KVKK uyumlu mesajlaşma nasıl sağlanır?

İş yazışması çalışanların kişisel hesaplarında durduğu sürece KVKK tedbirleri şirketin elinde değildir. Bu sayfa uyumun dört şartını ve Interna’nın her şartı hangi mekanizmayla karşıladığını anlatır.

Demo talep edin

Kişisel mesajlaşma uygulamaları neden KVKK riski taşır?

Kişisel WhatsApp’ta şirket yazışması denetimsizdir; KVKK riski buradan doğar. Sipariş onayı, müşteri telefonu, kimi zaman özlük belgesi bu sohbetlerde dolaşır. Bunların tümü 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veridir; veri sorumlusu da uygulamanın sahibi değil, şirketin kendisidir.[1]

Kanunun 12. maddesi veri sorumlusuna üç yükümlülük getirir: kişisel verinin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişimi önlemek ve verinin muhafazasını sağlamak.[2] Kişisel hesapta bu üçü için gereken araçların hiçbiri şirketin elinde değildir. Yazışmaya kimin dahil olduğunu şirket belirleyemez. İçeriğin hangi cihazlarda dolaştığını göremez. Çalışan ayrıldığında veriyi silemez, bir denetimde ne olduğunu ispatlayamaz.

İşten ayrılan bir çalışanı düşünün. Telefonunda yılların iş yazışması duruyor; müşteri listesi de orada, teklif dosyaları da. Şirketin bu veriye erişimi yok; silinmesini isteyecek bir mekanizması da yok.

Uyum bu yüzden yasakla başlamaz, ortam değiştirmekle başlar: yazışma, şirketin denetim araçlarına sahip olduğu kapalı bir platforma taşınır ve tedbirler orada işletilir.

KVKK uyumlu bir mesajlaşma ortamının dört şartı nelerdir?

KVKK uyumlu bir mesajlaşma ortamının dört şartı erişim denetimi, içerik güvenliği, cihaz ve veri yaşam döngüsü, aydınlatma ve rıza yönetimidir. Ölçü Kanunun kendisidir: 12. madde, veri sorumlusundan “uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri” almasını ister.[1] Kişisel Verileri Koruma Kurumu’nun Kişisel Veri Güvenliği Rehberi bu tedbirleri somutlaştırır;[3] dört şart, tedbirlerin mesajlaşma özelindeki karşılığıdır.

  1. Erişim denetimi, yazışma alanına kimin girebileceğine şirketin karar vermesidir; ayrılan çalışanın erişimi kapanır.
  2. İçerik güvenliği, mesaj içeriğinin sunucuda şifreli saklanması ve yetkisiz erişimin teknik olarak engellenmesidir; Kişisel Veri Güvenliği Rehberi şifrelemeyi teknik tedbirler arasında sayar.[3]
  3. Cihaz ve veri yaşam döngüsü, şirket verisinin hangi cihazlarda yaşadığının bilinmesi ve gerektiğinde silinebilmesidir; cihaz kaybı ile işten ayrılma bu şartın iki tipik anıdır.
  4. Aydınlatma ve rıza yönetimi, Kanunun 10. maddesindeki aydınlatma yükümlülüğünün yerine getirilmesi ve onayın ispatlanabilir biçimde kaydedilmesidir.[1]

Bu dördü kişisel bir uygulamada sonradan kurulamaz. Erişimi çalışan yönetir, silme talep edilemez, onay kaydı tutulmaz. Kapalı kurumsal platformda ise dördü de mimarinin parçasıdır.

Interna dört şartı nasıl karşılar?

Interna, şirketlerin kapalı iç mesajlaşma platformudur; iş yazışmasını kişisel hesaplardan çıkarır, şirkete ait kapalı alana taşır. Dört şartı sırasıyla davetle açılan kapalı alanla, şifreli saklama ve içerik-körü yönetimle, uzaktan silmeyle, sürümlü KVKK metniyle karşılar.

Erişim denetimi: davetle açılan kapalı alan

Interna’da kullanıcı kendini kaydedemez; çalışanı yalnızca yöneticiniz davet eder. Her şirket kendi çalışma alanında, birbirinden tam izole çalışır. Rehber sekmesinde yalnız kendi şirketinizin çalışanları görünür. Başka kimse yok. Ayrılan çalışan için akış tek yerden yönetilir: yönetici hesabı devre dışı bırakır, oturumlar kapanır.

Sohbet listesi: Demirtaş Makine çalışma alanından temsili bir kesit.

İçerik güvenliği: şifreli saklama ve içerik-körü yönetim

Mesaj gövdesi sunucuda AES-256-GCM ile şifreli saklanır; anahtar her çalışma alanı için ayrı üretilir. Yönetim düzlemleri içeriğe teknik olarak erişemez. Yönetici paneli grup sohbetlerinde yalnızca üye ve tarih gibi meta verileri görür; birebir sohbetler panelde hiç listelenmez. Platform işletmecisinin veritabanı rolünün mesaj tablosunda okuma yetkisi bile yoktur.

Bu modelin adı içerik-körü yönetimdir: işvereniniz yazışmanın varlığını yönetir, içeriğini okuyamaz. Üç kilit aşağıda özetlenir; içerik-körü güvenlik modelinin tam anlatısı güvenlik sayfasında yaşar.

Üç bağımsız teknik kilit

  1. Kod katmanı

    Yönetim panelinin kodu mesaj servisine ulaşamaz. Admin modülleri mesaj servisini import edemez; bu sınırı ekip alışkanlığı değil, derlemede çalışan lint kuralı zorlar.

  2. Veritabanı rolü

    Yönetici rolünün mesaj tablolarında SELECT yetkisi bile yok. Panel veritabanına ayrı bir PostgreSQL rolüyle bağlanır; o role mesaj, sohbet ve dosya tablolarında okuma izni tanımlı değildir.

  3. Şifreleme

    Mesaj içeriği sunucuda şifreli durur. İçerik AES-256-GCM ile, her şirket için ayrı türetilen anahtarla şifrelenir; yanlış yazılmış bir sorgu bile düz metin döndüremez.

Sözleşme değil, veritabanı reddediyor.

Cihaz ve veri yaşam döngüsü: uzaktan silme

Cihazdaki veri şirket verisidir. Çalışan ayrıldığında yönetici oturumu uzaktan sonlandırır; uygulamanın cihazdaki verisi silinir. Bu eylemin adı uzaktan silmedir. Çalışanın kendi çıkışı da aynı ilkeyle biter: uygulamadaki düğme “Çıkış yap ve verileri sil”dir.

Aydınlatma ve rıza yönetimi: sürümlü KVKK metni

KVKK metnini çalışan davet akışında görür ve onaylar; onay hesap bazında kaydedilir. Metin sürümlü yayımlanır: hangi çalışanın hangi sürümü onayladığı görünür, yayımlanan sürüm sonradan değiştirilemez. Kabul oranını yönetici panelden izlersiniz. Bir denetimde “kim, neyi, ne zaman onayladı” sorusunun cevabı kayıttadır.

Bulut ve on-prem kurulumda KVKK uyumu nasıl değişir?

KVKK uyumu iki pakette de aynı dört şartla kurulur; değişen, verinin nerede durduğu ve şifreleme anahtarını kimin ürettiğidir. Bulut paketinde çalışma alanınız {sirket}.interna.tr adresinde açılır; izolasyon, şifreli saklama ve içerik-körü yönetim bu kurulumda da aynen geçerlidir.

On-prem pakette, yani kendi sunucunuzda kurulumda, veri binadan çıkmaz. Şifreleme anahtarını siz üretirsiniz; kapalı ağ (air-gap) kurulumu mümkündür. Kanunun 9. maddesi kişisel verinin yurt dışına aktarılmasını ek şartlara bağladığından, veri yerleşimini bütünüyle kendi elinde tutmak isteyen kurumlar bu modeli değerlendirir.[1]

Seçim kullanıcı sayınıza ve BT altyapınıza bağlıdır. Demo görüşmesinde iki modeli, donanım ihtiyacını ve geçiş planını birlikte ele alırız.

Formu doldurun, sizi arayalım.

Kaynaklar

  1. 6698 sayılı Kişisel Verilerin Korunması Kanunu · Mevzuat Bilgi Sistemi · erişim: 2026-07-11
  2. Veri Güvenliğine İlişkin Yükümlülükler · Kişisel Verileri Koruma Kurumu · erişim: 2026-07-11
  3. Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) · Kişisel Verileri Koruma Kurumu · erişim: 2026-07-11

Sık sorulan sorular

KVKK uyumu bir sertifikayla mı belgelenir?

Hayır. KVKK’da ürünlere verilen resmî bir sertifika mekanizması yoktur; uyum, veri sorumlusunun aldığı teknik ve idari tedbirlerin bütünüyle değerlendirilir. Bu yüzden Interna kendini yalnızca “KVKK uyumlu” olarak tanımlar ve her iddiayı mimari karşılığıyla anlatır: davetle açılan kapalı alan, şifreli saklama, uzaktan silme, sürümlü KVKK metni.

İş yazışmaları için WhatsApp kullanmak KVKK'ya aykırı mı?

Kanun uygulama markası saymaz; yükümlülük ortama değil veri sorumlusuna aittir. Sorun şurada: kişisel hesapta şirket 12. madde tedbirlerini işletemez. Erişimi yönetemez, veriyi silemez, onay kaydı tutamaz; bu da denetlenemeyen bir kişisel veri işleme alanı doğurur. Değerlendirme somut olaya göre değişir; bu sayfa hukuki tavsiye içermez.

Mesajları yöneticimiz veya platform işletmecisi okuyabilir mi?

Okuyamaz; bu bir politika sözü değil, teknik sınırdır. Yönetici paneli grup sohbetlerinde yalnızca üye ve tarih gibi meta verileri listeler; birebir sohbetler panelde hiç görünmez. Platform işletmecisinin veritabanı rolünün mesaj tablosunda okuma yetkisi yoktur; mesaj gövdesi de sunucuda şifreli durur. Üç kilidin tam anlatısı güvenlik sayfasındadır.

Interna'nın fiyatı nedir?

Fiyat listesi yayımlamıyoruz. Paketleme kullanıcı sayısına göre teklifle netleşir: formu doldurun, Bulut ve On-prem seçenekleri için teklifi kullanıcı sayınıza göre hazırlayalım.

Interna hangi platformlarda çalışır?

iOS, macOS ve Windows’ta çalışır; Windows tarafında MSI paketiyle toplu kurulum yapılır. Android istemcimiz yok. Uygulamanın web sürümü de yok; tarayıcıda yalnızca yönetim panelleri çalışır.

Interna'yı bugün kullanmaya başlayabilir miyiz?

Interna erken erişim aşamasındadır. Demo görüşmesinde ürünü görürsünüz; pilot kurulum planını birlikte çıkarırız. Erken erişime katılan şirketler, kurulum takvimi netleştikçe öncelik alır.

İş yazışmasını şirketinizin alanına taşıyın

Interna'yı ekibinizle birlikte görün; size uygun bir zamanda gösterelim.

Demo talep edin