Çalışan Verilerinde KVKK Uyumunda Yeni Trend: Erişim Log Yönetimi ve Kanıtlanabilirlik
2025 yılı, çalışan verilerinin korunmasında yeni bir uyum dönemi başlattı.
KVKK Kurulu’nun denetimlerinde en çok sorgulanan konu artık yalnızca
“çalışan verisi işleniyor mu?” değil; aynı zamanda
erişim kayıtlarının (log) nasıl tutulduğu, saklandığı ve denetimlerde nasıl ispatlandığıdır.
Özellikle hibrit çalışma düzeni, uzaktan erişim altyapıları ve çoklu cihaz kullanımı nedeniyle çalışan verilerine erişim daha karmaşık hale geldi. Bu durum, log yönetimini bir güvenlik aracı olmaktan çıkarıp bir KVKK uyum zorunluluğuna dönüştürdü.
1. Neden Erişim Log Yönetimi 2025’te Kritik Hale Geldi?
KVKK’da veri güvenliği yükümlülüğü (Madde 12), şirketlerden yalnızca teknik önlemleri değil; bu önlemlerin kanıtlanabilir bir denetim iziyle desteklenmesini ister.
Erişim loglarının önemi üç başlıkta öne çıkar:
- İhlal tespitinde kritik rol: Hangi çalışan hangi verilere erişti?
- Yetkisiz erişimin delili: Denetimlerde ispat yükümlülüğü
- İşveren–çalışan ihtilaflarında hukuki koruma: Veri manipülasyonu iddialarının çürütülmesi
2. Kurul’un 2024–2025 Kararlarında Log Yönetimi Nasıl Yorumlanıyor?
Kurul’un son iki yılda yayınladığı kararlar incelendiğinde üç temel yaklaşım görülür:
1) Log tutmak zorunluluktur
- Özellikle çalışan verisi, müşteri bilgisi ve finansal işlemlerde log kaydı “asgari güvenlik önlemi”dir.
2) Logların kanıtlanabilir olması gerekir
- Zaman damgası olmayan loglar yeterli kabul edilmedi
- Değiştirilebilen log dosyaları geçersiz sayıldı
3) Erişim sınırlandırma + log yönetimi birlikte değerlendirilir
- Role-based access uygulanmamışsa loglar tek başına yeterli değil
3. Çalışan Verilerinde Erişim Logları Neleri İçermeli?
Kurumların KVKK uyumu açısından erişim loglarında bulunması gereken temel alanlar:
- Erişimi yapan kullanıcı kimliği
- İşlem zamanı (timestamp)
- Erişilen veri kategorisi
- İşlem türü: görüntüleme / değiştirme / silme / aktarım
- Cihaz ve IP bilgisi
- Başarısız erişim girişimleri
Bütünlük için ek gereklilikler:
- Hash’lenmiş log kayıtları
- Değiştirilemeyen audit trail yapısı
- Zaman damgası (TSA / NTP senkronizasyonu)
- Saklama ve imha politikası ile uyumlu arşivleme
4. Denetimlerde İspat Yükümlülüğü: Şirketler Ne Sunmak Zorunda?
Bir çalışan verisi ihlali, yetkisiz erişim iddiası veya şikâyet durumunda şirketlerin sunması gereken kanıtlar:
1) Erişim logları
- İşlem geçmişi
- Yetkili kişilerin listesi
2) KVKK uyum dokümanları
- İç kontrol politikaları
- Yetki matrisi (RACI / Role-based access matrix)
- Veri sınıflandırma politikası
3) Teknik güvenlik önlemlerinin kanıtları
- SIEM çıktıları
- IDS/IPS raporları
- VPN erişim kayıtları
4) Log bütünlüğü ispatı
- Hash değerleri
- Zaman damgası çıktıları
5. 2025’te Yeni Trend: Zero Trust + Log Yönetimi Entegrasyonu
Zero Trust çerçevesi, çalışan verilerinde en güvenli yaklaşım olarak öne çıkıyor. Bu model log yönetimi ile birleştiğinde:
- Her erişim isteği doğrulanır
- Her işlem loglanır
- Her risk davranışı anomaly detection ile tespit edilir
Yeni nesil log yönetimi araçları şunları sunuyor:
- Davranışsal analitik (UEBA)
- Risk bazlı erişim kontrolü
- İntihar saldırısı (insider threat) tespiti
- Detaylı erişim haritaları
6. Çalışan Verileri İçin 2025 Uyum Kontrol Listesi
- Erişim logları tam mı?
- Log bütünlüğü teknik olarak ispatlanabilir mi?
- Yetki matrisi güncel mi?
- Uzaktan erişim kayıtları tutuluyor mu?
- Gözetim araçları (CCTV, ekran kayıt sistemleri) orantılı mı?
- İç denetim raporları güncel mi?
