye neden olur.
Veri yönetişim süreçleri ve teknolojisi hızla gelişmektedir. Yönetim kurulları, yönetimin süreçleri modernleştirme, standartlaştırma ve otomatikleştirme fırsatları arayıp aramadığını anlamak isteyecektir. Bu değişiklikler verimlilik ve veri kalitesi iyileştirmesi sağlayabilir ve mevcut ve yeni güvenlik ve gizlilik yasalarıyla uyumluluğa yardımcı olabilir. Yönetim kurulları ayrıca şirketin bu önemli alanı yönetmek için hem finansman hem de yetenek açısından uygun kaynaklara sahip olup olmadığını bilmek isteyecektir.
Veri yönetişimi, üçüncü taraf riskine ilişkin hususları da içerir. Şirketler, işlerini yürütmek için birçok üçüncü taraf kullanır ve topladıkları bazı kişisel veya hassas verileri bu üçüncü taraflarla paylaşabilir veya satabilirler. Güçlü bir üçüncü taraf risk yönetimi programı, bu tarafların oluşturduğu riskin kapsamını ve yürürlükteki kontrollerin ve süreçlerin verileri korumak ve gizlilik düzenlemelerine uymak için yeterli olup olmadığını ortaya çıkarmalıdır.
6. Sonuç
Veri değerini ve ilgili riskleri ele alan bütünsel bir veri ve gizlilik stratejisi, dikkatli bir yönetişim yaklaşımıyla birleştiğinde, yönetim kurulunun ve şirket yönetiminin rekabet avantajı yaratmasına ve paydaşlarla daha fazla güven oluşturmasına yardımcı olabilir.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.