KVKK Uyum Projesi Ne Kadar Sürer? Gerçekçi Zaman Planı
Kişisel Verilerin Korunması Kanunu (KVKK) uyum süreci, kurumların dijital DNA'sını yeniden yapılandıran, hukuk ile siber güvenliği tek bir potada eriten kapsamlı bir mühendislik disiplinidir. Bu süreç, sadece VERBİS’e kayıt yapmaktan ibaret olmayıp, verinin nefes aldığı her noktada bir güvenlik kalkanı oluşturmayı hedefler.
Nesil Teknoloji olarak, Türkiye’nin önde gelen kurumlarında yürüttüğümüz projelerden edindiğimiz saha tecrübesiyle; bir uyum projesinin saniye saniye maliyetini, departmanların iş yükünü ve teknik bariyerlerin gerçek aşılma sürelerini en ince ayrıntısına kadar analiz ediyoruz.
KVKK projelerinde eforun %45'i "Veri Keşfi", %40'ı "Teknik İyileştirme" ve %15'i "Hukuki Dokümantasyon" süreçlerine harcanmaktadır.
1. Süreyi Belirleyen 15 Kritik Parametre: Neden 1 Ayda Bitmez?
KVKK uyum süreci, bir şirketin veriyi toplama, işleme, saklama ve imha etme yöntemlerini baştan aşağı değiştirmesini gerektirir. Süreci uzatan temel faktörler şunlardır:
1.1. Yapılandırılmamış Veri (Unstructured Data) Kaosu
Veriler sadece düzenli veri tabanlarında (SQL, Oracle vb.) bulunmaz. E-posta arşivleri, masaüstündeki Excel dosyaları, fiziksel arşivdeki sararmış kağıtlar ve hatta personelin WhatsApp gruplarındaki yazışmalar yapılandırılmamış veridir. Bu verilerin tespit edilmesi, manuel bir tarama ve sınıflandırma (Data Classification) gerektirdiği için projenin süresini doğrudan 4-6 hafta ileriye atar.
1.2. Departman Sayısı ve Mülakat Derinliği
İK, Pazarlama, IT, Muhasebe ve Satış departmanlarının her birinin veri işleme amaçları farklıdır. Her birimle yapılacak ortalama 3 seans mülakat, verilerin teyit edilmesi ve departman yöneticilerinden onay alınması haftalar süren bir operasyondur.
Nesil Teknoloji Teknik Notu: Gölge BT (Shadow IT)
Şirket yönetiminin bilgisi dışında kullanılan bulut araçları (WeTransfer, kişisel Drive hesapları vb.) üzerinden akan verilerin tespiti için teknik ekibin ağ trafiğini (DPI) analiz etmesi gerekebilir. Bu keşif yapılmadan hazırlanan bir envanter, yasal olarak kadüktür.
2. Detaylı 24 Haftalık Proje Takvimi: Yol Haritası
Aşağıdaki takvim, orta ve büyük ölçekli kurumlarda "Terzi Usulü" uygulanan profesyonel bir KVKK implementasyon sürecini temsil eder:
| Haftalık Faz | Proje Aşaması | Teknik Aksiyonlar | Hukuki Aksiyonlar |
|---|---|---|---|
| 1 - 3 | Gap Analizi & Hazırlık | BT altyapı taraması, siber güvenlik boşluk analizi. | KVKK Komitesi kuruluşu, NDA imzalanması. |
| 4 - 10 | Veri Envanteri & Keşif | Data Discovery taramaları, Veri Akış Şemalarının (Data Flow) çizimi. | Departman mülakatları, Veri İşleme Amaçlarının tespiti. |
| 11 - 16 | Teknik İyileştirmeler | Yetki Matrisi revizyonu, Log yönetimi (SIEM), DLP kurulumu. | Aydınlatma Metinleri, İmha Politikası ve Sözleşme ekleri. |
| 17 - 21 | Test & Denetim | Sızma Testi (Pentest), Veri İhlali Simülasyonu. | Tedarikçi denetimleri, Standart Sözleşme Maddeleri (SCCs). |
| 22 - 24 | Finalizasyon & Eğitim | VERBİS kayıt girişi, nihai teknik raporlama. | Personel farkındalık eğitimleri ve sınavlar. |
3. Teknik Tedbirlerin Mikro Zaman Maliyeti
KVKK'nın teknik ayağı, projenin en çok efor sarf edilen ve süreyi belirleyen kısmıdır. Kanun koyucu, veriyi korumak için "makul teknik tedbirlerin" alındığını somut olarak ispatlamanızı bekler.
3.1. Yetki Matrisi ve Erişim Yönetimi (3-5 Hafta)
Şirket içindeki "herkes her klasöre erişebiliyor" kültürünün yıkılması gerekir. Least Privilege (En Az Yetki) prensibi doğrultusunda, binlerce dosya ve klasörün yetki yapısının revize edilmesi operasyonel bir sabır gerektirir.
3.2. Loglama ve Zaman Damgası (2-4 Hafta)
Veriye kimin eriştiğinin kaydını tutmak yetmez; bu kaydın değiştirilemezliğinin (hashing) sağlanması gerekir. Mevcut ERP veya CRM sistemleriniz log üretmiyorsa, yazılım üzerinde yapılacak geliştirmeler takvimi uzatan ana sebeptir.
DLP (Veri Sızıntısı Önleme) Süreci
DLP sistemini kurup hemen "Blokla" moduna alamazsınız. Sistem yaklaşık 4 hafta boyunca "İzleme" modunda kalmalı, kural setleri kurumun iş akışına göre optimize edilmelidir. Yanlış yapılandırılmış bir DLP, şirketin tüm operasyonunu durdurabilir.
4. Hukuki Mimari ve Sözleşme Yönetimi Süreleri
Hukuki süreç, sadece aydınlatma metni yazmaktan ibaret değildir. Dış taraflarla yürütülen müzakereler zamanın ana tüketicisidir.
- Tedarikçi Sözleşmeleri (3-6 Hafta): Şirketin çalıştığı tüm alt işverenlerle (Bulut sağlayıcılar, kurye firmaları vb.) KVKK ek protokolü imzalanmalıdır. Bazı büyük teknoloji devlerinin sözleşme müzakereleri aylarca sürebilir.
- İç Politika ve Prosedürler (2 Hafta): Veri İmha Politikası, Veri İhlali Müdahale Planı gibi canlı dokümanların yazılması ve onaylanması.
5. Vaka Analizleri: Neden Gecikiyoruz?
Vaka: Arşivde Unutulan Hassas Veriler
Bir tekstil firması projesinde, IK departmanı tüm verilerin dijitalde olduğunu beyan etmesine rağmen, 12. haftada depo katında 10 yıl öncesine ait çalışan sağlık raporları dolu 50 klasör bulundu. Bu keşif, tüm envanterin, imha takviminin ve VERBİS beyanının baştan revize edilmesine neden olarak projeye 5 hafta ekledi.
Vaka: Yazılım Güncelleme Engeli
Eski (Legacy) bir muhasebe yazılımının KVKK standartlarında log üretememesi nedeniyle, kurumun yeni bir yazılıma geçiş yapması gerekti. Bu durum projenin bitiş tarihini tam 4 ay öteledi.
6. Sık Sorulan Sorular (Kapsamlı)
VERBİS kaydı yapınca her şey bitiyor mu?
Hayır. VERBİS sadece bir beyan sistemidir. Asıl uyum; o beyanda belirttiğiniz "DLP kullanıyorum", "Log tutuyorum" gibi maddelerin sahada gerçekten uygulanmasıdır. Bir Kurul incelemesinde bu tedbirlerin yokluğu, en ağır cezai müeyyidelere sebep olur.
ISO 27001'imiz varsa süreç kısalır mı?
Evet, önemli ölçüde. ISO 27001 disiplini olan kurumlarda veri envanteri ve risk yönetimi kültürü yerleşik olduğu için KVKK projesi yaklaşık %30 daha hızlı tamamlanabilir.
Cezalardan kaçınmak için minimum süre nedir?
Kurul, iyi niyetli çabayı ve belgelenmiş ilerlemeyi göz önünde bulundurur. Ancak tamamen sıfır bir kurum için 12 haftalık (3 ay) yoğun bir çalışma, hukuki ve teknik temel savunma kalkanı için gereken asgari süredir.
İlgili hizmet: KVKK danışmanlığı hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
