Türkiye'de faaliyet gösteren her işletme 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu konumundadır. Microsoft 365 kullanan şirketler için doğru yapılandırma, hem yasal yükümlülükleri yerine getirir hem de veri sızıntı riskini ciddi şekilde azaltır. Bu rehberde KVKK uyumu için Microsoft 365'te yapılması gereken yapılandırmaları somut bir kontrol listesi olarak paylaşıyoruz.
KVKK Microsoft 365 Açısından Ne Gerektirir?
KVKK temel olarak şu konularda yapılandırma gerektirir:
- Veri minimizasyonu: Sadece gerekli kişisel veri toplanmalı, fazlası işlenmemeli
- Erişim kontrolü: Verilere yalnızca yetkili kişiler ulaşabilmeli
- Şifreleme: Verilerin saklama ve iletim aşamalarında şifrelenmesi
- Denetim izi: Kim hangi veriye ne zaman eriştiği kayıt altında
- Veri sahibi hakları: Silme, düzeltme, taşınabilirlik taleplerinin karşılanması
- Veri ihlali bildirimi: İhlal durumunda 72 saat içinde Kurul'a bildirim
1. Multi-Factor Authentication (MFA) Zorunluluğu
Tüm kullanıcı hesapları için MFA aktive edilmelidir. KVKK Kurulu kararlarında "yeterli teknik tedbir" bağlamında MFA artık standart kabul edilir.
- Microsoft Entra ID üzerinden Security Defaults aç (ücretsiz)
- Veya Conditional Access ile risk bazlı MFA (Premium / E3 plan)
- Microsoft Authenticator uygulaması önerilir (SMS daha az güvenli)
2. Information Protection ile Belge Sınıflandırması
Microsoft 365 Business Premium ve E3+ planlarında dahil olan Information Protection ile belgeleri otomatik sınıflandırın:
- Genel: Halka açık paylaşılabilir
- Şirket Genel: Sadece çalışanlar erişebilir
- Gizli: Sadece belirli grup, dışarı paylaşım engelli
- Çok Gizli: Şifrelenmiş, sadece yetkili kişiler
Sınıflandırma tetiklenince belge otomatik şifrelenir, izinsiz indirme/yazdırma engellenir, denetim izi tutulur.
3. Data Loss Prevention (DLP) Politikaları
DLP, hassas verilerin yetkisiz iletişim kanallarından çıkmasını engeller. KVKK için kritik önemde:
- TC Kimlik No tespiti (regex: 11 haneli numara)
- Kredi kartı numarası tespiti (Luhn algoritması)
- IBAN tespiti (TR + 24 hane)
- Sağlık verileri (özel kategori — ICD kodları, ilaç adları)
Politika örneği: "5+ TC Kimlik No içeren e-posta dış alıcıya gitmeye çalışırsa engelle, kullanıcıya uyarı göster, IT'ye log gönder."
4. Conditional Access Politikaları
Premium / E3 ile gelen Conditional Access ile risk bazlı erişim politikaları:
- Sadece kayıtlı cihazlardan erişim (BYOD yönetimi)
- Yurt dışı IP'lerden engellenme (Türkiye dışından login engelle)
- Yüksek riskli kullanıcılara MFA zorunluluğu (Microsoft Identity Protection sinyalleri)
- Eski tarayıcı/uygulamalardan engellenme (legacy auth engellenir)
5. Audit Log ve Denetim İzi
Microsoft 365'te audit log varsayılan olarak aktive edilmelidir (eski tenant'larda kapalı olabilir):
- Microsoft Purview > Audit > "Start recording user and admin activity"
- Standard plan: 90 gün retention
- Premium plan: 1 yıl retention
- E5 / Audit add-on: 10 yıl retention
Türk Ticaret Kanunu uyarınca ticari belgeler 10 yıl saklanmalı; KVKK için audit log da bu kapsamda değerlendirilebilir.
Phishing, ransomware ve veri sızıntı saldırılarına karşı:
- Safe Attachments — eklerin sandbox'ta açılması
- Safe Links — URL'lerin gerçek zamanlı taranması
- Anti-phishing impersonation — yöneticiyi taklit eden saldırılar
- Zero-hour Auto Purge — dağıtıldıktan sonra zararlı tespit edilen e-postaları otomatik silme
7. SPF, DKIM, DMARC E-posta Kimlik Doğrulaması
Domain'inizin başka biri tarafından taklit edilmesini engellemek için:
- SPF: "v=spf1 include:spf.protection.outlook.com -all"
- DKIM: Microsoft 365 admin center'dan aktivasyon
- DMARC: Önce p=none ile rapor topla, sonra p=quarantine, sonra p=reject
8. OneDrive ve SharePoint İçin Dış Paylaşım Politikaları
- Anonim link paylaşımını kapatmak veya süre sınırlı yapmak
- "Edit" yetkisi yerine "View" varsayılan tutmak
- Hassas etiketli belgelerin dış paylaşımını DLP ile engellemek
- Misafir kullanıcılara MFA zorunluluğu
9. Veri Sahibi Başvuru (DSAR) Süreci
Veri sahibi (çalışan, müşteri) "verilerimi göster / sil" diye başvurursa:
- Microsoft Purview eDiscovery ile arama yap (Standard veya Premium)
- İlgili e-posta, dosya, Teams sohbeti tek panelden çekilir
- Silinmesi gerekiyorsa: kullanıcı verileri OneDrive + Mailbox + Teams üzerinden silinir, retention politikalarına dikkat
10. Veri İhlali Müdahale Planı
İhlal tespit edilirse:
- Defender ya da Sentinel alarmları kontrol et
- Etkilenen hesapları geçici olarak askıya al
- İhlal kapsamını belirle (audit log + Purview)
- 72 saat içinde KVKK Kurulu'na bildirim (kvkk.gov.tr/Veri-Ihlali-Bildirimi)
- Etkilenen veri sahiplerine bildirim
- Düzeltici aksiyonları belgelendir
KVKK Microsoft 365 Kontrol Listesi (Özet)
- ☐ Tüm kullanıcılarda MFA aktif
- ☐ Information Protection sınıfları tanımlı (4 seviye)
- ☐ DLP politikaları çalışıyor (TC, kart, IBAN, sağlık verisi)
- ☐ Conditional Access politikaları yapılandırıldı
- ☐ Audit log açık, retention süresi yeterli
- ☐ Defender for Office 365 Plan 1 minimum aktif
- ☐ SPF/DKIM/DMARC yapılandırıldı
- ☐ Dış paylaşım politikaları kısıtlandı
- ☐ DSAR süreci dokümante edildi
- ☐ Veri ihlali müdahale planı hazır
- ☐ KVKK Aydınlatma Metni yayında
- ☐ Çerez Politikası + onay bannerı çalışıyor
KVKK uyumu tek seferlik bir konfigürasyon değil, sürekli iyileştirilen bir süreçtir. Yıllık denetim ve politika güncelleme yapılmalıdır.
Microsoft 365 KVKK uyumlu yapılandırma için profesyonel destek almak isterseniz Microsoft Defender Güvenlik, cihaz tarafı için Intune Cihaz Yönetimi, genel danışmanlık için M365 Lisans + Danışmanlık sayfalarımızı inceleyebilir, iletişim formumuz üzerinden bize ulaşabilirsiniz. Sektörünüze özel KVKK senaryoları için sağlık, finans veya hukuk sayfalarını inceleyin.