AI Politikası: KOBİ'lerde ChatGPT/Copilot Kullanım Kuralları

Özet: KOBİ'lerde çalışanlar AI araçlarını (ChatGPT, Copilot, Claude, Gemini) yönetimden onay almadan, kişisel hesaplarıyla zaten kullanıyor. Kontrolsüz kullanım = veri sızıntısı riski: müşteri bilgileri, kaynak kodu, finansal raporlar bulut AI sağlayıcısının sunucularına gidiyor. Kurumsal AI politikası bu kontrolsüzlüğü disipline çevirir: hangi araçlar onaylı, ne tür veriler girilebilir/giremez, kayıt tutma, eğitim, ihlal halinde aksiyon. KVKK kapsamında "yeterli teknik tedbir" çerçevesi de bu politikayı destekler. Bu yazıda KOBİ ölçeğinde uygulanabilir bir AI politika şablonu sunuyoruz.

KOBİ patronu işten dönerken aklına geldi: "satış müdürümüz müşteri listemizi ChatGPT'ye yapıştırdı mı?" Cevap çoğu kuruluşta "muhtemelen" — ya da "büyük ihtimalle, bilmiyoruz". Çalışanlar AI'ı zaten kullanıyor, ama hangi sınırlarla bilmiyorlar. KVKK denetiminde "AI politikamız var mı?" sorusuna "yok" cevabı sıkıntılı. AI politikası hem operasyonel düzeni hem yasal uyumu sağlar.

Bu yazıda KOBİ ölçeğinde uygulanabilir kurumsal AI politikasının bileşenlerini, çalışan kurallarını ve uygulama akışını ele alıyoruz. Hedef kitlemiz IT yöneticileri, İK sorumluları ve "AI'a açığız ama kuralsız" durumdan disiplinli bir uygulamaya geçmek isteyen karar vericiler.

AI Politikasının Üç Hedefi

1. Veri Mahremiyeti Koruma

• Müşteri verisi bulut AI'a gitmesin
• Hassas iş bilgisi sızdırılmasın
• KVKK kapsamında uyum

2. Kalite ve Doğruluk

• AI çıktısının doğrulanması
• "Hallüsinasyon" riskine karşı uyanıklık
• Profesyonel sorumluluk

3. Telif ve Etik

• AI üretmiş içeriğin kullanım hakları
• Bias ve adil olmayan kararlar
• Müşteri/iş ilişkisinde şeffaflık

Kurumsal AI Politikasının Bileşenleri

Olgun bir politika şu sekiz bileşeni içerir:

1. Onaylı Araçlar Listesi

Çalışanın kullanabileceği AI araçları net tanımlanır:

Araç	Onay Durumu	Kullanım Sınırı
ChatGPT (kişisel hesap)	❌ Yasak	Hassas veri yasak
ChatGPT Enterprise (kurumsal)	✓ Onaylı	Veri eğitime gitmez
Microsoft 365 Copilot	✓ Onaylı	M365 verisi içinde
Claude (Anthropic kurumsal)	✓ Onaylı	Sözleşmeli
Gemini (kurumsal)	✓ Onaylı	Workspace dahil
GitHub Copilot	✓ Onaylı	Kod tarafı
Perplexity Pro	⚠️ İzinli	Hassas veri yasak
Bilinmeyen araç	❌ Yasak	IT'den onay

2. Veri Sınıflandırması

Hangi veriler hangi araca girebilir?

Veri Sınıfı	Örnek	AI Kullanımı
Kamuya açık	Web içeriği, blog	Serbest
Dahili	İç prosedür, eğitim	Kurumsal AI'da
Gizli	Müşteri verisi, sözleşme	Sadece yerel/ETSE'li AI
Çok gizli	Mali rapor, M&A	Hiçbir AI'a girmesin

3. Yasak Davranışlar

Kesin "yapmayın"lar:

• Müşteri TC, telefon, adres AI'a yapıştırmak
• Kaynak kodu bilinmeyen AI'a yüklemek
• Sözleşme metni kişisel ChatGPT hesabına atmak
• Mali rapor analizi için bulut AI
• Çalışan özlük bilgisi AI'a girme
• Tıbbi/sağlık verisi (özel nitelikli)
• Şifre, API anahtarı paylaşma

4. Onaylı Kullanım Senaryoları

Çalışanlara yol gösteren "yapın"lar:

• E-posta taslağı (kişisel detay olmadan)
• Genel araştırma, brainstorm
• Kod yardımı (genel pattern)
• Toplantı özeti (anonimleştirilmiş)
• Tercüme (kişisel veri olmayan)
• Pazarlama metni
• Eğitim içeriği

5. Doğrulama Yükümlülüğü

AI çıktısı mutlaka doğrulanmalı:

• AI hata yapabilir (hallüsinasyon)
• Yasal/finansal bağlam profesyonel doğrulama
• Müşteriye iletilmeden önce gözden geçirme
• "AI üretti" sorumluluğu kaldırmaz

6. Şeffaflık

• Müşteri AI ile iletişimde olduğunu bilmeli (chatbot)
• AI üretilen rapor "AI yardımıyla hazırlandı" notu (uygun yerlerde)
• İç dokümanlarda AI kaynak belirtme

7. Kayıt Tutma

• Onaylı AI araçları audit log
• Hangi çalışan ne tür kullanım
• Yıllık kullanım raporu
• KVKK denetiminde sunulabilir

8. Eğitim ve Farkındalık

• Yıllık AI kullanım eğitimi
• Yeni çalışan onboarding'de
• Politikanın güncellenmesi
• "Phishing-benzeri" AI sosyal mühendislik tanıma

ChatGPT Enterprise vs Kişisel

KOBİ kararı: çalışanların kişisel ChatGPT yerine kurumsal kullanması.

Kişisel ChatGPT

• Verileriniz OpenAI tarafından eğitime kullanılabilir
• Sözleşmesiz
• Audit log yok
• Çalışan ayrılınca chat geçmişi kontrolünüz dışında

ChatGPT Enterprise

• Verileriniz eğitime kullanılmaz (sözleşme garanti)
• SOC 2 Type II uyumlu
• SAML SSO, audit log
• Çalışan yönetimi merkezi
• KVKK için sözleşme detayları açıklanmış

KOBİ'de ChatGPT kullanılacaksa Enterprise zorunlu — kişisel hesaplar yasaklanır.

Microsoft 365 Copilot — KOBİ Ortamı

M365 Business Premium kullanan KOBİ için Copilot doğal seçim.

Copilot Avantajları

• M365 verisinin içinde çalışır (Word, Excel, Teams, Outlook)
• Veri eğitime gitmez
• Microsoft sözleşmeli
• KVKK için Avrupa veri lokasyonu
• AD/Azure AD entegre

Copilot Lisans

• Microsoft 365 Copilot: kullanıcı başına ~30 USD/ay (M365 lisansına ek)
• Pahalı; KOBİ ölçeği değerlendirmeli

KOBİ Yaygın Senaryolar

• Outlook'ta e-posta taslağı (kurum verisinden)
• Excel veri analizi (kurum dosyalarında)
• Word doküman özeti
• Teams toplantı özeti
• PowerPoint slide üretimi

GitHub Copilot — Geliştirici Ekipleri

KOBİ'nin geliştirme ekibi varsa Copilot pratik.

Faydalar

• Kod yardımı, tamamlama
• Test üretme
• Belge yazma
• Bug fix önerileri

Riskler

• Kod sızabilir (Copilot eğitim setine girmiş olabilir)
• Lisans uyumluluğu (üretilmiş kod orijinal mi?)
• Güvenli kod uygulamaları (bilinen zafiyet üretmek)

KOBİ politikasında: GitHub Copilot kullanımı onaylı; ancak kritik güvenlik kodu (kimlik doğrulama, kripto) için ekstra dikkat.

Yerel LLM ile Hibrit Yaklaşım

KOBİ pragmatik AI politikası:

• Kamuya açık + dahili veri: Bulut AI (Copilot, ChatGPT Enterprise)
• Gizli veri: Yerel LLM (Ollama, LM Studio)
• Çok gizli veri: AI yok, manuel

Önceki yazımızda yerel LLM detayını ele aldık.

Politika Şablonu — KOBİ İçin

Kurumda uygulanabilir taslak:

KURUMSAL YAPAY ZEKA KULLANIM POLİTİKASI

1. Amaç
Bu politika, çalışanların yapay zeka (AI) araçlarını
şirket varlıklarını korurken üretken biçimde 
kullanmalarını sağlamak için hazırlanmıştır.

2. Kapsam
Tüm çalışanlar, yarı zamanlılar, taşeronlar.

3. Onaylı AI Araçları
- Microsoft 365 Copilot (resmi lisans)
- ChatGPT Enterprise (kurumsal hesap)
- GitHub Copilot (geliştirici)
- Yerel LLM (Ollama)

4. Yasaklı Araçlar / Davranışlar
- Kişisel ChatGPT/Claude/Gemini hesabıyla iş kullanımı
- Müşteri verisini bilinmeyen AI servisine yapıştırma
- Mali rapor, sözleşme bulut AI'a yükleme
- Şifre/API anahtarı AI'a yazma

5. Veri Sınıflandırması
- Çok gizli veri AI'a girmez
- Gizli veri sadece yerel LLM
- Dahili veri kurumsal Copilot
- Kamuya açık veri tüm onaylı araçlar

6. Doğrulama Yükümlülüğü
AI çıktısı doğrulanmadan müşteri/yönetim'e iletilmez.

7. Eğitim
Yılda 1 saat AI kullanım eğitimi zorunlu.

8. İhlal
Politika ihlali disiplin gerektirir.
İK + IT ortak değerlendirir.

9. Güncelleme
6 ayda bir gözden geçirme.

Onaylayan: [GM]
Tarih: [Tarih]
Versiyon: 1.0

KVKK ile İlişki

AI politikası KVKK uyumunun parçasıdır.

KVKK Uyum Noktaları

• Aydınlatma: Çalışanlara AI kullanımı açıklanmış (verbis, çalışma sözleşmesi)
• Açık rıza: Hassas veri (sağlık, biyometrik) için
• Veri minimizasyonu: AI'a sadece gerekli minimum veri
• Saklama: AI logları yasal süre + makul süre
• Aktarım: Bulut AI sağlayıcı yurt dışıysa açık rıza
• Hakları: Otomatik karar verme hakları (KVKK 11. madde)

VERBİS Kayıt

Kurumsal AI kullanılıyorsa VERBİS kaydında "üçüncü taraf veri işleyenler" alanında belirtilmeli.

Çalışan Eğitim İçeriği

Yıllık 1 saatlik AI kullanım eğitimi tipik içerik:

Modül 1: AI'a Giriş (15 dk)

• AI nedir, nasıl çalışır
• LLM hallüsinasyonu
• Bulut vs yerel AI farkı

Modül 2: Kurum Politikası (15 dk)

• Onaylı araçlar
• Yasak davranışlar
• Veri sınıflandırma

Modül 3: Pratik Örnekler (20 dk)

• "Bu prompt güvenli mi?" senaryoları
• İyi ve kötü kullanım örnekleri
• Doğrulama disiplin

Modül 4: Soru-Cevap + Quiz (10 dk)

• Açık tartışma
• Mini quiz (sertifika)

İhlal Senaryoları ve Aksiyon

Tipik İhlaller

İhlal	Aksiyon
Müşteri TC kişisel ChatGPT'ye girilmiş	Hatırlatma + tekrarsa disiplin
Sözleşme metni AI'a yüklenmiş	Yasal danışman + KVKK ihlal değerlendirme
Çalışan AI çıktısını doğrulamadan müşteriye göndermiş, hata var	Müdahale + eğitim
AI ile fake müşteri yorumu üretilmiş	Etik ihlal, sıkı disiplin

Olay Müdahale Akışı

1. İhlal tespit edilir (otomatik veya rapor)
2. IT + İK ortak değerlendirme
3. KVKK riski varsa hızlı bildirim (72 saat)
4. Olay raporu, lessons learned
5. Politika güncellemesi (gerekirse)

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde AI politikası destek alanlarımız:

• Mevcut AI kullanım denetimi (kim ne kullanıyor)
• AI politikası taslak hazırlama
• KVKK uyum entegrasyonu
• ChatGPT Enterprise / Copilot kurulum
• Yerel LLM hibrit yaklaşım
• Çalışan eğitim oturumları
• Yıllık politika gözden geçirme
• VERBİS kayıt güncelleme

Sıkça Sorulan Sorular

• Microsoft 365 ekosistemi yoğunsa: Copilot (M365 verisi içinde, dosya tabanlı)
• Genel chat/araştırma ihtiyacı: ChatGPT Enterprise
• Karma: Her ikisini de kullanmak mümkün

KOBİ ölçeğinde tek araç tercih genelde maliyet odaklı; Copilot M365 zaten varsa eklenir.

Sonuç

Kurumsal AI politikası; KOBİ'nin "AI'a açık ama kuralsız" durumdan ölçülen, kontrollü ve KVKK uyumlu bir uygulamaya geçişini sağlar. Onaylı araç listesi, veri sınıflandırması, yasak davranışlar, doğrulama yükümlülüğü ve yıllık eğitim — bu beş bileşen KOBİ ölçeğinde uygulanabilir bir disipline dönüşür. Çalışanlarınızın AI'dan faydalanmasını engellemeden, kurum varlıklarınızı koruyan dengeyi politika kurar.

Yamanlar Bilişim olarak ölçeğinize uygun AI politikası hazırlama, ChatGPT Enterprise / Copilot kurulum ve çalışan eğitim hizmetleri sunuyor; AI'a "açık ama kontrollü" yaklaşımınızı somut bir disipline çeviriyoruz.