VERBİS Bildirimi İçin İdari ve Teknik Tedbirler: KVKK Veri Güvenliği Kontrol Listesi

VERBİS · KVKK · İdari & Teknik Tedbirler · Veri Güvenliği

VERBİS Bildiriminde İdari ve Teknik Tedbirler KVKK Veri Güvenliği Beyanı İçin Uygulanabilir Kontrol Listesi

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) üzerinden bildirim yapılırken, kurumların her bir veri kategorisi için aldıkları idari ve teknik tedbirleri “beyan edilebilir” biçimde yapılandırmaları gerekir. Bu sayfa; envanter, politika, sözleşme, denetim ve risk analizi gibi idari kontroller ile loglama, erişim kontrolü, şifreleme, yedekleme, DLP ve sızma testi gibi teknik kontrolleri tek bir çerçevede toplar.

Doğru yaklaşım şudur: Önce kişisel veri işleme envanteri çıkarılır; hangi süreçte hangi verilerin işlendiği belirlenir, riskler değerlendirilir ve ardından ölçülü, izlenebilir ve kanıtlanabilir tedbir seti kurgulanır. Böylece VERBİS beyanı, sadece “liste” olmaktan çıkıp kurumsal veri güvenliği yönetiminin parçası haline gelir.

İdari Tedbirleri Gör Teknik Tedbirler & Özel Nitelikli Veri

İçindekiler 1. İdari Tedbirler: Süreç, Dokümantasyon ve Yönetim 2. Teknik Tedbirler: Sistem, Ağ ve Erişim Güvenliği 3. Veri Kategorisi Bazlı Tedbir Seçimi ve “Kanıt” Mantığı 4. Örnek Eşleştirmeler: Veri Kategorisi → Risk → Tedbir 5. Uygulama Kontrol Listesi: VERBİS Beyanına Hazırlık 6. Sık Sorulan Sorular

Hızlı Özet

İdari tedbir: Envanter + politika + sözleşme + denetim + risk analizi + eğitim + kriz/ihlal süreçleri.
Teknik tedbir: Ağ/app güvenliği + erişim kontrol + log + şifreleme + yedekleme + DLP + sızma testi.
Altın kural: Beyan edilen her tedbirin sahada karşılığı olmalı (doküman, kayıt, log, rapor, ekran görüntüsü).

Envanter Politika Loglama Şifreleme DLP Sızma Testi

Not: VERBİS beyanında “çok tedbir” değil, doğru risk → doğru tedbir yaklaşımı kritiktir. Kurumun işlediği verinin niteliği (özellikle özel nitelikli veriler), paylaşım kanalları, erişim modeli ve tedarikçi yapısı tedbir setini doğrudan belirler.

1. İdari Tedbirler: Süreç, Dokümantasyon ve Yönetim

İdari tedbirler; kurumun veri güvenliğini “yönetilebilir” hale getiren, rol-sorumlulukları netleştiren ve operasyonu standartlaştıran uygulamalardır. VERBİS beyanı açısından idari tedbirler, çoğunlukla doküman, kayıt ve prosedür ile doğrulanabilir olmalıdır.

1.1. VERBİS Bildiriminde Sık Görülen İdari Tedbir Başlıkları

Kişisel Veri İşleme Envanteri Hazırlanması
Kurumsal Politikalar (erişim, bilgi güvenliği, kullanım, saklama-imha vb.)
Sözleşmeler (veri sorumlusu–veri sorumlusu / veri sorumlusu–veri işleyen)
Gizlilik Taahhütnameleri
Kurum içi periyodik / rastgele denetimler
Risk analizleri
İş sözleşmesi / disiplin yönetmeliği (KVKK’ya uygun hükümler)
Kurumsal iletişim (kriz yönetimi, ihlal bildirim akışı, itibar yönetimi)
Eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve KVKK)
VERBİS’e bildirim (kayıt ve beyan süreçlerinin yürütülmesi)

1.2. İdari Tedbirleri “Beyan”dan “Uygulama”ya Çevirmek

Envanter → Politika: Envanterdeki süreçlere göre saklama-imha, erişim ve paylaşım politikaları uyarlanır.
Risk analizi → Öncelik: En yüksek riskli süreçlere (e-posta ile paylaşım, tedarikçi erişimi, uzaktan çalışma vb.) öncelik verilir.
Denetim → İyileştirme: Denetim bulguları aksiyon planına dönüşür ve periyodik izlenir.
Eğitim → Ölçüm: Eğitim sadece “verildi” değil; katılım, sınav, tekrar periyodu gibi ölçütlerle takip edilir.

İpucu: İdari tedbirleri VERBİS’e yazmadan önce, her madde için “kanıt” belirleyin: politika dokümanı, imza listesi, denetim raporu, eğitim katılım kaydı, risk değerlendirme dokümanı vb.

2. Teknik Tedbirler: Sistem, Ağ ve Erişim Güvenliği

Teknik tedbirler; kişisel verilerin işlendiği bilgi sistemlerinde yetkisiz erişimi önlemek, bütünlüğü korumak ve sürekliliği sağlamak için alınan somut kontrollerdir. Aşağıdaki liste, VERBİS beyanlarında sık yer verilen teknik tedbirlerin uygulanabilir bir özetidir.

2.1. Teknik Tedbir Alanları

Alan	Örnek Tedbirler	Kanıt Örnekleri
Ağ & Uygulama Güvenliği	Firewall, IDS/IPS, segmentasyon, güvenli geliştirme, zafiyet yönetimi	FW kural listesi, IDS/IPS dashboard, OWASP kontrolleri, tarama raporu
Erişim Kontrol	Yetki matrisi, RBAC, hesap yönetimi, ayrılan çalışan yetki iptali	Yetki matrisi, IAM kayıtları, offboarding checklist
Loglama & İzleme	Erişim logları, değiştirilemez log, olay yönetimi, hızlı raporlama	SIEM ekranı, log retention politikası, olay kaydı
Şifreleme & Anahtar Yönetimi	Şifreleme, anahtar yönetimi, kriptografik anahtar ayrımı	Şifreleme politikası, KMS/HSM kayıtları
Yedekleme & Süreklilik	Yedekleme, yedek güvenliği, geri yükleme testleri	Backup raporu, restore test tutanağı
Veri Kaybı Önleme	DLP, taşınabilir medya şifreleme, maskeleme	DLP kural seti, medya şifreleme politikası

2.2. Özel Nitelikli Kişisel Veriler İçin Kritik Teknik Noktalar

Özel nitelikli veriler e-posta ile gönderilecekse şifreli gönderim ve mümkünse KEP/kurumsal e-posta kullanımının standardize edilmesi.
Şifreleme anahtarlarının yönetimi: anahtarların farklı birimlerce yönetilmesi, erişimlerin kısıtlanması.
Taşınabilir medya (USB/CD/DVD) ile aktarım varsa mutlaka şifreleme ve kayıt/izin mekanizması.
Veri işleyen denetimi: hizmet sağlayıcıların periyodik kontrolü ve farkındalığının sağlanması.

Pratik uyarı: “Loglar tutuluyor” beyanı tek başına zayıftır. Logların kapsamı (hangi sistemler), saklama süresi, yetkili erişimler ve müdahale edilemezlik (tamper-resistant) yaklaşımı netleştirilmelidir.

3. Veri Kategorisi Bazlı Tedbir Seçimi ve “Kanıt” Mantığı

VERBİS’te tedbirler “tüm kurum için tek liste” gibi görünse de, doğru yaklaşım her veri kategorisini ve işleme faaliyetini risk temelli değerlendirmektir. Örneğin kimlik/iletişim verisi işleyen bir süreçle, sağlık/biometrik veri işleyen sürecin güvenlik seviyesi aynı olamaz.

3.1. Tedbir Seçiminde 4 Adımlı Kural

Veriyi tanımla: Veri kategorisi + ilgili kişi grubu + aktarım kanalı + saklama ortamı.
Riski tanımla: Yetkisiz erişim, yanlış alıcı, sızıntı, kayıp, içeriden tehdit, tedarikçi riski.
Tedbiri seç: İdari + teknik kontrol setini “ölçülü” biçimde kurgula.
Kanıtı hazırla: Doküman, ekran görüntüsü, rapor, log, sözleşme, eğitim kaydı.

3.2. “Diğer” Alanını Doldururken Sık Kullanılan Ek Tedbirler

Çok faktörlü kimlik doğrulama (MFA) / koşullu erişim
Veri sınıflandırma ve etiketleme (DLP ile uyumlu)
Uç nokta güvenliği (EDR) ve cihaz şifreleme
Zero Trust/segmentasyon, ayrı yönetim ağı
Güvenli dosya paylaşım portalı (e-posta eki yerine)

Hedef: VERBİS beyanı; “liste” değil, kurumun veri güvenliği yönetim modelinin kısa özeti olmalıdır. Denetimlerde en çok aranan şey, beyan edilen tedbirin gerçekten uygulanıyor olmasıdır.

4. Örnek Eşleştirmeler: Veri Kategorisi → Risk → Tedbir

Aşağıdaki örnekler, VERBİS’te beyan edilen tedbirlerin sahaya nasıl indirgeneceğini göstermek için hazırlanmıştır. (Kurumun süreçlerine göre uyarlamanız gerekir.)

Veri Kategorisi (Örnek)	Tipik Risk	Uygun Tedbir Seti (Örnek)
Kimlik & İletişim	Yanlış alıcıya paylaşım / yetkisiz erişim	Erişim kontrol + yetki matrisi + e-posta şifreleme + loglama + eğitim + denetim
Finans / Ödeme	Hesap ele geçirme / veri sızıntısı	MFA + ağ segmentasyonu + DLP + şifreleme + sızma testi + olay müdahale prosedürü
Çalışan Verileri (İK)	İçeriden yetkisiz görüntüleme / uzun saklama	RBAC + ayrılan personel yetki iptali + saklama-imha politikası + denetim + log retention
Özel Nitelikli Veriler	Yüksek etki / ağır yaptırım riski	Protokol/prosedür + güçlü şifreleme + anahtar yönetimi + kısıtlı erişim + KEP/kurumsal e-posta + denetim
Fiziksel Evrak / Arşiv	Kayıp/yangın/izinsiz erişim	Arşiv oda güvenliği + giriş-çıkış kayıtları + çevresel risk önlemleri + imha süreci + denetim

Öneri: “Risk Analizleri” maddesini sadece var-yok olarak değil; hangi periyot, hangi metodoloji, hangi çıktı (aksiyon planı) ile çalıştığınızı gösterecek şekilde kurgulayın.

5. Uygulama Kontrol Listesi: VERBİS Beyanına Hazırlık

Aşağıdaki kontrol listesi, VERBİS’e tedbirleri girmeden önce kurum içinde yapılması gereken minimum hazırlığı özetler.

5.1. Hızlı Kontrol Listesi

Envanter hazır mı? Süreç–veri kategorisi–saklama–aktarım–alıcı grubu net mi?
Politikalar yayınlandı mı? Erişim, saklama-imha, bilgi güvenliği, olay müdahale.
Sözleşmeler güncel mi? Veri işleyen maddeleri, güvenlik yükümlülükleri, denetim hakkı.
Yetki matrisi var mı? Rol bazlı erişim; ayrılan personel yetki iptali süreçleri.
Loglama çalışıyor mu? Kapsam, saklama süresi, müdahaleye dayanıklılık, izleme.
Şifreleme standardı var mı? E-posta/taşınabilir medya/backup şifreleme ve anahtar yönetimi.
Yedekleme & geri yükleme testleri? Sadece yedek değil, restore testi de kayıtlı mı?
DLP / taşınabilir medya kontrolü? Veri sızıntısı kanallarına karşı kontrol var mı?
Sızma testi / zafiyet yönetimi? Raporlar ve kapatma planları mevcut mu?
Eğitim & denetim kayıtları? Katılım listesi, içerik, tekrar periyodu, denetim raporları.

İncelemek isterseniz:
• https://www.nesilteknoloji.com/veri-sorumlulari-sicili-ve-detaylari/
• https://verbis.kvkk.gov.tr/UploadedFiles/VER%C4%B0%20SORUMLULARI%20S%C4%B0C%C4%B0L%C4%B0%20B%C4%B0LG%C4%B0%20S%C4%B0STEM%C4%B0%20KILAVUZU%20v9.PDF

İncelemek isterseniz (Nesil Teknoloji) VERBİS Kılavuzu (PDF)

6. Sık Sorulan Sorular

VERBİS’te “tedbir beyanı” sadece checkbox doldurmak mı?

Hayır. Pratikte doğru yaklaşım, beyan edilen her tedbirin kurum içinde karşılığının olmasıdır: politika dokümanı, sözleşme maddesi, eğitim kaydı, log saklama kuralı, sızma testi raporu gibi kanıtlar.

Her veri kategorisi için aynı tedbirleri mi yazmalıyım?

Aynı “başlıklar” yer alabilir; ancak doğru olan, veri kategorisinin riski yükseldikçe (özellikle özel nitelikli verilerde) tedbirlerin kapsamını ve sıkılığını artırmaktır. Risk temelli yaklaşım, beyanın tutarlılığını güçlendirir.

“Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmalıdır” ne demek?

Logların sonradan silinmesini/değiştirilmesini zorlaştıran bir yapı hedeflenir. Örneğin merkezi log sunucusu/SIEM, erişimlerin kısıtlanması, bütünlük kontrolleri ve saklama sürelerinin standartlaştırılması bu amaca hizmet eder.

“Yedekleme alınıyor mu?” maddesini nasıl doğru ele alırım?

Yedek almak tek başına yeterli değildir. Yedeklerin şifrelenmesi, erişim yetkileri, saklama süresi ve düzenli geri yükleme (restore) testleriyle birlikte düşünülmelidir. Aksi halde yedekler de ayrı bir veri sızıntısı riskidir.

VERBİS KVKK Veri Güvenliği İdari Tedbirler Teknik Tedbirler Risk Analizi Loglama Şifreleme Sızma Testi DLP Özel Nitelikli Veri