KVKK Teknik Tedbirler Eğitimi:BT ve Güvenlik Ekiplerininİhtiyaç Duyduğu Taraf

Secure Fors — KVKK Eğitim Serisi

KVKK Teknik Tedbirler Eğitimi:
BT ve Güvenlik Ekiplerinin
İhtiyaç Duyduğu Taraf

KVKK eğitiminin hukuki tarafını avukatlar anlatıyor. Peki Madde 12’nin gerektirdiği teknik kontrolleri — erişim yönetimini, log sistemlerini, sızma testlerini, şifreleme mimarisini — kim ve nasıl öğretecek?

Bu yazı kimi ilgilendiriyor?

BT yöneticileri ve sistem sorumluları

Bilgi güvenliği ve BGYS sorumluları

Veri koruma sorumluları (DPO)

KVKK uyum sürecini teknik olarak yürüten ekipler

Bu Yazıda

  1. KVKK Eğitiminde Görünmez Boşluk: Teknik Taraf
  2. Madde 12 Ne Diyor? Teknik Tedbirlerin Hukuki Çerçevesi
  3. KVKK Teknik Tedbirler: 8 Kritik Alan ve Gerçek Uygulama
  4. Kurul Kararlarından: Teknik Eksiklikler Cezaya Nasıl Dönüşüyor?
  5. Teknik KVKK Eğitiminde Hedef Kitle Kimdir?
  6. Secure Fors KVKK Teknik Tedbirler Eğitiminin Kapsamı
  7. Sık Sorulan Sorular

1. KVKK Eğitiminde Görünmez Boşluk: Teknik Taraf

Türkiye’de KVKK eğitim pazarına bakıldığında hâkim bir tablo görülür: Hukuk büroları, danışmanlık firmaları ve avukatlar tarafından verilen eğitimlerde kanun maddeleri, ilgili kişi hakları, aydınlatma metinleri, açık rıza şartları, VERBİS kaydı ve cezai yaptırımlar anlatılır. Bu eğitimlerin büyük çoğunluğu hukuki perspektiften kurgulanmıştır ve hukuki perspektiften mükemmel biçimde yürütülür.

Ancak KVKK uyumunun kritik ikinci ayağı — Madde 12’nin gerektirdiği teknik tedbirler — bu eğitimlerde ya hiç işlenmez ya da “güvenlik duvarı kurulmalıdır, log tutulmalıdır, sızma testi yapılmalıdır” gibi maddelerle geçiştirilir.

Bunun nedeni basittir: Teknik tedbirleri gerçek anlamda öğretmek için siber güvenlik uzmanlığı gerekir. Bir avukat “erişim kontrolü yapılmalıdır” diyebilir; ama Active Directory’de rol tabanlı erişim matrisinin nasıl kurulacağını, log bütünlüğünün nasıl sağlanacağını veya sızma testinin hangi kapsamda yapılması gerektiğini öğretemez. Bu uzmanlık bilgi güvenliği alanındadır — hukuki alanda değil.

Hukuki Taraf
Avukatlar ve hukuk danışmanları anlatır

Kanun kapsamı ve tanımlar

İlgili kişi hakları ve başvuru süreçleri

Aydınlatma metni ve açık rıza şartları

VERBİS kaydı ve sicil yükümlülükleri

İdari para cezaları ve yaptırımlar

Veri imha politikası ve saklama süreleri

Teknik Taraf
Siber güvenlik uzmanları öğretir

Erişim kontrolü ve yetki matrisinin kurulumu

Log yönetimi, SIEM ve adli bilişim için iz kaydı

Şifreleme standartları ve anahtar yönetimi

Sızma testi kapsamı ve zafiyet yönetimi

Ağ güvenliği, segmentasyon ve güvenlik duvarı

Veri ihlali tespiti ve 72 saatlik bildirim sürecinin teknik boyutu

2. Madde 12 Ne Diyor? Teknik Tedbirlerin Hukuki Çerçevesi

KVKK’nın 12. maddesi, veri sorumlularına üç temel yükümlülük getirir: kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi önlemek ve verilerin muhafazasını sağlamak. Bu yükümlülükleri yerine getirmek için “uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak” zorunludur.

KVKK Madde 12/1 — Doğrudan Alıntı

“Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

Kurul’un Kişisel Veri Güvenliği Rehberi bu maddeyi somutlaştıran 34’ten fazla teknik tedbir tanımlamaktadır. Bunlar artık muğlak tavsiyeler değil; Kurul’un ihlal sonrası incelemelerinde kontrol ettiği somut gereksinimlerdir.

Kritik Nokta: Kurul, ihlal sonrası incelemelerde kurumun “iyi niyetini” veya “bütçe kısıtlarını” değil, “teknolojinin ulaştığı seviye”ye göre alınmış somut önlemleri baz alır. Bugün standart kabul edilen kontrollerin eksikliği — MFA yokluğu, düzensiz log yönetimi, yıllarca yapılmamış sızma testi — doğrudan ağır kusur olarak değerlendirilmektedir.

3. KVKK Teknik Tedbirler: 8 Kritik Alan ve Gerçek Uygulama

Her alan için hem kanunun ne dediğini hem de BT ekiplerinin bunu pratikte nasıl karşılayacağını ele alıyoruz:

01

Erişim Kontrolü ve Kimlik Yönetimi

Minimum yetki · Yetki matrisi · MFA · PAM

Kanun Ne Diyor?

Kişisel verilere erişim, çalışanın görevinin gerektirdiği ölçüyle sınırlı tutulmalıdır. Kullanıcı adı ve parola ile sisteme giriş sağlanmalı, giriş-çıkış kayıtları tutulmalıdır. Uzaktan erişimde çok faktörlü doğrulama (MFA) zorunludur.

BT Ekibi Bunu Nasıl Karşılar?

Active Directory veya LDAP üzerinde rol tabanlı erişim kontrolü (RBAC). Kişisel veri içeren sistemler için ayrı yetki matrisinin oluşturulması. VPN ve uzaktan erişimde MFA zorunluluğu. Ayrıcalıklı hesap yönetimi (PAM) ve “en az yetki” ilkesinin uygulanması.

02

Log Yönetimi ve İzleme

Log bütünlüğü · SIEM · 72 saat ihlal bildirimi · Adli iz kaydı

Kanun Ne Diyor?

Tüm kullanıcıların işlem hareketleri düzenli olarak kaydedilmelidir. Güvenlik yazılımı mesajları ve erişim kontrolü kayıtları düzenli kontrol edilmelidir. İhlal tespit edildiğinde deliller toplanmalı ve güvenli şekilde saklanmalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Merkezi log yönetimi altyapısı (SIEM). Log bütünlüğünün zaman damgası ile güvence altına alınması — Kurul incelemelerde logların manipüle edilmediğini arar. Kişisel veri içeren sistemlere erişim loglarının ayrıca tutulması ve saklanması. Anormal erişim davranışlarında (mesai dışı, toplu sorgulama) otomatik uyarı.

03

Şifreleme ve Anahtar Yönetimi

Disk şifreleme · Transit şifreleme · Anahtar yönetimi · Bulut şifreleme

Kanun Ne Diyor?

Kişisel veriler disk şifreleme veya dosya şifreleme ile korunmalıdır. Uluslararası kabul görmüş şifreleme yöntemleri kullanılmalıdır. Asimetrik şifreleme tercih edilmesi halinde anahtar yönetimine özen gösterilmelidir. Bağlantılar SSL/TLS veya daha güvenli yöntemlerle gerçekleştirilmelidir.

BT Ekibi Bunu Nasıl Karşılar?

Dizüstü bilgisayar ve taşınabilir depolama cihazlarında tam disk şifreleme (BitLocker, FileVault). Veri tabanı seviyesinde şifreleme (TDE). Bulut ortamında müşteri yönetimli şifreleme anahtarları (CMEK). API ve web uygulamalarında TLS 1.2+ zorunluluğu. Şifreleme anahtarlarının HSM veya ayrı kasada yönetimi.

04

Ağ Güvenliği ve Segmentasyon

Güvenlik duvarı · Ağ segmentasyonu · IDS/IPS · Güvenli DNS

Kanun Ne Diyor?

Kişisel veri içeren sistemler internet tehditlerine karşı güvenlik duvarı ve ağ geçidi ile korunmalıdır. Ağ bileşenleri arasında erişim sınırlandırılmalı veya bileşenler ayrılmalıdır. Bilişim ağında sızma veya olmaması gereken hareketler tespit edilmelidir.

BT Ekibi Bunu Nasıl Karşılar?

Kişisel veri içeren sistemlerin ayrı VLAN veya DMZ’de konumlandırılması. NGFW (yeni nesil güvenlik duvarı) ile uygulama katmanı denetimi. IDS/IPS ile anormal trafik tespiti. Çalışan cihazlarının “bring your own device” (BYOD) politikası kapsamında ağa kısıtlı erişimi. Yazılım tanımlı çevre (SDP) veya Zero Trust yaklaşımı.

05

Sızma Testi ve Zafiyet Yönetimi

Pentest · Zafiyet taraması · Yama yönetimi · Güvenlik açığı kapatma

Kanun Ne Diyor?

Bilişim sistemleri bilinen zafiyetlere karşı düzenli olarak zafiyet taraması ve sızma testine tabi tutulmalıdır. Ortaya çıkan güvenlik açıkları tespit edilmeli ve giderilmelidir. Yazılım ve donanım güncellemeleri (yama yönetimi) düzenli yapılmalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Yılda en az bir kez kapsamlı sızma testi (iç ağ + web uygulamaları + API). Pentest raporunun Kurul incelemelerinde kanıt değeri taşıdığı bilinmeli. Otomatik zafiyet taraması (Nessus, OpenVAS vb.) ve bulgular için kapatma takip sistemi. CVE ve güvenlik bülteni takibine dayalı yama önceliklendirme prosedürü.

06

Veri Maskeleme ve Anonimleştirme

SDM · DDM · Pseudonymisation · Test ortamı güvenliği

Kanun Ne Diyor?

Hassas verilerin, yetkisiz kişilerce anlaşılmaz hale getirilmesi için maskeleme uygulanmalıdır. Kişisel veriler anonimleştirme tekniklerine uygun olarak anonim hale getirilmelidir. Test ve geliştirme ortamlarında gerçek kişisel veri kullanılmamalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Statik veri maskeleme (SDM): Test/geliştirme ortamları için gerçek veri yerine maskeli kopya üretimi. Dinamik veri maskeleme (DDM): Yetkisiz kullanıcılara canlı veride kısmi gösterim (T.C. kimlik numarasının son 4 hanesi gizleme). Test ortamı politikası: Kurul kararlarında test ortamında gerçek veri kullanımı ağır kusur sayılmaktadır.

07

Yedekleme ve Fiziksel Güvenlik

Yedekleme stratejisi · Felaket kurtarma · Fiziksel erişim kontrolü · Ortam güvenliği

Kanun Ne Diyor?

Kişisel verilerin bulunduğu fiziksel ortamlar dış risklere (yangın, sel) karşı korunmalıdır. Giriş-çıkış kayıtları tutulmalıdır. Kişisel verilerin kayıp ve yetkisiz erişime karşı yedeklenmesi ve felaket kurtarma planının bulunması gerekmektedir.

BT Ekibi Bunu Nasıl Karşılar?

3-2-1 yedekleme kuralı: 3 kopya, 2 farklı ortam, 1 offsite. Yedeklerin şifreli tutulması ve yalnızca sistem yöneticisinin erişebilmesi. Sunucu odası fiziksel erişim kayıtları (biyometrik giriş, CCTV). Yangın ve su baskını için uygun fiziksel altyapı belgesi. Felaket kurtarma tatbikatı ve kayıtları.

08

Veri İhlali Tespiti ve 72 Saatlik Bildirim

İhlal tespit altyapısı · Olay müdahale planı · Kurul bildirimi · Delil koruma

Kanun Ne Diyor?

Veri güvenliği ihlalleri en kısa sürede (72 saat) Kurul’a bildirilmelidir. İhlal delilleri toplanmalı ve güvenli şekilde saklanmalıdır. Çalışanların ihlali hızla raporlaması için resmi prosedür olmalıdır.

BT Ekibi Bunu Nasıl Karşılar?

Veri ihlali olay müdahale planı (IRP) ve belgelenmiş akış. SIEM alarmlarından ihlal tespitine kadar sürecin otomatize edilmesi. 72 saatlik bildirim süresini karşılamak için teknik altyapı — sistemin log yapısı yeterli bilgiyi sağlamazsa bildirim yapılamaz. Adli bilişim (forensics) delil koruma prosedürü.

4. Kurul Kararlarından: Teknik Eksiklikler Cezaya Nasıl Dönüşüyor?

Kişisel Verileri Koruma Kurulu’nun açıkladığı karar gerekçeleri incelendiğinde, yaptırımların büyük çoğunluğunun teknik tedbirlerin eksikliğinden kaynaklandığı görülmektedir. İşte Kurul’un teknik boyutta en sık tespit ettiği ağır kusurlar:

!

MFA eksikliği → Uzaktan erişimde hesap ele geçirilmesi

VPN veya uzaktan masaüstü sistemlerinde tek faktörlü kimlik doğrulama kullanımı, “teknolojik imkânların kullanılmaması” olarak nitelendirilmektedir. Kurul bu durumu ağır kusur kabul etmektedir.

!

Güncel olmayan yazılım ve yamasız sistemler

Bilinen bir CVE güvenlik açığının kapatılmadan bırakılması ve bu açıktan kaynaklanan sızma, veri sorumlusunun ihmali olarak doğrudan cezaya yol açmaktadır.

!

API ve web servislerinde yetkisiz veri erişimi

Açık portlar veya kimlik doğrulaması olmayan API uç noktaları üzerinden kişisel veri çekilmesi, uygulama güvenliği tedbirlerinin yetersizliğine kanıt sayılmaktadır.

!

Sızma testi yapılmamış veya raporlanmamış sistemler

Yıllarca sızma testi yapılmamış ya da yapılmış ama bulgular kapatılmamış sistemler, ihlal sonrasında güçlü bir hukuki sorumluluğa yol açmaktadır.

!

Test ortamında gerçek kişisel veri kullanımı

Yazılım geliştirme veya test ortamlarında gerçek müşteri verilerinin kullanılması, Kurul tarafından teknik tedbirlerin ağır ihlali olarak değerlendirilmektedir.

!

72 saatlik bildirimi karşılayamayan log altyapısı

Bildirim yapılamamasının en sık teknik nedeni: sistemin log altyapısının ihlali zamanında tespit edecek yeterlilikte olmaması. Bu hem ihlal yükümlülüğü hem de teknik tedbir eksikliği olarak çift sorumluluk doğurmaktadır.

5. Teknik KVKK Eğitiminde Hedef Kitle Kimdir?

Hukuki KVKK eğitiminin hedef kitlesi genellikle genel çalışanlardır. Teknik KVKK eğitimi ise kurumda teknik tedbirlerin uygulanmasından sorumlu kişilere yöneliktir:

BT Yöneticileri ve Sistem Sorumluları

Güvenlik duvarı, erişim kontrolü, yedekleme ve sistem güvenliğini doğrudan yöneten kişiler. Kanunun gerektirdiği teknik altyapının kurulumundan sorumludur.

Eğitimde öğrenecekleri

  • KVKK uyumlu erişim matrisi nasıl kurulur?
  • Log altyapısı nasıl yapılandırılır?
  • Yedekleme politikası nasıl tasarlanır?

Bilgi Güvenliği ve BGYS Sorumluları

ISO 27001 ve KVKK’nın teknik kontrollerini entegre yönetmekle görevli kişiler. Sızma testi sürecini koordine eder, zafiyet yönetimini yürütür.

Eğitimde öğrenecekleri

  • Kurul kararları hangi kontrolleri zorunlu kılıyor?
  • Sızma testi KVKK kanıtı olarak nasıl kullanılır?
  • ISO 27001 ile KVKK teknik tedbirleri örtüşür mü?

Veri Koruma Sorumluları (DPO) ve Uyum Ekipleri

Teknik ekiple hukuki yükümlülükler arasında köprü kuran kişiler. Kurul incelemeleri için kanıt toplamakla sorumludur.

Eğitimde öğrenecekleri

  • Teknik tedbirlerin uygulandığına dair kanıt paketi nasıl hazırlanır?
  • BT ekibinden doğru soruları nasıl sorarım?
  • 72 saatlik bildirim teknik sürecini nasıl yönetirim?

6. Secure Fors KVKK Teknik Tedbirler Eğitiminin Kapsamı

Eğitimimiz, KVKK’nın teknik boyutunu sadece anlatmaz — kurumunuzun mevcut durumuna göre nasıl uygulanacağını öğretir. Teorik içerik ile sahadan örnekler birlikte işlenir:

Eğitim Müfredatı

Modül 1

KVKK Madde 12 ve Teknik Tedbirlerin Hukuki Çerçevesi

Kanun ne gerektiriyor, Kurul ne bekliyor, “uygun güvenlik düzeyi” ne anlama geliyor. Emsal Kurul kararları ile gerçek örnekler.

Modül 2

Erişim Kontrolü ve Kimlik Yönetimi

RBAC, en az yetki ilkesi, MFA zorunluluğu, PAM. Kurumunuzun mevcut erişim yapısını KVKK perspektifinden nasıl değerlendirirsiniz?

Modül 3

Log Yönetimi, SIEM ve İzleme

Kurul’un aradığı log bütünlüğü ve iz kaydı standartları. SIEM alarmlarından ihlal tespitine süreç. 72 saatlik bildirim için teknik altyapı gereksinimleri.

Modül 4

Şifreleme, Veri Maskeleme ve Anonimleştirme

Transit ve rest şifreleme standartları. Anahtar yönetimi. Test ortamı için veri maskeleme uygulamaları. Anonimleştirme ile pseudonymisation farkı.

Modül 5

Sızma Testi, Zafiyet Tarama ve Yama Yönetimi

KVKK kapsamında pentest kapsamının doğru belirlenmesi. Zafiyet yönetim döngüsü. Sızma testi raporunun Kurul incelemelerindeki hukuki değeri.

Modül 6

Veri İhlali Müdahalesi ve Kurul’a Bildirim

İhlal tespit → sınıflandırma → müdahale → 72 saatlik bildirim akışı. Olay müdahale planının teknik bileşenleri. Delil koruma ve adli bilişim temelleri.

Yerinde veya Uzaktan

Kurumunuza özel kapalı sınıf formatı. Kendi sistemleriniz üzerinden gerçek senaryolarla çalışma imkânı.

Özelleştirilebilir Kapsam

Sektör ve kuruma özgü senaryolar. Finans, sağlık, üretim veya teknoloji firmalarına özel vakalar ile örnekler.

Katılım Belgesi

Eğitim katılımını belgeleyen sertifika. Kurul incelemelerinde “çalışan eğitimi” idari tedbirinin kanıtı olarak kullanılabilir.

7. Sık Sorulan Sorular

KVKK eğitimi almak yasal zorunluluk mu?

KVKK Madde 12 kapsamında çalışanlara yönelik veri güvenliği eğitimi “idari tedbir” olarak tanımlanmıştır. Bu nedenle eğitim verilmemiş olması, Kurul incelemelerinde teknik ve idari tedbirlerin alınmadığının göstergesi sayılabilir. Eğitim zorunluluğu doğrudan bir madde ile düzenlenmemiş olsa da Kurul kararlarında eğitim eksikliği ağırlaştırıcı unsur olarak değerlendirilmektedir.

Bu eğitim, hukuk firmasından alınan KVKK eğitiminin yerine mi geçiyor?

Hayır, tamamlayıcıdır. Hukuki KVKK eğitimi kanun kapsamını, hakları ve yaptırımları anlatır; bu alanda gerekliliğini korumaktadır. Secure Fors’un teknik tedbirler eğitimi ise Madde 12’nin BT altyapısı üzerindeki somut gereksinimlerini öğretir. İdeal KVKK uyum eğitim programı her iki perspektifi içermelidir.

Eğitimden sonra kurumun teknik tedbirler uyumu sağlanmış sayılır mı?

Hayır; eğitim bir başlangıç noktası ve farkındalık adımıdır. Teknik tedbirlerin uygulanmış olması için altyapı değişikliklerinin gerçekleştirilmesi gerekir. Eğitim sonrasında kurumun mevcut durumunu değerlendirmek isterseniz KVKK teknik tedbir GAP analizi hizmetimizden yararlanabilirsiniz.

ISO 27001 sertifikamız varsa bu eğitime ihtiyacımız var mı?

ISO 27001 ile KVKK teknik tedbirleri büyük ölçüde örtüşür; ancak özdeş değildir. KVKK Türkiye’ye özgü hukuki gereksinimler ve Kurul kararları gibi boyutlar içerir. ISO 27001 sertifikanız teknik kontrollerin temelini sağlarken, KVKK’nın spesifik gereksinimleri (kişisel veri sınıflandırması, 72 saatlik bildirim, test ortamı politikası) ayrıca değerlendirilmelidir.

Eğitim süresi ne kadardır ve kaç kişi katılabilir?

Standart program 1 tam gün (8 saat); derinlemesine uygulama atölyeleriyle birlikte 2 güne uzatılabilir. Katılımcı sayısı 5-25 kişi arasında verimli bir şekilde yürütülmektedir. Farklı ihtiyaçlar için modüler yapı oluşturulabilir: yalnızca log yönetimi veya yalnızca sızma testi kapsamı gibi odaklı yarım günlük oturumlar da planlanabilir.

Secure Fors — KVKK Eğitim Hizmetleri

KVKK’nın Teknik Tarafını
Doğru Ekipten Öğrenin

CEH, ISO 27001 Lead Auditor ve CBDDO D1-D2 Lead Auditor sertifikasına sahip uzman eğitmenlerimizle KVKK Madde 12 kapsamındaki teknik tedbirleri, Kurul kararlarını ve sahadan örnekleri birlikte işliyoruz. Kurumunuza özel, kapalı sınıf formatı.

6 modüllü teknik eğitim programı

Emsal Kurul kararları ile gerçek vakalar

Kuruma özel senaryo ve uygulamalar

Katılım belgesi (idari tedbir kanıtı)

BT yöneticisi, BGYS sorumlusu, DPO formatları

Yerinde veya uzaktan eğitim seçeneği

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram