KVKK ve Microsoft 365 Business Premium
6698 sayılı KVKK, işletmelerin kişisel verileri nasıl koruduğunu denetler. Microsoft 365 Business Premium, KVKK'nın gerektirdiği teknik tedbirlerin çoğunu tek pakette sunar.
Premium'un KVKK Özellikleri
1. Veri Kaybı Önleme (DLP)
TC Kimlik, IBAN, kredi kartı gibi hassas verilerin e-posta veya dosya paylaşımı ile dışarı sızmasını otomatik engeller. Özel DLP kuralları oluşturabilirsiniz.
2. Azure Information Protection
Belgelere ve e-postalara gizlilik etiketleri ekleyin: "Gizli", "Kişisel Veri", "Şirket İçi". Etiketlenen dosyalar otomatik şifrelenir ve yalnızca yetkili kişiler erişebilir.
3. Koşullu Erişim
Verilere yalnızca güvenli cihazlardan, bilinen konumlardan ve MFA doğrulamasından sonra erişime izin verin. Riskli girişleri otomatik engelleyin.
4. Intune Cihaz Yönetimi
Şirket verilerine erişen tüm cihazları yönetin. Şifreleme zorunluluğu, PIN politikası ve uzaktan silme.
5. Denetim Günlüğü
Kim hangi veriye ne zaman erişti — tam izlenebilirlik. KVKK veri ihlali bildirimi için kanıt üretme.
6. MFA (Çok Faktörlü Kimlik Doğrulama)
Tüm kullanıcılar için zorunlu MFA. Hesap ihlallerinin %99.9'unu engeller.
KVKK Kontrol Listesi
| KVKK Gereksinimi | Premium Çözümü |
| Veri şifreleme | ✅ AIP + TLS + BitLocker |
| Erişim kontrolü | ✅ Koşullu Erişim + MFA |
| Veri kaybı önleme | ✅ DLP politikaları |
| Denetim izi | ✅ Birleşik denetim günlüğü |
| Cihaz güvenliği | ✅ Intune + Defender |
| Veri silme hakkı | ✅ İçerik arama + silme |
KVKK uyumlu Microsoft 365 kurulumu için bizimle iletişime geçin. Sağlık ve hukuk sektörlerine özel çözümlerimiz mevcuttur.
KVKK Madde Referansları ve Microsoft 365 Karşılığı
KVKK 6698, hangi teknik tedbirin hangi maddede zorunlu kılındığını ve Microsoft 365 Business Premium ile nasıl karşılandığını gösteriyoruz:
| KVKK Maddesi | Şart | M365 Business Premium Karşılığı |
| Md. 12/1-a | Kişisel verilerin hukuka aykırı erişimini önleme | Conditional Access + MFA + Defender Anti-phishing |
| Md. 12/1-b | Verilerin hukuka aykırı işlenmesini önleme | Sensitivity Labels (Microsoft Purview) + DLP politikaları |
| Md. 12/1-c | Verilerin muhafazasını sağlama | Exchange Online Litigation Hold + OneDrive geri yükleme + 30-93 gün recycle bin |
| Md. 12/3 | Veri güvenliği denetimleri | Microsoft 365 Audit Log (E5'e değil, Premium'a dahil) + Sign-in Logs |
| Md. 16 | Veri sahibi başvuru hakkı | eDiscovery + Compliance Search ile veri envanteri çıkarma |
Sektör Senaryolarında Uygulama
Finans Sektörü — TC Kimlik ve IBAN Koruması
Bir finans firmasının çalışanı, müşteri TC kimlik numarasını e-posta ile dış adrese gönderirse Business Premium DLP politikası maili anında karantinaya alır, gönderene "KVKK politikası ihlal ediliyor" uyarısı çıkarır ve denetim için kayıt oluşturur. Manuel inceleme veya yöneticiye onay isteme akışı kurulabilir. Detaylar: Finans Sektörü için M365.
Sağlık — Hasta Verileri
Sağlık sektöründe ek hassasiyet: hasta dosyaları, reçete bilgileri, sağlık raporları. Sensitivity Label ile dosyalar otomatik olarak "Hasta Verisi" etiketlenir, paylaşım yetkisi sınırlanır, dış paylaşımda zorunlu şifreleme uygulanır. Defender for Cloud Apps, hassas verilerin yetkisiz cloud uygulamalarına yüklenmesini engeller. Sağlık Sektörü için M365.
Hukuk Büroları — Avukat-Müvekkil Gizliliği
Hukuk büroları için Litigation Hold kritik — devam eden dava dosyaları silinemez. Business Premium ile her e-postanın sonsuza kadar saklanması zorunlu kılınabilir. Müvekkil dosyalarına SharePoint izin matrisi ile sadece ilgili ekibe erişim verilir. Hukuk Büroları için M365.
Defender + Intune Entegrasyonu (Premium Avantajı)
KVKK Md. 12, "kişisel verileri işleyen kişilerin yetkilerini kontrol etme" şartını koşar. Standard ve Apps planlarında bu tek başına zor — ama Business Premium pakette dahil olan iki bileşenle bütüncül çözüm:
- Microsoft Defender for Business — Çalışan bilgisayarlarındaki şüpheli yazılım, ransomware ve phishing girişimleri gerçek zamanlı engellenir. Saldırı tespit edildiğinde olay zincir grafiği ile geriye dönüş analizi yapılır (KVKK ihlal bildirimi için kanıt).
- Microsoft Intune (MDM) — Çalışan telefonu kaybolduğunda kurum verisini uzaktan silme. Kurumsal cihaz olmayan BYOD telefondaki kurum mailini "uygulama kapsayıcısı" içine alıp ayırma. Çalışan ayrılırsa veriler tek tıkla silinir.
KVKK Uyum Denetimi Hazırlık Listesi
- Microsoft 365 Compliance Score'u kontrol et (Compliance Center → "Compliance Manager") — KVKK için hazır kontrol listesi var, anlık skorunuzu gösterir.
- DLP politikalarını "Test mode" değil "Enforce" olarak çalıştır — sadece raporlama yetersiz, gerçek engelleme şart.
- Sensitivity Labels yapılandırmasını dökümante et — denetçiye gösterebileceğin yazılı politika.
- Audit log retention süresini en az 1 yıl yap (Premium'da varsayılan 90 gün, ayardan çıkar).
- Conditional Access politikalarının kapsam istisnalarını kayıt altına al — neden hangi kullanıcı dışlandı (acil erişim hesabı vs.) belge olsun.
- Yıllık DLP politika gözden geçirme takvimini kur — yeni hassas alan tipleri (yeni regülasyon, yeni iş süreci) düzenli eklenmeli.
Maliyet Karşılaştırması (KVKK için)
KVKK uyumu için tek başına 3rd party araçlar (DLP yazılımı, MDM, anti-phishing, audit log) almak yıllık binlerce dolar tutar. Microsoft 365 Business Premium tek pakette ($22/kullanıcı/ay) tüm bunları sunar:
| Bileşen | 3rd Party Tek Tek | Business Premium ile |
| DLP yazılımı | ~$5-10/kullanıcı/ay | Dahil |
| EDR (Endpoint Defender) | ~$8-15/kullanıcı/ay | Dahil (Defender for Business) |
| MDM (Mobile Device Mgmt) | ~$8-12/kullanıcı/ay | Dahil (Intune) |
| Audit log + retention | SIEM aboneliği gerek | 1 yıl dahil |
| Anti-phishing | ~$3-5/kullanıcı/ay | Dahil (Defender for Office) |
| Toplam | ~$25-45/ay | $22/ay (hepsi dahil) |
SSS
Business Standard ile KVKK uyumu sağlanır mı?
Kısmen — Standard planı temel mailbox + dosya yönetimi sunar ama DLP, Defender ve Intune YOK. KVKK için yetersiz, en azından Premium gerekli.
E3/E5 yerine Business Premium yeterli mi?
300 kullanıcıya kadar evet. 300+ kullanıcı için Office 365 E3 + EMS E3 paketi (Business Premium'un kurumsal eşdeğeri) gerek.
KVKK Veri İşleme Sözleşmesi (DPA) Microsoft ile imzalanır mı?
Evet — Microsoft Online Services Terms (OST) içinde DPA otomatik mevcuttur, ek imza gerekmez. Microsoft 365 abonesi olduğunuz an itibarıyla Microsoft "veri işleyici" konumundadır.
Verilerim hangi ülkede saklanıyor?
Türkiye'den abone olan müşterilerin verisi varsayılan olarak EU veri merkezlerinde (Hollanda, İrlanda) saklanır. KVKK için yeterli güvence sağlar (yeterli koruma kararı + standart sözleşme maddeleri).
Veri ihlali durumunda ne olur?
Microsoft, ihlalden haberdar olduğu an müşteriyi (sizi) bilgilendirmek zorundadır. Siz de KVKK'ya 72 saat içinde bildirim vermek zorundasınız. Defender + Audit Log size ihlalin kapsamını çıkarmak için gerekli kanıtı sunar.
KVKK uyumu için Business Premium kurulum + politika danışmanlığı → CSP partneri olarak DLP/Sensitivity Label/Conditional Access politika setini sizin için hazırlıyoruz.