KVKK Teknik Tedbirler Eğitimi:BT ve Güvenlik Ekiplerininİhtiyaç Duyduğu Taraf

Secure Fors — KVKK Eğitim Serisi

KVKK Teknik Tedbirler Eğitimi:
BT ve Güvenlik Ekiplerinin
İhtiyaç Duyduğu Taraf

KVKK eğitiminin hukuki tarafını avukatlar anlatıyor. Peki Madde 12’nin gerektirdiği teknik kontrolleri — erişim ynetimini, log sistemlerini, sızma testlerini, şifreleme mimarisini — kim ve nasıl ğretecek?

Bu yazı kimi ilgilendiriyor?

BT yneticileri ve sistem sorumluları

Bilgi güvenliği ve BGYS sorumluları

Veri koruma sorumluları (DPO)

KVKK uyum sürecini teknik olarak yürüten ekipler

Bu Yazıda

  1. KVKK Trainingnde Grünmez Boşluk: Teknik Taraf
  2. Madde 12 Ne Diyor? Teknik Tedbirlerin Hukuki Çerçevesi
  3. KVKK Teknik Tedbirler: 8 Kritik Alan ve Gerçek Uygulama
  4. Kurul Kararlarından: Teknik Eksiklikler Cezaya Nasıl Dnüşüyor?
  5. Teknik KVKK Trainingnde Hedef Kitle Kimdir?
  6. Secure Fors KVKK Teknik Tedbirler Eğitiminin Kapsamı
  7. Sık Sorulan Sorular

1. KVKK Trainingnde Grünmez Boşluk: Teknik Taraf

Türkiye’de KVKK eğitim pazarına bakıldığında hâkim bir tablo grülür: Hukuk büroları, consulting firmaları ve avukatlar tarafından verilen eğitimlerde kanun maddeleri, ilgili kişi hakları, aydınlatma metinleri, açık rıza şartları, VERBİS kaydı ve cezai yaptırımlar anlatılır. Bu eğitimlerin büyük çoğunluğu hukuki perspektiften kurgulanmıştır ve hukuki perspektiften mükemmel biçimde yürütülür.

Ancak KVKK uyumunun kritik ikinci ayağı — Madde 12’nin gerektirdiği teknik tedbirler — bu eğitimlerde ya hiç işlenmez ya da “security duvarı kurulmalıdır, log tutulmalıdır, sızma testi yapılmalıdır” gibi maddelerle geçiştirilir.

Bunun nedeni basittir: Teknik tedbirleri gerçek anlamda ğretmek için siber security uzmanlığı gerekir. Bir avukat “erişim kontrolü yapılmalıdır” diyebilir; ama Active Directory’de rol tabanlı erişim matrisinin nasıl kurulacağını, log bütünlüğünün nasıl sağlanacağını veya sızma testinin hangi kapsamda yapılması gerektiğini ğretemez. Bu uzmanlık bilgi güvenliği alanındadır — hukuki alanda değil.

Hukuki Taraf
Avukatlar ve hukuk danışmanları anlatır

Kanun kapsamı ve tanımlar

İlgili kişi hakları ve başvuru süreçleri

Aydınlatma metni ve açık rıza şartları

VERBİS kaydı ve sicil yükümlülükleri

İdari para cezaları ve yaptırımlar

Veri imha politikası ve saklama süreleri

Teknik Taraf
Siber security uzmanları ğretir

Erişim kontrolü ve yetki matrisinin kurulumu

Log ynetimi, SIEM ve adli bilişim için iz kaydı

Şifreleme standartları ve anahtar ynetimi

Sızma testi kapsamı ve zafiyet ynetimi

Ağ güvenliği, segmentasyon ve security duvarı

Veri ihlali tespiti ve 72 saatlik bildirim sürecinin teknik boyutu

2. Madde 12 Ne Diyor? Teknik Tedbirlerin Hukuki Çerçevesi

KVKK’nın 12. maddesi, veri sorumlularına üç temel yükümlülük getirir: kişisel verilerin hukuka aykırı olarak işlenmesini nlemek, hukuka aykırı erişimi nlemek ve verilerin muhafazasını sağlamak. Bu yükümlülükleri yerine getirmek için “uygun security düzeyini temin etmeye ynelik gerekli her türlü teknik ve idari tedbiri almak” zorunludur.

KVKK Madde 12/1 — Doğrudan Alıntı

“Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini nlemek, kişisel verilere hukuka aykırı olarak erişilmesini nlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun security düzeyini temin etmeye ynelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

Kurul’un Kişisel Veri Güvenliği Rehberi bu maddeyi somutlaştıran 34’ten fazla teknik tedbir tanımlamaktadır. Bunlar artık muğlak tavsiyeler değil; Kurul’un ihlal sonrası incelemelerinde kontrol ettiği somut gereksinimlerdir.

Kritik Nokta: Kurul, ihlal sonrası incelemelerde kurumun “iyi niyetini” veya “bütçe kısıtlarını” değil, “teknolojinin ulaştığı seviye”ye gre alınmış somut nlemleri baz alır. Bugün standart kabul edilen kontrollerin eksikliği — MFA yokluğu, düzensiz log ynetimi, yıllarca yapılmamış sızma testi — doğrudan ağır kusur olarak değerlendirilmektedir.

3. KVKK Teknik Tedbirler: 8 Kritik Alan ve Gerçek Uygulama

Her alan için hem kanunun ne dediğini hem de BT ekiplerinin bunu pratikte nasıl karşılayacağını ele alıyoruz:

01

Erişim Controlü ve Kimlik Ynetimi

Minimum yetki · Yetki matrisi · MFA · PAM

Kanun Ne Diyor?

Kişisel verilere erişim, employeeın grevinin gerektirdiği lçüyle sınırlı tutulmalıdır. Kullanıcı adı ve parola ile sisteme giriş sağlanmalı, giriş-çıkış kayıtları tutulmalıdır. Uzaktan erişimde çok faktrlü doğrulama (MFA) zorunludur.

BT Ekibi Bunu Nasıl Karşılar?

Active Directory veya LDAP üzerinde rol tabanlı erişim kontrolü (RBAC). Kişisel veri içeren sistemler için ayrı yetki matrisinin oluşturulması. VPN ve uzaktan erişimde MFA zorunluluğu. Ayrıcalıklı hesap ynetimi (PAM) ve “en az yetki” ilkesinin uygulanması.

02

Log Ynetimi ve İzleme

Log bütünlüğü · SIEM · 72 saat ihlal bildirimi · Adli iz kaydı

Kanun Ne Diyor?

Tüm kullanıcıların işlem hareketleri düzenli olarak kaydedilmelidir. Güvenlik yazılımı mesajları ve erişim kontrolü kayıtları düzenli kontrol edilmelidir. İhlal tespit edildiğinde deliller toplanmalı ve güvenli şekilde saklanmalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Merkezi log ynetimi altyapısı (SIEM). Log bütünlüğünün zaman damgası ile güvence altına alınması — Kurul incelemelerde logların manipüle edilmediğini arar. Kişisel veri içeren sistemlere erişim loglarının ayrıca tutulması ve saklanması. Anormal erişim davranışlarında (mesai dışı, toplu sorgulama) otomatik uyarı.

03

Şifreleme ve Anahtar Ynetimi

Disk şifreleme · Transit şifreleme · Anahtar ynetimi · Bulut şifreleme

Kanun Ne Diyor?

Kişisel veriler disk şifreleme veya dosya şifreleme ile korunmalıdır. Uluslararası kabul grmüş şifreleme yntemleri kullanılmalıdır. Asimetrik şifreleme tercih edilmesi halinde anahtar ynetimine zen gsterilmelidir. Bağlantılar SSL/TLS veya daha güvenli yntemlerle gerçekleştirilmelidir.

BT Ekibi Bunu Nasıl Karşılar?

Dizüstü bilgisayar ve taşınabilir depolama cihazlarında tam disk şifreleme (BitLocker, FileVault). Veri tabanı seviyesinde şifreleme (TDE). Bulut ortamında müşteri ynetimli şifreleme anahtarları (CMEK). API ve web uygulamalarında TLS 1.2+ zorunluluğu. Şifreleme anahtarlarının HSM veya ayrı kasada ynetimi.

04

Ağ Güvenliği ve Segmentasyon

Güvenlik duvarı · Ağ segmentasyonu · IDS/IPS · Güvenli DNS

Kanun Ne Diyor?

Kişisel veri içeren sistemler internet tehditlerine karşı security duvarı ve ağ geçidi ile korunmalıdır. Ağ bileşenleri arasında erişim sınırlandırılmalı veya bileşenler ayrılmalıdır. Bilişim ağında sızma veya olmaması gereken hareketler tespit edilmelidir.

BT Ekibi Bunu Nasıl Karşılar?

Kişisel veri içeren sistemlerin ayrı VLAN veya DMZ’de konumlandırılması. NGFW (yeni nesil security duvarı) ile uygulama katmanı denetimi. IDS/IPS ile anormal trafik tespiti. Çalışan cihazlarının “bring your own device” (BYOD) politikası kapsamında ağa kısıtlı erişimi. Yazılım tanımlı çevre (SDP) veya Zero Trust yaklaşımı.

05

Penetration Testing ve Zafiyet Ynetimi

Pentest · Zafiyet taraması · Yama ynetimi · Güvenlik açığı kapatma

Kanun Ne Diyor?

Bilişim sistemleri bilinen zafiyetlere karşı düzenli olarak zafiyet taraması ve sızma testine tabi tutulmalıdır. Ortaya çıkan security açıkları tespit edilmeli ve giderilmelidir. Yazılım ve donanım güncellemeleri (yama ynetimi) düzenli yapılmalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Yılda en az bir kez kapsamlı sızma testi (iç ağ + web uygulamaları + API). Pentest raporunun Kurul incelemelerinde kanıt değeri taşıdığı bilinmeli. Otomatik zafiyet taraması (Nessus, OpenVAS vb.) ve bulgular için kapatma takip sistemi. CVE ve security bülteni takibine dayalı yama nceliklendirme prosedürü.

06

Veri Maskeleme ve Anonimleştirme

SDM · DDM · Pseudonymisation · Test ortamı güvenliği

Kanun Ne Diyor?

Hassas verilerin, yetkisiz kişilerce anlaşılmaz hale getirilmesi için maskeleme uygulanmalıdır. Kişisel veriler anonimleştirme tekniklerine uygun olarak anonim hale getirilmelidir. Test ve geliştirme ortamlarında gerçek kişisel veri kullanılmamalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Statik veri maskeleme (SDM): Test/geliştirme ortamları için gerçek veri yerine maskeli kopya üretimi. Dinamik veri maskeleme (DDM): Yetkisiz kullanıcılara canlı veride kısmi gsterim (T.C. kimlik numarasının son 4 hanesi gizleme). Test ortamı politikası: Kurul kararlarında test ortamında gerçek veri kullanımı ağır kusur sayılmaktadır.

07

Yedekleme ve Fiziksel Güvenlik

Yedekleme stratejisi · Felaket kurtarma · Fiziksel erişim kontrolü · Ortam güvenliği

Kanun Ne Diyor?

Kişisel verilerin bulunduğu fiziksel ortamlar dış risklere (yangın, sel) karşı korunmalıdır. Giriş-çıkış kayıtları tutulmalıdır. Kişisel verilerin kayıp ve yetkisiz erişime karşı yedeklenmesi ve felaket kurtarma planının bulunması gerekmektedir.

BT Ekibi Bunu Nasıl Karşılar?

3-2-1 yedekleme kuralı: 3 kopya, 2 farklı ortam, 1 offsite. Yedeklerin şifreli tutulması ve yalnızca sistem yneticisinin erişebilmesi. Sunucu odası fiziksel erişim kayıtları (biyometrik giriş, CCTV). Yangın ve su baskını için uygun fiziksel altyapı belgesi. Felaket kurtarma tatbikatı ve kayıtları.

08

Veri İhlali Tespiti ve 72 Saatlik Bildirim

İhlal tespit altyapısı · Olay müdahale planı · Kurul bildirimi · Delil koruma

Kanun Ne Diyor?

Veri güvenliği ihlalleri en kısa sürede (72 saat) Kurul’a bildirilmelidir. İhlal delilleri toplanmalı ve güvenli şekilde saklanmalıdır. Çalışanların ihlali hızla raporlaması için resmi prosedür olmalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Veri ihlali olay müdahale planı (IRP) ve belgelenmiş akış. SIEM alarmlarından ihlal tespitine kadar sürecin otomatize edilmesi. 72 saatlik bildirim süresini karşılamak için teknik altyapı — sistemin log yapısı yeterli bilgiyi sağlamazsa bildirim yapılamaz. Adli bilişim (forensics) delil koruma prosedürü.

4. Kurul Kararlarından: Teknik Eksiklikler Cezaya Nasıl Dnüşüyor?

Kişisel Verileri Koruma Kurulu’nun açıkladığı karar gerekçeleri incelendiğinde, yaptırımların büyük çoğunluğunun teknik tedbirlerin eksikliğinden kaynaklandığı grülmektedir. İşte Kurul’un teknik boyutta en sık tespit ettiği ağır kusurlar:

!

MFA eksikliği → Uzaktan erişimde hesap ele geçirilmesi

VPN veya uzaktan masaüstü sistemlerinde tek faktrlü kimlik doğrulama kullanımı, “teknolojik imkânların kullanılmaması” olarak nitelendirilmektedir. Kurul bu durumu ağır kusur kabul etmektedir.

!

Güncel olmayan yazılım ve yamasız sistemler

Bilinen bir CVE security açığının kapatılmadan bırakılması ve bu açıktan kaynaklanan sızma, veri sorumlusunun ihmali olarak doğrudan cezaya yol açmaktadır.

!

API ve web servislerinde yetkisiz veri erişimi

Açık portlar veya kimlik doğrulaması olmayan API uç noktaları üzerinden kişisel veri çekilmesi, uygulama güvenliği tedbirlerinin yetersizliğine kanıt sayılmaktadır.

!

Sızma testi yapılmamış veya raporlanmamış sistemler

Yıllarca sızma testi yapılmamış ya da yapılmış ama bulgular kapatılmamış sistemler, ihlal sonrasında güçlü bir hukuki sorumluluğa yol açmaktadır.

!

Test ortamında gerçek kişisel veri kullanımı

Yazılım geliştirme veya test ortamlarında gerçek müşteri verilerinin kullanılması, Kurul tarafından teknik tedbirlerin ağır ihlali olarak değerlendirilmektedir.

!

72 saatlik bildirimi karşılayamayan log altyapısı

Bildirim yapılamamasının en sık teknik nedeni: sistemin log altyapısının ihlali zamanında tespit edecek yeterlilikte olmaması. Bu hem ihlal yükümlülüğü hem de teknik tedbir eksikliği olarak çift sorumluluk doğurmaktadır.

5. Teknik KVKK Trainingnde Hedef Kitle Kimdir?

Hukuki KVKK eğitiminin hedef kitlesi genellikle genel employeelardır. Teknik KVKK eğitimi ise kurumda teknik tedbirlerin uygulanmasından sorumlu kişilere yneliktir:

BT Yneticileri ve Sistem Sorumluları

Güvenlik duvarı, erişim kontrolü, yedekleme ve sistem güvenliğini doğrudan yneten kişiler. Kanunun gerektirdiği teknik altyapının kurulumundan sorumludur.

Eğitimde ğrenecekleri

  • KVKK uyumlu erişim matrisi nasıl kurulur?
  • Log altyapısı nasıl yapılandırılır?
  • Yedekleme politikası nasıl tasarlanır?

Bilgi Güvenliği ve BGYS Sorumluları

ISO 27001 ve KVKK’nın teknik kontrollerini entegre ynetmekle grevli kişiler. Sızma testi sürecini koordine eder, zafiyet ynetimini yürütür.

Eğitimde ğrenecekleri

  • Kurul kararları hangi kontrolleri zorunlu kılıyor?
  • Sızma testi KVKK kanıtı olarak nasıl kullanılır?
  • ISO 27001 ile KVKK teknik tedbirleri rtüşür mü?

Veri Koruma Sorumluları (DPO) ve Uyum Ekipleri

Teknik ekiple hukuki yükümlülükler arasında kprü kuran kişiler. Kurul incelemeleri için kanıt toplamakla sorumludur.

Eğitimde ğrenecekleri

  • Teknik tedbirlerin uygulandığına dair kanıt paketi nasıl hazırlanır?
  • BT ekibinden doğru soruları nasıl sorarım?
  • 72 saatlik bildirim teknik sürecini nasıl ynetirim?

6. Secure Fors KVKK Teknik Tedbirler Eğitiminin Kapsamı

Eğitimimiz, KVKK’nın teknik boyutunu sadece anlatmaz — kurumunuzun mevcut durumuna gre nasıl uygulanacağını ğretir. Teorik içerik ile sahadan rnekler birlikte işlenir:

Eğitim Müfredatı

Modül 1

KVKK Madde 12 ve Teknik Tedbirlerin Hukuki Çerçevesi

Kanun ne gerektiriyor, Kurul ne bekliyor, “uygun security düzeyi” ne anlama geliyor. Emsal Kurul kararları ile gerçek rnekler.

Modül 2

Erişim Controlü ve Kimlik Ynetimi

RBAC, en az yetki ilkesi, MFA zorunluluğu, PAM. Kurumunuzun mevcut erişim yapısını KVKK perspektifinden nasıl değerlendirirsiniz?

Modül 3

Log Ynetimi, SIEM ve İzleme

Kurul’un aradığı log bütünlüğü ve iz kaydı standartları. SIEM alarmlarından ihlal tespitine süreç. 72 saatlik bildirim için teknik altyapı gereksinimleri.

Modül 4

Şifreleme, Veri Maskeleme ve Anonimleştirme

Transit ve rest şifreleme standartları. Anahtar ynetimi. Test ortamı için veri maskeleme uygulamaları. Anonimleştirme ile pseudonymisation farkı.

Modül 5

Penetration Testing, Vulnerability Scanning ve Yama Ynetimi

KVKK kapsamında pentest kapsamının doğru belirlenmesi. Zafiyet ynetim dngüsü. Sızma testi raporunun Kurul incelemelerindeki hukuki değeri.

Modül 6

Veri İhlali Müdahalesi ve Kurul’a Bildirim

İhlal tespit → sınıflandırma → müdahale → 72 saatlik bildirim akışı. Olay müdahale planının teknik bileşenleri. Delil koruma ve adli bilişim temelleri.

Yerinde veya Uzaktan

Kurumunuza zel kapalı sınıf formatı. Kendi sistemleriniz üzerinden gerçek senaryolarla çalışma imkânı.

Özelleştirilebilir Kapsam

Sektr ve kuruma zgü senaryolar. Finans, sağlık, üretim veya teknoloji firmalarına zel vakalar ile rnekler.

Katılım Belgesi

Eğitim katılımını belgeleyen sertifika. Kurul incelemelerinde “employee eğitimi” idari tedbirinin kanıtı olarak kullanılabilir.

7. Sık Sorulan Sorular

KVKK eğitimi almak yasal zorunluluk mu?

KVKK Madde 12 kapsamında employeelara ynelik veri güvenliği eğitimi “idari tedbir” olarak tanımlanmıştır. Bu nedenle eğitim verilmemiş olması, Kurul incelemelerinde teknik ve idari tedbirlerin alınmadığının gstergesi sayılabilir. Eğitim zorunluluğu doğrudan bir madde ile düzenlenmemiş olsa da Kurul kararlarında eğitim eksikliği ağırlaştırıcı unsur olarak değerlendirilmektedir.

Bu eğitim, hukuk firmasından alınan KVKK eğitiminin yerine mi geçiyor?

No, tamamlayıcıdır. Hukuki KVKK eğitimi kanun kapsamını, hakları ve yaptırımları anlatır; bu alanda gerekliliğini korumaktadır. Secure Fors’un teknik tedbirler eğitimi ise Madde 12’nin BT altyapısı üzerindeki somut gereksinimlerini ğretir. İdeal KVKK uyum eğitim programı her iki perspektifi içermelidir.

Eğitimden sonra kurumun teknik tedbirler uyumu sağlanmış sayılır mı?

No; eğitim bir başlangıç noktası ve farkındalık adımıdır. Teknik tedbirlerin uygulanmış olması için altyapı değişikliklerinin gerçekleştirilmesi gerekir. Eğitim sonrasında kurumun mevcut durumunu değerlendirmek isterseniz KVKK teknik tedbir GAP analizi hizmetimizden yararlanabilirsiniz.

ISO 27001 sertifikamız varsa bu eğitime ihtiyacımız var mı?

ISO 27001 ile KVKK teknik tedbirleri büyük lçüde rtüşür; ancak zdeş değildir. KVKK Türkiye’ye zgü hukuki gereksinimler ve Kurul kararları gibi boyutlar içerir. ISO 27001 sertifikanız teknik kontrollerin temelini sağlarken, KVKK’nın spesifik gereksinimleri (kişisel veri sınıflandırması, 72 saatlik bildirim, test ortamı politikası) ayrıca değerlendirilmelidir.

Eğitim süresi ne kadardır ve kaç kişi katılabilir?

Standart program 1 tam gün (8 saat); derinlemesine uygulama atlyeleriyle birlikte 2 güne uzatılabilir. Katılımcı sayısı 5-25 kişi arasında verimli bir şekilde yürütülmektedir. Farklı ihtiyaçlar için modüler yapı oluşturulabilir: yalnızca log ynetimi veya yalnızca sızma testi kapsamı gibi odaklı yarım günlük oturumlar da planlanabilir.

Secure Fors — KVKK Eğitim Hizmetleri

KVKK’nın Teknik Tarafını
Doğru Ekipten Öğrenin

CEH, ISO 27001 Lead Auditor ve CBDDO D1-D2 Lead Auditor sertifikasına sahip uzman eğitmenlerimizle KVKK Madde 12 kapsamındaki teknik tedbirleri, Kurul kararlarını ve sahadan rnekleri birlikte işliyoruz. Kurumunuza zel, kapalı sınıf formatı.

6 modüllü teknik eğitim programı

Emsal Kurul kararları ile gerçek vakalar

Kuruma zel senaryo ve uygulamalar

Katılım belgesi (idari tedbir kanıtı)

BT yneticisi, BGYS sorumlusu, DPO formatları

Yerinde veya uzaktan eğitim seçeneği

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram