"Microsoft 365 KVKK uyumlu mu? Verilerimiz nerede saklanıyor? KVKK denetiminde sorumluluğum ne kadar?" — bu üç soru her IT yöneticisinin masasındaki KVKK ihtilafının çekirdeği. Kısa cevap karmaşık: Microsoft 365 teknik olarak KVKK uyumlu ama uyumluluk paylaşılan sorumluluk modeli'ne dayanır — Microsoft tarafı bazı kontrolleri sağlar, müşteri tarafı diğerlerini yapılandırmak ZORUNDA. Yanlış yapılandırılmış M365 KVKK ihlal olur. Bu rehberde veri ikametgahı (data residency), Microsoft'un sorumluluğu, müşterinin sorumluluğu ve KVKK denetiminde nelerden hesap verdiğinizi net açıklıyoruz.
Microsoft 365 Veri Saklama Konumu (Data Residency)
Türkiye Datacenter Mevcut Mu?
Hayır — Microsoft'un Türkiye'de cloud datacenter'ı henüz yok (2025 sonu itibariyle). Microsoft'un duyurduğu Türkiye datacenter projesi planlama / değerlendirme aşamasında, açılış tarihi henüz yok.
Türk Müşteriler İçin Veri Nerede?
Microsoft 365 müşterilerine en yakın EMEA Regional coğrafyasında veri saklar:
- Birincil: AB datacenter'ları — İrlanda (Dublin), Hollanda (Amsterdam), Avusturya, Finlandiya
- İkincil yedek: Aynı bölge başka datacenter
- Disaster recovery: Cross-region (genelde aynı AB içinde)
Microsoft Trust Center'da tenant'ınızın spesifik veri saklama lokasyonu görünür: aka.ms/datalocation üzerinden tenant ID ile sorgulama.
Servis Bazlı Veri Konumu
| Servis | Veri Konumu (Türk müşterisi için) |
| Exchange Online (mailbox) | AB datacenter (İrlanda / Hollanda) |
| SharePoint Online + OneDrive | AB datacenter |
| Microsoft Teams (chat, meeting recordings) | AB datacenter |
| Microsoft Entra ID (kimlik dizini) | Multi-Geo (genelde AB) |
| Office 365 ProPlus (lisans aktivasyonu) | Cross-region (Microsoft Online Services) |
| Microsoft Defender / Sentinel telemetri | AB veya US (kullanıcı seçimi) |
| Power BI workspaces | Tenant home region (AB) |
| Microsoft Copilot prompt + response | AB datacenter, model training için kullanılmaz |
KVKK Açısından AB Datacenter — Geçerli Mi?
KVKK'nın 9. maddesi yurtdışına veri aktarımını düzenler:
- Yeterli koruma kararı: KVK Kurumu'nun "yeterli koruma sağlayan" ülke listesi vardır. AB ülkelerinin tamamı bu listede DEĞİLDİR — sadece bazı belirli ülkeler.
- Açık rıza: Veri sahibinin (örn. çalışanınızın, müşterinizin) aktarıma açık rızası
- Yeterli koruma taahhüdü: Sözleşmede yeterli koruma yazılı taahhüt edilmesi (Microsoft Online Services sözleşmesi)
- Kurul izni: KVK Kurulu özel izni (her şartı sağlayamıyorsanız)
Microsoft, "Microsoft Online Services Data Protection Addendum (DPA)" dokümanında KVKK'ya benzer GDPR uyumlu yeterli koruma taahhüdü verir. Bu sözleşmesel taahhüt KVKK'nın 9. maddesinin ç) bendindeki "yeterli korumayı yazılı olarak taahhüt etmesi" şartını karşılar.
Net cevap: Microsoft 365 verisinin AB datacenter'da saklanması KVKK ihlali DEĞİLDİR — Microsoft sözleşmesel taahhüt verir, müşteri ek olarak açık rıza alma + işleme amacı belirtme + envanter tutma gibi kendi yükümlülüklerini yerine getirir.
Shared Responsibility — Kim Neyden Sorumlu?
Cloud bilgi güvenliğinde "shared responsibility" (paylaşılan sorumluluk) standart modeldir. Microsoft 365 için:
| Sorumluluk Alanı | Microsoft | Müşteri (Siz) |
| — Fiziksel ve Altyapı — |
| Datacenter güvenliği (fiziksel erişim, biyometri, video, jeneratör) | ✓ | — |
| Sunucu donanımı, ağ ekipmanı, depolama | ✓ | — |
| Hypervisor + OS güncelleme, patch | ✓ | — |
| SOC 2, ISO 27001, ISO 27018, FedRAMP, HIPAA, GDPR sertifikaları | ✓ | — |
| — Servis Sürekliliği — |
| Servis SLA (%99.9 uptime, financially backed) | ✓ | — |
| Disaster recovery (cross-region replication) | ✓ | — |
| Servis update ve yeni özellikler | ✓ | — |
| — Veri Şifreleme — |
| Encryption at rest (storage) | ✓ (default AES-256) | — |
| Encryption in transit (TLS) | ✓ (default TLS 1.2+) | — |
| Customer Key (BYOK — kendi anahtarınızla şifreleme) | ✓ (M365 E5) | Yapılandırma sizde |
| Sensitivity labels (dosya bazlı şifreleme) | ✓ (kapasite) | Etiketleme + kullanıcı eğitimi sizde |
| — Kimlik ve Erişim — |
| Multi-Factor Authentication (MFA) altyapısı | ✓ (servis) | MFA aktivasyonu, kullanıcı eğitimi sizde |
| Conditional Access policy framework | ✓ (servis) | Policy yazma + uygulama sizde |
| Privileged Identity Management (PIM) | ✓ (servis) | Just-in-time admin, role assignment sizde |
| Identity Protection (risk-based) | ✓ (E5) | Risk threshold ayarı, response sizde |
| — Veri Güvenliği — |
| Data Loss Prevention (DLP) altyapısı | ✓ | DLP policy yazma sizde |
| Information Protection (sensitivity labels) | ✓ | Etiket taksonomisi + uygulama sizde |
| In-Place Hold / Litigation Hold | ✓ | Hold koyma kararı sizde |
| Audit log retention | ✓ (180 gün-7 yıl, lisansa göre) | Log inceleme + retention configuration sizde |
| — Cihaz ve Endpoint — |
| Microsoft Defender (NGAV, EDR) altyapısı | ✓ | Onboarding, policy, response sizde |
| Intune (MDM/MAM) altyapısı | ✓ | Compliance policy, app protection sizde |
| Cihaz envanteri ve kullanıcı yönetimi | — | Tamamen sizde |
| — KVKK Spesifik — |
| Veri ikametgahı (AB datacenter) | ✓ | — |
| DPA (Data Protection Addendum) sözleşmesi | ✓ | İmzalanması sizde |
| VERBİS kayıt | — | Tamamen sizde |
| Açık rıza alma (çalışan, müşteri) | — | Tamamen sizde |
| İşleme amacı + envanter | — | Tamamen sizde |
| Veri ihlal bildirimi (72 saat) | Microsoft size bildirir | Siz KVK Kuruluna bildirirsiniz (72 saat) |
"Microsoft Tarafı" — Net Olarak Ne Sağlar?
1. Sertifikalar ve Denetim
Microsoft, M365 platformu için 30+ uluslararası sertifika tutar:
- ISO 27001 (Bilgi Güvenliği), ISO 27018 (PII bulut güvenliği), ISO 22301 (İş Sürekliliği)
- SOC 1, SOC 2 Type II, SOC 3
- HIPAA / HITRUST (sağlık)
- FedRAMP High (ABD federal)
- GDPR uyum (DPA)
- CSA STAR (Cloud Security Alliance)
Bu sertifikaların raporları servicetrust.microsoft.com'da müşteriye açıktır. KVKK denetiminde bu sertifikaları "Microsoft tarafının yeterli koruma taahhüdü" olarak gösterirsiniz.
2. Sözleşmesel Taahhütler
- DPA (Data Protection Addendum): GDPR Article 28 + KVKK Article 9 uyumlu veri işleyici taahhüdü
- OST (Online Services Terms): SLA, veri sahipliği, kurum verileri Microsoft tarafından sahiplenilmez
- Customer Lockbox (E5): Microsoft mühendisinin verinize erişmek için sizden onay almasını zorunlu kılar
- Veri sahipliği: Müşteri verisi Microsoft'a değil müşteriye ait. Sözleşme sonunda 90 gün içinde tüm veri export edilebilir + silinir
3. Teknik Kontroller
- AES-256 encryption at rest (default)
- TLS 1.2+ encryption in transit
- Tenant izolasyon (logical separation)
- DDoS protection
- Network security (VLAN, NSG, Front Door)
- Anti-malware tarama
- Penetration testing (yıllık 3rd-party + iç)
"Müşteri Tarafı" — Sizin YAPMANIZ Gerekenler
Microsoft sertifikaları + sözleşmeler size uyumluluk garantisi vermez. Sizin tarafınızdaki yapılandırma yanlışsa ihlal yine olur. Yapmanız gerekenler:
1. KVKK Yasal Yükümlülükler
- VERBİS kayıt: Veri sorumlusu olarak KVK Kurumu siciline kayıt (gerekli durumda)
- Veri envanter: Hangi sistem, hangi veri, hangi amaçla, ne süre — yazılı envanter
- Açık rıza: Çalışan ve müşterilerden veri işleme rızası
- Aydınlatma metni: Web sitesi, sözleşme, e-posta vb. her temas noktasında
- Veri sahipliği talepleri (DSR): Erişim, düzeltme, silme, taşınabilirlik talepleri için süreç (30 gün içinde yanıt)
- Veri ihlal bildirimi: 72 saat içinde KVK Kurulu'na ve etkilenen kişilere
- Aydınlatma yükümlülüğü: Yurtdışına veri aktarımı yapıldığını veri sahibine bildirme
2. M365 Yapılandırması — KVKK Hazırlık
- MFA tüm kullanıcılara: Conditional Access ile zorunlu MFA
- DLP politikaları: T.C. kimlik, IBAN, kredi kartı, müşteri verisi tipleri için DLP
- Sensitivity labels: "Genel / Dahili / Gizli / Çok Gizli" 4-katman etiketleme
- In-Place Hold: KVKK denetimde gereken silinmesin'lik için legal hold
- Audit log retention: 6+ ay log saklama (M365 E3 default 180 gün, E5 1 yıl)
- External sharing kontrolleri: SharePoint / OneDrive dış paylaşım kısıtlama
- Conditional Access — yurtdışı erişim filter: Sadece Türkiye + AB IP'lerinden erişim
- Endpoint compliance: Intune ile şirket cihazlarında BitLocker, MDM zorunlu
Detaylı kontrol listesi: KVKK Uyumlu M365 Yapılandırması.
3. Personel Eğitimi
- Phishing farkındalığı (yıllık tatbikat)
- Sensitivity label kullanımı
- Hangi veri hangi servise gidebilir (Teams chat ≠ DLP'li SharePoint)
- Şüpheli e-posta bildirim süreci
- Veri sahibi talepleri nasıl yönlendirilir (DSR)
KVKK Denetiminde Neye Hesap Verirsiniz?
KVK Kurumu denetiminde sorulan sorular ve hangi sorumluluk:
| Soru | Sorumluluk | Belge / Kanıt |
| "Verileriniz nerede saklanıyor?" | Microsoft + Siz | Microsoft DPA + tenant data location |
| "Yurtdışına aktarım onayı nasıl alındı?" | Sizde | Açık rıza beyanları + aydınlatma metni |
| "Verbis kaydınız var mı?" | Sizde | Verbis sicil kaydı |
| "Hangi kullanıcı hangi veriye nasıl erişebilir?" | Sizde | RBAC matrisi + Conditional Access policy |
| "MFA aktif mi?" | Sizde | M365 admin center MFA report + CA policy screenshot |
| "Audit log nerede, ne kadar saklanıyor?" | Sizde (Microsoft platformu sağlar) | Compliance Center → Audit log search ekran görüntüsü |
| "DLP politikalarınız var mı?" | Sizde | Compliance Center → DLP policy listesi |
| "Veri ihlali olursa nasıl müdahale edersiniz?" | Sizde | Yazılı incident response plan + tatbikat kayıtları |
| "Çalışan ayrılınca veriye erişim nasıl kapatılır?" | Sizde | Off-boarding süreç dökümanı + Entra ID disable kayıtları |
| "Yedek alıyor musunuz, ne kadar süre tutuyorsunuz?" | Microsoft (servis seviyesi) + Siz (uygulama) | M365 retention policy + Microsoft DPA backup taahhüdü |
Net çıkarım: KVKK denetim sorularının %80'i SİZE yöneliktir. Microsoft sertifikaları + DPA size "altyapı tarafı tamam" der ama KVKK uyumluluğu sizin yapılandırmanıza bağlı.
"Microsoft uyumlu, biz de uyumluyuz" Yanılgısı
Çok yapılan hata: "M365 satın aldık, KVKK halloldu". Hayır. Microsoft size uyumluluk araçlarını sağlar, uyumluluğu siz yaparsınız.
Tipik Türk şirketinde KVKK gap analizi yapıldığında bulunan açıklar:
- %70'inde MFA tüm kullanıcılara zorunlu DEĞİL
- %80'inde DLP politikası YOK veya çok zayıf
- %60'ında Sensitivity Labels kullanılMIYOR
- %90'ında Conditional Access geo-filter YOK (yurtdışı erişim kısıtsız)
- %50'sinde audit log inceleme süreci YOK
- %70'inde off-boarding sürecinde lisans + veri silme prosedürü tanımLI değil
- %80'inde DSR (veri sahibi talepleri) süreci yazılı DEĞİL
Bu açıklarla KVKK denetiminde ciddi cezalar (1M-5M TL) gelebilir. M365 satın almakla iş bitmiyor — yapılandırma + süreç + eğitim üçlüsü gerekir.
Sektör Bazlı KVKK + M365 Pratikleri
Detaylı sektör rehberleri:
Sık Sorulan 6 Soru
1. "Microsoft 365 verim Türkiye'de saklanmıyor — bu KVKK ihlali değil mi?"
Hayır, ihlal değil. Microsoft DPA'sı KVKK'nın 9. maddesinin "yeterli koruma taahhüdü" şartını karşılar. Üstüne sizin ilgili veri sahiplerinden açık rıza almanız + aydınlatma yapmanız gerekir. Microsoft Türkiye'de datacenter açana kadar AB datacenter geçerli çözüm.
2. "Customer Key / BYOK ile şifreleme yaparsam Microsoft veriye erişemez mi?"
Customer Key (M365 E5) ile siz Azure Key Vault'ta tutulan şifreleme anahtarınızı yönetirsiniz. Microsoft mühendisleri verinize default erişemez. Ama Microsoft hâlâ servis sunmak için belirli işlemler için (ör. arama, indeksleme) decryption gerekirken anlık erişim olur. Tam izolasyon DEĞİL ama ek güvenlik katmanı.
3. "M365 verisini KVKK için ayrı yedeklemem gerekir mi?"
Microsoft default retention (30-180 gün) çoğu durumda yeterli. KVKK için uzun süreli archive gerekirse Exchange Online Archiving (sınırsız arşiv) + In-Place Hold + Records Management (E5) konfigüre edilir. 3rd-party backup (Veeam M365, Acronis) ek güvence için kullanılabilir ama KVKK için zorunlu değil.
4. "Microsoft'un Türkiye datacenter'ı açılırsa otomatik geçer miyim?"
Hayır — tenant'ı yeniden Türkiye region'a migrate etmek gerekecek. Microsoft "tenant region change" prosedürü sunar (3-6 ay süreç). Çoğu büyük kurumun planı: Türkiye datacenter açılır + en az 1 yıl olgunlaşır + sonra göç.
5. "Microsoft 365 Trust Center nedir?"
Microsoft'un compliance ve security raporlarının merkezi: microsoft.com/trust-center. Sertifikalar, denetim raporları, DPA taslakları, ülke bazlı uyumluluk dökümanları burada. KVKK denetimi öncesi Microsoft tarafının kanıtlarını buradan indirir, denetçiye sunarsınız.
6. "Microsoft Compliance Manager ne işe yarar?"
M365 Compliance Center → Compliance Manager, KVKK / GDPR / ISO 27001 / SOC 2 gibi 100+ regülasyon için tenant'ınızın "compliance score"unu hesaplar. Hangi kontroller eksik, hangileri tamam. KVKK template kullanarak sistematik gap analizi yapılabilir. M365 E3+ dahili.
Sonuç — KVKK Uyumlu M365 İçin Yol Haritası
Microsoft 365 KVKK uyumlu bir altyapı sağlar — ama uyumluluk sizin yapılandırmanıza bağlı. Microsoft sertifikaları + DPA altyapı tarafını çözer; MFA + DLP + Sensitivity Labels + Conditional Access + Audit + Süreçler sizin tarafınızda. KVKK denetim sorularının %80'i size yöneliktir.
Yol haritası:
- Microsoft DPA'yı imzala / onayla (M365 lisansıyla otomatik)
- VERBİS kayıt + veri envanter
- M365 yapılandırması: MFA, DLP, Sensitivity Labels, Conditional Access (Premium / E3 / E5)
- Süreçleri yazılı hale getir: incident response, off-boarding, DSR, tatbikat
- Personel eğitimi (yıllık)
- Compliance Manager ile compliance score takibi
- Yıllık iç denetim + 3rd-party gap analizi
Microsoft Yetkili Çözüm Ortağı olarak KVKK + M365 gap analizi, yapılandırma rehberliği ve yıllık denetim hazırlığı hizmeti sunuyoruz — ücretsiz keşif görüşmesi.
KVKK + M365 Gap Analizi
Mevcut M365 yapılandırmanızı KVKK uyumluluk açısından tarayalım — hangi kontroller eksik, hangileri tamam, ücretsiz rapor.
0216 344 15 59
İletişim
İlgili rehber: Conditional Access politikalarının (Block Legacy Auth, Trusted Locations, Risk-based, Privileged Role Protection) sıfırdan kurulumu, "What If" tool ile etki analizi ve "break-glass" admin koruması için Conditional Access Politika Rehberi blog yazısını okuyun. 6 politika örneği + PowerShell ile yönetim detaylı.