Veri yönetişimi, veri güvenliği
BT liderleri düzenleyici karmaşıklıkta nasıl gezinebilir, dijital egemenlik için teknolojiyi kullanabilir
Rahul Neel Mani (@rneelman) •
3 Temmuz 2025
Temmuz 2020’de Avrupa Birliği Adalet Mahkemesi, Schrems II davasında AB-ABD gizlilik kalkanı geçersiz kılan bir dönüm noktası karar verdi. Karar, AB ve ABD arasındaki ticari amaçlar için kişisel verilerin transatlantik değişimlerini yönetmek için önemli bir mekanizmayı bozdu.
Örneğin, müşteri verileri için ABD tabanlı bir bulut sağlayıcısına güvenen bir Avrupalı perakendeci, denetimlerin ABD’ye verilerinin GDPR’nin gizlilik standartlarını ihlal ettiğini ortaya koyduktan sonra 7 milyon avro – yaklaşık 8,25 milyon dolar – para cezasına çarptırıldı. Hazırlıksız olan CIO, kayıp müşteri güvenine karşı tepki ile uğraşarak, satıcı sözleşmelerini yeniden müzakere etmek ve veri depolamasını yerelleştirmek için acele etti.
Schrems II, egemenliğin isteğe bağlı olmadığını ancak gerekli olduğunu gösterdi. Bir uyandırma çağrısı olarak hizmet etti ve sürekli değişen düzenleyici ve jeopolitik manzarada gezinen BT liderleri için devam eden bir meydan okuma olan dijital egemenliğin önemini vurguladı.
Mayıs ayında İrlanda Veri Koruma Komisyonu, Avrupalı kullanıcıların verilerini Çin’e yasadışı bir şekilde aktardığı için Tiktok’a karşı 530 milyon avro – yaklaşık 625 milyon dolar – yayınladı. Uzun bir soruşturmadan sonra Tiktok, Çin’deki personel tarafından uzaktan erişildiğinde kullanıcı verilerini korumamaktan suçlu bulundu. Bu son karar, dijital egemenlik ihlallerinin nasıl jeopolitik etkilere ve kurumsal risk için geniş kapsamlı sonuçlara sahip olabileceğini vurgulayan bir dönüm noktası oldu.
Dijital egemenlik, egemen bir devlet sınırları içindeki veri, altyapı ve dijital varlıkları kontrol etme yeteneğidir. Veri yerelleştirme yasalarını yönlendiren çeşitli faktörlerle, teknoloji liderleri uyumluluk, güvenlik ve güven sağlamak için bir düzenleme seli ile karşı karşıyadır.
Dijital egemenliğin kalbinde
Dijital egemenlik bağımsızlıkla ilgilidir. Verileri, bireyler, işletmeler veya uluslar olsun, sahiplerinin kontrolü altında tutmak için güçlü bir kolaylaştırıcı görevi görür. Gigaom’da katılım başkan yardımcısı Jon Collins’in blogunda söylediği gibi, “Egemenlik, içinde ve olmayan sınırlar, yasalar ve vergiler tarafından tanımlanan ulus devletin ortaya çıkmasından bu yana önemlidir. Dijital egemenlik de tanımlanması zor, ancak basit bir şekilde anlaşılmaya yöneliktir.”
Dijital egemenlik, veri egemenliğini içerir – verilerin depolandığı ve işlendiği yerde kontrol; teknolojik egemenlik – dijital altyapıda bağımsızlık; ve siber güvenlik – dış tehditlerden korunma. Dijital egemenlik durumunda, riskler yüksektir.
Ocak ayı itibariyle, GDPR para cezalarının toplamı 5,88 milyar avro – yaklaşık 6,94 milyar dolar. Dikkate değer olan, Mayıs 2023’te Meta’ya, AB düzenlemesine yeterince uymadan ABD’ye kişisel veri transferleri için Meta’ya uygulanan 1.2 milyar Euro’nun para cezasıdır. Bilgi Teknolojisi ve İnovasyon Vakfı’na göre, 60’tan fazla ülke 2025 yılı itibariyle 2020’de 35’ten itibaren veri yerelleştirme yasalarını uyguladı. Teknoloji liderleri için zorluk, inovasyonu dağınık bir dijital manzaraya uyumla dengelemede yatmaktadır.
2023’te Hindistan’ın dijital kişisel veri koruması veya DPDP ACT yürürlüğe girdi. Hükümet henüz icra tarihini bilgilendirmese de, uyumsuzluk cezaları belirtir ve para cezaları potansiyel olarak ciddi ihlaller için yaklaşık 30 milyon dolara kadar. Yasaları uygulamak için ülkede bir dijital koruma kurulu oluşturulmuştur.
Bu örnekler, dijital egemenliği stratejik bir güven, esneklik ve rekabet gücünün stratejik bir itici gücü olarak gören BT liderleriyle rezonansa girmelidir.
Küresel düzenleyici manzara
Dijital egemenlik için düzenleyici çerçeve ulusal bir önceliktir. AB, GDPR ve GAIA-X ile tempoyu belirledi. Veri ikametgahına ve yerel altyapıya öncelik verir. Çin’in Siber Güvenlik Yasası ve Kişisel Bilgi Koruma Kanunu Katı Veri Yerelleştirmesini Uygular. Hindistan’ın DPDP Yasası, Aadhaar gibi platformlar aracılığıyla dijital kendine güven vizyonuyla uyumlu olarak hassas veriler için yerel depolamayı zorunlu kılar.
Rusya’nın 242-FZ sayılı Federal Yasası, vatandaş verilerinin ulusal güvenlik uğruna ülke içinde kalmasını gerektiriyor. Avustralya Gizlilik Yasası, özellikle sağlık kayıtları için veri gizliliğine odaklanmaktadır ve Kanada’nın Pipeda, hükümet verileri için yerel depolamayı teşvik eder. Suudi Arabistan’ın kişisel veri koruma yasası, hassas sektörler için yerelleştirmeyi uygular ve Endonezya’nın kişisel veri koruma yasası tüm vatandaş merkezli verileri kapsar. Singapur’un PDPA’sı gizliliği küresel veri akışlarıyla dengeler ve AB’nin GDPR’sini yansıtan Brezilya’nın LGPD’si, vatandaşlarının gizliliğinin ve temel haklarının korunmasını zorunlu kılar. Dijital kontrole doğru bu küresel değişim, uluslar arasındaki BT liderlerinden özel stratejiler gerektirir.
Teknoloji şirketleri nasıl yanıt verdi?
Teknoloji şirketleri, dijital egemenliğin artan taleplerine uymaktan başka seçeneğe sahip değil. Örneğin, Amazon Web Services, performanstan ödün vermeden “bulutta kapsamlı bir egemenlik kontrolü ve özellikleri seti” taahhüt eden dijital bir egemenlik rehinine sahiptir. 2023 yılında piyasaya sürülen ve 2025 yılına kadar Almanya’ya genişleyen AWS Avrupa Egemen bulutu, AB’nin yargı yetkisinde kalmasını sağlar ve AB merkezli personel tarafından işletilmesini sağlar ve GDPR ve Schrems II endişelerini ele alır. AWS NITRO Sistemi, EC2 örneklerindeki müşteri verilerine yetkisiz erişimi önler ve bu da veri ikametgahına olan bağlılığını gösterir.
Google Cloud, veri sınırı ile egemenliğe yemin ediyor. AB veya ABD’ye veri işlemenin kısıtlanmasını sağlar ve Google’ın kendisi tarafından bile yetkisiz erişimi önlemek için istemci tarafı şifrelemesini kullanır. Kullanıcı Veri Kalkanı, egemenlik duruşlarını doğrulamak için sürekli güvenlik testi sağlar.
Microsoft’un Egemenlik Bulutu, Azure Gizli Bilgi İşlem ve Azure Key Vault Yönetilen HSM gibi araçlar sunuyor. Şeffaflık günlükleri ile veri ikamet ve şifreleme kontrolünü sağlar. Microsoft’un Alman bulutları C5 standartlarını karşılıyor ve Kanada veri merkezleri Pipeda’yı destekliyor. Salesforce’un Cloud Veri Koruma Ağ Geçidi, şirket içi depolama için hassas verileri tokuklaştırır, böylece GDPR ve DPDPA normlarını karşılar.
Ön cephedeki CIO’lar
Artan dijital egemenlik farkındalığının ortasında, CIO’lar çok yönlü bir zorlukla karşı karşıya. Hükümet sektörlerinde, ulusal güvenlik ve kamu güveni itici stratejileri. Örneğin, ABD Savunma Bakanlığı, Bulut Yasası risklerini hafifleterek FedRamp ve ITAR uyumluluğu için Azure Hükümeti kullanıyor. Kanada Hazine Kurulu Sekreterliği, Paylaşılan Hizmetler Kanada aracılığıyla Pipeda uyumlu bulutları zorunlu kılar. Almanya’nın Federal İçişleri Bakanlığı, Deutsche Telekom’un GDPR ve C5 uyumluluğu için açık telekom bulutunu AB’nin yargı yetkisi içinde tutarak GDPR ve C5 uyumluluğu için açılıyor.
Özel sektörde, CIO rekabet gücüne uygunluğu dengelemek zorundadır. Örneğin, Global Havacılık ve Uzay Şirketi Airbus, Google Workspace’in AB düzenlemelerine uymak için bölgeselleştirilmiş veri işlemesini kullanır. 2024 yılında, Suudi Arabistan merkezli bir sağlık hizmeti sağlayıcısı, GSCA programını kullanmak için AWS ile ortaklık kurdu ve hasta verilerine PDPL uyumluluğunu sağladı. Bu vakalar, proaktif stratejilerin dijital egemenliğin artan kaygılarını nasıl ele alabileceğini ve güvene güven duyabileceğini göstermektedir.
Teknoloji yöneticileri, inovasyon hızını azaltmadan, dijital egemenliğe uyum ve güvenlik karışımı ile gezinmelidir. Her şey haritalama düzenlemeleri ve yasal ve risk ekipleriyle işbirliği ile başlar. Artık AI güvenilir bir teknoloji olduğuna göre, CIO’lar veri sınıflandırması ve yaşam döngüsü yönetimi için otomasyonu kullanabilir.
Dijital egemenliği sürdürmek için CIO’lar bu stratejik eylemlere odaklanabilir:
- Veri ikametgahını sağlamak için egemen bulutların kullanılması;
- Şifreleme ve byok uygulama;
- Düzenli denetimler ve eğitim almak;
- Bölgesel uzmanlığı kullanmak için yerel satıcılarla ortaklık kurun.
Önümüzdeki yol
Dijital egemenlik, hiper ölçeklere ve SaaS sağlayıcılarına bağımlılığın yanı sıra, düzenleyici karmaşıklık ve artan maliyetler gibi çeşitli zorluklar sunmaktadır. Schrems II kararı, sınır ötesi veri riskleri için bir uyandırma çağrısı görevi görür.
“Veriler kendine bakmayacak,” dedi Collins, sınırsız bir dijital dünyadaki proaktif politikaların altını çizdi.