AI Etiği ve Veri Güvenliği: Kurumsal Politika Hazırlama Rehberi
Yapay Zeka Etiği ve Güvenlik
Hedef kitle: Ürün liderleri, ML/AI ekipleri, bilgi güvenliği, gizlilik/uyum, hukuk ve iç denetim paydaşları.
Son güncelleme: 6 Mart 2026
Önemli not: Bu içerik bir politika taslağı için uygulamaya dönük bir çerçeve sunar; hukuki danışmanlık değildir. Sektörünüz (sağlık/finans vb.), eyalet bazlı yükümlülükler ve sözleşmeler için hukuk ve uyum ekiplerinizle değerlendirme yapın.
Neden “AI etiği ve veri güvenliği” politikası ayrı bir doküman olmalı?
Yapay zeka sistemleri; veri toplama, model geliştirme, tedarikçi kullanımı ve üretimde izleme gibi birden çok ekibi ve yaşam döngüsü adımını bir araya getirir. Bu nedenle AI riskleri, klasik bilgi güvenliği veya gizlilik politikalarının içine “ek madde” olarak sıkıştığında sorumluluklar ve kanıt beklentileri belirsizleşebilir. İyi bir kurumsal politika; etik ilkeleri (ör. adillik, şeffaflık), veri korumayı (erişim, saklama, denetim izi) ve operasyonel güvenliği (test, izleme, olay yönetimi) tek bir yönetişim şemasında birleştirir.
Pratikte birçok kuruluş, farklı düzenleyici beklentiler ve hızlı değişen kullanım senaryoları karşısında, iç yönetişimini risk yönetimi çerçeveleri üzerinden standardize etmeyi tercih eder. Bu noktada NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) risk odaklı, yaşam döngüsü temelli bir temel sunar (S1). Generatif AI kullanımı varsa, NIST’in generatif AI profili ek risk kategorileri ve kanıt/test beklentilerini özetler (S2).
Temel çerçeveler: NIST AI RMF, ISO/IEC 42001 ve operasyonel yönetişim
NIST AI RMF: risk yönetimini dört işleve bölen omurga
NIST AI RMF, AI risklerini kurumsal risk yönetimiyle bütünleştirmek için Govern, Map, Measure, Manage fonksiyonlarını kullanır (S1). Politikanızın bölümleri bu fonksiyonlara “oturursa”, ekipler arası sorumluluklar netleşir ve denetim izi üretmek kolaylaşır.
ISO/IEC 42001: “AI Yönetim Sistemi (AIMS)” yaklaşımı
ISO/IEC 42001, kuruluş seviyesinde bir AI yönetim sistemi (roller, süreçler, sürekli iyileştirme, iç denetim mantığı) kurmak isteyenler için yönetim sistemi formatında gereksinimler tanımlar (S3). ISO standardı yayımlar; kuruluşlar isterse bu standarda uygunluklarını akredite belgelendirme kuruluşları üzerinden (pazar/pratik gerekliliklerine bağlı olarak) belgelendirmeyi hedefleyebilir. NIST AI RMF ile çelişmek yerine çoğu noktada tamamlayıcı olarak kullanılabilir: NIST “hangi risklere bakacağız?” sorusunu, ISO ise “bunu organizasyona nasıl yerleştiririz?” sorusunu yönetim sistemi diliyle ele alır.
Kamu rehberlerinden alınacak ders: envanter, yönetişim ve izlenebilirlik
ABD federal kurumlarına yönelik OMB M-24-10, AI kullanımında yönetişim, envanterleme ve risk yönetimi beklentilerini tanımlar (S4). Özel sektör için bağlayıcı bir metin olmasa da, kurum içinde standartlaştırma açısından somut örnekler sunar: kullanım envanteri, kayıt/raporlama ve hesap verebilirlik.
Politikanın kapsamını doğru tanımlayın (en sık hata burada)
Politika “her şeyi” söylemeye çalıştığında uygulanamaz hale gelir. Kapsamı netleştirmek için aşağıdaki kararları yazılı hale getirin:
- Sistem kapsamı: Kendi geliştirdiğiniz modeller, üçüncü taraf API’ler, açık kaynak modeller, araç içi yardımcılar (ör. kod asistanı) ve RPA/kurallar+ML hibrit sistemleri dahil mi?
- Veri kapsamı: Müşteri verisi, çalışan verisi, tedarikçi verisi, kamuya açık veri, sentetik veri, günlük kayıtları (log) ve prompt/çıktı kayıtları kapsama nasıl giriyor?
- Kullanım kapsamı: İç kullanım (verimlilik) ile dışa dönük kullanım (müşteriye öneri/karar desteği) farklı risk seviyelerine sahip olabilir (riskin haritalanması için NIST AI RMF yaklaşımını kullanın) (S1).
- Coğrafi kapsam: AB’de hizmet veriyorsanız veya AB’li kullanıcıları etkiliyorsanız, AB Yapay Zeka Yasası (AI Act) kapsamında ek yükümlülükler doğabilir (S5).
Kurumsal politika şablonu: “zorunlu” bölümler
Aşağıdaki şablon, NIST/ISO yaklaşımıyla uyumlu olacak şekilde çoğu organizasyonda uygulanabilir bir omurga sunar. Her madde için “sahip” (owner), kanıt (evidence) ve periyot (cadence) belirlemek, politikanın hayata geçmesini sağlar (yaşam döngüsü boyunca yönetişim ve izlenebilirlik yaklaşımı için S1; envanter ve yönetişim pratiği örnekleri için S4).
| Bölüm | İçerik | Minimum kanıt |
|---|---|---|
| Amaç ve ilkeler | Etik ilkeler (adillik, hesap verebilirlik, şeffaflık), veri güvenliği hedefleri, insan denetimi yaklaşımı | Onaylı politika metni, üst yönetim sponsorluğu |
| Roller ve sorumluluklar | AI sahipliği, ürün sahibi, ML mühendisliği, güvenlik, gizlilik/uyum, hukuk, iç denetim, tedarik yönetimi | RACI matrisi, risk komitesi charter’ı |
| Use-case envanteri | Tüm AI kullanım alanlarının kaydı, iş amacı, veri türleri, etkilenen kullanıcı grupları | AI envanter listesi ve güncelleme süreci (envanter ve yönetişim pratikleri için bkz. S4) |
| Risk sınıflandırması | Etki temelli sınıflar (düşük/orta/yüksek gibi) ve hangi sınıfta hangi kontrollerin zorunlu olduğu (haritalama/ölçme/yönetme yaklaşımı için bkz. S1) | Risk değerlendirme formu, onay kayıtları |
| Veri yönetişimi | Veri provenansı, kalite, erişim kontrolü, saklama/silme, üçüncü taraf veri kullanımı | Datasheet, veri sözleşmesi, erişim logları (S8) |
| Model yönetişimi | Model geliştirme standartları, versiyonlama, değerlendirme, üretime alma kriterleri | Model Card, test raporları, değişiklik kayıtları (S7) |
| Güvenlik ve tehdit modeli | Tehdit sınıfları, kontrol seti, red-teaming yaklaşımı | Tehdit modeli dokümanı, red-team raporu (tehdit taksonomisi için bkz. S6) |
| İzleme ve olay yönetimi | Performans/riske yönelik izleme, uyarılar, olay bildirim ve düzeltici eylem (yaşam döngüsü yönetimi için bkz. S1) | İzleme panosu, incident postmortem |
Bu omurga; NIST’in yaşam döngüsü risk yönetimi yaklaşımı (S1), generatif AI’ye özgü ek riskler ve kanıt beklentileri (S2) ve yönetim sistemi mantığı (S3) ile uyumlu bir “asgari uygulanabilir politika” üretmek için kullanılabilir.
Etik ilkeleri operasyonalize edin: “niyet” değil “kontrol” yazın
“Adil olacağız” gibi niyet cümleleri tek başına denetlenebilir değildir. Bunun yerine her ilkeyi bir veya iki uygulanabilir kuralla destekleyin:
- Adillik: Yüksek etkili use-case’lerde, seçilen metrik/analizlerle farklı kullanıcı grupları üzerindeki etkiler gözden geçirilir; bulgular ve kararlar kayıt altına alınır. (Metrik seçimi use-case’e bağlıdır; tek bir evrensel set yerine, NIST AI RMF’nin ölçme/yönetme yaklaşımıyla pilotlar üzerinden olgunlaştırın) (S1).
- Şeffaflık: Uygun yerlerde kullanıcıya AI kullanıldığı açıklanır; sistemin sınırları ve kullanım kısıtları dokümante edilir. Model raporlama için “Model Cards” gibi yapılandırılmış formatlar kullanılabilir (S7).
- Hesap verebilirlik: Her üretim modelinin bir iş sahibi ve teknik sahibi olur; onay akışı (gizlilik, güvenlik, ürün) tanımlanır; istisnalar yazılı gerekçeyle yönetilir (yönetişim fonksiyonu için bkz. S1).
- Veri koruma: Veri provenansı, kullanım kısıtları ve toplama yöntemi “Datasheets for Datasets” yaklaşımıyla belgelenir (S8).
Veri güvenliği: veri provenansı, erişim ve denetim izi
1) Veri provenansı ve kullanım kısıtları
Politikada şu soruların yanıtı açık olmalı: Eğitim/ince ayar (fine-tuning) veya değerlendirme verisi nereden geliyor? Hangi lisans/sözleşme koşulları var? Hangi veri türleri kesinlikle yasak (ör. hassas kişisel veri) veya koşullu (ek onay gerektirir)? “Datasheets” yaklaşımı; veri setinin amacı, bileşimi, toplama ve önerilen kullanım/uyarılar gibi başlıklarla pratik bir şablon sunar (S8).
2) Erişim kontrolü ve kayıt tutma (denetim izi)
AI sistemleri için denetim izi yalnızca “kim sisteme girdi” değil, aynı zamanda “hangi veriyi, hangi model sürümüyle, hangi amaçla işledi” sorularına da yanıt üretmelidir. Bu yaklaşım, NIST AI RMF’nin yönetişim ve risk yönetiminin yaşam döngüsü boyunca izlenebilir olmasına dönük çerçevesiyle uyumludur (S1). Kamu tarafında envanter/kayıt ve yönetişim beklentilerine ilişkin pratik örnekler için OMB M-24-10 incelenebilir (S4).
3) Generatif AI’de veri sızıntısı riskini azaltma
NIST’in generatif AI profili, generatif AI’ye özgü risk kategorilerini ve dağıtımdan önce kanıt/test beklentilerini ele alır (S2). Kurum içi politika için pratik karşılıklar şunlar olabilir:
- Kurumsal sırlar ve kişisel veriler için “prompt’a yazılamaz” veri sınıfları
- Onaylı araçlar listesi (kurumsal sözleşmeli çözümler dahil)
- Gizli veri içerebilecek çıktıların paylaşımı için gözden geçirme adımı
AI güvenliği: tehdit modeli, red-teaming ve üretim öncesi test
AI güvenliği yalnızca altyapı güvenliği değildir; modele özel saldırı türleri ve suistimal senaryoları vardır. MITRE ATLAS, AI sistemlerine yönelik saldırı teknikleri ve tehdit manzarası için bir taksonomi sunar; kurumsal tehdit modellemesi ve test planlamasında referans olarak kullanılabilir (S6).
Politikaya yazılabilecek minimum güvenlik maddeleri
- Tehdit modellemesi zorunluluğu: Orta ve üzeri risk sınıfındaki her use-case için tehdit modeli dokümanı (tehdit sınıfları için bkz. S6).
- Red-teaming / test: Üretime alma öncesi hedefli kötüye kullanım testleri. Generatif AI’de ek risk ve test kanıtları için NIST AI 600-1’i kontrol listesine bağlayın (S2).
- Tedarikçi güvenliği: Üçüncü taraf model/API kullanılıyorsa, sözleşmesel güvenlik ve veri işleme şartları; değişiklik bildirimleri; raporlama beklentileri.
- Güncelleme/versiyon yönetimi: Model sürüm değişikliklerinde yeniden değerlendirme eşiği (yönetişim ve yaşam döngüsü yaklaşımıyla uyumlu olacak şekilde) (S1).
Örnek politika maddeleri (şablon) — hukuki danışmanlık değildir
Örnek madde 1 — Prompt’a yasak veri sınıfları (Generatif AI): “Çalışanlar, kurumsal onaylı generatif AI araçları dâhil olmak üzere hiçbir prompt’a (i) kimlik doğrulama bilgileri, (ii) müşteri/çalışan kişisel verileri, (iii) sözleşme ile kısıtlı tedarikçi verileri, (iv) henüz kamuya açıklanmamış finansal sonuçlar ve (v) müşteri hesap ayrıntıları yazamaz. İstisnalar yalnızca risk değerlendirmesi ve yazılı onay ile mümkündür.” (Risk ve kontrol beklentilerini NIST AI 600-1 ile eşleyin: S2)
Örnek madde 2 — Üretime alma için minimum kapılar:
- Use-case envanter kaydı ve risk sınıfı ataması (NIST AI RMF yaşam döngüsü yaklaşımı: S1; envanter pratiği örneği: S4)
- Datasheet + Model Card tamamlanması (S8, S7)
- Tehdit modeli + kötüye kullanım test raporu (MITRE ATLAS referanslı) (S6)
- Üretim izleme planı ve olay yönetimi prosedürü (yaşam döngüsü yönetimi: S1)
Şeffaflık ve denetlenebilirlik: Model Cards + Datasheets + denetim izi
Kurumsal politikada dokümantasyon çoğu zaman en hızlı kazanımdır: hem iç denetim hem de tedarikçi yönetimi için standart bir kanıt paketi üretir.
- Model Cards: Modelin amaçlanan kullanımı, performans ölçümleri, sınırlamalar, etik ve güvenlik hususları gibi bilgileri tutarlı biçimde raporlamayı hedefler (S7).
- Datasheets: Veri setinin toplanması, bileşimi, önerilen kullanım alanları ve uyarılar gibi provenans bilgilerini standartlaştırır (S8).
- Denetim izi: “Hangi veri + hangi model sürümü + hangi karar/çıktı + hangi onay” zincirini kurar (yaşam döngüsü boyunca yönetişim ve izlenebilirlik için bkz. S1). Kurumsal envanterleme/kayıt yaklaşımına dair kamu örnekleri için OMB M-24-10 incelenebilir (S4).
Uluslararası uyum: AB AI Act’i neden ABD’deki kuruluşları ilgilendirebilir?
AB AI Act, AB pazarında sunulan veya AB’deki kişileri etkileyen belirli AI sistemleri için yükümlülükler doğurabilir. Bu nedenle ABD merkezli bir kuruluşun AB müşterileri, AB’de iştirakleri veya AB’ye yönelik ürünleri varsa, risk sınıflandırması ve şeffaflık yükümlülükleri açısından etkilenmesi olasıdır (S5). Politikanızda “coğrafi kapsam” ve “pazar bazlı ek gereksinimler” için bir ek (appendix) bulundurmak, düzenleyici farklılıkları yönetmeyi kolaylaştırır.
Uygulamaya geçiş: 30-60-90 gün planı (pilot odaklı)
Ölçütler ve kontrol derinliği, use-case riskine göre kademeli olgunlaştırılmalıdır. Aşağıdaki planı ölçeğinize göre uyarlayın.
İlk 30 gün: Envanter + asgari yönetişim
- AI use-case envanterini çıkarın (sahip, veri türleri, kullanıcı etkisi, tedarikçiler) (envanter yaklaşımı örnekleri için bkz. S4).
- AI risk komitesi veya çalışma grubunu kurun (ürün, ML, güvenlik, gizlilik/uyum, hukuk) (yönetişim yaklaşımı: S1).
- Risk sınıflandırma taslağını ve onay akışını yayınlayın (NIST AI RMF mantığıyla) (S1).
60 gün: Dokümantasyon standartları + temel test kapıları
- Model Card ve Datasheet şablonlarını zorunlu hale getirin (S7, S8).
- Üretime alma öncesi minimum test kapıları belirleyin (güvenlik, gizlilik, kötüye kullanım senaryoları) (tehdit perspektifi için: S6).
- Generatif AI kullanılıyorsa, NIST AI 600-1’le uyumlu ek risk kontrol listesi ekleyin (S2).
90 gün: İzleme + olay yönetimi + iyileştirme döngüsü
- Üretimde izleme planını devreye alın (kalite, güvenlik sinyalleri, geri bildirim/şikayet kanalları) (yaşam döngüsü yönetimi: S1).
- AI’ye özel olay yönetimi prosedürü tanımlayın (triage, kök neden analizi, geri alma/roll-back, iletişim) (NIST AI RMF’nin yönetme yaklaşımıyla uyumlu) (S1).
- ISO/IEC 42001 yönetim sistemi yaklaşımıyla iç denetim ve sürekli iyileştirme döngüsünü planlayın (S3).
Politika için kısa kontrol listesi (yayınlamadan önce)
- Politika kapsamı net mi (hangi sistemler, hangi veriler, hangi coğrafyalar)?
- Use-case envanteri ve güncelleme ritmi tanımlı mı (S4)?
- Risk sınıflandırması ve üretime alma kapıları yazılı mı (S1)?
- Roller/RACI ve karar yetkileri net mi?
- Datasheet + Model Card + denetim izi gereksinimleri tanımlı mı (S8, S7)?
- Generatif AI için ek güvenlik ve veri sızıntısı kontrolleri var mı (S2)?
- MITRE ATLAS benzeri bir taksonomiye dayalı tehdit modeli ve test yaklaşımı var mı (S6)?
- Periyodik gözden geçirme (ör. 6 ayda bir) ve değişiklik yönetimi süreci var mı (yönetim sistemi yaklaşımı için bkz. S3)?
Sonuç
Kurumsal “AI etiği ve veri güvenliği” politikası; yalnızca bir doküman değil, ürün geliştirme ve güvenlik pratiklerini bir araya getiren bir işletim sistemidir. NIST AI RMF’yi risk-odaklı omurga olarak alıp (S1), generatif AI risklerini NIST AI 600-1 ile tamamlayarak (S2) ve ISO/IEC 42001’in yönetim sistemi yaklaşımıyla sürdürülebilir hale getirerek (S3) uygulanabilir, denetlenebilir ve geliştirilebilir bir çerçeve kurabilirsiniz.
Yorumlar