Yapay Zekâyı Yasaklayarak
Güvende Olamazsınız
Yasaklar çalışanları durdurmaz — sadece görünmez kılar. Gerçek güvenlik, kontrol değil; doğru yönetişimden geçiyor.
Önce Rakamlarla Yüzleşelim
Bu bir his değil, ölçülebilir bir gerçek. Kaspersky’nin META bölgesinde (Orta Doğu, Türkiye, Afrika) 2024 yılında yaptığı araştırma, tablonun ne kadar ciddi olduğunu ortaya koyuyor:
Bu rakamların anlamı şu: çalışanlar yapay zekâyı kullanmayı bırakmayacak. Üretkenlik kaldıracını ellerinden bırakmak için hiçbir nedenleri yok. Şirket politikası ne derse desin, yapay zekâ halihazırda kurumunuzun içinde — sadece görünmez biçimde.
“Yapay zekâ araçları yasaklandığında ortadan kalkmaz; sadece IT departmanının göremeyeceği bir yere taşınır.”
— Shadow AI paradoksunun özüYasak Neden İşe Yaramıyor? 3 Yapısal Neden
1. Talep ortadan kalkmıyor, sadece yer değiştiriyor
Bir çalışan rapor taslağını 10 dakikada değil 2 dakikada yazmak istiyorsa, bu talebin önünde durmak imkânsız. Kurumsal ağda ChatGPT engellendiğinde mobil veriye geçilir. Kurumsal cihaz kısıtlandığında kişisel telefon devreye girer. Yasak, davranışı değiştirmez — sadece kanalı değiştirir. Ve yeni kanal çok daha az görünür, çok daha az güvenlidir.
2. “Shadow AI” sizi sıradan Shadow IT’den çok daha fazla etkiliyor
Onaylanmamış bir dosya paylaşım uygulaması kullanmak risklidir. Ama onaylanmamış bir yapay zekâ aracına kurumsal veri, müşteri bilgisi veya ticari sır yüklemek çok boyutlu bir felaket senaryosudur: veri LLM sağlayıcısının modelini eğitmek için kullanılabilir, sözleşmeyle korunan bilgiler üçüncü taraflara açılabilir, KVKK ve GDPR uyumsuzluğu doğar. Üstelik bunların hiçbirinin iz kaydı yoktur.
Satış ekibinden bir çalışan, müşteri toplantısı öncesinde teklif özetini hızla hazırlamak için müşteri bilgilerini ve fiyatlandırma verilerini ChatGPT’nin ücretsiz sürümüne yapıştırıyor. Şirketin “YZ kullanma” politikasından haberi var — ama “kimse görmez” diyor. Bir yıl sonra aynı müşterinin rakibi, o şirkete özgü bir teklif yapısıyla geliyor.
Bu senaryo spekülatif değil. LLM sağlayıcılarının veri işleme koşulları, özellikle ücretsiz ve tüketici versiyonlarında, girilen içeriğin model eğitiminde kullanılmasına izin verebilir.
3. Yasak, kurumun rekabet dezavantajına girmesini hızlandırıyor
Rakibiniz yapay zekâyı güvenli biçimde yönetiyor ve bu araçları süreçlerine entegre ediyor. Siz yasaklıyorsunuz. Sonuç: onlar aynı işi daha hızlı, daha düşük maliyetle ve daha az insan hatasıyla yapıyor. Bu bir güvenlik tartışması değil, artık bir varoluş tartışması.
Sektörde Duyduğumuz 4 Yanlış İnanç
“Yapay zekâ kullanımını yasakladık, bu yüzden güvendeyiz.”
Yasak, kullanımı durdurmaz. Sadece görünmezleştirir ve dolayısıyla yönetimi imkânsız kılar. Göremediğiniz riski yönetemezsiniz.
“Politika belgesi yazdık — bu yeterli.”
Bir politika belgesi, uygulamaya konulmadığı sürece boş bir metinden ibarettir. Farkındalık eğitimi, araç sınıflandırması ve teknik kontroller olmadan politika kağıt üzerinde kalır.
“YZ yönetişimi sadece teknik ekibin işi.”
YZ kararları hukuki sorumluluk, KVKK uyumu, ticari sır koruması ve iş sürekliliği doğurur. Bu, CEO, Hukuk ve İK dahil kurumun tamamının meselesidir.
“Biz YZ kullanmıyoruz ki, bu bizi ilgilendirmez.”
CRM’inizin tahmin modeli, spam filtreniz, e-fatura OCR sisteminiz zaten YZ içeriyor. “Kullanmıyoruz” söylemi, envanter yapılmadığı anlamına gelir — risk devam ediyor.
Doğru Yaklaşım: Yasaklamak Değil, Yapılandırmak
Amaç, yapay zekâ kullanımını sıfırlamak değil. Amaç, kurumun hangi YZ aracını, hangi veriyle, kim tarafından, hangi koşullarda kullanabileceğini net biçimde tanımlamak ve bunu denetlenebilir kılmak. Bu bir özgürlük kısıtı değil, bir güven inşasıdır.
KVKK’nın Şubat 2026’da yayımladığı Üretken Yapay Zekâ Rehberi de tam olarak bu noktayı işaret ediyor: yasaklamak yerine “yönlendirme, denge ve farkındalık temelli” bir yaklaşım zorunludur.
Üç Katmanlı Araç Sınıflandırma Modeli
Kurumsal YZ yönetişiminin temel taşı, araçların riske göre sınıflandırılmasıdır. Her araç aynı önlemi gerektirmez — kaynakları doğru yere yönlendirmek için bir kademe modeli şarttır:
Kısıtlı
Kurumsal onay + teknik kontrol zorunlu
Gizli veri, kişisel veri, ticari sır veya müşteri bilgisi işleyebilecek araçlar. Örnekler: ücretsiz ChatGPT, kişisel hesapla kullanılan Gemini, belge analizi yapan herkese açık platformlar. Kullanım için BT onayı ve veri sınıflandırması şart; aksi hâlde teknik blok uygulanır.
Koşullu
Belirlenmiş kurallara uymak koşuluyla serbest
Kurumsal lisanslı araçlar — Microsoft 365 Copilot (kurumsal tenant’ta), GitHub Copilot (kurumsal hesap), Adobe Firefly kurumsal. Hangi veri sınıflarının girilebileceği, çıktıların nasıl doğrulanacağı ve kayıt yükümlülükleri belgelenmiş olmalı.
Serbest
Kurumsal veri girişi olmaksızın serbestçe kullanılabilir
Kamuya açık, genel amaçlı yardım görevleri — genel araştırma, dilbilgisi kontrolü, kavram açıklama, genel kod yazımı. Koşul: kurumsal hiçbir veri, müşteri bilgisi, iç süreç detayı girilmez. Çıktılar kritik kararlar için tek başına kaynak sayılmaz.
Çalışan Yönetişim Çerçevesi: 5 Adım
YZ araçlarını sınıflandırmak başlangıçtır. İşleyen bir yönetişim çerçevesi için şu beş adımın tamamlanmış olması gerekir:
YZ Envanteri Çıkarın Temel
Kurumunuzda hangi YZ araçları, hangi birimler tarafından, hangi verilerle kullanılıyor? Bu soruyu cevaplamadan hiçbir yönetişim adımı anlam taşımaz. Envanter; kurumsal lisanslı araçları, departman kararlarıyla alınmış üçüncü taraf araçları, çalışanların kendi inisiyatifleriyle kullandığı araçları ve kurumsal sistemlerin içine gömülü YZ özelliklerini kapsamalıdır.
Veri Sınıflandırmasıyla Eşleştirin Kritik
Her araç kategorisi, veri sınıflandırmanızla eşleşmelidir. Gizli, Kişisel Veri, Ticari Sır, Kamuya Açık — hangi veri sınıfı hangi araca girilebilir? Bu eşleştirme yapılmadan araç sınıflandırması kâğıt üzerinde kalır. Çalışan eğitimlerinde de bu eşleştirme temel anlatı olmalıdır.
Politikayı Yazın, Eğitimle Destekleyin Zorunlu
Yazılı YZ kullanım politikası; hangi araçların onaylı olduğunu, hangi verilerin girilebileceğini, çıktıların nasıl doğrulanacağını ve ihlal durumunda ne yapılacağını içermelidir. Politika yayımlandıktan sonra tüm çalışanlara en az yılda bir farkındalık eğitimi verilmeli ve eğitim belgesi kayıt altına alınmalıdır. KVKK Şubat 2026 Rehberi bunu açıkça düzenliyor.
Teknik Kontrolleri Devreye Alın Denetlenebilirlik
Politika, teknik kontrol olmadan güvenlik değil, sorumluluk transferidir. Minimum teknik önlemler: onaylanmamış YZ sitelerine ağ düzeyinde erişim kısıtı, kurumsal cihazlarda DLP (Veri Kaybı Önleme) kurallarında YZ sınıfı eklenmesi, kurumsal lisanslı araçlarda kullanım loglarının tutulması ve düzenli Shadow AI taraması (CASB veya ağ trafik analizi ile).
Gözden Geçirme Döngüsü Kurun Sürdürülebilirlik
YZ ekosistemi aylık değişiyor. Bugün Katman 3’te olan bir araç yarın veri işleme koşullarını güncellediğinde Katman 1’e taşınabilir. Politika yılda en az bir kez gözden geçirilmeli, yeni araçlar için onay süreci tanımlı olmalıdır. Bu döngüyü kurmayan kurumlar 6 ay sonra güncelliğini yitirmiş bir politikayı yürürlükte sanıyorlar.
Regülatörler Ne Diyor? Türkiye Özelinde Çerçeve
YZ yönetişimi artık iyi niyet meselesi değil. Türkiye’deki düzenleyici çerçeve, kurumları sistematik bir yaklaşıma zorluyor:
| Düzenleme | YZ’ye İlişkin Beklenti | İlgili Kurum |
|---|---|---|
| KVKK ÜYZ Rehberi (Şub. 2026) | Üretken YZ araçlarında kişisel veri işleme koşullarının belirlenmesi, yazılı politika ve çalışan farkındalığı zorunluluğu. Yasaklama değil, yönlendirme yaklaşımı. | Tüm kişisel veri işleyen kurumlar |
| BDDK YZ/ML Rehberi (taslak) | Finansal karar süreçlerinde kullanılan YZ modellerinin model risk yönetimi kapsamında belgelenmesi, şeffaflık ve hesap verebilirlik beklentisi. | Bankalar, finans kurumları |
| DDO BİG Rehberi | Bilgi güvenliği yönetim sistemi kapsamında YZ sistemlerinin risk değerlendirmesine dahil edilmesi beklentisi. | Kamu kurumları ve kritik altyapı |
| AB AI Act (Haziran 2024) | Yüksek riskli YZ uygulamaları için belgeleme, şeffaflık, insan gözetimi ve uyumluluk zorunluluğu. Türkiye’deki AB müşterisi olan veya AB’ye satış yapan şirketleri kapsıyor. | AB pazarındaki Türk şirketleri |
| ISO/IEC 42001:2023 | Yapay Zekâ Yönetim Sistemi standardı. Regülatör zorunluluğu değil, ama AB AI Act uyumunda referans standart ve kurumsal yönetişim kanıtı olarak kullanılıyor. | İsteğe bağlı (ancak stratejik) |
Bu Hafta Atabileceğiniz 3 Somut Adım
Kapsamlı bir yönetişim sistemi kurmak zaman alır. Ama başlangıç için beklemenize gerek yok. Bu hafta yapılabilecek üç eylem:
Sonuç: Kontrolün Yanılsaması
Yapay zekâyı yasaklamak, çalışanların internete erişimini yasaklamaya benziyor: teknik olarak uygulanabilir, ama pratikte yönetilemez ve stratejik olarak yanlış. Risk ortadan kalkmıyor — sadece görünmez oluyor.
Gerçek güvenlik, kurumun YZ ile ilişkisini tanımlamaktan geçiyor. Hangi araç, hangi veri, kimin sorumluluğunda, nasıl denetleniyor? Bu soruları cevaplayan kurum, hem güvende hem de rekabetçi.
Yasaklayan kurum ise ne güvende ne de rekabetçi — sadece habersiz.
“Yapay zekâyı yönetmek, onu durdurmaktan çok daha zor. Ama tek gerçekçi seçenek o.”
Kurumunuzun YZ Yönetişimi Nerede Duruyor?
Mevcut politikanızı, araç envanterinizi ve teknik kontrol olgunluğunuzu birlikte değerlendirebiliriz. 30 dakikalık ücretsiz ön görüşmede somut bir sonraki adımla çıkalım.
Ücretsiz Görüşme İsteyin →📞 0850 305 4223 · bilgi@securefors.com
