İstanbul’da 480 çalışanlı bir sigorta şirketi, KVK Kurumu’nun gönderdiği “veri işleme envanteri ve teknik tedbirleriniz hakkında bilgi verin” yazısıyla harekete geçti. 14 aylık programın sonunda KVKK uyumu sağlandı, denetim raporu temiz çıktı, müşteri güveni arttı. Bu yazı projenin sahadaki teknik notlarını paylaşıyor.
KVKK ve Bulut: Temel Soru
“Bulutta veri tutmak KVKK’ya aykırı mı?” → Hayır. Aykırı olan: aydınlatma yapmadan, açık rıza almadan, gerekli teknik tedbiri almadan, lokasyon riskini değerlendirmeden tutmak.
Adım 1: Veri Envanteri (3 ay)
Hangi veri nerede, kim erişiyor, ne kadar süre kalıyor — soruları cevapsız kalan envanter çıkarıldı:
| Veri kategorisi | Lokasyon | Hassasiyet | Retention |
|---|---|---|---|
| Müşteri kişisel (ad, TC, telefon, adres) | SQL DB on-prem | Hassas | 10 yıl |
| Sağlık raporu / poliçe ekleri | File server on-prem | Özel nitelikli | 10 yıl |
| Çalışan özlük | HR portali (bulut) | Hassas | İş ilişkisi + 10 yıl |
| Müşteri çağrı kayıtları | Çağrı merkezi cloud | Hassas | 3 yıl |
| Web analytics | Google Analytics (US) | Pseudonymous | 26 ay |
| Pazarlama email | Mailchimp (US) | Hassas (rıza var) | İptale kadar |
| Backup | Veeam → ABD bulut | Tüm dataset | 7 yıl |
Yurt dışı veri transferi olan 3 servis tespit edildi: Google Analytics, Mailchimp, US-based backup. Düzeltme planı çıkarıldı.
Adım 2: Veri Lokasyon Kararı
KVKK Madde 9: yurt dışı transfer için ya açık rıza ya yeterli koruma + Kurul izni. Pratikte:
| Veri tipi | Eski lokasyon | Yeni lokasyon |
|---|---|---|
| Müşteri kişisel | On-prem (TR) | CloudSpark Cloud (TR datacenter) |
| Özel nitelikli (sağlık) | On-prem | On-prem (kalmaya devam, KVKK önerisi) |
| Çalışan özlük | HR cloud (EU) | HR cloud TR region |
| Çağrı kaydı | Cloud (TR + EU mix) | Cloud TR-only |
| Web analytics | Google Analytics | Matomo self-hosted (TR) |
| Pazarlama email | Mailchimp (US) | İleti Yönetim Sistemi entegre + on-prem SMTP |
| Backup | US bulut | Azure Türkiye North + LRS Türkiye + cold tier on-prem |
Adım 3: Teknik Tedbirler
Encryption
- At rest: SQL Always Encrypted + TDE, file server BitLocker, Storage SSE with CMK
- In transit: TLS 1.2 minimum, internal traffic mTLS
- Key management: Azure Key Vault (TR region), HSM-backed, rotation 90 gün
Erişim Kontrolü
- Role-Based Access Control (en az yetki prensibi)
- MFA tüm hesaplar zorunlu
- Privileged Identity Management (admin erişim 8 saat eligible)
- Quarterly access review (kim hâlâ neye erişebiliyor)
Logging ve Audit
-- Müşteri verisine erişim audit
CREATE SERVER AUDIT KVKK_Audit
TO FILE (FILEPATH = 'D:AuditKVKK', MAXSIZE = 1 GB, MAX_ROLLOVER_FILES = 10);
CREATE DATABASE AUDIT SPECIFICATION KVKK_DB_Audit
FOR SERVER AUDIT KVKK_Audit
ADD (SELECT, INSERT, UPDATE, DELETE ON dbo.Customers BY public)
WITH (STATE = ON);Audit log Log Analytics’e yedekleniyor, 5 yıl retention.
Anonimleştirme / Pseudonymisation
Test ortamlarına production data’sı kopyalanırken anonimleştiriliyor:
-- Test DB için anonymize procedure
UPDATE Customers
SET
FirstName = 'Test',
LastName = 'User_' + CAST(CustomerId AS NVARCHAR),
Email = 'test_' + CAST(CustomerId AS NVARCHAR) + '@example.com',
Phone = '5550000000',
NationalId = '00000000000',
Address = 'Test Address';Adım 4: Veri Sahibi Başvuru Süreci (VERBİS)
KVKK Madde 11: kişi kendi verisini sorabilir, sildirebilir. Otomasyon:
- Web formu (kvkk@firma.com.tr + portal başvuru)
- Kimlik doğrulama (TC + güvenlik kodu)
- İlgili departman tag’lenir (CRM, çağrı merkezi, pazarlama)
- 30 gün içi yazılı yanıt SLA
- Tüm sürecin audit log’u
Adım 5: Aydınlatma Metni + Açık Rıza
Web formlarında, sözleşmelerde, mobil app’te aydınlatma metni güncel. “Hassas işlem için açık rıza” ayrı checkbox (sözleşme onayından bağımsız).
Adım 6: KVK Kurum Denetim Hazırlığı
Denetim için hazır 14 belge:
- Veri işleme envanteri
- Veri sınıflandırma politikası
- Erişim kontrol matrisi
- Encryption politikası
- Backup ve retention politikası
- Yurt dışı transfer envanteri + açık rıza kayıtları
- Audit log retention politikası
- Veri ihlal müdahale planı
- Veri sahibi başvuru süreci
- Aydınlatma metinleri
- Açık rıza kayıtları
- Personel KVKK eğitim kayıtları
- İş ortağı (data processor) sözleşmeleri
- VERBİS kayıt belgesi
Sonuçlar
| Metrik | Önce | Sonra |
|---|---|---|
| Veri envanteri kapsamı | ~~%40 (eksik) | %100 |
| Yurt dışına transfer edilen kişisel veri | ~~%18 | %0 (rıza istisnaları hariç) |
| Encryption coverage | %55 | %100 |
| Veri sahibi başvuru yanıt süresi | ~~ay | ~~3-5 iş günü |
| KVK Kurum denetim sonucu | — | Temiz, idari para cezası yok |
Sahada Düşülen Üç Tuzak
- “Bulut TR datacenter’daysa otomatik KVKK uyumlu” varsayımı: Lokasyon zorunlu ama yetersiz. Encryption + erişim + audit + retention birlikte gerekli.
- İş ortağı (data processor) sözleşmelerini güncellememek: KVKK madde 12: veri işleyenle yazılı sözleşme şart. Eski sözleşmelerin %60’ı yenilendi.
- Personel eğitimini ihmal etmek: Insider hatası en sık ihlal sebebi. Yıllık zorunlu eğitim + yeni alımda onboarding modülü şart.
CloudSpark olarak KVKK uyum projeleri, veri envanteri çıkarma, encryption + key management mimarisi, audit log altyapısı ve veri sahibi başvuru otomasyonu için danışmanlık veriyoruz.
