İşletmelerin büyük bir kısmı KVKK uyum sürecini yalnızca VERBİS kaydından ibaret sanmaktadır. Özellikle sağlık kuruluşları, klinikler, muayenehaneler, diş klinikleri ve danışmanlık merkezlerinde sıkça şu cümleyi duyuyoruz:

“Biz VERBİS kaydımızı yaptırdık, KVKK işimiz tamam.”

Oysa gerçek bundan çok farklıdır.

KVKK uyum sürecini bir çınar ağacına benzetebiliriz.

Bir çınar ağacı nasıl yalnızca dallardan oluşmuyorsa, KVKK uyumu da yalnızca VERBİS kaydından oluşmaz.

Aslında VERBİS yalnızca görünen dallardan biridir.

---

Bir Çınar Ağacı Düşünün

İşletmenizi büyük ve güçlü bir çınar ağacı olarak düşünün.

Bu ağacın:

• Kökleri işletmenizdir.
• Gövdesi Kişisel Veri İşleme Envanteridir.
• Dalları ise KVKK uyumunun diğer unsurlarıdır.

Eğer kökler sağlıklı değilse ağaç ayakta kalamaz.

Eğer gövde yoksa dallar yaşayamaz.

Eğer dallar eksikse ağaç tamamlanmış sayılmaz.

KVKK da tam olarak böyledir.

---

Ağacın Gövdesi: Kişisel Veri İşleme Envanteri

Birçok işletmenin hiç hazırlamadığı en önemli dokümanlardan biri kişisel veri işleme envanteridir.

Çünkü envanter olmadan şu soruların cevabı bilinemez:

• Hangi verileri topluyorsunuz?
• Kimlerden veri alıyorsunuz?
• Neden veri işliyorsunuz?
• Verileri nerede saklıyorsunuz?
• Kimlerle paylaşıyorsunuz?
• Ne kadar süre saklıyorsunuz?

Aslında tüm KVKK sisteminin merkezi bu envanterdir.

Tıpkı çınarın gövdesi gibi.

---

Ağacın Dallarından Biri: VERBİS Kaydı

VERBİS kaydı önemlidir.

Ancak tek başına yeterli değildir.

Çünkü VERBİS’e girilen bilgiler de zaten veri envanterinden beslenir.

Yani envanter olmadan yapılan birçok kayıt eksik veya hatalı olabilir.

Bu nedenle KVKK uyumu = VERBİS değildir.

VERBİS yalnızca sistemin bir parçasıdır.

---

Kişisel Veri İşleme Politikası

Bir diğer önemli dal ise kişisel veri işleme politikasıdır.

Bu politika işletmenin:

• veri toplama süreçlerini,
• veri saklama yöntemlerini,
• veri paylaşım esaslarını,
• çalışan yükümlülüklerini

tanımlar.

Denetimlerde en çok incelenen belgelerden biridir.

---

Özel Nitelikli Kişisel Veri İşleme Politikası

Özellikle:

• hastaneler,
• klinikler,
• diş klinikleri,
• psikolog merkezleri,
• muayenehaneler

için bu politika kritik öneme sahiptir.

Çünkü sağlık verileri KVKK kapsamında özel nitelikli kişisel veri kabul edilir.

Hasta bilgilerinin nasıl işlendiği ve korunduğu bu politika ile belirlenir.

---

Aydınlatma Metinleri ve Açık Rızalar

Ağacın en önemli dallarından biri de budur.

Kişiler:

• verilerinin neden işlendiğini,
• kimlerle paylaşılacağını,
• ne kadar süre saklanacağını

bilmelidir.

Bu nedenle aydınlatma metinleri hazırlanmalıdır.

Bazı işlemler için ayrıca açık rıza süreçleri de kurulmalıdır.

---

İdari ve Teknik Tedbirler

Politika hazırlamak tek başına yeterli değildir.

Uygulama da gerekir.

Bu nedenle:

• erişim yetkilendirmeleri,
• parola politikaları,
• log kayıtları,
• personel eğitimleri,
• veri güvenliği prosedürleri

oluşturulmalıdır.

Bunlar KVKK’nın sahadaki karşılığıdır.

---

Bildirgeler ve Diğer Politika Dokümanları

Kurum içinde uygulanacak kuralların yazılı hale getirilmesi gerekir.

Örneğin:

• veri saklama ve imha politikası,
• çalışan gizlilik taahhütnameleri,
• veri ihlal prosedürleri,
• bilgi güvenliği politikaları

KVKK uyumunun ayrılmaz parçalarıdır.

---

Sadece VERBİS Yaptırmak Neden Risklidir?

Birçok işletme yalnızca VERBİS kaydı yaptırıp süreci tamamladığını düşünmektedir.

Ancak olası bir denetimde:

• veri envanteri yoksa,
• politika dokümanları eksikse,
• açık rıza süreçleri kurulmamışsa,
• teknik tedbirler alınmamışsa,

VERBİS kaydının bulunması tek başına yeterli olmayabilir.

Çünkü veri sorumlusunun yükümlülüğü yalnızca kayıt olmak değil, tüm sistemi kurmaktır.

---

Sağlık Kuruluşlarında Risk Daha Yüksektir

Sağlık sektöründe işlenen veriler:

• teşhis bilgileri,
• laboratuvar sonuçları,
• psikolojik değerlendirmeler,
• tedavi kayıtları,
• hasta dosyaları

gibi hassas verileri içerir.

Bu nedenle klinikler ve muayenehaneler için KVKK uyumu çok daha kapsamlı ele alınmalıdır.

---

Sonuç

Bir çınar ağacını yalnızca dallarıyla değerlendiremezsiniz.

Aynı şekilde KVKK uyumunu da yalnızca VERBİS kaydıyla tamamlanmış kabul edemezsiniz.

İşletmeniz kökleriyle, gövdesiyle ve tüm dallarıyla bir bütündür.

KVKK da:

• Veri İşleme Envanteri,
• VERBİS Kaydı,
• Aydınlatma Metinleri,
• Açık Rıza Süreçleri,
• Politika Dokümanları,
• İdari ve Teknik Tedbirler

bir araya geldiğinde gerçek anlamda uyumlu hale gelir.

Unutmayın: Veri sorumlusunun yükümlülüğü yalnızca VERBİS kaydı yaptırmak değil, KVKK sisteminin tamamını kurmak ve sürdürülebilir hale getirmektir.