📅 Mart 2026 | ✍️ Secure Fors Siber Güvenlik Ekibi | ⏱️ 10 dakika okuma | 📊 ~2.500 kelime
Her ÜYZ kullanımı dahil
bulunmayan kurum
bugünden başla
KVKK tanımlı
📋 İçindekiler
Düzenleyici Belirsizlik Sona Erdi
“Regülasyon netleşsin, sonra harekete geçelim” dönemi kapandı.
Kişisel Verileri Koruma Kurumu (KVKK), Şubat 2026’da “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı rehberini yayımladı. Bu rehber, Türkiye’deki kurumlar için üretken yapay zekâ (ÜYZ) kullanımına ilişkin ilk kapsamlı resmi çerçeve niteliğini taşıyor.
💡 Önemli: Rehber bağlayıcı bir yönetmelik olmasa da mesajı nettir — 6698 sayılı KVKK kapsamındaki kişisel veri işleme yükümlülükleri, çalışanların ChatGPT veya Copilot gibi araçlara veri girdiği her durumda geçerliliğini korumaktadır. Bir çalışanın kendi inisiyatifiyle hareket etmesi, kurumun veri sorumluluğunu ortadan kaldırmaz.
KVKK Rehberi Ne Söylüyor?
Rehber üç ana eksen üzerine kurulu. Bilgi güvenliği perspektifinden her birinin kurumsal etkisi farklı:
Kapsam
ChatGPT, Copilot, Gemini, Claude — kamuya açık tüm ÜYZ araçları kapsama giriyor.
Temel Mesaj
KVKK yasaklamayı değil, yönetmeyi öneriyor. “Yönlendirme ve farkındalık temelli yaklaşım” şart.
Somut Beklenti
Yazılı politika, erişim kontrolü, çalışan eğitimi ve denetlenebilirlik altyapısı kurmak.
Gölge YZ (Shadow AI): Tanım ve Risk Profili
KVKK rehberinin en kritik kavramlarından biri “Gölge YZ”. Tanım şu: Kurum veya kuruluşun bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından iş süreçlerinde ÜYZ araçlarının kullanılması.
⚠️ Gölge YZ Neden Bu Kadar Önemli?
Çalışanlarınız toplantı notu hazırlatmak, rapor taslağı yazdırmak veya e-posta düzelttirmek için ÜYZ araçlarına müşteri adı, çalışan bilgisi veya iç yazışma yapıştırdığında — kurumsal veri, sizin bilginiz dışında üçüncü taraf sunuculara aktarılmış olur. Bu, 6698 sayılı Kanun kapsamında veri işleme faaliyetidir ve kurumunuz sorumludur.
📊 Shadow AI: Rakamlarla Gerçek Tablo
Kaynak: IBM Cost of a Data Breach Report 2025 / Palo Alto Networks / LayerX Security 2025
Risk Öncelik Matrisi
Kişisel Verilerin Korunması Riski
Müşteri adı, TC kimlik no, sağlık verisi veya işe alım bilgisi içeren prompt girişleri — açık rıza, aydınlatma ve VERBİS yükümlülüklerini tetikler.
Bilgi Güvenliği & Siber Güvenlik Riski
Güvensiz API bağlantıları, yönetilmeyen tarayıcı uzantıları ve kişisel cihaz kullanımı saldırı yüzeyini genişletiyor.
Denetlenebilirlik Riski
Log ve kayıt yoksa ISO 27001 iç tetkik ve KVKK soruşturmalarında kritik boşluk oluşuyor.
Fikri Mülkiyet & Ticari Sır Riski
Kaynak kod, ürün tasarımı veya iş stratejisi içeren bilgiler model eğitim süreçlerine dahil olabilir.
Karar Kalitesi Riski (Otomasyon Önyargısı)
ÜYZ çıktılarına kör güven — hatalı kararlar, yanlış bilgi ve itibar zararı riski taşır.
6698 Sayılı Kanun Kapsamında Uyum Yükümlülükleri
KVKK rehberi, ÜYZ kullanımını teknik bir konu olarak değil, doğrudan veri işleme faaliyeti olarak konumlandırıyor. Bu şu anlama geliyor:
“Çalışanlarınız ÜYZ araçlarına kişisel veri giriyorsa,
kurumunuz veri sorumlusu sıfatıyla sorumludur.”
DPO veya hukuk birimi ile birlikte kontrol etmeniz gereken kritik noktalar:
| Kontrol Noktası | Açıklama |
|---|---|
| 📋 VERBİS Kaydı | Onaylı ÜYZ araçları için işleme kayıtları güncel mi? |
| 📄 DPA Sözleşmesi | ÜYZ sağlayıcısı ile veri işleme sözleşmesi imzalandı mı? |
| 💬 Aydınlatma Metni | Çalışan verisi işleniyorsa aydınlatma yükümlülükleri güncellendi mi? |
| 🔒 Veri Minimizasyonu | Çalışanlar promptlarda anonim ifadeler kullanmayı biliyor mu? |
| 🌍 Yurt Dışı Aktarım | ChatGPT gibi araçların yurt dışı sunucularına aktarım koşulları karşılandı mı? |
CISO’lar İçin 5 Adımlı Aksiyon Planı
Gölge YZ Keşfi: Ne Kullanılıyor?
Politika yazmadan önce mevcut durumu görmeniz gerekiyor. Proxy log ve DNS kayıtlarını OpenAI, Anthropic, Google Gemini ve Copilot domainlerine göre filtreleyin. Düzenli zafiyet tarama süreçlerinize ÜYZ platformlarını ekleyin. Çalışanlara anonim anket yapın.
Risk Temelli AI Kullanım Politikası
Bu politika, ISO 27001 BGYS kapsamındaki Kabul Edilebilir Kullanım Politikası’nın eki olarak yayımlanabilir. Yanıt vermesi gereken dört soru:
- Hangi ÜYZ araçları onaylı / sınırlı / yasak?
- Hangi veri sınıfları ÜYZ ile paylaşılamaz? (kişisel veri, kaynak kod, gizli belge)
- Kullanım yalnızca kurumsal cihazlardan mı?
- Hangi çıktılar için insan onayı zorunlu?
Teknik Kontroller
Onaylanmamış ÜYZ platformlarına ağ düzeyinde erişimi kısıtlayın veya izleyin. DLP kurallarına ÜYZ endpointlerini ekleyin. Kurumsal SSO entegrasyonu olan araçları tercih ederek erişim loglarını tutun.
KVKK Uyum Kontrolü
VERBİS kaydını güncelleyin. ÜYZ sağlayıcısı ile DPA imzalayın. Aydınlatma metinlerini gözden geçirin. Yurt dışı aktarım mekanizmasını netleştirin. Veri minimizasyonu prensibini eğitime yansıtın.
Farkındalık Eğitimi ve Geri Bildirim
Bilgi güvenliği farkındalık eğitimleri kapsamına ÜYZ modülü ekleyin. İçerik: Gölge YZ nedir, hangi veriler paylaşılamaz, anonimleştirme nasıl yapılır, ÜYZ çıktılarına nasıl eleştirel yaklaşılır.
ISO 27001 ISMS ile Entegrasyon
KVKK rehberinin gerekliliklerini sıfırdan bir program olarak değil, mevcut ISMS yapınızın uzantısı olarak ele alabilirsiniz:
| KVKK Rehberi Gereksinimi | ISO 27001:2022 Kontrol Alanı |
|---|---|
| AI kullanım politikası | A.5.1 Bilgi güvenliği politikaları |
| Veri sınıflandırma ve paylaşım sınırları | A.5.12 Bilgi sınıflandırma |
| Erişim kontrolü ve onaylı araçlar | A.8.2 Ayrıcalıklı erişim hakları |
| Çalışan farkındalık eğitimi | A.6.3 Bilgi güvenliği farkındalığı |
| Olay izleme ve denetlenebilirlik | A.8.15 Kayıt tutma |
| ÜYZ sağlayıcısı değerlendirmesi | A.5.19 Tedarik zinciri güvenliği |
| Veri işleme sözleşmesi (DPA) | A.5.20 Tedarikçi anlaşmalarında güvenlik |
ÜYZ sağlayıcısını bir tedarikçi olarak değerlendirin. Tedarikçi denetimi (TPRM) süreçlerinize onaylı ÜYZ araçlarının sağlayıcılarını dahil etmek, A.5.19 kontrolünün karşılanması açısından somut bir adım olacaktır.
Sonuç ve Öneriler
KVKK rehberi yeni bir yük değil, aslında bir fırsat penceresi. “Regülasyon bekliyoruz” argümanı artık zayıfladı; yönetime AI Governance yatırımını savunmak için güçlü bir resmi referans var.
🗓️ Önerilen Öncelik Sırası
Yapay zekâyı tamamen yasaklamak bir çözüm değildir.
Güvenli kullanım (safe enablement) yaklaşımı — çalışanların verimlilik için yapay zekâdan faydalanmasına izin verirken kurumsal verileri koruyan yapıyı kurmak — doğru hedeftir.
Secure Fors ile AI Uyum Sürecinizi Yönetin
Kurumların KVKK rehberi kapsamındaki uyum süreçlerini ve AI Governance programlarını yapılandırmalarına destek oluyoruz:
- AI Güvenliği & Yönetişimi — Gölge YZ tespiti, kullanım politikası hazırlama, risk değerlendirmesi
- ISO 27001 BGYS Danışmanlığı — AI risklerinin mevcut ISMS yapısına entegrasyonu
- Tedarikçi Denetimi (TPRM) — ÜYZ sağlayıcılarının tedarik zinciri riski kapsamında değerlendirilmesi
- Bilgi Güvenliği Farkındalık Eğitimleri — Yapay zekâ güvenliği modüllü çalışan eğitimleri
- Siber Güvenlik Danışmanlığı — Teknik kontroller ve DLP optimizasyonu
Kaynaklar
- KVKK, “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı Rehberi,” Şubat 2026 — kvkk.gov.tr
- KVKK, “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” — kvkk.gov.tr
- IBM, “Cost of a Data Breach Report 2025” — newsroom.ibm.com
- LayerX Security, “Enterprise AI and SaaS Data Security Report 2025”
- Palo Alto Networks, “What Is Shadow AI?” 2025
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu — mevzuat.gov.tr
📚 İlgili Yazılar
Bu makale, KVKK’nın Şubat 2026 tarihli rehberi esas alınarak Secure Fors Siber Güvenlik Ekibi tarafından hazırlanmıştır. © 2026 Secure Fors
