Küresel yazılım outsourcing pazarı ISG Index 2026 raporuna göre 612 milyar dolara ulaştı; sözleşme değeri (TCV) bir önceki yıla göre %14 büyüdü ve managed services payı toplam pazarın %71’ine çıktı. KPMG’nin 2025 Service Provider Performance Study çalışmasında “başarısız” olarak etiketlenen outsourcing ilişkilerinin %67’sinin kök nedeni sözleşme tasarımı (zayıf SLA, IP belirsizliği, exit klozu eksikliği) olarak tespit edildi; aynı raporda iyi yapılandırılmış sözleşmelerle yürütülen projelerde zamanında teslim oranı %83, sözleşme yenileme oranı %78 ölçülüyor. IACCM (World Commerce & Contracting) verilerine göre BT sözleşmelerinin ortalama %9,2’si “değer sızıntısı” yaşıyor; bu kayıp orta ölçekli bir kurumsal projede yıllık 1,8 milyon dolara karşılık geliyor. Bu rehber, 2026 koşullarında yazılım outsourcing sözleşmesinin altı kritik bileşenini (sözleşme tipi, SLA, IP, risk, fiyatlandırma, exit), Türkiye-AB çapraz yargı yetkisi konularını ve müzakere taktiklerini ele alıyor.
Aşağıda sırasıyla sözleşme yapısı tercihini, ölçülebilir SLA tasarımını, fikri mülkiyet haklarının paylaşımını, sorumluluk üst sınırı (liability cap) ve yargı yetkisi seçimini, risk matrisi ile due diligence süreçlerini, exit ve uyuşmazlık çözümünü inceleyeceğiz. Tablolar 2026 piyasa benchmarkları, finansal cezaları ve karar matrislerini içeriyor.
Sözleşme Tipi: T&M, Fixed Price ve Managed Capacity
Yazılım outsourcing sözleşmesinin omurgası, ticari modelin doğru seçilmesidir. Gartner’ın 2025 Sourcing Survey raporuna göre kurumsal projelerin %39’u T&M (Time & Materials), %33’ü dedicated team / managed capacity, %22’si sabit fiyat (fixed price) ve %6’sı outcome-based modelle yürütülüyor. Yanlış model seçimi sözleşmenin değer sızıntısının birinci sebebi; IACCM verilerine göre kapsam belirsiz projelerde sabit fiyat tercih edildiğinde değişiklik talebi maliyeti toplam bütçenin %38’ine kadar çıkabiliyor.
| Model | Bütçe Riski | Esneklik | Tedarikçi Marjı | İdeal Kapsam | Tipik Süre |
|---|---|---|---|---|---|
| Sabit fiyat (FP) | Müşteri lehine (cap) | Düşük | %22-30 | Net, değişmeyen scope | 3-6 ay |
| T&M | Müşteri (saatlik) | Yüksek | %18-25 | Agile, değişken scope | 6-18 ay |
| Dedicated team | Müşteri (FTE) | Çok yüksek | %15-22 | Uzun süreli ortaklık | 12-36 ay |
| Outcome-based | Tedarikçi | Orta | %25-40 | Ölçülebilir KPI çıktısı | 12+ ay |
| Hibrit (FP + T&M) | Paylaşımlı | Yüksek | %20-28 | Discovery + uygulama | 9-24 ay |
Pratik karar kuralı: kapsamın yazılı gereksinim dokümanında %85+ netlikle tanımlanabildiği projeler sabit fiyata uygundur. Aksi halde T&M ile bütçe cap’i (örn. “tahmini saat +%20”) en sağlam yapıdır. Dedicated team modeli, tedarikçinin sizin için ayırdığı tam zamanlı kapasite (genelde 5-25 FTE) anlamına gelir; ramp-up süresi 6-10 hafta, “knowledge retention” katsayısı yüksektir.
- Kapsam netliği < %50: T&M veya dedicated team seçin; sabit fiyat müzakeresine girmeyin.
- İlk MVP / discovery fazı: 4-6 haftalık sabit fiyat discovery + sonraki fazlar T&M.
- Stratejik 3+ yıl ortaklık: Dedicated team + yıllık SLA-KPI revizyonu + bonus-malus mekanizması.
- Mevzuat etkisi yüksek (fintech, sağlık, kamu): Managed capacity + sıkı compliance ekleri (PCI-DSS, KVKK, HIPAA).
SLA Tasarımı: Hizmet Seviyeleri ve Ceza Mekanizması
SLA (Service Level Agreement) sözleşmenin “ölçülebilir kalite katmanıdır”. ITIL 4 ve ISO/IEC 20000 standartlarına göre etkili bir SLA üç temele yaslanır: ölçülebilir metrik, raporlama kanıtı, finansal sonuç (service credit). Aşırı metrik yığını “vanity SLA” yaratır; gerçek operasyonel etkiyi yansıtmayan KPI’lar sözleşme süresince çatışma kaynağı olur. KPMG araştırmasına göre kurumsal SLA’lar ortalama 12 metrik içeriyor ancak sadece 4-5 tanesi gerçek müşteri değerini izliyor.
| SLA Katmanı | Uptime Hedefi | Yanıt (P1) | Çözüm (P1) | Service Credit | Tipik Müşteri Profili |
|---|---|---|---|---|---|
| Bronze (Standard) | %99,0 | 60 dk | 24 saat | Aylık ücretin %5’i | Iç araç, non-critical |
| Silver (Business) | %99,5 | 30 dk | 8 saat | Aylık ücretin %10’u | B2B SaaS, ERP modül |
| Gold (Mission Critical) | %99,9 | 15 dk | 4 saat | Aylık ücretin %20’si | Fintech, e-ticaret core |
| Platinum (24/7) | %99,95 | 5 dk | 2 saat | Aylık ücretin %30’u | Banka, ödeme, sağlık |
| Five Nines | %99,999 | 2 dk | 30 dk | Aylık ücretin %50’si + cap dışı | Telco core, hava trafik |
Service credit tek başına yeterli değildir; üst üste üç ay SLA ihlali tetiklendiğinde “right to terminate without penalty” klozu devreye girmelidir. Aksi halde tedarikçi cezayı maliyet olarak içselleştirip iyileştirmeden kaçınabilir. Gartner’a göre 2025’te kurumsal sözleşmelerin %46’sı çıkış tetikleyici klozu (exit trigger) içeriyor — bu oran 2022’de %29’du.
KPI Matrisi: Operasyonel ve Kalite Metrikleri
SLA uptime ve incident metrikleriyle sınırlı kalmamalı; geliştirme kalitesi ve süreç sağlığını ölçen KPI’lar ayrıca tanımlanmalıdır. DORA (DevOps Research and Assessment) ölçütleri bu noktada endüstri standardıdır.
| KPI Kategorisi | Metrik | Hedef (Yüksek Performans) | Ölçüm Aracı | Raporlama Sıklığı |
|---|---|---|---|---|
| Deployment | Deployment frequency | Günde 1+ | CI/CD logs | Haftalık |
| Lead time | Commit → prod | < 24 saat | Git + APM | Haftalık |
| Kalite | Change failure rate | < %15 | Incident tracker | Aylık |
| Kurtarma | MTTR (P1) | < 1 saat | Incident postmortem | Aylık |
| Kod kalitesi | Defect leakage | < %2 | QA + prod hata | Sprint |
| Tahmin | Sprint velocity sapması | +/- %10 | Jira | Sprint |
| Test | Code coverage | > %80 (kritik modül) | SonarQube/Coverage | Sprint |
| Güvenlik | Critical CVE çözüm süresi | < 7 gün | SAST/DAST | Anlık |
Bu metriklerin sözleşmede yer alması yetmez; rapor formatı, kaynak araç (single source of truth), QBR (quarterly business review) toplantı kadansı ve eskalasyon merdiveni açıkça yazılmalıdır. Aksi halde “ölçüm yorum farkı” yüzünden müzakere döngüsüne girilir.
Fikri Mülkiyet (IP) Hakları: Sahiplik Modelleri
WIPO IP Handbook ve IACCM standartlarına göre yazılım outsourcing IP klozları üç temel modele dayanır: assignment (devir), work-for-hire (eser sahipliği) ve license (lisans). Yanlış model seçimi, ileride satın alma, birleşme veya açık kaynak yayını anında ciddi engellere yol açar. KPMG 2025 raporu, başarısız outsourcing davalarının %41’inin IP belirsizliği kaynaklı olduğunu gösteriyor.
| Model | Sahiplik Sonucu | Tedarikçi Yeniden Kullanım | Tipik Kullanım | Türkiye Hukuk Uyumu (FSEK) |
|---|---|---|---|---|
| Assignment (Devir) | Tüm haklar müşteriye | Hayır (yazılı izin gerekir) | Stratejik ürün, IP tabanı kritik | FSEK m.48 yazılı sözleşme zorunlu |
| Work-for-hire | Sipariş üzerine eser, müşteriye geçer | Hayır | Kurumsal ürün geliştirme | FSEK m.18 sipariş üzerine eser |
| Exclusive license | Tedarikçi sahip, müşteri tek kullanıcı | Hayır (münhasır) | Niş çözüm, dikey SaaS | FSEK m.48-49 münhasır ruhsat |
| Non-exclusive license | Tedarikçi sahip, çoklu müşteri | Evet | White-label SaaS, framework | FSEK m.48-49 basit ruhsat |
| Joint ownership | Ortak mülkiyet | Karşılıklı onayla | R&D ortaklığı, JV | FSEK m.10 ortak eser |
| Background IP | Tedarikçide kalır | Sınırlı, sublicense yok | Önceden var olan kütüphane | FSEK m.48 sınırlı ruhsat |
- Foreground IP: Proje süresince üretilen kod, tasarım, veri seti — assignment veya work-for-hire ile müşteriye geçer.
- Background IP: Tedarikçinin projeye getirdiği önceden var olan IP — sınırlı, sublicensing’siz lisans verilir; SBOM ile envanteri tutulur.
- Third-party IP: Açık kaynak ve ticari bileşenler — SPDX lisans listesi, copyleft uyumu, FOSSA/Snyk taraması zorunludur.
- Patent koruması: Karşılıklı non-assert klozu; üçüncü taraf patent talepleri için tedarikçinin tazminat (indemnification) yükümlülüğü ve savunma maliyetlerinin paylaşımı.
- Moral haklar (FSEK m.14-17): Türkiye’de “eser sahibi”nin manevi hakları devredilemez; yazılı çalışan + sözleşme zinciri sağlam kurulmalı.
Sorumluluk Üst Sınırı (Liability Cap) ve Yargı Yetkisi
Liability cap, tedarikçinin sözleşmeye bağlı toplam mali sorumluluğunun azami tutarıdır. IACCM 2025 verilerine göre BT sözleşmelerinin %78’inde sorumluluk üst sınırı yıllık ücretin 1-3 katı aralığında belirleniyor; ancak siber güvenlik ihlali, IP ihlali, gizlilik (NDA) ihlali ve kasıt/ağır kusur halleri cap dışında tutulan tipik istisnalardır. Yargı yetkisi seçimi ise dava maliyetini doğrudan etkiler — uluslararası tahkim (ICC, LCIA) ortalama 18-30 ay sürer ve maliyeti 250-800 bin USD aralığındadır.
| Sorumluluk Türü | Tipik Cap | Cap Dışı (Carve-out) | Sigorta Karşılığı | Müzakere Önceliği |
|---|---|---|---|---|
| Doğrudan zarar | Yıllık ücret 1-2x | — | Genel sorumluluk | Orta |
| Veri ihlali | Yıllık ücret 2-5x veya unlimited | Genelde carve-out | Siber sigorta (5-25M USD) | Yüksek |
| IP ihlali (3. taraf) | Genelde unlimited | Carve-out + indemnity | IP infringement sigorta | Yüksek |
| Gizlilik (NDA) ihlali | Yıllık ücret 2-3x | Kasıt/ağır kusur carve-out | Professional indemnity | Yüksek |
| Dolaylı / consequential | Genelde hariç tutulur | Ağır kusur halinde dahil | — | Orta-yüksek |
| Ceza/regulatory fine | Yıllık ücret 1-2x | Müşteri kusuru carve-in | Cyber sigorta tetikleyici | Orta |
| Yargı Yetkisi | Uygulanacak Hukuk | Tipik Süre | Tipik Maliyet (USD) | İcra Kolaylığı | Önerilen Senaryo |
|---|---|---|---|---|---|
| Türk Mahkemesi (TR) | TBK + TTK + FSEK | 24-48 ay | 30-120 bin | Yüksek (yerel taraflar) | İki taraf da Türkiye’de |
| İstanbul Tahkim Merkezi (ISTAC) | Türk hukuku | 9-15 ay | 40-200 bin | Yüksek (New York Konv.) | TR-bağlı sınırötesi |
| ICC Tahkim (Paris/Cenevre) | Taraf seçimi | 18-30 ay | 250-800 bin | Çok yüksek | Çok uluslu kurumsal |
| LCIA (London) | İngiliz hukuku | 18-24 ay | 200-700 bin | Yüksek | AB / Common Law müşteri |
| SIAC (Singapore) | Singapur/seçim | 12-20 ay | 180-600 bin | Yüksek (Asya) | APAC bağlantısı |
| JAMS / AAA (US) | State hukuku | 12-24 ay | 150-500 bin | Yüksek (US) | ABD müşterisi |
Türkiye merkezli tedarikçiyle AB müşterisi arasında en yaygın seçim, “İngiliz hukuku + LCIA veya ISTAC tahkim” kombinasyonudur. ISTAC, son 5 yılda uluslararası BT dava sayısını %180 artırarak bölgesel cazibe merkezi haline geldi ve yabancı hakem atayabilme esnekliği sunuyor. Türkiye, 1958 New York Konvansiyonu tarafıdır; tahkim kararı 165+ ülkede icra edilebilir.
Risk Yönetimi: Matrisi, Due Diligence ve Sigorta
Outsourcing risk yönetimi sadece sözleşme klozlarıyla değil, due diligence öncesi tedarikçi seçimi ve sigorta katmanıyla bütünleşmiş şekilde işler. ISO 31000 risk çerçevesine göre olasılık (probability) ve etki (impact) eksenli 5×5 matris, kurumsal sözleşmenin görsel haritasıdır. KPMG’nin Service Provider Performance Study çalışmasına göre due diligence harcaması toplam sözleşme değerinin %0,5-1,5’i arasında olmalı; bu eşik altında risk maliyeti üstel artıyor.
- Finansal due diligence: Son 3 yıl mali tablo, banka referansı, D&B/Creditreform skoru; tedarikçinin yıllık cirosunun en fazla %30’u tek müşteriye bağlı olmalı.
- Operasyonel due diligence: ISO 27001 (bilgi güvenliği), ISO 9001 (kalite), SOC 2 Type II (kontrol), CMMI seviyesi (3+), CISA pentest raporu son 12 ay.
- Referans denetimi: En az 3 mevcut müşteriyle gizli görüşme; “would you renew?” sorusunun cevabı kritik göstergedir.
- Right to audit: Yılda en az 1 bağımsız denetçi erişimi, kritik incident sonrası 48 saat içinde acil denetim hakkı.
- Sigorta paketi: Professional indemnity (min. 2M USD), siber sigorta (min. 5M USD), genel sorumluluk (min. 1M USD), workers’ comp (yerel mevzuat).
- Subcontracting kontrolü: Tedarikçi onayınız olmadan alt yüklenici çalıştıramaz; subprocessor listesi ekte tutulur, değişiklik 30 gün önceden bildirimle.
- Anahtar personel klozu (key personnel): Proje yöneticisi ve baş mimarın değişikliği müşteri onayına bağlanır; aksi halde service credit tetiklenir.
Türkiye Outsourcing Düzenleyici Çerçevesi
Türkiye Bankalar Birliği (TBB) ve BDDK’nın 2024 sonu güncellenen “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” çerçevesinde finansal kurumlar dış kaynak kullanımında: (a) hizmet alım sözleşmesinin BDDK’ya bildirimi, (b) verilerin Türkiye’de saklanması, (c) yedek tedarikçi planı, (d) çıkış stratejisi şart koşulur. KVKK çerçevesinde “veri sorumlusu – veri işleyen” sözleşmesi (Madde 12) zorunludur ve “yurt dışına aktarım” için açık rıza veya VERBİS taahhütnamesi gerekir. NDA litigation patterns IACCM 2025 raporuna göre Türkiye’de gizlilik ihlali davalarının %58’i sözleşmede ölçülebilir gizlilik tanımı eksikliğinden kaynaklanıyor.
| Sözleşme Büyüklüğü | Tipik FTE | Tercih Edilen Model | Discovery Süresi | Hukuki Inceleme Maliyeti (USD) | Compliance Yükü |
|---|---|---|---|---|---|
| Küçük (< 100K USD) | 1-3 | T&M veya FP | 1-2 hafta | 3-8 bin | Düşük (NDA + MSA) |
| Orta (100-500K) | 4-10 | T&M + SLA | 3-5 hafta | 10-25 bin | Orta (DPA + IP eki) |
| Büyük (500K-2M) | 10-25 | Dedicated team | 6-10 hafta | 30-80 bin | Yüksek (compliance audit) |
| Stratejik (2-10M) | 25-80 | Managed capacity | 10-16 hafta | 80-250 bin | Çok yüksek (SOC 2 + ISO) |
| Enterprise (10M+) | 80+ | Hibrit + outcome | 4-6 ay | 250 bin+ | Maksimum (BDDK/regulatory) |
Uyuşmazlık Çözümü: Eskalasyon Merdiveni
Uyuşmazlık çözümü tek aşamalı düşünülmemelidir; pratikte 4-katmanlı eskalasyon merdiveni (operasyonel görüşme → yönetici toplantısı → mediation → tahkim/dava) en hızlı uzlaşma yolunu sağlar. ICC 2025 verilerine göre tahkime giden BT davalarının %43’ü mediation aşamasında çözülüyor; bu maliyet farkı tipik bir 1M USD sözleşmede 350-500 bin USD tasarruf demek.
| Yöntem | Süre | Maliyet (USD) | Karar Bağlayıcılığı | Gizlilik | Önerilen Aşama |
|---|---|---|---|---|---|
| Direct negotiation | 0-30 gün | 0-5 bin | Tarafların onayıyla | Tam | Her ihtilaf ilk adım |
| Senior executive mtg | 30-60 gün | 5-15 bin | Tarafların onayıyla | Tam | Operasyonel takılma |
| Mediation (ICC, ISTAC) | 2-4 ay | 15-60 bin | Tarafların onayıyla | Tam | Mali / SLA ihtilafları |
| Expert determination | 1-3 ay | 20-50 bin | Genelde bağlayıcı | Tam | Teknik metrik anlaşmazlık |
| Arbitration (ICC/ISTAC/LCIA) | 9-30 ay | 200-800 bin | Tam bağlayıcı + NY Konv. | Yüksek | Sözleşme feshi, IP |
| Litigation (mahkeme) | 24-60 ay | 30-500 bin | Tam bağlayıcı + temyiz | Genelde aleni | Son çare |
Exit Stratejisi ve Bilgi Aktarımı
Exit klozu sözleşmenin “boşanma anlaşması”dır. Gartner 2025 Sourcing Survey verilerine göre exit klozu tasarımı yetersiz olan sözleşmelerde geçiş maliyeti, yıllık ücretin %35-60’ına ulaşıyor. İyi yazılmış bir exit yapısı dört bileşen içerir: bilgi aktarımı (knowledge transfer), kaynak kod escrow, takım gölgeleme (shadowing) ve teknik dokümantasyon teslimi. ISG Index 2026 raporu, kurumsal müşterilerin %38’inin son sözleşmesinde “reversibility” (geri alınabilirlik) klozunu eklediğini gösteriyor.
- Termination notice: Convenience için 60-180 gün, cause için 30 gün; tedarikçi cause için 90 gün önerilir.
- Transition assistance: Mevcut SLA korunarak 90-180 gün boyunca devam; saatlik ücretle T&M veya cap’li sabit ücret.
- Source code escrow: Iron Mountain veya Codekeeper benzeri 3. taraf escrow sağlayıcısı, kuartal release.
- Personel devri (TUPE benzeri): Türkiye’de İş Kanunu m.6 işyeri devri uygulaması; kritik personel için seçenek bırakılır.
- Dokümantasyon teslim seti: Mimari diyagram, runbook, deployment script, dependency listesi, API kataloğu, post-mortem arşivi.
- Veri portabilitesi: Müşteri verisinin tedarikçi sistemlerinden 30 gün içinde silinmesi sertifikası (data erasure attestation).
Müzakere Taktikleri: Term Sheet ve MSA-SOW Ayrımı
Profesyonel outsourcing müzakeresi term sheet ile başlar; bu 4-8 sayfalık özet stratejik klozları (IP, exit, liability cap, audit, governance) önceden kilitler. MSA (Master Services Agreement) iskelet sözleşmedir; SOW (Statement of Work) her proje/faz için ayrı imzalanır. Bu ayrım, tedarikçinin “her SOW yeni müzakere” stratejisini engeller. IACCM verilerine göre term sheet kullanan kuruluşlar müzakere süresini ortalama %38 kısaltıyor.
- BATNA hazırlığı: En az 3 alternatif tedarikçi tekliflendi; “walk-away point” rakam bazlı tanımlı.
- Anchor strategy: İlk teklifte cap, liability, IP klozlarını agresif yerleştirin; geri çekilme alanı bırakın.
- Logrolling: Tedarikçi için düşük maliyet / sizin için yüksek değer kombinasyonları takas edilir (örn. uzun süre garanti ↔ daha düşük cap).
- Reference check döngüsü: Müzakere sırasında 2-3 referans müşteriden teyit alın; tedarikçinin esneklik vaatlerini doğrulayın.
- Pilot project klozu: İlk 3 ay “no penalty exit” hakkı; uyum testi maliyetsiz kapanış olarak yazılır.
Sık Sorulan Sorular
Sabit fiyat mı T&M mi outcome-based mi seçmeliyim?
Kapsam %85+ netlikle yazılı tanımlanabiliyorsa ve değişiklik riski düşükse sabit fiyat bütçe öngörülebilirliği sağlar. Modern yazılım projelerinde gereksinim çoğunlukla iterasyon sırasında değişir; bu durumda T&M (saatlik ücret + cap) veya dedicated team daha gerçekçidir. Outcome-based model, ölçülebilir iş çıktısı (örn. dönüşüm oranı, MTTR düşüşü, ticket çözüm hızı) tanımlanabildiğinde tedarikçi tarafına risk transferi sağlar — Gartner’a göre %6 pazar payı olsa da yıllık %35 büyüyor. Pratik karar: 4-6 haftalık discovery sabit fiyat + sonrası T&M veya dedicated team şeklinde hibrit yapı en sağlam yaklaşımdır.
Fikri mülkiyet (IP) haklarını nasıl koruyabilirim?
Sözleşmede foreground IP’nin teslim anında müşteriye geçtiğini açık yazın (Türkiye’de FSEK m.18 + m.48 yazılı sözleşme zorunlu). Background IP için sınırlı, sublicensing’siz lisans verilir ve SBOM ile envanteri tutulur. Üçüncü taraf IP ihlal taleplerinde tedarikçinin indemnification (tazminat + savunma) yükümlülüğü, cap dışında bırakılır. Kaynak kod escrow (Iron Mountain, Codekeeper) kuartal release ile; düzenli IP audit (yılda 1) ve açık kaynak lisans tarama (FOSSA, Snyk) uzun vadeli koruma sağlar. Türkiye’de moral haklar (FSEK m.14-17) devredilemediğinden tedarikçi çalışan zincirinin yazılı olması kritiktir.
SLA ihlali durumunda hangi yaptırımlar uygulanır?
Sözleşmede tanımlı ölçüm dönemi (aylık/kuartal) sonunda, ihlal eden metrik için önceden belirlenen service credit tetiklenir — aylık ücretin %5-50’si arasında değişir. Üst üste 3 dönem ihlal “right to terminate without penalty” tetikleyici olarak yazılır. Service credit tek başına yetersizdir; sürekli ihlalde tedarikçi cezayı maliyet olarak içselleştirebilir, bu nedenle eskalasyon merdiveni (operasyonel toplantı → executive meeting → corrective action plan → fesih) gerekir. Ölçüm aracı tek kaynak (single source of truth) olarak tanımlanmalı; “yorum farkı”ndan dolayı çatışmaya girilmemelidir.
Liability cap ne olmalı, hangi durumlar cap dışında?
IACCM 2025 benchmarkına göre BT sözleşmelerinde sorumluluk üst sınırı genellikle yıllık ücretin 1-3 katı arasında. Stratejik / mission-critical sistemlerde 3-5x veya unlimited istenebilir. Cap dışında tutulan tipik kategoriler: (1) veri ihlali ve gizlilik (NDA) ihlali, (2) üçüncü taraf IP ihlal talepleri, (3) kasıt ve ağır kusur, (4) regulatory ceza (GDPR, KVKK), (5) ölüm/yaralanma. Bu carve-out’lar tedarikçi sigortası (professional indemnity + cyber + IP infringement) ile desteklenmeli; sigorta sertifikası sözleşme ekinde tutulmalı ve her yıl yenilenmelidir. Türkiye TBK m.27 nedeniyle “ahlaka aykırı sınırsız muafiyet” geçersizdir; cap dengesi hukuki sağlamlık açısından da kritiktir.
Türkiye-AB sınırötesi outsourcing için yargı yetkisini nasıl seçmeliyim?
Türkiye merkezli tedarikçiyle AB müşterisi arasında en yaygın seçim “İngiliz hukuku + LCIA tahkim” veya “Türk hukuku + ISTAC tahkim” kombinasyonudur. Pratik kriter: müşterinin yetkili hukuk ekibi ve tedarikçinin operasyonel coğrafyası dengelenmelidir. ISTAC (İstanbul Tahkim Merkezi) maliyet açısından (40-200 bin USD) ICC veya LCIA’ya göre %40-60 daha ekonomik, ortalama süre 9-15 ay. New York Konvansiyonu sayesinde tahkim kararları 165+ ülkede icra edilebilir. KVKK gereği veri ihtilafları için yargı yetkisi konusu DPA (Data Processing Agreement) ekinde ayrıca düzenlenir; bu nokta atlanmamalıdır.
Sonuç: 2026 Müzakere Çerçevesi
2026 yazılım outsourcing sözleşmesi, ticari modelin doğru seçilmesi (kapsam netliğine göre FP / T&M / dedicated / outcome), ölçülebilir SLA katmanları (3-5 metrik + service credit + exit trigger), net IP modelleri (assignment ya da work-for-hire foreground için, sınırlı lisans background için), dengeli liability cap (yıllık ücret 1-3x + kritik istisnalar carve-out), titiz due diligence (ISO 27001 + SOC 2 + 3 referans) ve sağlam exit klozları (90-180 gün geçiş + escrow + reversibility) ile başarılı tedarikçi ilişkisinin yazılı haritasıdır. Pratik tavsiye: müzakereyi term sheet ile başlatın, stratejik klozları MSA seviyesinde kilitleyin, SOW seviyesinde sadece kapsam ve fiyat yeniden müzakere edilsin; Türkiye-AB sınırötesi senaryolarda ISTAC tahkim ve İngiliz hukuku kombinasyonu maliyet-güvence dengesinin altın çizgisidir. Yazılım Outsourcing Türkiye 2026 maliyet rehberinde tedarikçi seçimi ve fiyatlandırma stratejisinin ülke-bazlı analizini bulabilirsiniz; PCI-DSS uyum sözleşme klozları, kurumsal pentest süreci ve DevSecOps shift-left yaklaşımı outsourcing sözleşmesinin güvenlik eklerinin nasıl yazılması gerektiği konusunda referans sağlar. Dijital dönüşüm projelerinde KPI tasarımı için dijital dönüşüm KPI çerçevemize, daha geniş kurumsal risk haritası için teknoloji risk yönetimi rehberine bakın. Daha derin kaynak olarak ISG Index outsourcing pazar raporu, KPMG Sourcing Advisory, IACCM (World Commerce & Contracting), WIPO IP framework, Türkiye FSEK (5846 sayılı kanun), İstanbul Tahkim Merkezi (ISTAC) ve Türkiye Bankalar Birliği (TBB) yayınları incelenmelidir.
Ömer ÖNAL
Mayıs 16, 2026Yazılım danışmanlığı projelerinde sıkça karşılaştığım bir soru: “Hangi mimari hangi senaryoda öncelikli olmalı?” Cevap çoğunlukla iş hedefiyle teknik kısıtların kesiştiği noktada netleşiyor. Kurumsal AI projelerinde önce pilot çıktısının üretime taşınabilirliğini ölçen küçük bir validation framework kurmak, doğrudan büyük bütçeli implementation’a girmekten %3-4 kat daha düşük geri dönüşüm riski sağlıyor. Yorumlarınıza açığım.