Türkiye'nin Kurumsal Yapay Zeka Kullanım Standardı

Çalışanlarınız şirket
verilerini ChatGPT'ye
gönderiyor.

Müşteri bilgileri, iç yazışmalar, fiyat listeleri, çalışan verileri — şu an bunun farkında mısınız? BAP Protocol bunu tespit eder, engeller, belgeler ve çalışanlarınızı bilinçli AI kullanımı için eğitir.

Nasıl çalışır? → Fiyatları gör
Şu an ağınızda tespit edilmemiş AI trafiği olabilir
⚠ KVKK denetimi: "Tedbir var mı?" — Belgeniz hazır mı?
📌 BİLGİLENDİRME: KVKK Şubat 2026 Üretken YZ Rehberi yayımlandı — Kurumların Gölge YZ politikası ve denetim mekanizması kurması tavsiye ediliyor. Resmi Rehberi İncele →
%38
çalışan hassas şirket bilgilerini AI araçlarına işveren izni olmadan gönderiyor
IBM, 2024 · Küresel CISO Araştırması
%65
şirkette 2025 sonuna kadar AI kaynaklı güvenlik ihlali yaşanacağı öngörülüyor
Gartner, 2024
Md. 18
KVKK kapsamında teknik tedbir almamak idari para cezası sebebidir
KVKK Veri Güvenliği Rehberi
Şub'26
KVKK "Gölge YZ" rehberi yürürlükte — kurumsal denetim artık beklenti
KVKK Üretken YZ Rehberi
Kurumsal Risk Analizi

Çalışanlarınız hangi riski taşıyor?

Kötü niyetten değil, verimlilik kaygısıyla yapılan bu paylaşımlar şirketinizi ciddi yasal ve ticari riske sokuyor.

📋
KVKK md.12 · md.9

Kişisel Veri Sızıntısı

Müşteri adları, iletişim bilgileri, sözleşme detayları — farkında olmadan AI prompt'larına yapıştırılıyor. Bu veri artık üçüncü taraf sunucusunda.

KVKK md.12 ihlali · yurt dışı aktarım riski
🔐
Ticaret Kanunu md.55

Ticari Sır Kaybı

İç yazışmalar, fiyat listeleri, ihale stratejileri. Özellikle DeepSeek gibi Çin'de sunucu tutan araçlar kritik risk taşır.

Ticari sır ihlali · rekabet avantajı kaybı
⚖️
KVKK md.18

Uyumsuzluk Riski

KVKK denetiminde "teknik tedbir aldınız mı?" sorusuna cevabınız yoksa ihlal yapılmış sayılabilir. Belgelenmemiş AI kullanımı ağırlaştırıcı unsur.

İdari para cezası · md.18 yaptırımı
🌍
KVKK md.9

Yurt Dışı Veri Aktarımı

ChatGPT (ABD), DeepSeek (Çin), Gemini (ABD) — çalışanın AI tercihine göre müşteri veriniz onlarca farklı ülkede işlenebilir.

md.9 açık rıza zorunluluğu · GDPR Bölüm V
🏢
İtibar

Müşteri Güveni Hasarı

Müşteri verilerinin AI'ya gittiği ortaya çıkarsa geri dönüşü zor bir itibar hasarı doğar. Finans, hukuk, sağlık sektörlerinde yıkıcı olabilir.

Marka değeri kaybı · müşteri sözleşme ihlali
🤖
Farkındalık

Gölge YZ Bilinçsizliği

Gartner'ın 2024 araştırmasına göre çalışanların %65'i AI araçlarına veri gönderirken veri gizliliği riski olduğunun farkında değil. Sorun kötü niyet değil — eğitim eksikliği.

Görünmez risk · denetlenemeyen, raporlanmayan kullanım
Gerçek Dünya Örneği

Bir "verimlilik" isteği
nasıl ihlale dönüşür?

Çalışan fatura düzenlemek için müşteri listesini ChatGPT'ye yapıştırıyor. Niyeti iyi, ama sonucu KVKK kapsamında veri ihlali. IBM'in 2024 araştırmasına göre İngiltere'deki şirketlerin beşte birinde bu yüzden veri sızıntısı yaşandı.

BAP Audit, bu tür erişim girişimlerini DNS düzeyinde tespit eder. İçeriği okumaz — sadece "bu cihaz, bu anda onaysız bir AI servisine bağlandı" kaydeder ve politikaya göre engeller.

SIZINTI ÖRNEĞİ CANLI SİMÜLASYON
User:
"Şu müşteri listesindeki verileri Excel formatında düzenler misin? [Ahmet Yılmaz - 34567890122 - 555 123 45 67] [Ayşe Demir   - 12345678901 - 532 987 65 43]"
Bu basit "verimlilik" talebi, KVKK kapsamında açık bir kişisel veri ihlalidir. BAP Audit bu veriyi tespit edip engellemezse, kişisel veriler saniyesinde global sunuculara işlenir.
Bu sızıntıyı engelle →
İki Senaryo

Aynı olay, iki farklı sonuç

Muhasebe çalışanı müşteri listesini yapıştırıyor. BAP Protocol olmayan şirkette bu bir ihlale dönüşüyor.

⚠ BAP Protocol olmayan şirket
  • Muhasebe çalışanı müşteri faturalarını DeepSeek'e özetletiyor
  • Pazarlama ekibi müşteri DB'yi ChatGPT'ye aktarıyor
  • İK ekibi çalışan bilgilerini AI CV ayrıştırıcıya gönderiyor
  • Siz bunların hiçbirini bilmiyorsunuz
  • KVKK denetiminde döküm soruluyor — yok
  • İhlal tespit edildi: yıllık cironun %2–4'üne kadar ceza
✓ BAP Protocol ile
  • DeepSeek DNS seviyesinde engellendi — erişim yok
  • ChatGPT izinli ama hangi departmanın kullandığı loglanıyor
  • Anormal kullanım tespit edildiğinde anlık uyarı
  • Çalışanlar BAP eğitimini aldı, bilinçli kullanıyor
  • Aylık Shadow AI denetim raporunuz hazır
  • KVKK md.12: "Teknik tedbir alındı mı?" — Evet, belge elinizde
BAP Audit

Shadow AI denetimi 4 adımda

IT departmanı gerektirmez. Kurulum 15 dakika — DNS sunucunuzu değiştirmeniz yeterli.

01 / TESPİT
🔍

Hangi AI araçları kullanılıyor?

Şirket ağınızda hangi AI servislerine bağlanıldığını DNS düzeyinde görünür kılıyoruz. ChatGPT mi, DeepSeek mi, Gemini mi?

DNS İzleme
02 / POLİTİKA
📋

İzinli ve yasak araç listesi

Sizinle birlikte BAP Protocol'e uygun AI kullanım politikası oluşturuyoruz: onaylı araçlar, koşullu araçlar, tamamen yasak araçlar.

BAP Policy
03 / ENGELLEME
🚫

Onaysız araçlara erişim kapatılıyor

Yasak listedeki AI servislerine DNS filtresiyle erişim kesilir. Hiçbir yazılım kurulumu gerekmez.

Gerçek Zamanlı
04 / BELGELEME
📄

Aylık denetim raporu

Her ay: tespit edilen araçlar, engelleme istatistikleri, KVKK md.12 teknik tedbir özeti. Denetimde belgeyle cevap veriyorsunuz.

KVKK md.12
bap-audit — shadow-ai-monitor · Mart 2026
$ bap-audit scan --network=office --period=today — BAP Protocol · Shadow AI Denetim Sistemi v1.0 — Tarih: 09.03.2026 Kapsam: 18 kullanıcı Ağ: Ofis ✓ ALLOWED ChatGPT (OpenAI) 1.284 istek / bugün ✓ ALLOWED Claude (Anthropic) 342 istek ✓ ALLOWED Microsoft Copilot 189 istek ✕ BLOCKED DeepSeek (China) 247 girişim → ENGELLENDİ ✕ BLOCKED Grok (xAI) 83 girişim → ENGELLENDİ ⚠ REVIEW Tanımsız AI Servisi 17 istek / araştırılıyor ────────────────────────────────────────────────────── → KVKK md.12 Teknik Tedbir Belgesi hazırlandı → Aylık Shadow AI Denetim Raporu e-posta ile gönderildi → 6 çalışana farkındalık bildirimi iletildi $
BAP Protocol Nedir?

Better AI Possible: 5 ilke, 1 standart

BAP Protocol (Better AI Possible), kurumsal yapay zeka kullanımını yönetmek için geliştirilmiş 5 ilkeli bir çerçevedir. Bir araç setinden fazlası — şirketinizin yapay zekayla nasıl çalışacağını tanımlayan yaşayan bir standart.

01 / ACCEPT

Kabul Et

Kurumsal risk taşımayan beyin fırtınası, kişisel yetenek geliştirme veya risksiz metin yazarlığı için personelin belirli açık kaynaklı AI araçlarını kullanmasına izin verin.

02 / ENABLE

Etkinleştir

Güvenliği kurum tarafından sağlanan, kapalı devre çalışan kurumsal AI araçlarını (Enterprise lisanslı Copilot vb.) yaygınlaştırın ve personeli bu güvenli limanlara teşvik edin.

03 / ASSESS

Değerlendir

Hızlı entegrasyon (rapid intake) süreçleriyle personelin talep ettiği yeni yapay zeka platformlarını sürekli, çevik ve teknik güvenlik açısından inceleyin.

04 / RESTRICT

Kısıtla

Hassas müşteri verilerinin, finansal tabloların veya gizli kodların, kişisel hesaplarla açılan genel AI araçlarına girilmesini BAP politikalarıyla kısıtlayın.

05 / ELIMINATE

Ortadan Kaldır

Verileri kalıcı olarak tutan veya kullanıcı girdilerini (prompt) model eğitiminde kullanan platformları tamamen kara listeye alarak DNS seviyesinde engelleyin.

BAP Education

Teknik engelleme yetmez —
çalışanların da bilmesi gerekir

Gartner'ın 2024 raporuna göre çalışanların %65'i yapay zeka araçlarına veri gönderirken veri gizliliği riski taşıdıklarının farkında değil. DNS engelleme yalnızca bilinen araçları kapatır — telefon ve ev ağından erişimi durdurmaz. Kalıcı koruma ancak farkındalıkla mümkün.

BAP Education çalışanlarınıza neyi nereye gönderebileceklerini, hangi araçların onaylı olduğunu ve bir şüphe anında ne yapmaları gerektiğini öğretir.

Bora Kurum tarafından verilen bu eğitim; pazarlama yöneticiliği, AI eğitmenliği ve akademik araştırma deneyimini bir araya getirir.

🎯

Eğitmen: Bora Kurum

Pazarlama yöneticisi, yapay zeka & dijital iletişim eğitmeni, İstanbul Bilgi Üniversitesi doktora öğrencisi.

📜

BAP Sertifikası verilir

Her katılımcıya "BAP Temel Sertifikası" — denetimde çalışan eğitiminin belgesi.

💻

Online veya yüz yüze

90 dk Temel Sertifika / 3 saat Kurumsal Sertifika. Şirket içi veya açık eğitim.

MODÜL 01

Shadow AI nedir?

Gölge YZ tanımı, yaygınlığı, gerçek vaka örnekleri ve kurumsal risk analizi.

MODÜL 02

Ne gönderilir, ne gönderilmez?

BAP veri sınıflandırması. Müşteri verisi, çalışan bilgisi, finansal veri — pratik kurallar.

MODÜL 03

KVKK ve yapay zeka

Md.9 yurt dışı aktarım, md.12 teknik tedbir. Çalışanın bireysel sorumluluğu.

MODÜL 04

Onaylı araçları verimli kullan

Kurumsal AI araçlarının güvenli ve verimli kullanımı. Prompt hijyeni, çıktı doğrulama.

Hukuki Çerçeve

KVKK Shadow AI için ne diyor?

KVKK Şubat 2026'da yayımladığı rehberde Gölge YZ'yi açıkça tanımladı. Denetimde "tedbir aldınız mı?" sorusunun yanıtı artık belge istiyor.

İdari Yaptırım
Veri güvenliğini (md.12) sağlamayan kurumlara idari para cezası uygulanır.
KVKK md.18
Ağırlaştırıcı Unsur
Şubat 2026 rehberine rağmen tedbir alınmaması, sızıntı durumunda kusuru artırır.
KVKK Üretken YZ Rehberi
%23
kurumun AI tabanlı veri risklerini resmi olarak belgelediği tahmin ediliyor.
Deloitte, 2024
KVKK Şubat 2026 Rehberi — Doğrudan Atıf

"Gölge YZ; kurum veya kuruluş bünyesinde üretken YZ araçlarının, söz konusu kurum veya kuruluşun bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından iş süreçlerinde kullanılması durumunu ifade etmektedir."

📄 Resmi Rehberi İndir (PDF) →
KVKK Maddesi Konu Shadow AI Bağlantısı BAP Protocol
Madde 9 Yurt dışı veri aktarımı ChatGPT (ABD), DeepSeek (Çin) — açık rıza olmaksızın yasak DNS engelleme
Madde 12 Teknik güvenlik tedbirleri "Tedbir aldınız mı?" sorusuna belgesiz cevap yok Aylık belge
Madde 18 İdari yaptırımlar Tedbir eksikliği → para cezası, ağırlaştırıcı unsur Risk azaltma
Şubat 2026 Rehberi Gölge YZ Kurumsal politika ve denetim mekanizması tavsiye edildi Politika + rapor

⚠ Yasal Sorumluluk Reddi: BAP Protocol teknik izleme, engelleme ve raporlama hizmeti sunar; hukuki danışmanlık hizmeti vermez ve tam KVKK uyumunu garanti etmez. Sunulan raporlar ve teknik tedbir belgeleri KVKK denetiminde destekleyici nitelikte teknik kanıt olarak kullanılabilir; kesin hukuki uyumu yalnızca yetkili bir avukattan alınan hizmet sağlayabilir.

Fiyatlandırma

Sade ve şeffaf fiyatlar

Taahhüt yok. İstediğiniz ay iptal edebilirsiniz. KDV hariç.

Aylık
Yıllık %20 İndirim
BAP · Başlangıç
99
/ay · 5–10 kullanıcı · KDV hariç
  • DNS seviyesinde AI izleme
  • Onaysız AI servisleri engelleme
  • 10 kullanıcıya kadar
  • Aylık Shadow AI denetim raporu
  • KVKK md.12 teknik tedbir belgesi
  • Kurumsal AI kullanım politikası
  • Anlık anomali uyarıları
  • BAP Education seansı
EN POPÜLER
BAP · Büyüme
199
/ay · 11–25 kullanıcı · KDV hariç
  • DNS seviyesinde AI izleme
  • Onaysız AI servisleri engelleme
  • 25 kullanıcıya kadar
  • Aylık Shadow AI denetim raporu
  • KVKK md.12 teknik tedbir belgesi
  • Özel AI kullanım politikası
  • Anlık anomali uyarıları
  • BAP Education — Temel Sertifika (1 seans)
BAP · Kurumsal
Teklif Al
25+ kullanıcı · Özel fiyatlandırma
  • Sınırsız kullanıcı
  • Çoklu şube / ağ desteği
  • Haftalık denetim raporu
  • KVKK md.12 belgesi + hukuk desteği
  • BAP Education — Kurumsal Sertifika
  • Özel politika danışmanlığı
  • 7/24 öncelikli destek
  • Yönetim kurulu sunumu
⚙️
Tüm paketlerde kurulum dahil
DNS yapılandırması, politika belgesi, ilk rapor ve çalışan bilgilendirme yazısı başlangıçta sunulur. Ekstra ücret yok.
Müşteriler

Onlar zaten kullanıyor

★★★★★

"KVKK denetimimize hazırlanırken BAP Protocol'ü devreye aldık. 3 hafta içinde 14 farklı onaysız AI aracının ağımızda aktif olduğunu gördük. Raporu avukatımıza gösterdik, 'teknik tedbir alınmış' dedi."

AT
Ahmet T.
Genel Müdür, İstanbul Fintech Şirketi
★★★★★

"Muhasebe ekibinin DeepSeek kullandığını bilmiyorduk. BAP kurulumundan 2 gün sonra uyarı aldık. DNS bloğu uygulandı, çalışanlara politika gönderildi. Kurulum gerçekten 15 dakika."

SY
Selma Y.
IT Direktörü, Lojistik A.Ş.
★★★★★

"BAP Education'ı tamamladıktan sonra çalışanlarımız ne gönderilebileceğini artık biliyor. Müşteri sözleşmelerinde veri güvenliği maddelerine artık aylık raporla cevap verebiliyoruz."

MK
Mert K.
Kurucu Ortak, Hukuk Bürosu
Şeffaflık

Sürecin tüm yasal ve teknik dokümanları hazır

Hem IT, hem Hukuk hem de İK departmanlarının ihtiyaç duyacağı dökümantasyonlar BAP protokolünün standart bir parçasıdır.

BAP Audit

Aylık Denetim Raporu

Hangi AI araçlarının kullanıldığı, engelleme istatistikleri ve politika ihlal özeti.

Örneği görüntüle →
KVKK md.12

Teknik Tedbir Belgesi

AI denetimi kapsamında alınan teknik tedbirleri belgeler. Denetimde kanıt niteliğindedir.

Örneği görüntüle →
BAP Policy

AI Kullanım Politikası

Onaylı/yasak AI araçları listesi ve çalışan yükümlülüklerini içeren kurumsal kurallar.

Örneği görüntüle →
İK / Hukuk (Yeni)

Çalışan Aydınlatma Metni

Çalışanların DNS trafiklerinin güvenlikle sınırlı olarak izleneceğine dair zorunlu bildirim metni.

Örneği görüntüle →
Bora Kurum - BAP Protocol Kurucusu

Bora Kurum

Kurucu · BAP Protocol / betteraipossible.com

Bora Kurum, 15 yılı aşkın kurumsal pazarlama deneyimini akademik araştırmalarla harmanlayan bir teknoloji eğitmeni ve stratejisttir. İstanbul Bilgi Üniversitesi'nde İletişim alanında doktora (PhD) çalışmalarına devam eden Kurum, profesyonellere verdiği Yapay Zeka eğitimlerinde şirketlerin en büyük kör noktasını teşhis etti: Gölge YZ (Shadow AI). Şirketlerin verimlilik arayışı ile veri güvenliği arasında sıkıştığı bu kritik dönemde, akademik disiplini ve saha tecrübesini birleştirerek kurumsal bir yönetişim standardı olan BAP Protocol'ü hayata geçirdi.

📅 Randevu Al ✉ E-posta Hakkımda →
Blog & Kaynaklar

Shadow AI ve KVKK Rehberi

Hukuki süreçler ve veri güvenliği hakkındaki detaylı incelemelerimiz.

Shadow AI

Gölge Yapay Zeka Nedir? Kurumsal Riskler ve Türkiye'deki Yasal Çerçeve

KVKK Şubat 2026 Rehberi ile resmen tanımlanan "Gölge YZ" kavramı, hangi riskleri barındırıyor?

Mart 2026
Okumaya devam →
Veri Güvenliği

DeepSeek Neden Özellikle Tehlikeli? Çin Sunucusu ve KVKK md.9

Çalışanların DeepSeek'e veri göndermesi neden diğer AI araçlarından daha riskli?

Mart 2026
Okumaya devam →
KVKK Uyum

KVKK Denetiminde "Teknik Tedbir" Sorusuna Nasıl Cevap Verirsiniz?

Madde 12 kapsamında teknik tedbir yükümlülüğü ne anlama geliyor, hangi belgeler geçerli?

Şubat 2026
Okumaya devam →
Çalışan Eğitimi

Çalışanlar Yapay Zekaya Hangi Verileri Gönderiyor? 5 Gerçek Senaryo

Muhasebe, İK, satış ve pazarlama ekiplerinin AI araçlarını yanlış kullanımına dair örnekler.

Şubat 2026
Okumaya devam →
Politika

Kurumsal AI Kullanım Politikası Nasıl Yazılır? Şablon ve Rehber

Hangi araçlar onaylı, hangileri yasak? Veri sınıflandırması için adım adım rehber.

Ocak 2026
Okumaya devam →
Araştırma

2024–2025 Shadow AI İstatistikleri: IBM, Gartner ve Deloitte Verileri

Küresel araştırmaların Türk şirketlerine yansımaları. Hangi sektörler daha risk altında?

Ocak 2026
Okumaya devam →
IT ve Hukuk Uyumu

Güvenlik ve Gizlilik Odaklı Altyapı

IT departmanınızın içi rahat olsun. Tüm internet trafiğinizi değil, sadece spesifik servisleri denetliyoruz.

🎯

Sadece AI Trafiği İzlenir

Şirketinizin tüm trafiği (bankalar, iç yazışmalar) pasif iletilir. Sadece yapay zeka servislerine ait DNS sorguları loglanır.

🚫

İçerik Okunmaz

BAP Protocol "ChatGPT'ye bağlandı" bilgisini kaydeder. ChatGPT'ye yazılan metni (prompt) asla göremez ve kaydedemez.

⚖️

Aydınlatma Metni Hazır

Çalışan gizliliğini ihlal etmemek için kurulumda "Çalışan DNS İzleme Aydınlatma Metni" İK departmanınıza şablon olarak verilir.

🇪🇺

AB Merkezli, ISO 27001

Log verileri Avrupa sunucularında 90 gün tutulur. GDPR ve KVKK md.9 yurt dışı aktarım kurallarına tam uyumludur.

SSS

Sık sorulan sorular

BAP Protocol nedir?
BAP Protocol (Better AI Possible), şirketlerin yapay zeka araçlarını güvenli, yasal ve etkin kullanması için hazırlanmış Türkiye'nin kurumsal AI kullanım standardıdır. Üç hizmet içerir: BAP Audit (Shadow AI tespiti ve engelleme), BAP Policy (kurumsal AI kullanım politikası) ve BAP Education (KVKK uyumlu çalışan eğitimi).
Kurulum ne gerektiriyor?
Yalnızca şirket ağınızın DNS sunucusu adresini değiştirmeniz yeterlidir. Router veya ağ yönetim panelinden 1–2 dakikada yapılır. IT departmanı gerektirmez. Mevcut hiçbir yazılımı değiştirmez, cihaz kurulumu yapmaz.
Hangi AI araçlarını engelleyebilirsiniz?
DNS düzeyinde erişilebilen tüm AI servislerini yönetebiliriz: DeepSeek, Grok, Perplexity, Claude, ChatGPT, Gemini, Copilot, Midjourney ve yüzlercesi. Bazılarını tamamen kapatabilir, bazılarını izleyebilir, bazılarını serbest bırakabilirsiniz.
BAP Protocol çalışanların ne yazdığını görüyor mu?
Hayır. BAP Protocol DNS trafik düzeyinde çalışır — hangi AI servisine bağlanıldığını görür, konuşmanın içeriğini asla görmez. "Çalışan ChatGPT'ye bağlandı" kaydedilir ama ChatGPT'de ne yazdığı okunamaz. Bu hem teknik hem yasal bir sınırdır.
KVKK denetiminde bu rapor yeterli mi?
BAP Protocol'ü ürettiği teknik tedbir belgesi, KVKK md.12 kapsamında "alınan teknik tedbirleri belgeleme" yükümlülüğü için destekleyici niteliktedir. Tam hukuki uyumu garanti etmez; bunun için KVKK uzmanından görüş almanızı tavsiye ederiz. Ancak "hiçbir tedbir yok" ile "belgelenmiş tedbir var" arasındaki fark denetim sonuçlarını önemli ölçüde etkiler.
BAP Education ne içeriyor?
Shadow AI nedir, ne gönderilir ne gönderilmez, KVKK ve yapay zeka ilişkisi, onaylı araçların verimli kullanımı. Bora Kurum tarafından verilen eğitim 90 dakika (Temel) veya 3 saat (Kurumsal). Her katılımcıya BAP Sertifikası verilir — denetimde çalışan eğitiminin belgesi olarak kullanılabilir.
İptal edebilir miyim?
Evet. Herhangi bir taahhüt yok. İstediğiniz ay iptal edebilirsiniz. DNS sunucunuzu eski adrese döndürmeniz yeterlidir. BAP Protocol verilerinizi 30 gün içinde kalıcı olarak siler.
Başlayalım

Shadow AI riskinizi birlikte değerlendirelim

Ücretsiz 30 dakikalık keşif görüşmesi. Ağınızda hangi AI araçları aktif olabilir?

Randevu Al → Bize Yazın