Shadow AI
Gölge Yapay Zeka Nedir? Kurumsal Riskler ve Türkiye'deki Yasal Çerçeve
KVKK Şubat 2026 Rehberi ile resmen tanımlanan "Gölge YZ" kavramı, hangi riskleri barındırıyor?
Mart 2026
Okumaya devam →
Müşteri bilgileri, iç yazışmalar, fiyat listeleri, çalışan verileri... Şu an bunun farkında mısınız? BAP Protocol bunu tespit eder, engeller, belgeler ve personelinizi güvenli AI kullanımı için eğitir.
Kötü niyetten değil, verimlilik kaygısıyla yapılan bu paylaşımlar şirketinizi ciddi yasal ve ticari riske sokuyor.
Müşteri adları, iletişim bilgileri, sözleşme detayları — farkında olmadan AI prompt'larına yapıştırılıyor. Bu veri artık üçüncü taraf sunucusunda.
İç yazışmalar, fiyat listeleri, ihale stratejileri. Özellikle DeepSeek gibi Çin'de sunucu tutan araçlar kritik risk taşır.
KVKK denetiminde "teknik tedbir aldınız mı?" sorusuna cevabınız yoksa ihlal yapılmış sayılabilir. Belgelenmemiş AI kullanımı ağırlaştırıcı unsur.
ChatGPT (ABD), DeepSeek (Çin), Gemini (ABD) — çalışanın AI tercihine göre müşteri veriniz onlarca farklı ülkede işlenebilir.
Müşteri verilerinin AI'ya gittiği ortaya çıkarsa geri dönüşü zor bir itibar hasarı doğar. Finans, hukuk, sağlık sektörlerinde yıkıcı olabilir.
Gartner'ın 2024 araştırmasına göre çalışanların %65'i AI araçlarına veri gönderirken veri gizliliği riski olduğunun farkında değil. Sorun kötü niyet değil — eğitim eksikliği.
Çalışan fatura düzenlemek için müşteri listesini ChatGPT'ye yapıştırıyor. Niyeti iyi, ama sonucu KVKK kapsamında veri ihlali. IBM'in 2024 araştırmasına göre şirketlerin beşte birinde bu yüzden veri sızıntısı yaşandı.
BAP Audit, bu tür erişim girişimlerini DNS düzeyinde tespit eder. İçeriği okumaz — sadece "bu cihaz, bu anda onaysız bir AI servisine bağlandı" kaydeder ve politikaya göre engeller.
IT departmanı gerektirmez. Kurulum 15 dakika — DNS sunucunuzu değiştirmeniz yeterli.
Şirket ağınızda hangi AI servislerine bağlanıldığını DNS düzeyinde görünür kılıyoruz. ChatGPT mi, DeepSeek mi, Gemini mi?
Kurumunuzla birlikte BAP Protocol'e uygun AI kullanım politikası oluşturuyoruz: onaylı araçlar, koşullu araçlar, yasak araçlar.
Yasak listedeki AI servislerine DNS filtresiyle erişim kesilir. Hiçbir yazılım kurulumu gerekmez.
Her ay: tespit edilen araçlar, engelleme istatistikleri, KVKK md.12 teknik tedbir özeti. Denetimde belgeyle cevap veriyorsunuz.
BAP Protocol (Better AI Possible), kurumsal yapay zeka kullanımını yönetmek için geliştirilmiş 5 ilkeli bir çerçevedir. Bir araç setinden fazlası — kurumunuzun yapay zekayla nasıl çalışacağını tanımlayan yaşayan bir standart.
Kurumsal risk taşımayan beyin fırtınası, kişisel yetenek geliştirme veya risksiz metin yazarlığı için personelin belirli açık kaynaklı AI araçlarını kullanmasına izin verin.
Güvenliği kurum tarafından sağlanan, kapalı devre çalışan kurumsal AI araçlarını (Enterprise lisanslı Copilot vb.) yaygınlaştırın ve personeli bu güvenli limanlara teşvik edin.
Hızlı entegrasyon süreçleriyle personelin talep ettiği yeni yapay zeka platformlarını sürekli, çevik ve teknik güvenlik açısından inceleyin.
Hassas müşteri verilerinin, finansal tabloların veya gizli kodların, kişisel hesaplarla açılan genel AI araçlarına girilmesini BAP politikalarıyla kısıtlayın.
Verileri kalıcı olarak tutan veya kullanıcı girdilerini model eğitiminde kullanan platformları tamamen kara listeye alarak DNS seviyesinde engelleyin.
Gartner'ın 2024 raporuna göre çalışanların %65'i yapay zeka araçlarına veri gönderirken veri gizliliği riski taşıdıklarının farkında değil. DNS engelleme yalnızca bilinen araçları kapatır — ev ağından veya 5G üzerinden erişimi durdurmaz. Kalıcı koruma ancak farkındalıkla mümkün.
BAP Education çalışanlarınıza neyi nereye gönderebileceklerini, hangi araçların onaylı olduğunu ve bir şüphe anında ne yapmaları gerektiğini öğretir.
Akademik kökenli uzman eğitmen kadromuz tarafından verilen bu programlar; veri güvenliği, yapay zeka araçlarının verimli kullanımı ve kurumsal farkındalığı bir araya getirir.
Teorik yasal metinler yerine, İK ve Finans departmanlarından yaşanmış veri sızıntısı örnekleri üzerinden pratik eğitim.
Her katılımcıya "BAP Temel Sertifikası" — KVKK denetimlerinde çalışan eğitiminin belgesi olarak sunulur.
90 dk Temel Sertifika veya 3 saatlik derinlemesine Kurumsal Sertifika programı. Şirket içi veya açık eğitim.
Gölge YZ tanımı, yaygınlığı, gerçek vaka örnekleri ve kurumsal risk analizi.
BAP veri sınıflandırması. Müşteri verisi, çalışan bilgisi, finansal veri — pratik kurallar.
Md.9 yurt dışı aktarım, md.12 teknik tedbir. Çalışanın bireysel sorumluluğu.
Kurumsal AI araçlarının güvenli ve verimli kullanımı. Prompt hijyeni, çıktı doğrulama.
KVKK Şubat 2026'da yayımladığı rehberde Gölge YZ'yi açıkça tanımladı. Denetimde "tedbir aldınız mı?" sorusunun yanıtı artık belge istiyor.
"Gölge YZ; kurum veya kuruluş bünyesinde üretken YZ araçlarının, söz konusu kurum veya kuruluşun bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından iş süreçlerinde kullanılması durumunu ifade etmektedir."
📄 Resmi Rehberi İndir (PDF) →| KVKK Maddesi | Konu | Shadow AI Bağlantısı | BAP Protocol |
|---|---|---|---|
| Madde 9 | Yurt dışı veri aktarımı | ChatGPT (ABD), DeepSeek (Çin) — açık rıza olmaksızın yasak | ✓ DNS engelleme |
| Madde 12 | Teknik güvenlik tedbirleri | "Tedbir aldınız mı?" sorusuna belgesiz cevap yok | ✓ Aylık belge |
| Madde 18 | İdari yaptırımlar | Tedbir eksikliği → para cezası, ağırlaştırıcı unsur | ✓ Risk azaltma |
| Şubat 2026 Rehberi | Gölge YZ | Kurumsal politika ve denetim mekanizması tavsiye edildi | ✓ Politika + rapor |
⚠ Yasal Sorumluluk Reddi: BAP Protocol teknik izleme, engelleme ve raporlama hizmeti sunar; hukuki danışmanlık hizmeti vermez ve tam KVKK uyumunu garanti etmez. Sunulan raporlar ve teknik tedbir belgeleri KVKK denetiminde destekleyici nitelikte teknik kanıt olarak kullanılabilir; kesin hukuki uyumu yalnızca yetkili bir avukattan alınan hizmet sağlayabilir.
Kullanıcı sayısına ve altyapı ihtiyaçlarınıza göre ölçeklenen hizmet paketlerimiz.
* Aşağıdaki senaryolar temsili örnektir. Gerçek müşteri referansları ilerleyen dönemde paylaşılacaktır.
"KVKK denetimimize hazırlanırken BAP Protocol'ü devreye aldık. 3 hafta içinde 14 farklı onaysız AI aracının ağımızda aktif olduğunu gördük. Raporu avukatımıza gösterdik, 'teknik tedbir alınmış' dedi."
"Muhasebe ekibinin DeepSeek kullandığını bilmiyorduk. BAP kurulumundan 2 gün sonra uyarı aldık. DNS bloğu uygulandı, çalışanlara politika gönderildi. Kurulum gerçekten 15 dakika."
"Bir reklam ajansı olarak müşterilerimizin marka brieflerini ve verilerini güvende tuttuğumuzu kanıtlamak zorundaydık. BAP Audited rozeti sayesinde ihalelerde rakiplerimizin önüne geçtik."
Hem IT, hem Hukuk hem de İK departmanlarının ihtiyaç duyacağı dökümantasyonlar BAP protokolünün standart bir parçasıdır.
Hangi AI araçlarının kullanıldığı, engelleme istatistikleri ve politika ihlal özeti.
AI denetimi kapsamında alınan teknik tedbirleri belgeler. Denetimde kanıt niteliğindedir.
Onaylı/yasak AI araçları listesi ve çalışan yükümlülüklerini içeren kurumsal kurallar.
Çalışanların DNS trafiklerinin güvenlikle sınırlı olarak izleneceğine dair zorunlu bildirim metni.
Hukuki süreçler ve veri güvenliği hakkındaki detaylı incelemelerimiz.
IT departmanınızın içi rahat olsun. Tüm internet trafiğinizi değil, sadece spesifik servisleri denetliyoruz.
Şirketinizin tüm trafiği (bankalar, iç yazışmalar) pasif iletilir. Sadece yapay zeka servislerine ait DNS sorguları loglanır.
BAP Protocol "ChatGPT'ye bağlandı" bilgisini kaydeder. ChatGPT'ye yazılan metni (prompt) asla göremez ve kaydedemez.
Çalışan gizliliğini ihlal etmemek için kurulumda "Çalışan DNS İzleme Aydınlatma Metni" İK departmanınıza şablon olarak verilir.
Log verileri Avrupa sunucularında 90 gün tutulur. GDPR ve KVKK md.9 yurt dışı aktarım kurallarına tam uyumludur.
Ücretsiz 30 dakikalık keşif görüşmesi. Ağınızda hangi AI araçları aktif olabilir?