5.1. Giriş: Tedarikçi Seçimi Artık Bir Sözleşme Sanatıdır

BT yöneticileri için tedarikçi seçimi artık sadece teknik yeterlilik değil, aynı zamanda hukuki uyum ve risk yönetimi anlamına gelir.

5.2. BT Tedarikçileri ile Sözleşme Yaparken Dikkat Edilmesi Gerekenler

5.2.1. Hizmet Tanımı ve Kapsam: Tedarikçinin hangi işi, hangi koşullarda, ne kadar süreyle yapacağı sözleşmede açıkça yazılmalıdır.

5.2.2. SLA (Service Level Agreement) Maddeleri: Hizmet seviyesi, yanıt süresi, çalışma saatleri gibi performans kriterleri sayısal olarak belirtilmelidir.

5.2.3. Cezai Şartlar ve Sözleşme Feshi: Hizmetin aksaması halinde uygulanacak cezalar ve sözleşmenin nasıl feshedileceği önceden tanımlanmalıdır.

5.2.4. KVKK/GDPR Uyum Maddeleri: Tedarikçinin kişisel veri işleme süreçleri ve sorumlulukları yasal mevzuata uygun şekilde düzenlenmelidir.

5.2.5. Yedekleme, Felaket Kurtarma ve Destek Süreçleri: Veri yedekleme sıklığı, felaket senaryoları ve destek prosedürleri açık ve uygulanabilir olmalıdır.

5.3. Veri İşleyen ile Veri Sorumlusu Arasındaki İlişki

Veri sorumlusu olan şirket, hizmet aldığı tedarikçileri 'veri işleyen' olarak tanımlar ve bu ilişkide sorumluluk paylaşımı çok önemlidir.

5.4. Bulut Hizmeti Sağlayıcılarında Risk Alanları

5.4.1. Sunucu Lokasyonu ve Yurt Dışı Aktarım: Verilerin yurt dışında tutulması durumunda açık rıza ve ülke mevzuatına uygunluk kontrol edilmelidir, aynı zamanda KVKK kurulunun yayınladığı standart sözleşmeler imzalanıp, kurula bildirilmelidir.

5.4.2. Şifreleme Standartları: Verilerin aktarımı ve saklanması sürecinde güçlü şifreleme algoritmalarının kullanımı zorunludur.

5.4.3. Müşteri Verisinin Mülkiyeti: Verinin mülkiyeti müşteride kalmalı; tedarikçi veriyi izinsiz kullanmamalı veya devretmemelidir.

5.4.4. Hizmet Sonu Veri İadesi ve Silinme Garantisi: Hizmet sona erdiğinde tüm verilerin iade edilmesi ve silindiğine dair kanıt sunulması gereklidir.

5.5. Tedarikçi Değerlendirme ve Risk Sınıflandırması

BT yöneticisi, tedarikçileri hem teknik yeterlilik hem de hukuki uyum açısından değerlendirmelidir. ISO 27001, SOC 2, ISO 27701 gibi sertifikalar kontrol edilmelidir.

5.6. Gerçek Vaka: Yetersiz Sözleşme Nedeniyle Veri Kaybı

Bir şirket, dış kaynaklı bir yazılım firmasıyla çalıştı. Sözleşmede yedekleme ve veri mülkiyeti maddeleri eksikti. Hizmet sonlandırıldığında tüm proje verilerine erişim kayboldu.

5.7. BT Yöneticisi İçin Tedarikçi Uyumluluk Kontrol Listesi

1. KVKK/GDPR yükümlülükleri sözleşmede yer alıyor mu?: Tüm kişisel veri işleme süreçleri mevzuata uygun şekilde tanımlanmalıdır.

2. Hizmet seviyesi ve cezai şartlar açık mı?: Hizmet performansı ve ihlal durumunda uygulanacak cezalar net olmalı.

3. Veri işleme süreci ve saklama süreleri tanımlı mı?: Tedarikçinin veriyi ne kadar süreyle saklayacağı ve nasıl işleyeceği belirtilmeli.

4. Hizmet sonu veri iade/silme süreci düzenlenmiş mi?: Sözleşmede verilerin nasıl iade edileceği ve silineceği açıkça tanımlı olmalı.

5. Tedarikçi bilgi güvenliği sertifikalarına sahip mi?: ISO 27001, SOC 2 gibi güvenlik belgeleri kontrol edilmelidir.

6. Sözleşme güncellemeleri periyodik mi değerlendiriliyor?: Sözleşmeler yılda en az bir kez güncellenmeli veya gözden geçirilmelidir. Yen eklenen kapsamlar varsa sözleşme yenileme dönemlerinde bu kapsamlar da dahil edilmelidir.

5.8. Sonuç: Tedarikçi Yönetimi, BT’nin Hukuki Güvencesidir

Her sözleşme maddesi, bir siber saldırı veya veri kaybı anında kurumun sigortasıdır. BT yöneticileri teknik olduğu kadar sözleşme dili konusunda da donanımlı olmalıdır. Düzenli olup olmadığını da kontrol etmelidir.