KVKK Veri İhlali Bildirimi: 72 Saat İçinde Ne Yapmalısınız? | Nesil Teknoloji

NESİL TEKNOLOJİ · ÖZEL KVKK REHBERİ

KVKK Veri İhlali Bildirimi: 72 Saatlik Kritik Müdahale ve Hukuki Uyum Stratejileri

Veri ihlali bir “ihtimal” değil, dijital dünyada bir “zamanlama” meselesidir. Kriz kapınızı çaldığında, kurumunuzun geleceğini belirleyecek olan şey o ilk 72 saati nasıl yönettiğinizdir.

Modern iş dünyasında verinin değeri, dijital ekonominin yakıtı olarak kabul ediliyor. Ancak bu kıymetli varlık, çalındığında, ifşa olduğunda veya kontrolünüzden çıktığında sahibine ağır hukuki yükümlülükler getiren bir emanete dönüşür. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu emanetin korunması konusunda veri sorumlularına dünya standartlarında bir sorumluluk yüklemektedir.

Bir siber saldırı, fiziksel hırsızlık ya da basit bir personel hatası… Sebep ne olursa olsun, kişisel verilerin yetkisiz kişilerin eline geçmesi kurumunuzu sadece hukuki bir çıkmaza değil, aynı zamanda telafisi güç bir itibar krizine sürükler. Nesil Teknoloji olarak hazırladığımız bu rehberde, bir “felaket senaryosu” olan veri ihlali anında saniye saniye ne yapmanız gerektiğini, 2026 yılının sertleşen mevzuat koşullarına göre analiz ediyoruz.

Hızlı Müdahale Desteği Alın Müdahale Adımlarını Gör

Rehber İçeriği 1. Veri İhlali Nedir? Siber Saldırıdan Öteye Bakış 2. 72 Saatlik Kuralın Anatomisi ve Hukuki Temeli 3. Kritik 72 Saat Takvimi: Dakika Dakika Planlama 4. Teknik Müdahale: Delil Koruma ve İzolasyon 5. Kurul Bildirim Formunu Doldururken Yapılan Hatalar 6. İlgili Kişilere Bildirim: Şeffaflık Stratejisi 7. 2026 Güncel Cezaları ve Teknik Savunma Katmanları 8. Merak Edilen Sorular (SSS)

Neden Bu Rehberi Okumalısınız?

Türkiye’deki kurumların %70’i veri ihlali sonrası ilk 48 saatte yanlış kararlar alarak ceza riskini artırıyor. Bu rehberde, bir yapay zekanın teorik cümlelerini değil, yüzlerce vakayı yönetmiş bir teknoloji ekibinin gerçek saha tecrübelerini bulacaksınız. 2026 yılındaki ekonomik koşullarda, tek bir hatanın maliyeti 17 milyon TL’yi aşmış durumdayken, bilgi en güçlü kalkanınızdır.

Stratejik Rehber 2026 Uyum Siber Savunma

1. Veri İhlali Nedir? Siber Saldırıdan Öteye Bakış

Kişisel veri ihlali dendiğinde akla ilk gelen görsel, karanlık bir odada bilgisayar başında oturan kapüşonlu bir “hacker” figürüdür. Ancak Nesil Teknoloji saha verileri gösteriyor ki, ihlallerin %60’ından fazlası kurum içi hatalardan ve fiziksel zafiyetlerden kaynaklanmaktadır.

Hukuki literatürde veri ihlali; kişisel verilerin kanuna aykırı olarak elde edilmesi, kaybı, değiştirilmesi, yetkisiz kişilerce ifşası veya bu verilere yetkisiz erişimi içeren bir güvenlik olayıdır. Gelin, siber saldırıların dışındaki “görünmez” ihlal senaryolarına daha derinlemesine bakalım:

[Image of common types of data breaches in corporate settings]

O Yanlış E-posta: Şirket içi performans listesinin, tüm personelin maaş bilgilerinin veya müşteri veritabanının bir “yanlışlıkla” dış bir tedarikçiye gönderilmesi, KVKK uyarınca tam teşekküllü bir ihlaldir.
Fiziksel Hırsızlık: İçinde binlerce müşteri verisi barındıran şifrelenmemiş bir dizüstü bilgisayarın veya harici diskin takside unutulması ya da çalınması.
Yetersiz İmha Süreçleri: Üzerinde kişisel verilerin (T.C. Kimlik no, telefon vb.) yazılı olduğu kağıt dosyaların, öğütücüden geçirilmeden doğrudan genel çöpe atılması.
Sorumsuz Yazılım Testleri: Canlı (Production) ortamdaki gerçek kullanıcı verilerinin kopyalanıp, hiçbir güvenlik önlemi olmayan zayıf test sunucularına taşınması ve bu sunucuların internete açık unutulması.

Bu senaryoların ortak noktası, verinin kontrolünüzden çıkmasıdır. Kurul, “hata yaptık” demenizi bir dürüstlük belirtisi ve iyi niyet göstergesi olarak kabul edebilir; ancak ihlali gizlemenizi veya “en kısa sürede” bildirmemenizi ağır bir kusur olarak görür.

2. 72 Saatlik Kuralın Anatomisi ve Hukuki Temeli

KVKK’nın 12. maddesi, veri sorumlusuna verinin korunması için gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü yükler. Aynı maddenin 5. fıkrası ise, bu koruma kalkanı aşıldığında ne yapılacağını söyler: “En kısa sürede bildirim.”

Kişisel Verileri Koruma Kurulu, 2019/10 sayılı ilke kararı ile bu muğlak “en kısa sürede” ifadesini operasyonel bir sınıra çekmiş ve 72 saat olarak belirlemiştir. Bu süre bir tavsiye değil, hukuki bir zorunluluktur.

Geri Sayım Ne Zaman Başlar?

Sürenin başlangıç noktası “öğrenme” anıdır. Ancak burada ince bir çizgi vardır: Öğrenme, sadece kurum sahibinin veya genel müdürün durumdan haberdar olması değildir. Kurum bünyesindeki yetkili herhangi bir personel (BT çalışanı, güvenlik görevlisi, birim müdürü) ihlali tespit ettiği an saat işlemeye başlar.

Kritik Not: Eğer ihlal bir “Veri İşleyen” (Örn: Cloud sağlayıcınız, veri saklama hizmeti aldığınız dış firma) nezdinde gerçekleştiyse, veri işleyenin durumu size bildirmesi gerekir. Sizin 72 saatiniz, işleyenden haberi aldığınız an başlar. Bu yüzden tedarikçi sözleşmelerinizde “ihlal durumunda bildirim süresi” maddesinin bulunması hayati önemdedir.

DİKKAT: 72 saatlik süre kesintisizdir. Hafta sonları, bayram tatilleri veya resmi tatiller bu süreyi durdurmaz. Kurul’un online bildirim sistemi 7/24 aktif çalışmaktadır.

3. Kritik 72 Saat Takvimi: Dakika Dakika Planlama

Bir kriz anında zaman, en az verileriniz kadar hızlı akar. Nesil Teknoloji olarak yüzlerce olay müdahalesinde uyguladığımız stratejik 72 saatlik takvimimiz şöyledir:

0-12 Saat: Tespit ve Kapsama

Bu aşama “Yangın Söndürme” aşamasıdır. Temel amaç sızıntının kaynağını kapatmak ama bunu yaparken delilleri yok etmemektir.

İhlalin gerçek olup olmadığını teyit edin (Yanlış alarmları eleyin).
Siber Olay Müdahale Ekibini (SOME) derhal aktive edin.
Sistem izolasyonunu sağlayın (Etkilenen sunucuları ağdan ayırın).
Delil koruma: Log kayıtlarını (SIEM/EDR) adli bilişim ilkelerine göre mühürleyin.

12-36 Saat: Risk ve Etki Analizi

En yoğun çalışma gerektiren süreçtir. İhlalin boyutu ve kimlerin etkilendiği netleştirilir.

Sızan veri kategorilerini sınıflandırın (Kimlik, Finansal, Sağlık, Biyometrik).
Etkilenen yaklaşık kişi sayısını ve kayıt (satır) sayısını tespit edin.
İhlalin ilgili kişiler üzerindeki olası zararlarını (dolandırıcılık, şantaj, itibar kaybı) analiz edin.
Hukuk müşavirinizle “Ön Bildirim” taslağını oluşturmaya başlayın.

36-60 Saat: İletişim Stratejisi

Bu süre zarfında otoriteye ve veri sahiplerine yapılacak bildirimlerin tonlaması ve içeriği ayarlanır.

Veri sahipleri (müşteriler/personel) için şeffaf ve sade bir duyuru metni hazırlayın.
Kurul bildirim formundaki teknik soruların yanıtlarını raporlarla destekleyin.
İhlal anından itibaren alınan “ek güvenlik önlemlerini” dokümante edin.

60-72 Saat: Resmi Bildirim ve Aksiyon

Sürenin dolmasına yakın, resmi bildirim gerçekleştirilir ve takip süreci başlar.

ihlalbildirim.kvkk.gov.tr üzerinden online formu Kurul’a iletin.
İlgili kişilere yapılacak bildirim kanalını (SMS, E-posta) aktive edin.
Kurul’un daha sonra isteyebileceği “Takip Bildirimi” için hazırlık notlarınızı alın.

[Image of structured 72-hour incident response timeline for data breaches]

4. Teknik Müdahale: Delil Koruma ve İzolasyon

Veri ihlali bir siber saldırı sonucu gerçekleşmişse, teknik müdahale süreci standart bir bilişim probleminden çok daha farklı ilerlemelidir. Burada amaç sadece sistemi ayağa kaldırmak değil, saldırganın izini sürmek ve sızan veri miktarını kesin olarak belirlemektir.

Nesil Teknoloji uzmanlarının sahada gördüğü en büyük hata, panik yapan BT personelinin sunuculara format atması veya logları temizlemesidir. Bu, Kurul’un yarın bir gün yapacağı “yerinde inceleme” sırasında kurumun aleyhine olacak en büyük kanıttır.

Adli Bilişim (Forensics) İlkeleri:

Uçucu Veri Koruması: RAM imajlarının alınması. Saldırganın çalıştırdığı komutlar genellikle sadece RAM’de gizlidir.
Disk İmajlama: Yazma korumalı cihazlarla disklerin kopyalanması ve hash değerlerinin alınması.
Kök Neden Analizi: Saldırganın içeriye hangi açıktan (VPN zafiyeti, Phishing, SQL Injection) girdiğinin kesin tespiti.

Eğer saldırganın içeriye bıraktığı “arka kapıları” (Backdoor) fark etmeden sistemi yayına alırsanız, bildirim yaptıktan 48 saat sonra tekrar hacklenebilirsiniz. Kurul bu durumu “teknik tedbirlerin yetersizliğinin devamı” olarak görür ve yaptırımı en üst sınıra çeker.

5. Kurul Bildirim Formunu Doldururken Yapılan Hatalar

KVKK Bildirim Portalı’ndaki form sadece teknik bir döküman değildir; Kurul karşısında kurumun “samimiyet ve şeffaflık testi”dir. Birçok kurum, panikle yanlış veya çelişkili bilgiler vererek süreci daha da zorlaştırıyor.

Sık Yapılan Kritik Yanlışlar:

“Tahmini” Demekten Çekinmek: Eğer sızan veri sayısı net değilse, “tahminen 5.000 – 10.000 arası” yazabilirsiniz. Hiç sayı vermemekten daha profesyonel bir duruştur.
Teknik Tedbirleri Abartmak: “Sistemimiz dünyadaki en güvenli sistemdi” deyip, basit bir güncelleme yapılmadığı için hacklenmek, Kurul nezdinde ağır bir güven kaybına yol açar. Dürüst olun.
Kademeli Bildirimi Unutmak: Tüm bilgilerin 72 saatte netleşmesi imkansızdır. İlk bildirimi yapıp “Detaylı inceleme devam ediyor, takip bildirimi ile sunulacaktır” ibaresini kullanmak yasal bir haktır.

Formun “Alınan İdari Tedbirler” kısmına, sadece olanları değil, ihlalden hemen sonra personelin aldığı ek eğitimleri ve güncellenen politikaları da ekleyin. Bu, “ders çıkaran kurum” imajı çizer.

6. İlgili Kişilere Bildirim: Güven Tazeleyen İletişim

Kurul’a bildirim yapmak yasal bir zorunluluktur, ancak veri sahiplerine (müşterilerinize, çalışanlarınıza) bildirim yapmak bir “itibar yönetimi” sanatıdır. İnsanlar verilerinin çalınmasından çok, bu durumun kendilerinden gizlenmesine veya geç haber verilmesine tepki gösterirler.

Bildirim Metni Şeffaflık Şablonu:

Hukuki terminolojiye boğulmamış, sade ve yardım odaklı bir dil tercih edilmelidir:

Başlık: Kişisel Verilerinizin Güvenliği Hakkında Önemli Bilgilendirme

“Sayın Müşterimiz, [Tarih] tarihinde sistemlerimize yönelik gerçekleşen dış kaynaklı bir siber saldırı sonucunda, ne yazık ki aralarında ad-soyad ve e-posta adreslerinizin de bulunduğu bir grup veriye yetkisiz erişim sağlandığı tespit edilmiştir. Durumu fark ettiğimiz an teknik koruma kalkanlarımızı güncelledik ve Kurul’a resmi bildirimi yaptık. Güvenliğiniz için kullanmakta olduğunuz parolaları değiştirmenizi tavsiye ederiz. Detaylı bilgi için [Link/Numara] üzerinden yanınızdayız.”

Bu şeffaf yaklaşım, müşterinizin kendisini “korunmuş” hissetmesini sağlar. Gizlenen her ihlal, ortaya çıktığında markanın sonu olabilir. 2026 yılındaki güncel Kurul kararları, itibar kaygısıyla bildirimi erteleyen kurumlara en üst sınırdan ceza uygulamaktadır.

7. 2026 Güncel Cezaları ve Teknik Savunma Katmanları

2026 yılı itibarıyla KVKK kapsamında uygulanan idari para cezaları, yeniden değerleme oranlarıyla birlikte kurumlar için artık bir “gider kalemi” olmaktan çıkıp ciddi bir mali tehdit haline gelmiştir.

2026 KVKK İdari Para Cezası Tablosu

Aykırılık Konusu	Alt Sınır (TL)	Üst Sınır (TL)
Veri Güvenliği Yükümlülüğüne Aykırılık	~256.357 TL	17.092.242 TL
Kurul Kararlarının Yerine Getirilmemesi	~427.263 TL	17.092.242 TL
VERBİS Kayıt ve Bildirim Yükümlülüğü	~341.809 TL	17.092.242 TL

*Rakamlar 2026 yılı yeniden değerleme oranı (%25,49) baz alınarak hesaplanmıştır.

Cezadan Korunmanın 4 Katmanlı Formülü

Kurul ceza miktarını belirlerken sadece ihlalin boyutuna değil, sizin proaktif olup olmadığınıza bakar. Nesil Teknoloji ile kuracağınız şu savunma katmanları ceza riskini %90 oranında düşürür:

1. Teknik Zırh

AES-256 Veri şifreleme, Çok Faktörlü Kimlik Doğrulama (MFA) ve Veri Kaybı Önleme (DLP) yazılımları.

2. İzleme ve Erken Uyarı

Saldırıları gerçekleşmeden fark eden SIEM çözümleri, SOC hizmeti ve 7/24 log analizi.

3. İdari Savunma

Personelin oltalama (phishing) saldırılarına karşı eğitilmesi ve yılda en az iki kez yapılan sızma testleri.

4. Kriz Planı (VİMP)

Her yıl simülasyonlarla test edilen “Veri İhlali Müdahale Planı”. İhlal anında kimin ne yapacağının belli olması 72 saati kurtarır.

[Image of layered cybersecurity defense architecture for data protection]

8. Merak Edilen Sorular (SSS)

İhlali Cuma akşamı fark edersek süre ne zaman dolar?

72 saatlik süre kesintisizdir. Cuma akşamı 20:00’de öğrenilen bir ihlal için bildirim süresi Pazartesi akşamı 20:00’de sona erer. Tatil günleri mazeret kabul edilmez.

Sadece 10 müşterinin verisi sızdı, yine de bildirmeli miyiz?

KVKK’da bildirim için bir alt sayı sınırı yoktur. Eğer ihlal “ilgili kişiler üzerinde risk teşkil ediyorsa” (Örn: banka bilgileri, şifreler), 1 kişi bile olsa bildirim şarttır.

Siber risk sigortası bildirim yükümlülüğünü karşılar mı?

Hayır. Sigorta sadece mali zararlarınızı karşılar. KVKK nezdindeki resmi bildirim ve yasal süreç veri sorumlusunun (şirketin) bizzat kendi yükümlülüğüdür.

Veri ihlali durumunda şirket yöneticilerine hapis cezası var mı?

KVKK kapsamındaki idari para cezaları yöneticilere hapis cezası getirmez. Ancak, ihlal sonucunda kişisel verilerin TCK m.135-140 kapsamında “ele geçirilmesi veya yayılması” gibi suç unsurları varsa, adli süreç işleyebilir.

Geleceğinizi 72 Saate Sığdırmayın

Nesil Teknoloji, sadece bir BT firması değil; siber kriz anında hukuki ve teknik zırhınızdır. Veri ihlali yönetiminden uç nokta güvenliğine kadar 2026’nın zorlu dünyasında yanınızdayız.

Ücretsiz Analiz İsteyin Acil Müdahale Hattı

İlgili hizmet: KVKK danışmanlığı hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.