Dijital Çözümler Merkezi
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), yazılım projelerinde artık sadece hukuki bir gereklilik değil, mimari bir tasarım parametresidir. Kişisel veri işleyen her yazılımın başlangıç tasarımından itibaren KVKK gereksinimlerini göz önünde bulundurması zorunludur.
Pek çok geliştirici ve proje yöneticisi KVKK'yı yalnızca aydınlatma metni eklemek ve gizlilik politikası yayımlamak olarak yorumlamaktadır. Oysa KVKK uyumu, şifreleme standartlarından erişim loglarına, veri silme mekanizmalarından açık rıza modüllerine kadar teknik altyapıyı kapsamlı biçimde etkiler.
Bu rehberde KVKK'nın yazılım projelerine teknik yansımalarını, sağlık sektörüne özgü yükümlülükleri ve pratik uygulama adımlarını aktarıyoruz.
Veri minimizasyonu ilkesi, yazılımın yalnızca belirtilen amaca hizmet eden kişisel verileri toplaması gerektiğini söyler. Pratikte bu, form alanlarını dikkatli tasarlamak ve zorunlu olmayan veri toplamaktan kaçınmak anlamına gelir. 'İleride işe yarar' düşüncesiyle fazladan veri depolamak hem KVKK riski hem de güvenlik yüküdür.
Amaç sınırlılığı ilkesi, toplanan verinin yalnızca beyan edilen amaçla kullanılmasını zorunlu kılar. Yazılım mimarisinde bu, farklı veri işleme amaçlarının izole edilmesini ve her amaç için ayrı onay mekanizması tasarlanmasını gerektirebilir.
Veri sorumlusu hesap verebilirliği ise işlem kayıtlarının (log) tutulmasını, veri envanterinin güncellenmesini ve ihlal durumunda 72 saat içinde KVKK Kurulu'na bildirim yapılmasını kapsar.
Kişisel verilerin aktarımda ve depolamada şifrelenmesi KVKK'nın teknik güvenlik tedbirleri kapsamındadır. Aktarımda TLS 1.2 veya üzeri zorunludur; HTTP üzerinden kişisel veri iletimi kabul edilemez bir risk oluşturur.
Depolamada hassas veriler (şifre, kimlik numarası, sağlık verisi) bcrypt, Argon2 gibi güçlü hash algoritmaları veya AES-256 şifrelemesiyle korunmalıdır. Veritabanı şifrelemesi de değerlendirilebilir; özellikle sağlık ve finans verisi için güçlü bir güvence katmanı oluşturur.
Uygulama seviyesinde SQL enjeksiyonu, XSS ve CSRF gibi OWASP tehditlerine karşı koruma da KVKK güvenlik tedbirleri kapsamına girer; veri ihlalinin teknik nedenlerini önler.
Kim, ne zaman, hangi veriye erişti? Bu soruya yanıt verebilmek için kapsamlı erişim log altyapısı kurulmalıdır. Özellikle kişisel veri içeren ekranlar ve API endpoint'leri için kullanıcı kimliği, zaman damgası, IP adresi ve işlem türü loglanmalıdır.
Log verileri değiştirilmez ve silinemez biçimde saklanmalı; yeterli süre (genellikle 2 yıl) muhafaza edilmelidir. Merkezi log yönetimi (SIEM) hem güvenlik izleme hem de KVKK denetim hazırlığı için kritik bir altyapıdır.
İlgili kişinin verilerinin silinmesini talep etme hakkı, yazılım altyapısında somut bir silme mekanizması gerektirir. Bu mekanizma, yedeklerde dahil olmak üzere kişisel verinin tüm kopyalarına ulaşabilmelidir.
Pratikte bu, veri silme taleplerini izleyecek bir iş akışı, hangi tablolarda hangi kişinin verisi olduğunu gösteren veri haritası ve silme işleminin başarıyla tamamlandığını doğrulayan kayıt anlamına gelir. Silme yerine anonimleştirme (anonymization) de KVKK kapsamında geçerli bir yaklaşımdır.
Web ve mobil uygulamalarda açık rıza almak teknik bir bileşen gerektirir. Rıza kaydı, 'hangi kişi, hangi amaç için, hangi tarihte, hangi metin sürümüne onay verdi' bilgisini saklamalıdır. Kullanıcı rızasını geri aldığında bu da kayıt altına alınmalı ve ilgili işlemler durdurulmalıdır.
Cookie consent (çerez onayı) için ayrı bir mekanizma gerekir; özellikle analitik ve pazarlama çerezleri için kullanıcının açık onayı alınmadan bu çerezler yerleştirilmemelidir.
KVKK, sağlık verilerini 'özel nitelikli kişisel veri' olarak sınıflandırır ve daha katı güvenlik tedbirleri öngörür. Sağlık yazılımlarında hasta adı, TC kimlik, teşhis, tedavi bilgisi ve ilaç reçetesi bu kapsamdadır.
Sağlık verilerinin işlenmesi için 'ilgili kişinin açık rızası' veya 'sağlık hizmetlerinin yürütülmesi amacıyla sır saklama yükümlülüğüne tabi kişiler tarafından işlenmesi' istisnasından biri uygulanmalıdır. Teknik olarak bu veriler en yüksek şifreleme standardıyla korunmalı, erişim rol bazlı yetkilendirmeyle kısıtlanmalı ve erişim logları ayrıntılı tutulmalıdır.
KVKK uyumu, projenin sonradan eklenen bir katman değil, başlangıç mimarisinin parçası olduğunda hem teknik hem de hukuki sürdürülebilirlik sağlanır. Privacy by design yaklaşımı hem kullanıcı güveni inşa eder hem de uyumsuzluk kaynaklı idari para cezası riskini ortadan kaldırır.
Avexasoft, KVKK uyumlu yazılım geliştirme konusunda teknik ve mimari danışmanlık hizmeti vermektedir. Projenizin KVKK gereksinimlerini karşıladığından emin olmak için ücretsiz teknik değerlendirme talep edin.
Yazılımınızı baştan KVKK uyumlu tasarlayın Avexasoft, yazılım projelerinde KVKK teknik gereksinimlerini karşılayan mimari danışmanlığı ve geliştirme hizmetleri sunmaktadır. Projenizin mevcut durumunu değerlendirmek veya yeni bir proje başlatmak için ücretsiz teknik görüşme talep edin.
KVKK Kurulu idari para cezası uygulayabilir; 2024 yılı için üst sınır 7.303.156 TL olarak belirlenmiştir. Ayrıca ihlale konu veri kategorisine göre Cumhuriyet Başsavcılığı'na suç duyurusunda bulunulabilir. İtibar kaybı ve müşteri güveni erozyonu ise sayısal olarak ölçülemese de çok daha büyük bir etki yaratabilir.
Bulut hizmeti kullanmak başlı başına KVKK ihlali değildir. Ancak sunucuların yeri, veri aktarım koşulları ve sözleşme şartları kritik öneme sahiptir. Yurt dışı bulut kullanımında KVKK'nın yurt dışına veri aktarımına ilişkin düzenlemeleri dikkate alınmalıdır. Yerel veri merkezi veya Türkiye'deki bulut bölgeleri bu açıdan daha güvenli bir başlangıç noktası olabilir.
Mobil uygulamalar izin yönetimi (konum, kamera, bildirim vb.) için açık rıza almalı; gereksiz izin talep etmekten kaçınmalıdır. Uygulama içi reklam ağları ve analitik SDK'lar üçüncü taraf veri paylaşımı yaratabileceğinden dikkatli değerlendirilmelidir. Uygulama mağazası gereksinimleri (App Store, Google Play) de gizlilik beyanı zorunluluğu getirir.
İlk adım veri envanteri çıkarmaktır: hangi sistemde, ne tür kişisel veri, hangi amaçla işleniyor. Ardından en yüksek riskli veri kategorileri (sağlık, finansal, kimlik bilgisi) önceliklendirilir. Erişim kontrolü ve log altyapısı genellikle ilk teknik iyileştirme adımı olarak değerlendirilir.
Yazılım teslim alındıktan sonra ne olur? SLA (Service Level Agreement) nedir, yazılım bakım sözleşmesi neleri kapsar, işletmenizi nasıl korur? Kapsamlı rehber.
Bulut bilişim (cloud computing) nedir, işletmenize ne gibi avantajlar sağlar? Sunucu maliyetlerini azaltmaktan her yerden erişime, ölçeklenebilirlikten veri güvenliğine kapsamlı rehber.
İhtiyaçlarınızı birlikte belirleyelim ve işletmenize en uygun dijital çözümü tasarlayalım. İlk görüşme tamamen ücretsiz.
Ücretsiz Danışmanlık Alın