KVKK denetimlerinin büyük çoğunluğu son hafta yaşanır. Klasör doldurulur, log’lar derlenir, politika dokümanları imzalanır. Sonra denetçi gelir, eksikler çıkar, taahhütler verilir — ve bir sonraki yıla kadar bu çevrim aynen tekrar eder. Her seferinde aynı insanlar, aynı klasörler, aynı eksikler.
Sorun denetimin kendisinde değil. Sorun, uyumu bir denetime hazırlık olarak görmek — bir mimari kararı olarak değil.
KVKK uyumu, sistemin mimarisinde değilse; her denetim öncesi onu yeniden inşa etmek zorunda kalırsınız.
Yanlış soru: "Denetime ne yetiştiririz?"
Çoğu denetim öncesi şu üç soruyu sorar: hangi kayıtlar eksik, hangi politikalar imzasız, hangi log’ları toparlayabiliriz. Bu sorular hayatınızı son bir hafta kurtarır — sonraki on iki ayı kurtarmaz.
Doğru sorular ilk gün başlar
- Hangi veri, hangi sistemde, hangi amaçla tutuluyor — ve bu kaç yıl saklanmalı?
- Bir veri sahibi "beni unutun" derse, kaç sistemden silinmesi gerekiyor? Bu silmeyi otomatik yapan bir akışımız var mı?
- Bir ihlal anında olay zincirini geri saracak log’lar var mı; varsa kim, ne zaman, neye erişti — bunu sorgulayabilir miyiz?
- Ayrıcalıklı erişim hangi sistemlerde MFA + onay akışı arkasında? Hangileri hâlâ "her IT’cinin root’u var" durumunda?
Mimari ne demek?
Bir log mimarisi — Graylog ya da benzeri — kurmuşsanız, denetime hazırlık bir SQL sorgusudur. Bir PAM çözümünüz varsa, "ayrıcalıklı erişim nasıl yönetiliyor" sorusu bir ekran görüntüsüdür. Bir veri envanteriniz varsa, "hangi veri nerede" sorusu bir rapor butonudur.
Yoksa — denetim her seferinde bir Excel macerasıdır.
Sonuç
KVKK uyumu, yılda bir kez geçilen bir sınav değildir. Mimarinizin bir özelliği olabilir — ya da her yıl size pahalıya patlayan bir vergi. Hangisi olduğuna bugün karar verirsiniz.