KVKK Denetimi

KVKK denetimini yalnızca “uyum kontrolü” olarak ele almıyoruz. Kurumun idari tedbir olgunluğunu, KVKK m.12 kapsamındaki teknik kontrol etkinliğini ve dokümantasyon bütünlüğünü aynı çerçevede değerlendirerek denetlenebilir ve sürdürülebilir bir güvenlik modeli kuruyoruz.

Murat Kaya
Murat Kaya · Bilgi Güvenliği Başdenetçisi 25+ yıl deneyimli denetim ekibiyle ön görüşme

KVKK denetimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu m.12/3 uyarınca veri sorumlusunun kişisel veri güvenliğini sağlamaya yönelik gerekli denetimleri yapma veya yaptırma yükümlülüğünün karşılanmasıdır. Denetim; idari tedbirlerin olgunluğunu, m.12/1 kapsamındaki teknik tedbirlerin etkinliğini ve dokümantasyonun tamlığını aynı çerçevede ölçer. Yürütme, Kurul’un Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) ile ISO/IEC 27001:2022 Annex A kontrol seti esas alınarak gerçekleştirilir.

Denetimi “var/yok” kontrolü olarak yürütmüyoruz. Her tespit log, konfigürasyon, kayıt ve süreç işletimiyle ispatlanır; bulgular olasılık-etki temelli risk matrisine ve sorumlusu belli, süreli 30/60/90 gün aksiyon planına bağlanır. Teknik tedbirlerin etkinliği gerektiğinde sızma testi ile sahada doğrulanır.

Güncelleme: 31 Mayıs 2026 Denetim metodolojisi gözden geçirme: Murat Kaya, Bilgi Güvenliği Başdenetçisi Dayanak: 6698 sayılı KVKK m.12 + Kişisel Veri Güvenliği Rehberi

KVKK Denetimi Nedir, Neden Zorunludur?

KVKK m.12, veri sorumlusuna iki ayrı yükümlülük getirir: bir yandan uygun güvenlik düzeyini sağlayacak teknik ve idari tedbirleri almak (m.12/1), diğer yandan bu tedbirlerin işlediğini denetlemek (m.12/3). Tedbirlerin yazılı olarak var olması tek başına yeterli değildir; Kurul, ihlal incelemelerinde tedbirlerin fiilen uygulandığının ve etkin olduğunun ispatını arar.

  • Yükümlülük: m.12/3 kapsamında gerekli denetimlerin yapılması veya yaptırılması yasal zorunluluktur.
  • İspat: Veri ihlali soruşturmalarında alınan tedbirlerin etkinliği delillerle ortaya konmalıdır; denetim bu delil setini önceden üretir.
  • Risk azaltımı: Erişim, log, şifreleme ve ağ güvenliği açıkları, ihlal ve idari para cezası riskinin başlıca kaynaklarıdır.
  • Sürdürülebilirlik: Mevzuat, Kurul kararları ve tehdit ortamı değiştikçe kontrol setinin yeniden ölçülmesi gerekir.

Denetim Kapsamı

Denetim üç boyutta yürütülür. Her boyut; bulgu, delil, risk skoru ve aksiyon adımlarıyla raporlanır.

1. İdari Tedbirler Denetimi

  • Kişisel veri işleme envanteri ve veri akış haritasının güncelliği
  • Politika ve prosedür seti (bilgi güvenliği, erişim, saklama-imha, ihlal müdahale)
  • Rol, sorumluluk ve gizlilik taahhütlerinin tanımı
  • VERBİS kaydı ve beyanların envanterle tutarlılığı
  • Veri işleyen sözleşmeleri ve aktarım taahhütleri
  • Çalışan farkındalık ve eğitim kayıtları

2. Teknik Tedbirler Denetimi (KVKK m.12)

  • Erişim ve yetkilendirme: yetki matrisi, en az ayrıcalık, çok faktörlü kimlik doğrulama, ayrıcalıklı hesap yönetimi
  • Log kayıtları ve izleme: iz kayıtlarının kapsamı, bütünlüğü ve saklama süresi; 5651 sayılı Kanun ile uyum
  • Şifreleme ve anahtar yönetimi: beklemede ve aktarımda şifreleme, anahtar saklama
  • Ağ güvenliği ve sızma testi: segmentasyon, güvenlik duvarı kuralları, zafiyet ve sızma testi bulguları
  • Yedekleme ve süreklilik: yedek alma, geri dönüş testi, iş sürekliliği
  • Maskeleme ve anonimleştirme: test/geliştirme ortamlarında veri maskeleme
  • Saklama ve imha: silme, yok etme ve anonim hale getirme süreçlerinin işletimi

3. Dokümantasyon Denetimi

  • Veri elde edilen tüm kanallardaki aydınlatma metinleri (m.10)
  • Açık rıza metinleri ve rıza kayıtlarının yönetimi
  • Saklama ve imha politikası ile periyodik imha kayıtları
  • Politikaların “tamlık + güncellik + ispat” açısından değerlendirilmesi

Farkımız Nedir?

Uygulanabilir aksiyon planı, delil üreten denetim ve garantör yaklaşımıyla sürdürülebilir bir güvenlik modeli kuruyoruz.

Uygulanabilir Aksiyon

Tespitleri sorumlusu belli, süreli ve önceliklendirilmiş aksiyonlara dönüştürürüz. 30/60/90 gün planı ile takip ederiz.

Delil Üreten Denetim

“Var/yok” değil; log, kayıt, konfigürasyon ve süreç işletimiyle ispat üretiriz. Her tespit kanıtlanabilir.

Garantör Yaklaşımı

Bulguların kapanışına kadar takibi sürdürür, retest ile net kapanış görünümü veririz. Sonuç odaklı çalışırız.

Risk-Temelli Yaklaşım

Riske göre önceliklendirilmiş bir kontrol seti kurar, çabayı en yüksek riskli alanlara yönlendiririz.

Çıktı ve Teslimatlar

Denetim sonunda kurum eline somut, denetimde ve Kurul incelemesinde kullanılabilir, ileride güncellenebilir bir çıktı seti teslim edilir.

Rapor ve Yönetim Çıktıları

  • Üst yönetim için risk seviyesini ve öncelikli aksiyonları gösteren yönetici özeti
  • Bulgu, kök neden ve düzeltici önerileri içeren detaylı denetim raporu
  • Olasılık-etki temelli risk matrisi ve genel uyum skoru

Teknik ve Delil Çıktıları

  • Log örnekleri, konfigürasyon ve ekran kanıtlarından oluşan delil seti
  • Erişim/yetki matrisi analizi ve şifreleme envanteri
  • Sızma testi / zafiyet bulguları (kapsama dahil edildiğinde)

Eşleme ve Aksiyon Çıktıları

  • Uygunsuzlukların KVKK maddesi ve ilgili Kurul kararıyla eşlendiği tablo
  • ISO/IEC 27001:2022 Annex A kontrol eşlemesi
  • Sorumlusu ve termini belli 30/60/90 gün aksiyon planı
  • Retest ve kapanış raporu (giderim sonrası)

Denetim Süreci

Denetimi altı fazlı bir metodolojiyle yürütürüz. Her faz risk puanı, öncelikli aksiyonlar ve retest planıyla birlikte yönetilir; süre kurum büyüklüğü ve kapsam genişliğine göre belirlenir.

  1. Kapsam ve PlanlamaVarlık/sistem envanteri, denetim kapsamı, çalışma penceresi ve kabul kriterleri belirlenir. Riski yüksek kontroller için kurum onay akışı tanımlanır.
  2. İdari Tedbirler DenetimiEnvanter, politika, eğitim, sözleşme, VERBİS ve rol-sorumluluk kontrolleri yeterlilik ve izlenebilirlik açısından değerlendirilir.
  3. Teknik Tedbirler Denetimi (m.12)Erişim, log, şifreleme, ağ güvenliği ve sızma testi, yedekleme, maskeleme ile silme-imha kontrolleri delil üzerinden incelenir.
  4. Dokümantasyon DenetimiAydınlatma, açık rıza ve saklama-imha süreçleri “tamlık + güncellik + ispat” açısından kontrol edilir.
  5. RaporlamaBulgular delil setiyle, risk matrisiyle, KVKK madde/Kurul kararı eşlemesiyle ve 30/60/90 aksiyon planıyla raporlanır.
  6. Retest ve KapanışKritik bulguların giderimi sonrası doğrulama yapılır ve kapanış durumu raporlanır.

Kurum Tarafında Beklenen Katılım

Denetim süresince kurum tarafından bir koordinatör (genellikle Bilgi Güvenliği, BT veya Uyum sorumlusu) ve ilgili sistem yöneticileri ayrılır. Teknik faz, erişim ve kayıt incelemeleri için sistem ekibiyle planlı oturumlar gerektirir; operasyonel etki, çalışma penceresi planlanarak en aza indirilir.

Denetim Ekibi

Gerçek ekip, gerçek kıdem. Denetim; bilgi güvenliği başdenetçisi liderliğinde, sistem/ağ ve sızma testi uzmanlarıyla birlikte yürütülür.

Murat Kaya
Murat Kaya
Bilgi Güvenliği Başdenetçisi · 25 yıl sektör tecrübesi
Denetim LiderliğiRisk Yönetimi
Faruk Keten
Faruk Keten
Sistem ve Ağ Uzmanı · 15 yıl sektör tecrübesi
Network SecurityHardening
Alpaslan Aydın
Alpaslan Aydın
TSE Onaylı · LPT Master · 10 yıl sektör deneyimi
Penetration TestRetest
Uygar Yasin Aydın
Uygar Yasin Aydın
OSCP · 10 yıl sektör deneyimi
KVKK Teknik Raporlama

Mevzuat ve Dayanak

Denetim alanları KVKK dayanağı, ilgili Kurul kararı/Rehber ve ISO/IEC 27001:2022 Annex A kontrolleriyle eşlenir. Eşleme, raporda kuruma özel olarak detaylandırılır.

Denetim AlanıKVKK DayanağıKurul Kararı / RehberISO 27001:2022 Annex A
Denetim yükümlülüğü (yapma/yaptırma)m.12/3Kişisel Veri Güvenliği RehberiA.5.35 A.5.36
Erişim ve yetkilendirmem.12/1Rehber (Teknik Tedbirler)A.5.15 A.5.16 A.8.2 A.8.5
Log kayıtları ve izlemem.12/1Rehber + 5651 sayılı KanunA.8.15 A.8.16
Şifreleme ve anahtar yönetimim.12/1RehberA.8.24
Ağ güvenliği ve sızma testim.12/1RehberA.8.20 A.8.21 A.8.29
Yedekleme ve iş sürekliliğim.12/1RehberA.8.13 A.5.29 A.5.30
Saklama, silme, yok etme, anonimleştirmem.7Silme, Yok Etme veya Anonim Hale Getirme YönetmeliğiA.8.10
Özel nitelikli veri ek önlemlerim.6Kurul 31/01/2018, 2018/10A.8.24 A.5.15
İhlal yönetimi ve bildirimm.12/5Kurul 24/01/2019, 2019/10 (72 saat)A.5.24A.5.28 A.6.8
Tablodaki Kurul kararı numaraları, tarihleri ve Rehber atıfları kvkk.gov.tr üzerinden teyit edilebilir. ISO/IEC 27001:2022 Annex A eşlemesi, denetim kapsamına ve kurumun sistem envanterine göre özelleştirilir.

Sürdürülebilirlik

KVKK uyumu bir kez sağlanıp bırakılan bir durum değildir. Tehdit ortamı ve mevzuat değiştikçe kontrollerin yeniden ölçülmesi gerekir; denetim sonrasında sürdürülebilirliği aşağıdaki bileşenlerle sağlarız.

  • Periyodik denetim: Yıllık veya kapsam değişikliğinde tekrarlanan denetim takvimi.
  • Sürekli izleme: Dış saldırı yüzeyi yönetimi (ASM) ve log/izleme kontrollerinin etkinliğinin sürekli takibi.
  • Retest: Kritik bulguların giderim sonrası doğrulanması ve kapanış raporu.
  • Mevzuat takibi: Kurul kararları ve Rehber güncellemelerinin kontrol setine yansıtılması.

Sık Sorulan Sorular

KVKK denetimi sadece doküman kontrolü müdür?

Hayır. İdari tedbirlerin işletimi, KVKK m.12/1 kapsamındaki teknik kontrollerin etkinliği ve dokümantasyonun tamlığı/güncelliği birlikte denetlenir. Amaç, m.12/3 yükümlülüğünü karşılayan, denetlenebilir ve ispatlanabilir bir kişisel veri güvenliği seviyesi ortaya koymaktır.

KVKK denetimini kim yapar, Nesil Teknoloji’yi öne çıkaran nedir?

KVKK denetimi Nesil Teknoloji A.Ş. tarafından, bilgi güvenliği başdenetçisi liderliğinde ve TSE A-Sınıfı sızma testi yetkinliğiyle yürütülür. ISO/IEC 27001 ve ISO/IEC 27701 belgeli süreç altyapısı, delil üreten denetim yaklaşımı ve retest ile kapanış doğrulaması farkımızı oluşturur. Ofisler: Ankara ve İstanbul.

Denetim sonunda hangi çıktılar teslim edilir?

Yönetici özeti, detaylı denetim raporu, log ve konfigürasyon delil seti, olasılık-etki temelli risk matrisi, uygunsuzlukların KVKK maddesi ve Kurul kararıyla eşlendiği tablo, 30/60/90 gün aksiyon planı ve talebe göre retest/kapanış raporu teslim edilir.

Teknik tedbir denetimi neleri kapsar?

KVKK m.12/1 perspektifiyle erişim ve yetki matrisi, log kayıtları ve izleme, şifreleme, ağ güvenliği ve sızma testi, yedekleme, maskeleme/anonimleştirme ve saklama-imha (silme, yok etme, anonim hale getirme) süreçleri Kişisel Veri Güvenliği Rehberi ve ISO/IEC 27001:2022 Annex A esas alınarak incelenir.

Denetime sızma testi dâhil mi?

Teknik tedbirlerin etkinliğini ispatlamak için ağ ve uygulama düzeyinde sızma testi denetim kapsamına dâhil edilebilir. Nesil Teknoloji TSE A-Sınıfı (TSE TS 13638/T2) onaylı sızma testi firmasıdır; bulgular denetim raporuyla bütünleşik sunulur.

Retest veriyor musunuz?

Evet. Kritik bulguların gideriminden sonra doğrulama (retest) planlanır ve kapanış durumu raporlanır; böylece bulguların gerçekten çözüldüğü teyit edilir.

Denetim kurum operasyonunu etkiler mi?

Kapsam ve çalışma penceresi önceden planlanarak operasyonel etki en aza indirilir. Riski yüksek ya da kesintiye yol açabilecek kontroller kurum onayı olmadan uygulanmaz.

Denetim ne kadar sürer?

Süre; kurum büyüklüğü, lokasyon sayısı, sistem envanteri ve kapsam genişliğine göre değişir. Kapsam netleştirildikten sonra çalışma takvimi ve adam-gün tahmini teklifle birlikte paylaşılır.

KVKK denetimi ile ISO 27001 denetimi aynı şey midir?

Hayır. KVKK denetimi 6698 sayılı Kanun m.12 ve Kişisel Veri Güvenliği Rehberi’ne göre kişisel veri güvenliğini ölçer; ISO/IEC 27001 denetimi bilgi güvenliği yönetim sistemini standart kontrol setine göre değerlendirir. Nesil Teknoloji iki çerçeveyi Annex A eşlemesiyle birlikte ele alarak tek denetimde örtüşen kontrolleri raporlar.

Resmi Kaynaklar

Mevzuat ve Kurumsal Bağlantılar

Mevzuat, Kurul kararı numaraları ve tarihlerinin güncel hali için resmi kaynaktan teyit edilmesi önerilir.

KVKK Denetimi Ön Görüşmesi · Murat Kaya (Bilgi Güvenliği Başdenetçisi) ile

Denetim kapsamını (idari / teknik / dokümantasyon), sistem envanterini, sızma testi gereksinimini ve çalışma penceresini birlikte netleştirelim. Görüşme sonunda kurumunuza özel denetim takvimi, adam-gün tahmini ve teklif tarafınıza iletilir.