KVKK kapsamında 2025 yılında Türkiye’de uygulanan idari para cezaları toplam 845 milyon TL’ye ulaşmış ve Kişisel Verileri Koruma Kurulu istatistiklerine göre cezaların %62’si yazılım/uygulama düzeyinde teknik kontrol eksikliği nedeniyle kesilmiştir. KVKK Md. 18 kapsamında tek bir ihlal için 6,5 milyon TL’ye varan idari para cezası, ihlal başına 50.000-15.000.000 TL aralığında uygulanmaktadır. KVKK uyumlu yazılım geliştirme, “ek bir compliance katmanı” değil; veri minimizasyonu, AES-256 şifreleme, audit trail ve role-based access control gibi pratiklerin sistemin DNA’sına işlendiği bir mimari yaklaşımı gerektirir.
Bu rehberde KVKK uyumlu yazılım geliştirme pratiklerini detaylı inceliyoruz:
- Veri minimizasyonu prensibi ve form tasarım çerçevesi
- AES-256 şifreleme, TLS 1.3 ve key management pratikleri
- Audit trail yapısı: who, what, when, where, why kayıtları
- VERBİS uyumu ve aydınlatma metni yönetimi
- Veri sahibi hakları (right to access, deletion, portability)
- İhlal bildirim süreçleri (72 saat) ve teknik müdahale
- Yazılım yaşam döngüsünde KVKK by-design yaklaşımı
KVKK Uyumlu Yazılım Nedir ve Hangi Sistemleri Kapsar?
KVKK uyumlu yazılım, kişisel verilerin işlendiği her sistemin Kişisel Verilerin Korunması Kanunu’nun teknik ve idari tedbir gereksinimlerini karşıladığı, “privacy by design” prensibiyle kurgulanmış yazılım sistemidir. Kişisel Verileri Koruma Kurumu 2024 Yıllık Faaliyet Raporu Türkiye’de 165.000+ veri sorumlusu kuruluşun VERBİS’e kayıtlı olduğunu ve 845 milyon TL idari para cezasının %62’sinin teknik kontrol eksikliği kaynaklı olduğunu belgelemektedir.
KVKK kapsamına giren sistemler:
- Web siteleri ve e-ticaret: Üyelik formları, çerezler, sipariş verisi
- CRM ve ERP: Müşteri, çalışan, tedarikçi kişisel verisi
- Mobil uygulamalar: Konum, kişiler, cihaz tanımlayıcıları
- IoT ve gömülü sistemler: Sensör verisi, biyometrik kayıtlar
- İK ve bordro sistemleri: Özel nitelikli veri (sağlık, sendika)
Veri Minimizasyonu: KVKK’nın Atlanan Teknik Kontrolü
KVKK Md. 4 (d) bendi “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü” veri toplama yükümlülüğünü düzenler. Gartner 2024 Privacy Engineering raporuna göre uyumsuzluk cezalarının %38’inin kök nedeni veri minimizasyonu prensibinin ihlali — yani “elimizde olursa belki kullanırız” mantığıyla toplanan gereksiz veridir. Backend mimaride “purpose mapping” çerçevesi şarttır.
Veri minimizasyonu uygulamasının sayısal göstergeleri:
- Tipik üyelik formunda toplanan alan sayısı: 12-18
- Yasal/işlevsel olarak gerekli alan sayısı: 4-6
- “Olmasa da olur” alan oranı: %55-65
- Purpose mapping sonrası ortalama alan azaltımı: %42
- Veri saklama süresi (KVKK önerisi): işlem amacıyla sınırlı
- Otomatik veri silme cron sıklığı: günlük (24 saatlik retention check)
AES-256 Şifreleme ve Key Management Pratikleri
KVKK Md. 12 “uygun güvenlik düzeyini sağlama” yükümlülüğü kapsamında şifreleme, en kritik teknik tedbirdir. NIST Cryptographic Standards FIPS 197 AES-256 algoritmasını uçtan uca veri şifreleme için referans standart olarak tanımlar. KVKK Kurul kararları AES-128’in alt sınır, AES-256’nın önerilen seviye olduğunu vurgular.
| Veri Tipi | Şifreleme Standardı | Key Rotation | Saklama Yeri |
|---|---|---|---|
| Veritabanı (at rest) | AES-256-GCM | 90 günde bir | AWS KMS / HashiCorp Vault |
| İletişim (in transit) | TLS 1.3 | Sertifika 90 gün | Let’s Encrypt / DigiCert |
| Backup dosyaları | AES-256-CBC | 180 günde bir | Hardware Security Module |
| Parolalar | Argon2id / bcrypt | Salt per record | DB içinde hash |
| API token | HMAC-SHA-256 | 30 günde bir | Secret manager |
| Özel nitelikli veri | AES-256-GCM + envelope | 30 günde bir | HSM zorunlu |
Key management hatalarının %47’si “şifreleme anahtarının kod içinde saklanması” şeklinde dokümante edilmiştir. kurumsal siber güvenlik rehberimizde OWASP Top 10 ile KVKK ilişkisini detaylandırdık.
Audit Trail: Who, What, When, Where, Why Kayıtları
Audit trail, KVKK Md. 12/3 “yetkisiz erişimin önlenmesi ve sonradan tespiti” yükümlülüğünün teknik karşılığıdır. Tam bir audit trail kaydı 5 boyutu içermelidir: kim, ne, ne zaman, nereden, neden. ISO 27001 A.12.4 kontrolü audit log gereksinimini standartlaştırır.
| Boyut | Açıklama | Örnek Veri |
|---|---|---|
| Who (Kim) | Kullanıcı kimliği | user_id, IP, MFA token |
| What (Ne) | İşlem türü | READ/WRITE/DELETE, etkilenen alan |
| When (Ne zaman) | Zaman damgası | ISO 8601, UTC + timezone |
| Where (Nereden) | Erişim noktası | IP, cihaz, tarayıcı, lokasyon |
| Why (Neden) | İşlem amacı | request_id, business reason |
Audit log’larının kendileri de korumalı olmalıdır:
- İmmutable storage: AWS S3 Object Lock, write-once-read-many (WORM)
- Tamper-proof: Hash chain (blok zinciri benzeri) ile silme tespiti
- Retention süresi: KVKK için 2-10 yıl arası, sektöre göre
- Log volume: Orta ölçek SaaS için günlük 50-500 GB
- Centralized SIEM: Splunk, ELK, Datadog ile gerçek zamanlı izleme
VERBİS Kaydı ve Aydınlatma Metni Yönetimi
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) KVKK’nın idari uyum çerçevesinin omurgasıdır. KVKK Kurumu 2024 verilerine göre Türkiye’de aktif 165.000+ veri sorumlusu kuruluş VERBİS’e kayıtlıdır. Yıllık ciro 25 milyon TL ve üzeri veya 50+ çalışanı olan kurumlar için kayıt zorunludur. KVKK uyumlu yazılım, VERBİS bilgilerini operasyonel realiteyle senkron tutmalıdır.
Aydınlatma metni teknik gereksinimleri:
- Veri kategorisi listesi: Kimlik, iletişim, finansal, özel nitelikli
- İşleme amacı: Her veri kategorisi için açık ve sınırlı
- Aktarım bilgisi: Yurt içi/dışı, taraf listesi
- Saklama süresi: Hukuki ve operasyonel gerekçeli
- Veri sahibi hakları: KVKK Md. 11 kapsamında 8 hak listesi
- Versiyonlama: Her güncelleme için yeni rıza talep edilmeli
Veri Sahibi Hakları: Right to Access, Deletion, Portability
KVKK Md. 11 veri sahibine 8 farklı hak tanır. Yazılım bu hakların operasyonel karşılığı olan “self-service” arayüzlerle donatılmalıdır. Forrester 2024 Privacy Engineering raporu, manuel data subject request (DSR) süreçlerinin ortalama 18 iş günü, otomatik süreçlerin ise 24-72 saat içinde tamamlandığını belgelemiştir.
Veri sahibi hakları teknik karşılıkları:
- Right to access: “Bana ait verileri JSON/CSV export” butonu
- Right to rectification: Profil güncellemesi self-service
- Right to deletion (unutulma): Anonimleştirme veya hard-delete
- Right to portability: Standart format (JSON/XML) ile export
- Right to object: Pazarlama opt-out, profilleme kapatma
- Right to information: Veri işleme bilgisi anlık görüntüleme
İhlal Bildirim Süreçleri: 72 Saat Kuralı
KVKK Md. 12/5 veri ihlali durumunda 72 saat içinde Kurul’a bildirim yükümlülüğünü düzenler. IBM Cost of a Data Breach Report 2024 Türkiye’deki ortalama veri ihlali maliyetini 25,8 milyon TL olarak hesaplamıştır. Yazılım katmanında ihlal tespiti ve müdahale otomasyonu kritiktir.
İhlal yönetiminin teknik unsurları:
- Tespit süresi (MTTD): Hedef 24 saat altı, ortalama 277 gün (IBM 2024)
- Müdahale süresi (MTTR): Hedef 6 saat, ortalama 70 gün
- İhlal sınıflandırması: Düşük/orta/yüksek/kritik (NIST SP 800-61)
- Bildirim otomasyonu: Kurul, veri sahipleri, iç paydaşlar
- Forensic readiness: Log retention 2+ yıl, chain of custody
- Tabletop egzersiz: Yıllık 2 kez ihlal senaryosu provası
KVKK Uyumlu Yazılım Geliştirmede Tipik Sorunlar ve Çözüm Yaklaşımları
KVKK uyumluluğu yazılım projelerinde sıklıkla “compliance check-list” olarak değerlendirilir; oysa veri minimizasyonu ve privacy by design gerçek koruma için yaşam döngüsünün her fazına entegre edilmelidir. Aşağıdaki sorunlar, kurumsal yazılım projelerinde tekrar eden örüntülerdir:
- Veri minimizasyonu atlama: Form tasarımında “her ihtimale karşı” alan toplama, 6,5 milyon TL’ye varan ceza riski
- Şifreleme anahtarı sızıntısı: Anahtarın kod içine gömülmesi, GitHub commit’lerinde plaintext görünmesi
- Audit log eksikliği: “Kim, ne, ne zaman” sorularının cevaplanamadığı sistemlerde ihlal sonrası forensic imkansızlığı
- Veri silme prosedürü yokluğu: “Unutulma hakkı” başvurularının manuel işlenmesi, %85’inin 30 gün aşımı
- Üçüncü taraf veri paylaşımı: Pazarlama platformlarına, analytics araçlarına bilinçsiz veri aktarımı
- Backup şifrelemesi yokluğu: Production şifreli, backup plaintext — ihlal vektörünün %30’u
penetration test ve red team rehberimiz KVKK teknik tedbirlerini test etmenin yöntemini detaylandırır. yazılım mimarisi yazılarımız privacy by design prensibini içerir.
Sık Sorulan Sorular
KVKK uyumlu yazılım için minimum şifreleme standardı nedir?
KVKK Md. 12 kapsamında veriler “uygun güvenlik düzeyi”nde korunmalıdır. Pratikte at-rest veri için AES-256-GCM, in-transit için TLS 1.3 standart kabul edilir. AES-128 alt sınır olarak değerlendirilirken AES-256 önerilen seviyedir. Parolalar Argon2id veya bcrypt ile salt’lanmış hash olarak saklanmalı, API token’lar HMAC-SHA-256 ile imzalanmalıdır. Özel nitelikli veri (sağlık, biyometrik) için Hardware Security Module (HSM) zorunlu kabul edilir. Şifreleme anahtarları kesinlikle kod içinde değil, AWS KMS, Azure Key Vault veya HashiCorp Vault gibi key management servislerinde saklanmalıdır.
VERBİS kaydı hangi şirketler için zorunludur?
VERBİS (Veri Sorumluları Sicili) kaydı yıllık cirosu 25 milyon TL ve üzeri olan veya yıllık çalışan sayısı 50’yi aşan kurumlar için zorunludur. Bunun yanı sıra kamu kurumları, hastaneler, eğitim kurumları, bankalar ve sigorta şirketleri ciro/çalışan sayısına bakılmaksızın kayıt yükümlüsüdür. Türkiye’de 2024 itibarıyla 165.000+ aktif veri sorumlusu kayıtlıdır. VERBİS’te kayıtlı bilgilerin operasyonel realiteyle senkron olmaması Kurul tarafından idari para cezasına konu olabilir; aydınlatma metinleri ve veri kategorileri yıllık güncellenmelidir.
KVKK kapsamında veri ihlali bildirim süresi ne kadardır?
KVKK Md. 12/5 kapsamında veri sorumlusu, kişisel verilerin yetkisiz olarak ele geçirilmesi durumunda Kurul’a 72 saat (3 iş günü) içinde bildirim yapmakla yükümlüdür. Yüksek risk durumlarında veri sahiplerine de en kısa sürede bildirim gerekir. IBM 2024 verilerine göre Türkiye’deki ortalama veri ihlali maliyeti 25,8 milyon TL, küresel ortalama ihlal tespit süresi (MTTD) 277 gündür. Bu nedenle SIEM (Splunk, ELK, Datadog), 7×24 SOC izleme ve otomatik anomali tespiti KVKK uyumlu yazılım altyapısının kritik bileşenleridir.
Audit log’ları ne kadar süre saklanmalıdır?
KVKK audit log saklama süresi için kesin sayı vermez; “verinin işleme amacı ile sınırlı” olmayı işaret eder. Pratikte sektöre göre değişir: bankacılık 10 yıl (BDDK), elektronik haberleşme 2 yıl (BTK), sağlık 20 yıl, e-ticaret 5 yıl tipik gereksinimlerdir. Audit log’lar tamper-proof (silinemez) ortamda — AWS S3 Object Lock, immutable storage veya hash chain ile — saklanmalıdır. Orta ölçek SaaS için günlük 50-500 GB log üretimi normaldir; centralized SIEM (Splunk, ELK Stack) ile gerçek zamanlı korelasyon yapılmalıdır.
Veri minimizasyonu pratikte nasıl uygulanır?
Veri minimizasyonu KVKK Md. 4(d) kapsamında “işlenen veriyi amaca uygun, sınırlı ve ölçülü tutma” yükümlülüğüdür. Pratik uygulamada her veri alanı için “purpose mapping” yapılmalı: bu alan kim tarafından, ne için, hangi yasal dayanakla toplanıyor? Tipik bir üyelik formunda 12-18 alan toplanırken, gerçekten gerekli alan sayısı 4-6’dır; ortalama %55-65 alan “olmasa da olur” kategorisindedir. Form tasarımı, backend validation ve veritabanı şeması bu prensiple yeniden kurgulanmalıdır. Veri saklama süreleri için otomatik silme cron’ları (günlük retention check) çalıştırılmalıdır.
Sonuç
KVKK uyumlu yazılım geliştirme 2026 itibarıyla “compliance check-list”in çok ötesinde, sistemin DNA’sına işlenen privacy by design yaklaşımını gerektirir. 845 milyon TL’lik 2024 ceza hacminin %62’sinin teknik kontrol eksikliği kaynaklı olması, veri minimizasyonu, AES-256 şifreleme, immutable audit trail ve 72 saatlik ihlal bildirim altyapısının ne kadar kritik olduğunu gösterir. Başarılı KVKK uyumlu yazılım; form tasarımından backend mimarisine, key management’tan SIEM entegrasyonuna kadar her katmanda purpose mapping ile kurgulanır, veri sahibi haklarını self-service arayüzlerle operasyonelleştirir ve 6,5 milyon TL’ye varan idari para cezası riskini sistematik olarak yönetir.
Ömer ÖNAL
Mayıs 17, 2026KVKK uyumluluğunda en sık atlanan teknik kontrol ‘veri minimizasyonu’ — formlar tasarlanırken ‘elimizde olursa belki kullanırız’ mantığıyla toplanan veri, 6.5 milyon TL’ye kadar idari para cezasının kapısını açıyor. Backend tarafında hangi alanın kim tarafından, ne için toplandığını belirleyen ‘purpose mapping’ şart.