ISO 27701 Belgesi: Gizlilik Bilgi Yönetim Sistemi (PIMS) Belgelendirmesi

ISO 27701 Belgesi Kuruma Ne Kazandırır?

Kişisel veri işleyen bir kuruluşsanız, KVKK ve GDPR uyumu artık yasal bir zorunluluk. ISO 27701 belgesi, bu uyumu dağınık taahhütler yerine denetlenebilir bir sisteme dönüştürür. Belge; şirketinizin kişisel veriyi hangi kurallarla topladığını, sakladığını, işlediğini ve sildiğini bağımsız bir denetimden geçirerek ortaya koyar. Müşteriniz, iş ortağınız ve denetleyici kurum karşısında "verinizi ciddiye alıyoruz" cümlesinin somut karşılığını elinizde tutarsınız.

ISO 27701 Belgesi: Gizlilik Bilgi Yönetim Sistemi (PIMS) Belgelendirmesi

Gizlilik Bilgi Yönetim Sistemi (PIMS) olarak da anılan bu standart, kişisel veri sorumlusu ve işleyeni için ayrı kontroller tanımlar. Böylece hem kendi verinizden hem de müşterileriniz adına işlediğiniz verilerden sorumlu olduğunuz noktalar netleşir. İhale şartnamelerinde, kurumsal tedarikçi değerlendirmelerinde ve uluslararası iş birliklerinde belge giderek daha sık aranıyor.

Somut olarak masaya koyduğu üç kazanç öne çıkar. İlki, veri ihlali anında sorumluluğunuzu sınırlayan kanıtlanmış bir tedbir geçmişidir; denetleyici kurum karşısında "gereken özeni gösterdim" demenin belgeli karşılığıdır. İkincisi, kişisel veri işleyen tedarikçi olarak büyük müşterilerin sözleşme ön şartını karşılamanızdır. Üçüncüsü, iç süreçlerin standarda oturmasıyla veri envanterinizin, saklama sürelerinizin ve silme politikalarınızın kayıt altına alınmasıdır.

ISO 27701, tek başına alınan bağımsız bir belge değildir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi üzerine kurulur; yani 27701 için geçerli bir ISO 27001 sistemi ön koşuldur. İkisi çoğu zaman aynı denetimde birlikte belgelendirilir.

Neden Önce ISO 27001 Gerekiyor?

ISO 27701, ISO 27001 ve ISO 27002'nin gizlilik uzantısıdır. Bilgi güvenliği omurgasını 27001 kurar; 27701 ise bu omurgaya kişisel veri koruma katmanını ekler. Denetçi, PIMS kontrollerini değerlendirmeden önce bilgi güvenliği sisteminizin ayakta ve işler olduğunu görmek ister. İki standart pratikte bir arada yürütülür.

Geçerli bir ISO 27001 belgeniz zaten varsa, 27701 geçişi çok daha kısa sürer; eksik olan yalnızca gizlilik odaklı ek kontrollerin kurulmasıdır. ISO 27001 sistemini henüz kurmadıysanız, danışmanlık süreci ikisini tek bir yol haritasında planlar. ISO 27001'in ne olduğunu ve neden temel oluşturduğunu ayrıntılı anlattığımız sayfaya göz atabilirsiniz: ISO 27001 Nedir.

KVKK ve GDPR Bağlantısı

ISO 27701, GDPR maddeleriyle doğrudan eşleşen bir kontrol yapısı sunar ve KVKK'nin idari-teknik tedbir beklentilerini sistematik hâle getirir. Belge, mevzuata "uygunluk sertifikası" değildir; ancak uyumunuzu ispatlanabilir bir çerçeveye oturtur ve denetimlerde elinizi güçlendirir. KVKK uyumunda bilgi güvenliği sisteminin neden belirleyici olduğunu şu yazıda ele aldık: KVKK Uyumluluğu için ISO 27001 Neden Hayati.

ISO 27701 Belgesini Kimler Almalı?

Kişisel veriyle temas eden her kuruluş adaydır. Özellikle şu sektörlerde belge, ciddi bir farkındalık ve güven işareti sayılır:

  • Yazılım ve SaaS firmaları: Müşteri verisini bulutta işleyen ve saklayan her platform.
  • Sağlık kuruluşları: Hasta kayıtları gibi özel nitelikli kişisel veri işleyen kurumlar.
  • Finans ve sigorta: Yoğun kimlik, ödeme ve risk verisi taşıyan şirketler.
  • Çağrı merkezleri: Büyük hacimde müşteri iletişim verisi işleyen operasyonlar.
  • E-ticaret: Adres, ödeme ve alışveriş davranışı verisini toplayan markalar.

Kurumsal müşterileri olan ya da yurt dışına hizmet veren işletmeler için belge, sözleşme görüşmelerini hızlandıran bir referansa dönüşür.

Belgelendirme Süreci Nasıl İşliyor?

Süreç, kurumunuzun mevcut durumunun çıkarılmasıyla başlar ve akredite belgelendirme kuruluşunun denetimiyle tamamlanır. Aşağıdaki tablo, tipik adımları ve her aşamada kimin rol aldığını gösterir.

Aşama Yapılan İş Sorumlu
1. Mevcut Durum Analizi 27001 ve gizlilik kontrollerindeki boşlukların tespiti DİM Danışmanlık
2. Sistem Kurulumu PIMS dokümantasyonu, PII sorumlusu/işleyeni kontrollerinin devreye alınması DİM Danışmanlık
3. İç Denetim ve Eğitim Personel eğitimi, sistemin sahada çalıştığının doğrulanması DİM Danışmanlık
4. Belgelendirme Denetimi Bağımsız denetim (Aşama 1 ve Aşama 2) Akredite Belgelendirme Kuruluşu
5. Belgenin Düzenlenmesi ISO 27001 ile birlikte 27701 belgesinin verilmesi Akredite Belgelendirme Kuruluşu

Standardın teknik yapısını, ek Annex kontrollerini ve madde madde içeriğini merak ediyorsanız konunun teknik detayını işlediğimiz sayfaya bakın: ISO 27701 Nedir.

Belge Ne Kadar Geçerli, Nasıl Korunur?

Belgelendirme tek seferlik bir sınav değil, üç yıllık bir döngüdür. İlk denetimin ardından belge düzenlenir; ancak geçerliliğini sürdürmesi için her yıl gözetim denetimi yapılır. Üçüncü yılın sonunda yeniden belgelendirme denetimiyle döngü yenilenir. Gözetim denetimlerinde sistemin kâğıt üzerinde değil sahada işlediğini, gizlilik kayıtlarının güncel tutulduğunu ve tespit edilen uygunsuzlukların kapatıldığını göstermeniz beklenir. ISO 27001 ve 27701 birlikte yürütüldüğü için gözetim denetimleri de çoğunlukla tek ziyarette birleştirilir; toplam denetim yükünüz böylece hafifler.

Başvurudan Önce Kurumun Hazırlaması Gerekenler

Süreci hızlandırmak isteyen kurumların denetim öncesinde elinin altında bulundurması gereken bir çekirdek dokümantasyon vardır. Danışmanlık sürecinde bunları birlikte oluştururuz, ancak neyle ilgilendiğinizi baştan bilmeniz planlamayı kolaylaştırır:

  • Kişisel veri envanteri: Hangi veriyi, hangi amaçla, ne kadar süreyle işlediğinizin dökümü.
  • Veri işleme sözleşmeleri: Tedarikçi ve iş ortaklarıyla veri paylaşımını düzenleyen metinler.
  • Aydınlatma ve rıza kayıtları: İlgili kişiye yönelik bilgilendirme süreçlerinin belgelenmesi.
  • İhlal müdahale planı: Veri ihlali durumunda kimin, ne zaman, nasıl hareket edeceği.
  • İlgili kişi başvuru mekanizması: Erişim, silme ve düzeltme taleplerini karşılayan işleyiş.

Danışman ile Belgelendirme Kuruluşu Aynı Şey Değil

Ayrımı baştan netleştirmek, doğru bütçe ve doğru beklenti için önemli. DİM Danışmanlık bir danışmanlık firmasıdır; gizlilik yönetim sistemini kurar, dokümantasyonu hazırlar, personeli eğitir, iç denetimi yaptırır ve sizi denetime hazır hâle getirir. Belgeyi ise bağımsız akredite bir belgelendirme kuruluşu verir. Aynı firmanın hem sistemi kurup hem belgeyi vermesi, tarafsızlık ilkesine aykırıdır.

Rolümüz; süreci baştan sona yönetmek ve sizi sektörünüze uygun, akredite bir belgelendirme kuruluşuna doğru şekilde yönlendirmektir. Hangi belgelendirme kuruluşlarının nasıl çalıştığını merak edenler için: ISO Kalite Belgesi Veren Firmalar.

Maliyeti Belirleyen Kalemler

ISO 27701 belgesinin toplam maliyeti kuruma göre değişir; sabit bir rakam vermek doğru olmaz. Bütçeyi belirleyen ana kalemler şunlardır:

  • Kapsam ve çalışan sayısı: Belgenin hangi lokasyon ve birimleri kapsadığı.
  • İşlenen verinin niteliği: Özel nitelikli kişisel veri işleyen kurumlar daha geniş kontrol gerektirir.
  • Mevcut 27001 durumu: Geçerli belgeniz varsa danışmanlık eforu belirgin şekilde azalır.
  • Danışmanlık hizmeti: Sistem kurulumu, dokümantasyon ve eğitim.
  • Belgelendirme ücreti: Akredite kuruluşun denetim ve belge bedeli (danışmanlıktan ayrıdır).
  • Gözetim denetimleri: Belge geçerliliği boyunca yıllık takip denetimleri.

Kurumunuzun kapsamına özel net bir yol haritası ve maliyet kalemlerinin dökümü için danışmanımızla ücretsiz ön görüşme yapabilirsiniz. Mevcut 27001 durumunuza göre süre ve efor ciddi biçimde değişir.

Kişisel veri sorumluluğunuzu ispatlanabilir bir sisteme bağlamak istiyorsanız, doğru adımla başlamak zaman ve bütçe kaybını önler. Sorularınız için bize iletişim sayfamızdan da ulaşabilirsiniz.

Sıkça Sorulan Sorular

Hayır. ISO 27701, ISO 27001 üzerine kurulan bir gizlilik uzantısıdır ve tek başına verilmez. Geçerli bir ISO 27001 sisteminiz yoksa iki standart aynı yol haritasında birlikte kurulur ve çoğunlukla tek denetimde belgelendirilir.
Belge, KVKK yükümlülüğünüzün yerine geçmez; onu ispatlanabilir bir sisteme bağlar. Kişisel veri işleme, aydınlatma ve saklama süreçlerinizi belgelenmiş bir çerçeveye oturtarak denetimlerde ve olası ihlallerde elinizi güçlendirir.
Hayır. DİM Danışmanlık sistemi kurar, dokümantasyonu hazırlar ve sizi denetime hazır hâle getirir. Belgeyi bağımsız akredite bir belgelendirme kuruluşu düzenler. Tarafsızlık gereği danışman ile belgelendirici ayrı taraflardır.
Süre; kurumun büyüklüğüne, işlediği verinin niteliğine ve mevcut ISO 27001 durumuna göre değişir. Geçerli bir 27001 sisteminiz varsa süreç belirgin biçimde kısalır; sıfırdan kurulumda planlama, denetim öncesi hazırlığa göre şekillenir.
Belge üç yıllık bir döngüyle verilir. Her yıl gözetim denetimiyle geçerliliği sürer, üçüncü yılın sonunda yeniden belgelendirme denetimiyle yenilenir. ISO 27001 ile birlikte yürütüldüğü için denetimler çoğunlukla birleştirilir.
Kişisel veriyle yoğun temas eden yazılım ve SaaS firmaları, sağlık, finans, çağrı merkezleri ve e-ticaret kurumları için belge özellikle değerlidir. Kurumsal müşterilere veya yurt dışına hizmet veren işletmelerde çoğu zaman sözleşme ön şartı olarak istenir.