Shadow AI: Company Trustliğin Yeni Kör Noktası

01Shadow AI What Is It?

Shadow AI; kurumun resmi onay süreçlerinden geçmemiş, BT veya Security birimi tarafından denetlenmeyen ve şirket politikalarının kapsama almadığı yapay zekâ araçlarının çalışanlar tarafından iş amaçlı kullanılmasıdır. KVKK’nın Şubat 2026 rehberinde bu olgu Gölge Yapay Zekâ (Gölge YZ) olarak resmi biçimde tanımlanmaktadır.

Kavram, onlarca yıldır gündemde olan Shadow IT‘nin doğal evrimi olarak karşımıza çıkar. Fark şudur: ChatGPT, Gemini, Claude, Copilot, Perplexity gibi araçlar kredi kartı bile gerekmeden, tek tıklamayla erişilebilir durumdadır.

Sorun kullanımın kendisinden değil, bu kullanımın görünmez olmasından kaynaklanmaktadır. Bir pazarlama uzmanı müşteri verisiyle beslediği bir prompt’u ChatGPT’ye yapıştırdığında, ne CISO’nun ne de hukuk departmanının haberi olmaz. Artık bu durumun yalnızca operasyonel değil, hukuki Resultsı da mevcuttur.

Shadow IT’yi kontrol altına almak için yıllarca mücadele verdik. Shadow AI ise bu mücadelenin çok daha hızlı hareket eden ve artık düzenleyici otorite tarafından da izlenen yeni bölümüdür.

// Rakamlarla Shadow AI

02KVKK Şubat 2026: Artık Tercih Değil

Uzun süre “iyi uygulama” meselesi olarak ele alınan Shadow AI Management, Şubat 2026 itibarıyla Türkiye’de açık bir düzenleyici boyut kazanmıştır. KVKK, “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı rehberini yayımlayarak kurumların bu alanda hareketsiz kalamayacağını ortaya koymuştur.

Rehber; 6698 sayılı Kanun çerçevesinde değerlendirilmekte olup veri sorumlusu konumundaki kurum ve kuruluşlara yönelik somut beklentiler içermektedir.

// KVKK Rehberi — Kurumlar İçin Temel Yükümlülükler

Veri Sorumlusu Yükümlülüğü

Çalışanların üçüncü taraf AI araçlarıyla işlediği kişisel verilerden kurum, veri sorumlusu sıfatıyla sorumlu tutulabilir. “Çalışan kendi inisiyatifiyle kullandı” savunması bu sorumluluğu ortadan kaldırmaz.

Company Politika Zorunluluğu

ÜYZ araçlarının iş yerinde kullanımına ilişkin açık bir politika oluşturulması beklenmektedir. Politikasızlık artık aktif uyumsuzluk göstergesidir.

İzleme ve Denetim Beklentisi

Hangi araçların kullanıldığı, hangi veri türlerinin aktarıldığı ve çıktıların nasıl değerlendirildiğine dair Company görünürlük sağlanmalıdır.

Çalışan Bilgilendirmesi

Hangi tür verilerin AI araçlarıyla paylaşılamayacağı konusunda çalışanların bilgilendirilmesi ve farkındalık faaliyetleri yürütülmesi öngörülmektedir.

Yurt Dışı Veri Aktarımı

Yabancı kökenli AI araçlarına kişisel veri aktarımı KVKK’nın yurt dışı aktarım hükümleri kapsamında değerlendirilmek zorundadır. “Ücretsiz araca yapıştırdım” bu yükümlülüğü ortadan kaldırmaz.

Not: KVKK rehberi doğrudan bağlayıcı bir yönetmelik statüsünde değildir; ancak 6698 sayılı Kanun’un uygulanma biçimini göstermektedir. Denetim veya ihlal sürecinde rehbere aykırı davranan kurumun pozisyonu ciddi biçimde zayıflayacaktır.

03Riskler Nelerdir?

Shadow AI’ın yarattığı riskler tek boyutlu değildir; veri gizliliği, hukuki yükümlülük, operasyonel bütünlük ve itibar başlıklarında iç içe geçmiş durumdadır.

// Risk Matrisi — 6 Kritik Alan

Risk 01
Veri Sızıntısı ve KVKK/GDPR İhlali

Kişisel veri, finansal kayıt veya ticari sır içeren prompt’ların AI servislerine iletilmesi KVKK kapsamında veri aktarımı sayılabilir. Model eğitimine dahil edilme riski görmezden gelinemez.

Risk 02
Fikri Mülkiyet Kaybı

Kaynak kodu, tasarım dokümanları ve ticari strateji belgelerinin AI’a beslenmesi, kurumun rekabet avantajını geri dönüşü olmayacak biçimde tehlikeye atabilir.

Risk 03
Tedarik Zinciri Riski

Çalışanın kullandığı AI aracı başka bir SaaS entegrasyonuna bağlıysa, bu entegrasyonun Security postürü kurumun doğrudan riski haline gelir.

Risk 04
Yanlış Bilgi ve Operasyonel Hata

Doğrulanmamış AI çıktılarının Company süreçlere dahil edilmesi halüsinasyon kaynaklı hatalara zemin hazırlar. Hız kazanılırken doğruluk kaybedilir.

Risk 05
Denetimsiz Veri İşleme

AI araçları verileri nerede işler, ne kadar saklar, kim erişir? Bu soruların yanıtsız kaldığı ortamlarda denetim izi oluşturmak imkânsızlaşır.

Risk 06
Hesap Verebilirlik Boşluğu

Onaylı olmayan araçtan üretilen inaccurate outputsnın kime ait olduğu belirsizleşir. Bu belirsizlik iç ve dış denetimlerde kritik Security açığına dönüşür.

04Company Ölçekte Ne Anlama Gelir?

Bireysel kullanımda sınırlı görünen risk, Company ölçeğe taşındığında katlanarak büyür.

Senaryo: Yazılım geliştirme ekibinin yarısı, şirket kaynak kodunu farklı AI kod asistanlarına yapıştırarak üretkenliğini artırmaktadır. Security ekibinin bundan haberi yoktur. Bu araçların hangisi verileri model eğitimine dahil eder? Hangisi AB dışı sunucularda işler? Yanıtlar boşlukta kalmaktadır.

Uyumluluk Çöküşü

ISO 27001, BDDK, SOC 2 gibi çerçeveler veri işleme faaliyetlerinin belgelenmesini ve kontrol edilmesini zorunlu kılar. Shadow AI bu belgeleme zincirini kırar ve dış denetimlerde kritik bulgulara yol açar.

Security Mimarisinin Kör Noktaları

DLP sistemleri ve CASB çözümleri, onaysız AI araçlarına yönelik veri akışlarını genellikle görünür kılmaz. Bu durum SOC’ta büyük kör noktalar oluşturur.

İş Sürekliliği Riski

Bir team iş süreçlerini onaysız bir AI aracına bağlamışsa ve bu araç hizmet dışı kalır ya da politikasını değiştirirse, kurum hazırlıksız yakalanır.

05Tespit Yöntemleri

Shadow AI’ı tespit etmek, çoğu kullanımın meşru HTTPS trafiği üzerinden gerçekleşmesi nedeniyle Shadow IT’den daha karmaşıktır. Ancak etkili yöntemler mevcuttur.

// Tespit Araç Seti

DNS & Proxy Log
OpenAI, Anthropic, Google AI ve benzeri domainlere Company ağdan yapılan sorguları düzenli analiz edin. Alışılmadık hacimler ilk sinyali verir.
CASB Entegrasyonu
Netskope, Zscaler, Skyhigh gibi çözümler onaysız AI uygulamalarını otomatik bayrakla işaretleyebilir; SaaS kullanımını kategorize eder.
Endpoint Telemetrisi
EDR ve UEM çözümlerinden gelen veriler, Company cihazlarda hangi AI araçlarının aktif olduğunu ve ne sıklıkta kullanıldığını ortaya koyar.
DLP Kural Genişletme
AI servis domainlerini DLP politikalarına ekleyin. Büyük metin bloklarının bu domainlere yönlenmesi yüksek öncelikli uyarı olarak konfigüre edilmelidir.
Çalışan Anketleri
Anonim anketler, gizli AI kullanımını yüzeye çıkarmada şaşırtıcı derecede etkilidir. Teknik araçları tamamlayan kritik bir katmandır.
Uygulama Envanteri
ITSM platformundaki onaylı uygulama inventory ile fiili kullanımı karşılaştırın. Envanter dışı AI araçları bu fark analizinde görünür hale gelir.

06Yönetişim Çerçevesi

Shadow AI sorununa yasak ve kısıtlama odaklı yaklaşmak tarihsel olarak başarısız olmuş bir stratejidir. Çalışanlar yine de kullanır; yalnızca daha gizli kullanır. Etkili yönetişim engellemek yerine görünür kılmak ve güvenli alternatifleri sunmak üzerine inşa edilmelidir.

// Yönetişim — 6 Sütun

I
Resmi AI Politikası ve Araç Kategorilendirmesi
Onaylı / Risk Değerlendirmesi Gerekli / Yasak şeklinde üç katmanlı sınıflandırma. Politikasızlık artık uyumsuzluk göstergesidir.
II
Hızlı Onay Mekanizması
5–10 iş günlük değerlendirme penceresi, ITSM üzerinden yürütülmeli. Onay süresi uzadıkça gölge kullanım artar.
III
Company AI Platformu Sağlama
Microsoft 365 Copilot, ChatGPT Enterprise gibi Company seçenekler; veri koruma garantileriyle gölge kullanımı tersine çevirir.
IV
Farkındalık Eğitimi
Politikanın arkasındaki “neden”i anlatan Trainings yasakçı yaklaşımdan çok daha etkilidir. AI güvenli kullanım eğitimi yıllık programların ayrılmaz parçası olmalıdır.
V
Sürekli İzleme ve Risk Değerlendirmesi
Yılda en az iki Shadow AI tarama süreci ve ISMS risk kaydının güncellenmesi zorunludur.
VI
KVKK Şubat 2026 Rehberi Uyumu
AI araçlarını veri işleme inventoryne ekleyin, gerektiğinde DPIA yapın, yurt dışı aktarım mekanizmalarını netleştirin. Hukuk birimi ile “veri işleyici” sözleşmesini değerlendirin.
Temel ilke: AI yönetişimi bir Security departmanı projesi olarak başlar; ancak İK, Hukuk, İş Birimleri ve Üst Yönetim katılımını gerektiren Company bir dönüşüm programına evrilmelidir.

SonYasak Değil, Visibility — Ama Artık Zorunlu

Shadow AI, kurumların yapay zekâyı nasıl benimsediğine dair gerçek bir sinyal taşır: çalışanlar bu araçları kullanmak ister, çünkü işe yarıyorlar. Problem, bu isteğin Company Security ve uyumluluk mekanizmalarının dışında kalmasıdır.

KVKK’nın Şubat 2026 rehberi bu tartışmayı yeni bir boyuta taşıdı. Shadow AI artık yalnızca bir Security açığı değil, 6698 sayılı Kanun kapsamında hesap verilmesi gereken bir yönetim alanıdır. Denetimciler bu rehberi biliyor. Düzenleyiciler bu alana bakıyor.

Shadow AI’ı görünür kılmak hem uyumluluğun hem de Securityn başlangıç noktasıdır.

Shadow AI Gölge YZ KVKK ISO 27001 BGYS AI Yönetişimi Veri Security CASB DLP

SSSSıkça Sorulan Sorular

Shadow AI (Gölge YZ) nedir? +
Shadow AI; kurumun resmi onay süreçlerinden geçmemiş, BT veya Security birimi tarafından denetlenmeyen yapay zekâ araçlarının çalışanlar tarafından iş amaçlı kullanılmasıdır. KVKK Şubat 2026 rehberinde “Gölge YZ” olarak tanımlanmaktadır.
KVKK Shadow AI konusunda ne diyor? +
KVKK, Şubat 2026’da “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” rehberini yayımladı. Rehber; politika oluşturma, çalışan bilgilendirme, veri işleme inventoryni güncelleme ve yurt dışı aktarım mekanizmalarını netleştirme beklentilerini içermektedir.
Shadow AI nasıl tespit edilir? +
DNS/proxy log analizi, CASB entegrasyonu, endpoint telemetrisi (EDR/UEM), DLP kural genişletme ve anonim çalışan anketleri en etkili tespit yöntemleridir. Teknik araçlar ile insan faktörü birlikte kullanılmalıdır.
Shadow AI’ı yasaklamak doğru bir strateji midir? +
No. Yasakçı yaklaşım tarihsel olarak başarısız olmuştur; çalışanlar yine de kullanır, yalnızca daha gizli kullanır. Etkili strateji; güvenli Company alternatifler sunmak, hızlı onay mekanizması kurmak ve açık bir politika yayımlamaktır.
Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram