Hukuk büroları için bilgi güvenliği opsiyonel değildir. Avukatlık Kanunu'nun 36. maddesi avukat-müvekkil ilişkisinin gizliliğini en sert şekilde korur — sırrın ihlali hem disiplin hem cezai sorumluluk doğurur. Bunun üzerine KVKK ile gelen veri sorumlusu yükümlülükleri eklenir: müvekkil TC kimlik numarası, mali bilgi, sağlık verisi, aile durumu — hepsi özel nitelikli kişisel veri kapsamına girebilir ve teknik tedbirlerle korunmalıdır.
Bu rehber, solo avukattan 50+ avukatlı büroya kadar her ölçek için Microsoft 365 ile tam mevzuat uyumu sağlamanın somut adımlarını içerir. Hangi planın gerektiği, hangi özelliğin hangi yükümlülüğü karşıladığı, denetimde ne soruyla nasıl karşılaşacağınız net şekilde anlatılır.
1. Hukuki Çerçeve: Avukatlık Kanunu m.36 + KVKK
Avukatlık Kanunu m.36 — Sır Saklama Yükümlülüğü
"Avukatlar, kendilerine tevdi edilen veya gerek avukatlık görevi, gerekse Türkiye Barolar Birliği ve barolar organlarındaki görevleri dolayısıyla öğrendikleri hususları açıklayamazlar." Bu yükümlülük:
- Sözlü iletişimi (toplantı, telefon)
- Yazılı iletişimi (mail, mesaj)
- Belge ve dosyaları (sözleşme, dilekçe, delil)
- Üçüncü kişilerle paylaşılan bilgileri
kapsar. Avukatlık görevi sona erse bile sır saklama yükümlülüğü devam eder.
KVKK — Veri Sorumlusu Sıfatı
Hukuk bürosu, müvekkil verilerini işlemeye başladığı andan itibaren veri sorumlusu sıfatına sahiptir. KVKK m.12 uyarınca:
- Verilerin hukuka aykırı işlenmesini önleme
- Yetkisiz erişimi engelleme
- Veri güvenliğini sağlamak için uygun teknik ve idari tedbirler alma
- İhlal halinde KVKK Kurulu'na ve ilgili kişiye 72 saat içinde bildirim
yükümlülükleri vardır. KVKK Kurulu son yıllarda hukuk bürolarına yönelik incelemelerde teknik tedbirsizlik gerekçesiyle idari para cezaları uygulamıştır. "Şifresiz Excel dosyasında müvekkil listesi" gibi senaryolar denetimde yüksek riskli olarak değerlendirilir.
2. Plan Seçimi: Hangi Microsoft 365 KVKK Uyumu Sağlar?
Avukatlık Kanunu m.36 + KVKK için minimum gereksinimler:
- Solo avukat / 1-3 kişi: Microsoft 365 Business Standard ($10.50/ay) temel altyapı için yeterli — kurumsal e-posta, OneDrive, Teams. KVKK m.12 için ek güvenlik önerilir (Defender for Office 365 Plan 1 add-on, ~$2/ay).
- 5-15 kişi: Microsoft 365 Business Premium ($18.50/ay) minimum gereksinim. DLP, Defender for Business, Intune, Information Protection, Conditional Access dahil. KVKK denetiminde "teknik tedbirleri aldınız mı?" sorusunun cevabıdır.
- 25+ kişi: Microsoft 365 E3/E5 ($37.80-$59.85/ay) — Standard veya Premium eDiscovery, Customer Lockbox, sınırsız OneDrive, gelişmiş Litigation Hold. Büyük ofislerde 10 yıl saklama add-on'u ile.
3. Information Protection — Belgelere Hassasiyet Etiketi
Hukuk bürosu için en kritik özellik. Her belge ve mail, hassasiyet seviyesine göre etiket alır ve etiket otomatik şifreleme + erişim kuralı uygular:
- Müvekkil Gizli — yalnızca dosyada görevli avukatlar açar; kopyala-yapıştır engelli, ekran görüntüsü engelli, watermark
- Sözleşme - Görüşme Aşamasında — büro içi paylaşım serbest, dışarıya gönderim yetkili kişi onayıyla
- Dava Belgesi - Litigation Hold — silme engelli, tüm değişiklikler audit log'a kayıt
- Genel — kısıtlama yok
Etiket atandığında belge yetkisiz kişiye iletilse bile açılamaz. Outlook'ta da otomatik etiketleme önerilir — avukat "Müvekkil Gizli" etiketini tıklarsa mail otomatik şifrelenir.
4. DLP (Data Loss Prevention) — Hukuki Veri Pattern Engelleme
Microsoft Purview DLP ile hukuki veri pattern'leri tanımlanarak yetkisiz paylaşım otomatik bloklanır:
- TC Kimlik Numarası — built-in DLP pattern, 11 hane + check digit
- IBAN — built-in pattern, Türkiye TR + 24 hane
- Dosya numarası — kurum-spesifik regex (örn. Esas No:
20\d{2}/\d+)
- Müvekkil ad-soyad listesi — Sensitive Information Type ile özelleştirilir
- Sözleşme anahtar kelimeleri — "gizlilik anlaşması", "fesih", "tazminat" ifadeleri
Politika örnek: "TC Kimlik No içeren mail, bürodan dış alıcıya gönderilemez". İhlal denenirse mail engellenir, kullanıcıya bildirim çıkar, log'a düşer.
5. Şifreleme — Üç Katmanlı Yapı
Depolama Şifrelemesi
Microsoft 365 verileri BitLocker ile depolama düzeyinde, FIPS 140-2 sertifikalı algoritmalarla otomatik şifrelenir. Customer Key (E5) ile kendi anahtarınızla şifreleme yapılabilir — KVKK denetiminde "kendi şifre anahtarınızı yönetiyor musunuz?" sorusuna pozitif cevap.
İletim Şifrelemesi
Tüm M365 trafik TLS 1.2 ve üstü ile şifrelenir. OME (Office Message Encryption) aktive edilerek müvekkille kritik mailler şifreli kapsül olarak gönderilir — alıcı dış e-posta sahibi olsa bile şifre/OTP ile açar.
Cihaz Şifrelemesi
Intune ile cihaz şifreleme zorlaması: Windows için BitLocker, macOS için FileVault, Android/iOS için cihaz PIN ve disk şifrelemesi zorunlu. Compliance policy ile şifrelenmemiş cihaz dosyaya erişemez. Avukatın laptop'u metroda kalırsa veriler üçüncü kişiye geçmez.
6. Erişim Kontrolü — Need-to-Know Prensibi
Role-Based Access Control (RBAC)
Microsoft Entra ID ile her kullanıcıya rolüne uygun erişim verilir:
- Ortak / Kıdemli Avukat — bürodaki tüm dosyalara yetki
- Avukat — kendi dosyaları + ortak dosyalara yetki
- Stajyer / Asistan — sadece atandığı dosyalara yetki, sınırlı operasyon
- İdari personel — fatura, randevu, evrak takibi; dava içeriği yok
Conditional Access — Akıllı Erişim
Onaylı cihazdan onaylı IP'lerden erişim kuralı:
- Büro içi IP aralıklarından, VEYA
- Intune'a kayıtlı, compliance state = compliant olan cihazlardan
- MFA başarılı tamamlanmış oturumlarda
Yurt dışı IP'sinden veya bilinmeyen cihazdan giriş bloklanır veya ek doğrulama istenir. Avukatın hesabı çalınsa bile uzaktaki saldırgan müvekkil dosyasına erişemez.
Multi-Factor Authentication (MFA)
Müvekkil verisine erişim için MFA zorunlu olmalıdır. Microsoft Authenticator uygulaması, SMS veya FIDO2 anahtarı kullanılır. Conditional Access ile "MFA olmayan girişe izin verme" kuralı tanımlanır.
7. Litigation Hold ve eDiscovery — Dava Süreçleri için Kritik
Litigation Hold
Bir dava sürecinde belirli kullanıcının veya konunun e-postaları, belgeleri, sohbetleri "yasal tutma" altına alınır. Bu kapsamda:
- Kullanıcı silmeye çalışsa bile veriler korunur
- Otomatik retention sürelerine takılmaz, dava boyunca saklanır
- Tüm değişiklikler audit log'a kaydedilir
- Hold kalktığında veriler normal süreçlerine döner
Business Premium'da Basic Hold, E3'te Standard, E5'te 10 yıla kadar saklama desteği vardır.
eDiscovery — Elektronik Delil Toplama
"X tarihinde Y kişiyle Z konusunda yapılan tüm yazışmaları sunun" denildiğinde Microsoft Purview eDiscovery ile:
- Case açılır, hold uygulanır
- Tarih, kullanıcı, anahtar kelime, dosya tipi gibi filtrelerle arama yapılır
- Sonuçlar standart formatta export edilir (PST, EDRM)
- Mahkemeye sunulabilir delil paketi hazır olur
Klasik mail kutusunda haftalar süren işlem, eDiscovery ile dakikalar içinde tamamlanır. Standard eDiscovery (E3) ve Premium eDiscovery (E5) farklı detay seviyeleri sunar.
8. Audit Log ve Denetlenebilirlik
KVKK denetiminde "X tarihinde Y dosyasına Z kişi erişti mi?" sorusuna cevap için audit log gereklidir:
- Standard Audit — 180 gün, tüm Office uygulamaları (Business Premium dahil)
- Premium Audit — 1 yıl + olay-odaklı zenginleştirilmiş loglar (E5)
- 10-yıl saklama — Premium Audit add-on (E3/E5 + ek lisans)
Loglar her dosya açma/değiştirme/paylaşma olayını "kim, ne zaman, nereden, hangi cihazdan" detayıyla tutar. Disiplin soruşturmasında veya KVKK incelemesinde otoriteye somut kanıt olarak sunulur.
9. EU Data Boundary — Yurt Dışı Aktarım Sorunu
Microsoft Türkiye'de yerel veri merkezi sunmaz. Varsayılan olarak Microsoft 365 verileri Avrupa veri merkezlerinde tutulur. KVKK 9. madde "yurt dışı aktarım" denetimini geçmek için EU Data Boundary opsiyonu açılır:
- Müvekkil dosyaları, mail, takvim → AB veri merkezleri
- Microsoft destek hizmetleri → AB personeli
- Telemetri → AB içinde tutulur
KVKK aydınlatma metinlerine "veriler EU Data Boundary kapsamında AB'de işlenir" ifadesi eklenir, gerektiğinde açık rıza alınır.
10. Compliance Manager — Uyum Skoru ve Denetim Hazırlığı
Microsoft Purview Compliance Manager, KVKK gibi mevzuatlara karşı bürunuzun uyum skorunu otomatik hesaplar. Hangi kontrollerin uygulandığı, hangilerinin eksik olduğu dashboard üzerinde görünür. KVKK denetiminde "biz bu mevzuata X% uyumluyuz, eksikler şunlar ve yol haritası şu" şeklinde yazılı raporlama yapılır — denetçilere güvenilirlik sağlar.
11. Avukatlık Sırrı ve Cloud — Bir Tartışma
"Müvekkil dosyasını bulutta tutmak avukatlık sırrını ihlal etmez mi?" sorusu hukuk bürolarında sık dinlenir. Cevap: doğru yapılandırma ile etmez.
- Microsoft veri merkezleri ISO 27001, SOC 2 Type II, EU Cloud Code of Conduct sertifikalıdır
- Customer Lockbox ile Microsoft mühendisi bile veriye sizin onayınız olmadan erişemez (E5)
- Customer Key ile kendi şifreleme anahtarınızı tutarsınız
- EU Data Boundary ile veriler Türkiye dışına çıkmaz fiziksel olarak (AB içinde kalır)
- Audit log ile her erişim kaydedilir, denetlenebilir
Yerel sunucuda tutulan dosyalar ise yedeksiz, şifrelenmemiş, denetlenemez ortamda — modern güvenlik standartlarının gerisinde kalır. Türkiye Barolar Birliği'nin de ifade ettiği üzere bulut tabanlı çözümler doğru yapılandırma ile avukatlık sırrına aykırı değildir.
12. KVKK Aydınlatma Metni ve VERBİS
Microsoft 365 yapılandırması teknik kısımdır. Mevzuat uyumu için ek olarak:
- Aydınlatma metni — müvekkil sözleşmesine entegre edilir, hangi verilerin işlendiği, kimlerle paylaşıldığı, EU Data Boundary, saklama süresi belirtilir
- Açık rıza formu — özel nitelikli verilerin işlenmesi gerekiyorsa
- VERBİS kaydı — veri işleme envanterine "Microsoft 365 ile müvekkil verisi işleme" faaliyeti eklenir
- KVKK Sorumlusu — büroda atanmış olmalı, denetimde muhatap kişidir
Sonuç
Hukuk bürosunda KVKK + Avukatlık Kanunu m.36 uyumu, doğru yapılandırılmış Microsoft 365 ile tek pakette sağlanır. Ek yazılım veya altyapı yatırımı gerekmez — Business Premium ve üstü lisanslarda gerekli teknik araçlar dahildir. Önemli olan doğru aktivasyon, doğru politika tanımlama ve doğru kullanıcı eğitimidir.
Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) sıfatıyla hukuk bürolarına KVKK uyum yapılandırması, mevzuat eşleştirme ve eğitim hizmeti sunuyor. Hukuk Büroları için Microsoft 365 sayfamızı inceleyin veya ücretsiz KVKK uyum değerlendirmesi için iletişime geçin.
İlgili yazılar: Business Standard vs Premium: Hangisi Size Uygun? · Exchange Online'a Göç Rehberi