Kurul kararları, teknolojik gelişmeler ve siber güvenlik riskleri doğrultusunda, tedbirlerin “içeriğinde” ve Kurulun denetim pratiklerinde çok kritik yapısal değişiklikler/esnetilmeyen kurallar var.
2026 İtibarıyla Tedbirlerin Uygulanmasındaki Kritik Değişiklikler
VERBİS arayüzünde işaretlediğimiz standart Teknik ve İdari Tedbirler listesindeki maddelerde doğrudan bir başlık değişikliği bulunmuyor. Kurum, VERBİS altyapısındaki 35+ maddelik şablonu aynı şekilde koruyor.
Yapay Zeka (YZ) Entegrasyonları ve Veri Minimizasyonu
Son dönemde şirketlerin CRM, chatbot veya veri analitiği süreçlerine Yapay Zeka modellerini dahil etmesiyle birlikte, teknik tedbirlerdeki “Veri Minimizasyonu” ve “Siber Güvenlik Önlemleri” maddelerinin kapsamı genişledi.
Eğer kullandığınız YZ araçları müşteri veya çalışan verilerini model eğitimi için dışarı sızdırıyorsa, VERBİS’teki teknik tedbirleri eksik veya hatalı beyan etmiş sayılabilirsiniz. Giriş yapılan prompt geçmişinin anonimleştirilmesi artık teknik bir zorunluluk olarak yorumlanıyor.
Eski Çalışanların Yetki Yönetimi (Erişim Kontrolü)
Kurulun son dönemde kestiği yüksek idari para cezalarının gerekçelerinde ilk sıraları “eski çalışanların sistem yetkilerinin açık unutulması” alıyor. VERBİS’teki “Kullanıcı hesap yönetimi ve yetki kontrol sistemi” maddesine “Evet” diyebilmeniz için, İK süreçleriyle BT altyapısının bütünleşmiş çalışması ve işten ayrılan kişinin yetkilerinin anında (mümkünse otomatik) kapatıldığının belgelenebilmesi gerekiyor.
Bulut Sunucular ve Şifreleme Standartları
Veritabanı yedeklerinin şifresiz şekilde bulut ortamlarda saklanması en büyük teknik ihlal gerekçelerinden biri haline geldi. Bulutta veri barındırıyorsanız, VERBİS’teki “Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır” ve “Yedeklenen kişisel verilerin güvenliği sağlanmaktadır” maddelerinin altının kriptografik anahtarlarla (Encryption at rest / in transit) doldurulması şart koşuluyor.
İdari Tedbirlerde “Kağıt Üstünde Uyum” Döneminin Bitmesi
Kurul, sadece standart bir “Veri Güvenliği Politikası” veya “Disiplin Yönetmeliği” metnine sahip olmayı artık yeterli görmüyor. Denetimlerde veya bir ihlal bildiriminde, bu politikaların çalışanlara fiilen tebliğ edilip edilmediği, ihlal mekanizmalarının işletilip işletilmediği ve zaman damgalı log yapılarıyla desteklenip desteklenmediği sorgulanıyor.
⚠️ Mali Risk ve Güncelleme Kuralı
VERBİS’teki idari ve teknik tedbirlerinizi şirket içindeki operasyonel değişikliklere göre güncel tutmanız yasal zorunluluktur. Sisteminizde veya süreçlerinizde veri güvenliğini etkileyen bir değişiklik (Örn: yeni bir yazılıma geçiş, DLP sisteminin iptal edilmesi vb.) meydana gelirse, bunu 7 gün içerisinde VERBİS’e bildirmeniz gerekir (Veri Sorumluları Sicili Hakkında Yönetmelik madde 8). 2026 yılı için VERBİS yükümlülüklerine aykırılık ve veri güvenliği tedbirlerinin alınmaması durumunda uygulanabilecek üst sınır cezaları oldukça yükselmiş durumdadır.
