Dijital çağın başlangıcından bu yana işletmeler, verilerin su gibi olduğu varsayımı altında çalışıyor. Ticari faaliyetler için beslenme kaynağıdır. Nasıl toplandığına, saklandığına, işlendiğine ve taşındığına dair çok az veya hiç sınırlama olmadan, özgürce akıyordu. Ancak bugün, bu musluk kapatılmış, nehirlerin yeniden yönlendirilmesi ve mahremiyet düzenlemeleri tarafından oluşturulan barajlar önemli bir iş unsurunu engellemektedir.
Şirketler, verileri paylaşarak küresel işler kurdular ve onlarca yıllık küreselleşme, mahremiyet düzenlemeleriyle tersine çevriliyor. Veri gizliliğinin veri egemenliği yasaları yoluyla artan ivmesinin ardından, artık aynı düzeyde müşteri hizmeti sunmayı, teslim tarihlerini karşılamayı ve uyumlu kalırken tedarik zincirleri arasında iletişim kurmayı öğrenmeleri gerekiyor. Bu, kuruluşların görünüşte birbirine zıt olan hedefleri dengeleme ihtiyacı duymasına neden oluyor: uyumluluğu korurken veri paylaşımı, yapay zeka (AI) ve makine öğrenimi ile işi ilerletmek.
Mayıs 2023, ilk (ve muhtemelen en kapsamlı) veri gizliliği yasası olan Avrupa Birliği Genel Veri Koruma Yönetmeliği’nin (GDPR) beşinci yıldönümünü kutladı. O zamandan beri 130’dan fazla benzer yasa çıkarıldı ve daha pek çoğu ufukta görünüyor. Örneğin, Kanada’nın Dijital Sözleşme Uygulama Yasası, Hindistan’ın Dijital Kişisel Verileri Koruma (DPDP) yasası, Colorado Gizlilik Yasası (CPA) ve Utah Tüketici Gizliliği Yasası (UCPA) bu yıl yürürlüğe giriyor. Tüketiciler yasaların sağladığı korumaları memnuniyetle karşılarken, sınır ötesi veri toplamaya, kullanmaya ve paylaşmaya alışkın olan kuruluşlar, uyumluluğu iş ihtiyaçlarını karşılama ile dengelemek için mücadele ediyor.
Uyumluluk Zorlukları
İşletmeler, veri paylaşımının sınırları (veya sınırları) olduğunu uzun zamandır anlamıştır. Yasal ayrımlar, çeşitli yan kuruluşlardan gelen verileri ayrı tutar veya iş ortakları arasındaki paylaşımı belirli veri türleri ile sınırlandırır. Çok kiracılı yazılım uygulamaları, genellikle müşteri verilerini gizli tutmak için mantıksal bölümler gerektirir. Hızla değişen şey, genellikle “veri gizliliği” düzenlemeleri olarak gizlenen ve verilerin işlendiği ve depolandığı yerlerin coğrafi sınırlarını zorlayan yeni veri egemenliği yasalarıdır. İşletmeler, faaliyet gösterdikleri her ülkenin yasalarına uymak zorundadır ve şirketler paylaşmak ve korumak için kişisel verileri nasıl ve nerede güvenli bir şekilde elde edeceklerini yeniden düşünmek için acele ederken, veri egemenliği açık bir uyum sorunu sunar.
Kişisel verileri kendi sınırları içinde tutan düzenlemeler yapan ülkeler, vatandaşlarının verilerini stratejik ulusal öneme sahip görebilir. Daha yaygın olarak, kişisel verileri, işletmelerin o ülkenin yasalarına göre kullanması ve paylaşması gereken kişilere ait bir varlık olarak kabul eden bir yaptırım mekanizmasıdır. Son veri egemenliği gereklilikleri kolayca atlanamaz veya tüketicinin onayına zorlanamaz. İşi yürütürken bu politikalara bağlı kalmayı önemli bir zorluk haline getirerek bunlara uyulmalıdır. Küresel ölçekte faaliyet gösteren şirketlerin hassas verileri karmaşık yasal, kurumsal, jeopolitik ve düzenleyici sınırlar boyunca taşıması ve işlemesi gerekir. Veri yerelleştirme, bulut stratejilerini riske atıyor.
Sınır Ötesinde İş Yapmanın Maliyeti
Kuruluşlar, veri egemenliği yasaları kapsamında faaliyet göstermeleri nedeniyle önemli maliyetlerle karşı karşıya kalır. En pahalısı, egemenlik gereksinimlerini karşılamak için teknolojinin, insanların veya kaynakların çoğaltılmasıdır. İşletmeler, düzenlemelere uymak için genellikle dahili kaynakları bölgeler veya ülkeler arasında çoğaltarak verilerin orijinal yetki alanı içinde kalmasını sağlar. Ancak, kişisel verilerin korunması için etkin önlemler alınmaması ağır para cezalarıyla sonuçlanabilmektedir.
Son zamanlarda, Avrupa Adalet Divanı ABD merkezli Meta’ya AB vatandaşlarının kişisel verilerini yeterince korumadığı için 1,3 milyar dolar para cezası verdi. Meta, teknik kontrollerden ziyade bir yükümlülük olarak sözleşme diline dayanan yaygın bir teknik olan “standart sözleşme maddelerini” kullandı. Ancak mahkeme, bu yaklaşımın GDPR uyumluluğu için yetersiz olduğuna karar verdi. Bu nedenle, şirketlerin yüksek maliyetli para cezalarından kaçınması ve müşteri verilerini koruması için sağlam veri koruma mekanizmaları gereklidir.
Yerelleştirme gereksinimleri için pahalı üçüncü taraf veri işlemcileri kullanmak başka bir konudur. Bu, uyumluluk risklerini azaltırken, verilerin başka bir tarafla paylaşılması nedeniyle güvenlik risklerini artırır. Dinamik veri maskeleme, erişim kontrol listeleri ve dosya tabanlı koruma yöntemleri dahil olmak üzere eski teknolojiler, günümüzün uyumluluk gereksinimlerini karşılamak için oluşturulmamıştır.
Topluluk ve ulusal liderler, egemenlik yasalarına uymanın ekstra maliyetlerinin iş yapmanın bedeli olduğunu iddia edebilir. Ancak birçoğu için bu maliyetler çok yüksek olabilir.
Sınırsız Verileri Yeniden Bütünleştirmeye Yönelik Çözümler
Bilgi Teknolojisi ve İnovasyon Vakfı’nın belirttiği gibi, “Veri, modern küresel ekonominin can damarıdır… İşletmeler, verileri değer yaratmak için kullanır ve birçoğu bu değeri ancak veriler sınırlar arasında serbestçe akabildiğinde maksimize edebilir.” Bununla birlikte, sınırsız veri ve veri egemenliğinin bir arada var olabilmesi için işletmelerin sınırlar arası veri paylaşımını etkinleştirmenin uyumlu yollarını bulması gerekir. Tokenizasyon burada devreye giriyor.
İşletmeler, verileri tokenize ederek, yerel düzenlemelere uygunluğu korurken farklı kullanıcıların ve şirketlerin verilere erişmesine izin verirken verileri güvence altına alabilir. Avrupa Birliği Genel Mahkemesi’nin Nisan ayında aldığı önemli bir karar, bu konunun önemini vurgulamaktadır. GCEU Davası T-557/20, SRB – EDPS davasında, mahkeme, veri alıcısı veri öznesini yeniden tanımlamak için yasal araçlara sahip değilse, bir veri alıcısına iletilen takma adlı verilerin kişisel veri olarak kabul edilmeyeceğine karar vermiştir. Bu kararın, sınır ötesi veri akışına sahip şirketler için önemli etkileri vardır ve sınır ötesi veri paylaşımını sağlamak için uyumlu yollar bulmayı daha da kritik hale getirir.
Daha geniş anlamda, şirketlerin verimli bir küresel uyumluluk elde etmeleri için, uygulamalar için veri egemenliği gereksinimlerini karşılamak üzere ölçekte verimlilik sağlayan merkezi veri politikasına, günlük kaydına, denetime ve izlemeye ihtiyaçları vardır. Kişisel olarak tanımlanabilir bilgiler (PII) için merkezi, sürekli koruma, denetim ve uyumluluk sunan otomatik sistemler, uyumluluk maliyetlerini azaltacak ve işletmelerin veriler üzerinde rekabet etmesi için yeni fırsatlar açacaktır. Kuruluşlar, veri güvenliği ve mahremiyet uygulamalarını daha bol kaynaklarla birleştirerek maliyetleri azaltabilir.
Politika ve Ticaret Bir Arada Var Olabilir
Veri egemenliği yasaları, teknoloji ve dijital trendler geliştikçe sürekli olarak değişir. Bu nedenle, kuruluşlar uyumluluk için “bir kerede” yaklaşımına geri dönemezler. Değişen yasaları sürekli olarak izlemek ve bunlara uyum sağlamak çok önemlidir. Sınırsız veri sağlarken uyumlu kalan kuruluşlar, mevcut pazarlardaki müşteriler ve ürünler hakkında hızlı, çevik ve bilgiye dayalı kararlar alabildikleri için önemli bir rekabet avantajı elde eder. Ek olarak, verileri yeni bölgelerde paylaşma yeteneği dünya çapında yeni pazarlar açar.
Sonuç olarak, kuruluşlar gizlilik ve güvenlik düzenlemelerine uyarak müşteri verilerini koruyabilir, güven oluşturabilir ve itibarlarını geliştirerek müşteri sadakatini artırabilir. Sadakat, gelire eşittir ve gelir, uzun vadeli başarıya eşittir.