Akıllı Fabrikalar olarak hazırladığımız Dijital Dönüşüm Sohbetleri’nin konuğu GovernID firmasının kurucu ortaklarından Mustafa Özçakır… Ekin Tazegül GovernID Kimdir? Neler Yapar? sorularını sordu, Mustafa Özçakır yanıtladı…
Ekin Tazegül: Akıllı Fabrikalar olarak yapmakta olduğumuz “Dijital Dönüşüm Sohbetleri”nin bir yenisinde hem çok samimi dostum hem de GovernID firmasının kurucu ortaklarından Mustafa Özçakır ile beraberiz. Abi hoş geldin nasılsın?
Mustafa Özçakır: Hoş bulduk Ekin iyiyim, seni sormalı.
Ekin Tazegül: Benden de iyidir abi. Şimdi özellikle seninle burada bu şekilde bir sohbeti gerçekleştirmeyi çok istedim. Çünkü ne yazık ki Türkiye’den çok fazla alanında 2 ürün çıkmıyor. Fakat bildiğim kadarıyla sizin ürününüz aslında GovernID olarak bundan sonra nitelendireceğim bu ürünü. Aslında dünyada yapılmamış bir iş yaptı. Şimdi biraz da özet olarak GovernID nedir, ne yapıyor? Bana biraz anlatabilir misin abi?
Mustafa Özçakır: Tabii ki. GovernID, 2016 yılında çıkan Avrupa’da GDPR Türkiye’de KVKK olarak çıkan ve bütün şirketlerin yoğun bir şekilde emek harcadığı uyumlu hale gelmesi için emek harcadığı yasalara şirketlerin uyumlu hale gelmesi için bir çözüm. Bunu nasıl yapıyor? Hem hukuk hem IT birimlerinin ortak olarak kullanmaları gereken ortak olarak sorumlulukları olan birçok alanda iki tarafın da senkron ve aynı anda kullanacakları bir platform.
Ekin Tazegül: Peki o zaman
GovernID’nin IT ile hukuk arasında bir köprü oluşturan bir tuğla olduğunu söylemek çok da yanlış olmayacak. Herhalde doğru mudur?
Mustafa Özçakır: Doğru. Birleştiren, ikisinin beraber çalışmasının bir harmoni içerisinde çalışmasını sağlayan bir çözümdür.
Ekin Tazegül: Şimdi çeşitli aslında toollar var. Benzer diyebileceğim aynısı olduğunu çok zannetmiyorum ama biraz daha günün problemlerini çözmeye yönelik. Fakat biliyoruz ki işte Avrupa’dan GTPR bir yeni regülasyon geliyor. Türkiye’deki KVKK hükümleri değişmeye başlıyor. Değişmesi de çok muhtemel şekilde ilerliyor. Burada hem günün problemlerini hem de geleceğin problemlerini nasıl çözdüğünü biraz bize anlatabilir misiniz? Burada aslında tam olarak GovernID hangi verileri alıp bunların neye karşı koruyor?
Mustafa Özçakır: GDPR ve KVKK aslında temelinde baktığımızda yapılan işlemlerin yasal dayanakları ile beraber kurum içerisinde işlenmesini sağlayan bir şey. Neye benzetelim bunu. Herhangi bir şekilde bir iş başvurusu ya da bir hizmet alımı herhangi bir işlem sonucu doğan veri bütünlüğünün kurum içerisinde yönetilmesini sağlıyor. Bu bir tercihten dolayı değil, yasal olarak kurum içerisindeki herhangi bir verinin neden orada bulunduğunu sorguluyor yasalar. Bunu da en iyi cevaplayabilmek için verinin doğduğu andan itibaren bir işlem bütünü biz buna kayıt diyoruz. Bir kayıt bütünü olarak o veri setine alıp, alırken bunu ne için alındığını bilip kurum içerisinde nerelere dağıldığını takip ederek yapabiliyoruz.
Ekin Tazegül: Burada peki gelecekte hangi yükümlülükleri, hangi regülasyonları karşılamayı planladığınızı da sorabilir miyim acaba?
Mustafa Özçakır: Tabii ki. Bu yasaların gelmesiyle beraber birçok şey değişti ve değişmeye devam ediyor. En temelinde de eskiden verinin herhangi bir sorumluluk olmadan kullanılmasının aksine bugün aldığımız her bir veri parçasının hangi amaç için aldığımızı, şirket olarak hangi amaç için aldığımızı bireye söylemek ve bu sözü tutmak zorundayız. Bunu yönetebilmek için merkezi bir mahremiyet birimimizin olması lazım. Her aldığımız verinin, veri setinin niye alındığını bir noktada biriktirebilirsek kurum içerisindeki birçok hizmete birçok sürece işlem yaparken neler dahilinde işlem yapabileceğini sorgulayabileceği bir nokta olacaktır. GovernID tam olarak bu merkezdeki noktaya oturan etrafında birçok CRM den tutun da içerideki insan kaynakları yazılımlarına kadar hepsinin hangi verileri nasıl kullanabilecekleri sorabilecekleri bir noktaya oturuyor. Gelecekte de bu değişmeyecek bu merkezi mahremiyet yönetim orkestrasyonunu sağlayan bir yapı olarak kalacak.
Ekin Tazegül: Biraz aynı soruyu soruyor olacağım abi ama burada gerçekten hem iyi anlamak hem de izleyicilerimizin iyi anlaması adına soruyorum. Şimdi, şimdiye kadar da çeşitli discovery yani keşif toolları vardı. Bunlarla bir şirket içerisindeki çeşitli verilere ulaşabiliyorduk. Burada GovernID ile bu keşif toollarını ya da benzer toolları ayıran temel noktalar nedir acaba?
Mustafa Özçakır: Çok güzel bir soru.
Yasalar ilk çıktığında markette olan toollar sadece keşif toollarıydı ve bunları çok verimli bir şekilde şirketler kullandılar. Temel amacı bu keşif toollarının sınıflandırma toollarının temel amacı içeride şirketin içerisinde ne var ne yok bunları anlamak, nasıl bir riskle baş başa olduklarını anlamak amacını taşıyor. Bunu anlamadan ilerlemek çok mümkün değil. Çok önemli bir noktaları vardı. Şirketler bunca geçen yıllar içerisinde bunları kullanarak ellerinde ne var ne yok bunu öğrendiler. Şimdi bunu yönetme zamanı. Bunu yönetebilmek için de temel olarak içerideki her bir verinin değil verinin oluşmasına sebep olan olaya bağlayabilecek kayıt bütünlüğünü yönetmesi gerekiyor.
Bu sadece bizim söylediğimiz bir şey değil. Gartner’ın da yayınladığı son raporlarda böyle bir veri altyapısını yönetmek için evet önce ilk adımda veri keşfi ve sınıflandırma ile başlayıp sonrasında da verinin hem alım tarafının yönetilmesi bu veriden çıkıp kayıt haline gelmesi ve kurum içerisinde adım adım nerelere dağıldığını, yönetilmesinin sağlanmasına şey yapıyor ki 20 ye yakın teknoloji veya disiplin diyebiliriz. Eş zamanlı olarak yönetilmesi gerekiyor. GovernID bunun ortasına oturup 10 dan fazla teknoloji ve disiplin tek noktada tek bir ürünle yönetilmesini raporlanmasını sağlıyor.
Ekin Tazegül: Abi çok net bir soru soracağım o zaman. Geçenlerden aklımda kalan bir haber ver. Amazon GDPR üzerinden 750.000.000 dolarlık bir ceza aldı. Eğer GovernID kullanıyor olsaydı Amazon bu cezayı yine alır mıydı?
Mustafa Özçakır: Muhtemelen almazdı. Çünkü verinin hangi amaçla alındığı ve nasıl alındığını bir kural setine bir sürece bağlayabilen şirketler veri alımlarını planlarken, bunların içeride karşılıklı neler olabileceğini, neler olacağını baştan planlıyorlar. Amazon’un yediği ceza bir hacklenme, bir güvenlik sıkıntısı vs değildi. Süreçsel olarak bir hatanın sonucuydu. Cookie Management ile ilgili bir şeyden dolayı ceza yedi. 750.000.000 $ çok büyük para.
Ekin Tazegül: Onlara göre değil abi yani bir milyar dolara dizi çeken firma. Onlara o kadar büyük değildir belki de. Abi şimdi KVKK ve GDPR ile beraber aslında ben bir birey olarak kendi verilerimi şirketlerde ulaşma hakkına sahip oluyorum. Öncelikle bu doğru bir bilgi midir yoksa ben mi yanlış düşünüyorum bir bunu sorayım.
Mustafa Özçakır: Doğru, bu yasal bir hak olarak bireylere verildi. Bu yasaların çıkmasıyla beraber bireyler de şunu anlamaya başladılar. Görmeye başladılar. Kişisel veri, bireyin kendisine aittir. Bir şirkete vermiş olsa da bu bir emanettir sahibi hâlâ kendisidir. Kullanım hakları kendisine aittir.
Ekin Tazegül: Ben de tam olarak bu minvalde o zaman şu soruyu sorayım abi. Ben şimdiye kadar birçok firmaya isteyerek ya da ne yazık ki istemeden bilgilerimi vermiş durumdayım ya da bilgilerim satılmış durumda. Ben x firmasında kendi bilgimin olduğunu biliyorsam gidip o firmaya benim bilgilerimi ortaya çıkartın diye sorabilirim şu anda değil mi? Bu benim bir hakkım.
Mustafa Özçakır: Doğru.
Ekin Tazegül: Peki böyle bir firma benim bilgilerimi ne kadar sürede çıkartır? GovernID kullanmadığı ve kullandığı durum için ikisini ayrı ayrı cevaplarsan sevinirim.
Mustafa Özçakır: Mevcut konvansiyonel yöntemlerle bunu çıkartmaya çalışırsa, şirketin büyüklüğüne göre birkaç haftayı bulabiliyor. 15-20 günü bulduğu zamanlar olabiliyor. Tam olarak hepsini çıkartması da mümkün olmayabiliyor. Hepsini bulamayabiliyor. Bu da şirket için bir risk. GovernID kullanılması durumunda ise bunu birkaç saniye içerisinde tüm raporların çıkartabilir hale gelebiliyor.
Ekin Tazegül: O zaman ben bir tane verimi istediğimde aslında firma bildiğin manuel şekilde geçip de bu adamın nerede verisi varmış? Burada da var mıymış? Bir de şuraya bakalım diye sorguluyor.
Mustafa Özçakır: Sistemlerini tek tek tek tek inceliyor ve bunun için birçok insanı görevlendiriyor. O insanlar saatlerce, günlerce mesai yapıyorlar. Ürettikleri bilgilerin hepsini bir noktada bir kişi tarafından birleştiriliyor ve sana raporu olarak veriliyor.
Ekin Tazegül: Gün çıkıp da benim gibi 10000 kişi sadece bir bankaya bile benim bilgilerimi dökün dese. Bu banka olmak zorunda değil. Farazi herhangi bir firmaya benim bilgilerimi dökün dese o yılki yıllık hasılatının herhalde bilgi bulmaya toplamda da bir 10 yıl falan harcaması gerekiyor.
Mustafa Özçakır: Yıllık hasılatını vermeye razı olabilecek şirketler de olabilir çünkü yaptırımları çok daha büyük noktaya gidebiliyor cevaplayamadığı durumda. Kanun önünde suçlu duruma gidiyor, suçlu durumda kalıyor. Benzeri bir olay da gerçekten yaşandı ve çok hoş sonuçları olmadı şirket için.
Ekin Tazegül: Peki burada şimdi birçok firma aslında yani hemen hemen her firma veri topluyor artık ister istemez. Mailleşirken bile birisinin verisine sahip olmuş oluyoruz ama burada GovernID özellikle kullanması gereken müşteri diyebileceğimiz potansiyel müşteriler kimlerdir, neden kullanmalılar? Hangi sektörlerde diye de sorabilirim. Bu arada bunu da düzeltmiş olayım.
Mustafa Özçakır: GovernID kullanması gereken şirketler kişisel veriye dokunan bütün şirketlerdir ve bunların yönetim merkezi olarak yönetmek isteyen bütün şirketlerin GovernID kullanması faydalı olacaktır. Çok büyük faydalar sağlarız. İçlerinde en acil kullanması gerekenler. Eğer bu şirketlerin üzerinde finans, enerji, telco gibi yoğun regülasyonlar altında varsa çok daha acil duruma geliyor. Çünkü onlar çok daha sıkı denetleniyor ve uyumlarını çok daha hızlı gerçekleştirmek zorunda kalıyorlar.
Ekin Tazegül: O zaman son bir soru soracağım abi. Şimdi KVKK ile GDPR vesaire ile beraber aslında şöyle bir regülasyon var diye biliyorum. Benim verilerimi, sen Türkiye’de bulunan bir firmaysan Türkiye’de bulundurmak zorundasın. Fakat bugün dünya çapında çalışan birçok firma da var. Siz de ister istemez hem Türkiye’den hem dünyadan çeşitli firmalarla çalışıyorsunuz, çalışacaksınız ya da çalıştınız. Bu verileri nerede tutuyorsunuz? Hepsi için ayrı ülkelerde ayrı sunucularda tutmanız gerekiyor. Yoksa bir çözüm modeliniz var mıdır acaba?
Mustafa Özçakır: Her ülke için ya da her complete zone dediğimiz yasal uyumluluk sınırları içerisinde. Mesela Avrupa tamamen 1.complete zone’dur bizim için. Avrupa’daki şirketlerin verisi Avrupa’da, Türkiye’deki şirketlerin verisi Türkiye’de, Kanada’daki şirketlerin verisi Kanada’da ama ön yüzde GovernID kullanan şirketler tek bir arayüz önyüz kullanıp arka tarafta her biri yasal olarak durması gereken fiziksel ülke içerisinde duruyorlar.
Ekin Tazegül: Son sorum demiştim ama bir ekleme yapma gereği duydum ister istemez arka tarafta beynim çalışmaya devam etti. Peki bilgi dediğimiz şey çok genel bir kavram abi. Şirketlerin hangi verileri toplamasını, korunmasını, kullanmasını, bulabilmesini vs az önce bahsettiğin her şeyi sağlıyorsunuz. Buradaki veri bilgi kısmını biraz daha açabilir misin?
Mustafa Özçakır: Yasanın temel değindiğim noktaya bakarsak, sadece veri, kişisel verilerin korunması diyor ama bunları koruyabilmek için işlem bütünlüğü demiştik. Verileri kayıtlar haline, gruplar haline getirdikten sonra kullanılması gerekiyor. Buradaki veriler neler? Bu yasaya konu olan veriler, kişinin kim olduğunu bulmaya yarayan veriler. Bu telefonda olabilir ve bir e-mail olabilir veya bir araya geldiğinde işte bu Ekin’dir diyebileceğimiz birkaç bilginin birleşmesinden de olabilir. Bunları sadece bilgi olarak değil, Neden elimde var? Ne hakla elimde var? Ne kadar süre tutabilirim? Yan bilgileri ile beraber tutulması gerekiyor. Yani bilgi tek başına durduğunda bir tehlike ama yanında yasal sebebi var, bulundurma sebebi varsa saklama süren varsa alınma yöntemi ve doğru kişiden aldığım bilgileri varsa bu kurum için kullanılabilir bir bilgi. Eğer bu saydıklarım yanında yoksa bu bilgi sıkıntılı bir bilgi haline geliyor.
Ekin Tazegül: Tamamdır abi ben sanıyorum ki GovernID 101’i şu anda tamamladım. Gayet yeterli oldu benim açımdan. Tabii ki ayrıntısını seninle daha sonra konuşmaya devam edeceğiz ama sana şunu da sorayım, eklemek istediğin bir şeyler var mıdır acaba?
Mustafa Özçakır: Çok teşekkür ederim Ekin. Vaktini ayırdın, beni misafir ettin. Çok çok sağ ol.
Ekin Tazegül: Çok teşekkürler abi. Evet, Akıllı Fabrikalar olarak yaptığımız Dijital Dönüşüm Sohbetleri’nin bir yenisinde Mustafa Özçakır’la sevgili dostumla beraber GovernID ürününü konuştuk. Bu ürünle beraber aslında hem KVKK hem Avrupa’daki ismiyle GDPR yükümlülüklerinin neler olduğu? GovernID ‘nin bu yükümlülüklere bu regulasyonlara karşı nasıl yanıt verdiğini? Gelecekte ortaya çıkacak problemleri nasıl çözebildiği konularına da değinmiş olduk. Umuyoruz ki sizin için de keyifli bir seyir olmuştur çok teşekkür ederiz.