KVKK ve Microsoft 365 Business Premium

6698 sayılı KVKK, işletmelerin kişisel verileri nasıl koruduğunu denetler. Microsoft 365 Business Premium, KVKK'nın gerektirdiği teknik tedbirlerin çoğunu tek pakette sunar.

Premium'un KVKK Özellikleri

1. Veri Kaybı Önleme (DLP)

TC Kimlik, IBAN, kredi kartı gibi hassas verilerin e-posta veya dosya paylaşımı ile dışarı sızmasını otomatik engeller. Özel DLP kuralları oluşturabilirsiniz.

2. Azure Information Protection

Belgelere ve e-postalara gizlilik etiketleri ekleyin: "Gizli", "Kişisel Veri", "Şirket İçi". Etiketlenen dosyalar otomatik şifrelenir ve yalnızca yetkili kişiler erişebilir.

3. Koşullu Erişim

Verilere yalnızca güvenli cihazlardan, bilinen konumlardan ve MFA doğrulamasından sonra erişime izin verin. Riskli girişleri otomatik engelleyin.

4. Intune Cihaz Yönetimi

Şirket verilerine erişen tüm cihazları yönetin. Şifreleme zorunluluğu, PIN politikası ve uzaktan silme.

5. Denetim Günlüğü

Kim hangi veriye ne zaman erişti — tam izlenebilirlik. KVKK veri ihlali bildirimi için kanıt üretme.

6. MFA (Çok Faktörlü Kimlik Doğrulama)

Tüm kullanıcılar için zorunlu MFA. Hesap ihlallerinin %99.9'unu engeller.

KVKK Kontrol Listesi

KVKK GereksinimiPremium Çözümü
Veri şifreleme✅ AIP + TLS + BitLocker
Erişim kontrolü✅ Koşullu Erişim + MFA
Veri kaybı önleme✅ DLP politikaları
Denetim izi✅ Birleşik denetim günlüğü
Cihaz güvenliği✅ Intune + Defender
Veri silme hakkı✅ İçerik arama + silme

KVKK uyumlu Microsoft 365 kurulumu için bizimle iletişime geçin. Sağlık ve hukuk sektörlerine özel çözümlerimiz mevcuttur.

KVKK Madde Referansları ve Microsoft 365 Karşılığı

KVKK 6698, hangi teknik tedbirin hangi maddede zorunlu kılındığını ve Microsoft 365 Business Premium ile nasıl karşılandığını gösteriyoruz:

KVKK MaddesiŞartM365 Business Premium Karşılığı
Md. 12/1-aKişisel verilerin hukuka aykırı erişimini önlemeConditional Access + MFA + Defender Anti-phishing
Md. 12/1-bVerilerin hukuka aykırı işlenmesini önlemeSensitivity Labels (Microsoft Purview) + DLP politikaları
Md. 12/1-cVerilerin muhafazasını sağlamaExchange Online Litigation Hold + OneDrive geri yükleme + 30-93 gün recycle bin
Md. 12/3Veri güvenliği denetimleriMicrosoft 365 Audit Log (E5'e değil, Premium'a dahil) + Sign-in Logs
Md. 16Veri sahibi başvuru hakkıeDiscovery + Compliance Search ile veri envanteri çıkarma

Sektör Senaryolarında Uygulama

Finans Sektörü — TC Kimlik ve IBAN Koruması

Bir finans firmasının çalışanı, müşteri TC kimlik numarasını e-posta ile dış adrese gönderirse Business Premium DLP politikası maili anında karantinaya alır, gönderene "KVKK politikası ihlal ediliyor" uyarısı çıkarır ve denetim için kayıt oluşturur. Manuel inceleme veya yöneticiye onay isteme akışı kurulabilir. Detaylar: Finans Sektörü için M365.

Sağlık — Hasta Verileri

Sağlık sektöründe ek hassasiyet: hasta dosyaları, reçete bilgileri, sağlık raporları. Sensitivity Label ile dosyalar otomatik olarak "Hasta Verisi" etiketlenir, paylaşım yetkisi sınırlanır, dış paylaşımda zorunlu şifreleme uygulanır. Defender for Cloud Apps, hassas verilerin yetkisiz cloud uygulamalarına yüklenmesini engeller. Sağlık Sektörü için M365.

Hukuk Büroları — Avukat-Müvekkil Gizliliği

Hukuk büroları için Litigation Hold kritik — devam eden dava dosyaları silinemez. Business Premium ile her e-postanın sonsuza kadar saklanması zorunlu kılınabilir. Müvekkil dosyalarına SharePoint izin matrisi ile sadece ilgili ekibe erişim verilir. Hukuk Büroları için M365.

Defender + Intune Entegrasyonu (Premium Avantajı)

KVKK Md. 12, "kişisel verileri işleyen kişilerin yetkilerini kontrol etme" şartını koşar. Standard ve Apps planlarında bu tek başına zor — ama Business Premium pakette dahil olan iki bileşenle bütüncül çözüm:

  • Microsoft Defender for Business — Çalışan bilgisayarlarındaki şüpheli yazılım, ransomware ve phishing girişimleri gerçek zamanlı engellenir. Saldırı tespit edildiğinde olay zincir grafiği ile geriye dönüş analizi yapılır (KVKK ihlal bildirimi için kanıt).
  • Microsoft Intune (MDM) — Çalışan telefonu kaybolduğunda kurum verisini uzaktan silme. Kurumsal cihaz olmayan BYOD telefondaki kurum mailini "uygulama kapsayıcısı" içine alıp ayırma. Çalışan ayrılırsa veriler tek tıkla silinir.

KVKK Uyum Denetimi Hazırlık Listesi

  1. Microsoft 365 Compliance Score'u kontrol et (Compliance Center → "Compliance Manager") — KVKK için hazır kontrol listesi var, anlık skorunuzu gösterir.
  2. DLP politikalarını "Test mode" değil "Enforce" olarak çalıştır — sadece raporlama yetersiz, gerçek engelleme şart.
  3. Sensitivity Labels yapılandırmasını dökümante et — denetçiye gösterebileceğin yazılı politika.
  4. Audit log retention süresini en az 1 yıl yap (Premium'da varsayılan 90 gün, ayardan çıkar).
  5. Conditional Access politikalarının kapsam istisnalarını kayıt altına al — neden hangi kullanıcı dışlandı (acil erişim hesabı vs.) belge olsun.
  6. Yıllık DLP politika gözden geçirme takvimini kur — yeni hassas alan tipleri (yeni regülasyon, yeni iş süreci) düzenli eklenmeli.

Maliyet Karşılaştırması (KVKK için)

KVKK uyumu için tek başına 3rd party araçlar (DLP yazılımı, MDM, anti-phishing, audit log) almak yıllık binlerce dolar tutar. Microsoft 365 Business Premium tek pakette ($22/kullanıcı/ay) tüm bunları sunar:

Bileşen3rd Party Tek TekBusiness Premium ile
DLP yazılımı~$5-10/kullanıcı/ayDahil
EDR (Endpoint Defender)~$8-15/kullanıcı/ayDahil (Defender for Business)
MDM (Mobile Device Mgmt)~$8-12/kullanıcı/ayDahil (Intune)
Audit log + retentionSIEM aboneliği gerek1 yıl dahil
Anti-phishing~$3-5/kullanıcı/ayDahil (Defender for Office)
Toplam~$25-45/ay$22/ay (hepsi dahil)

SSS

Business Standard ile KVKK uyumu sağlanır mı?

Kısmen — Standard planı temel mailbox + dosya yönetimi sunar ama DLP, Defender ve Intune YOK. KVKK için yetersiz, en azından Premium gerekli.

E3/E5 yerine Business Premium yeterli mi?

300 kullanıcıya kadar evet. 300+ kullanıcı için Office 365 E3 + EMS E3 paketi (Business Premium'un kurumsal eşdeğeri) gerek.

KVKK Veri İşleme Sözleşmesi (DPA) Microsoft ile imzalanır mı?

Evet — Microsoft Online Services Terms (OST) içinde DPA otomatik mevcuttur, ek imza gerekmez. Microsoft 365 abonesi olduğunuz an itibarıyla Microsoft "veri işleyici" konumundadır.

Verilerim hangi ülkede saklanıyor?

Türkiye'den abone olan müşterilerin verisi varsayılan olarak EU veri merkezlerinde (Hollanda, İrlanda) saklanır. KVKK için yeterli güvence sağlar (yeterli koruma kararı + standart sözleşme maddeleri).

Veri ihlali durumunda ne olur?

Microsoft, ihlalden haberdar olduğu an müşteriyi (sizi) bilgilendirmek zorundadır. Siz de KVKK'ya 72 saat içinde bildirim vermek zorundasınız. Defender + Audit Log size ihlalin kapsamını çıkarmak için gerekli kanıtı sunar.

KVKK uyumu için Business Premium kurulum + politika danışmanlığı → CSP partneri olarak DLP/Sensitivity Label/Conditional Access politika setini sizin için hazırlıyoruz.