Kurumsal AI'ın yaygınlaşmasıyla beraber etik yönetim çerçeveleri artık "nice to have" değil, zorunlu hale geliyor. 2026 Mart'ta KVKK Kurumu AI sistemleri için spesifik rehber yayınladı, AB AI Act etkisi Türk şirketleri (EU pazarında bulunanlar) için yürürlüğe girdi, sektör regülatörleri (BDDK, EPDK, SPK) kendi AI etik framework'lerini geliştiriyor. Yazılım Koçu olarak 50+ projemizin tümünde uyguladığımız üç-katmanlı etik çerçeveyi paylaşıyoruz: KVKK Uyumu (hukuki katman) + Etik Komite (organizasyonel katman) + Audit Trail (teknik katman).
Katman #1: KVKK Uyumu (Hukuki)
KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) AI sistemleri için altı temel zorunluluk getirir: (1) **Veri minimizasyonu** — AI sadece projenin amacı için gereken kişisel veriyi işler, fazlası değil. (2) **Açık rıza** — kişisel veri AI training/inference için kullanılıyorsa açık rıza alınmalı. (3) **Veri sahibi hakları** — KVKK 11. madde erişme, düzeltme, silme, taşınabilirlik hakları AI sistemine de uygulanır. (4) **Otomatik karar şeffaflığı** — AI tarafından alınan karara karşı itiraz hakkı + insan müdahalesi mekanizması. (5) **Cross-border data transfer** — yurtdışı LLM (Claude, GPT-4) kullanıyorsa veri minimizasyonu + müşteri onayı + uygun ülke güvenlik seviyesi. (6) **Veri ihlali bildirimi** — AI sisteminden veri sızıntısı tespit edilirse 72 saat içinde KVKK Kurumu'na bildirim.
Katman #2: Etik Komite (Organizasyonel)
KVKK'nın hukuki çerçevesi yeterli değil — etik kararlar regülasyon ötesinde insanlar tarafından verilmeli. Yazılım Koçu Etik Komite önerimiz: (a) **Bileşim** — 5-7 kişi, en az biri teknik (CTO/AI lead), biri hukuk (DPO), biri operasyonel (etkilenen süreç sahibi), biri dış bağımsız (akademisyen veya etik uzmanı). (b) **Yetki** — AI projelerine başlama veto yetkisi, devam eden projeleri durdurma yetkisi, audit talep etme yetkisi. (c) **Toplanma sıklığı** — aylık standart, kritik karar için ad-hoc. (d) **Belgeleme** — her toplantı tutanağı, alınan kararlar, gerekçeleri arşivlenir (audit için).
Etik Komite'nin gözettiği dört kriter: **Adillik** (model çıktıları cinsiyet/yaş/coğrafya bazında ayrımcılık yapıyor mu?), **Açıklanabilirlik** (kritik kararların gerekçesi anlatılabiliyor mu?), **Hesap verebilirlik** (yanlış kararın sorumlusu net mi?), **Faydalılık** (sistem gerçekten müşteri/çalışan/toplum yararına mı?).
Katman #3: Audit Trail (Teknik)
Hukuki çerçeve + organizasyonel disiplin teknik altyapı olmadan uygulanamaz. Yazılım Koçu Audit Trail Standardı (YKAS) altı log seviyesi tanımlar: (1) **Input log** — her AI çağrısının input'u (kişisel veri masked) + timestamp + user ID. (2) **Decision log** — AI'ın aldığı karar + confidence skoru + alternatif yanıtlar. (3) **Model version log** — hangi model versiyonu + hangi prompt template + hangi parameter set kullanıldı. (4) **Data source log** — RAG'de hangi kaynaklardan veri çekildi, hangi chunk'lar gösterildi. (5) **Human override log** — insan tarafından AI önerisi değiştirildiyse kim, ne zaman, neden. (6) **Outcome log** — AI kararının gerçek dünyadaki sonucu (geri bildirim döngüsü).
Bu log'lar minimum 5 yıl saklanmalı (KVKK + Ticaret Kanunu zaman aşımı süreleri), şifrelenmeli (at-rest + in-transit), erişim yetkili olmalı (RBAC). Vaka portföyümüzde tipik audit trail veri büyüklüğü: günlük 10K AI çağrısı için aylık ~5GB log, yıllık ~60GB. Soğuk depolama (S3 Glacier, GCP Coldline) ile yıllık $400-800 maliyet.
Vaka: Bankacılık Sektöründe Üçlü Çerçeve
Türkiye'nin orta ölçekli bir bankası için kredi başvuru ön-değerlendirme sistemi geliştirdik. BDDK regülasyonu otomatik karar şeffaflığı zorunlu kılıyor. Üçlü çerçeve uygulaması: **KVKK** — kişisel veri minimizasyonu (sadece kredi değerlendirmesi için gereken alanlar), açık rıza form integrate, KVKK 11 hakları self-servis portal. **Etik Komite** — aylık model performans incelemesi, demografik adillik metrikleri, false-negative gözden geçirmesi, eski kararların retrospektif değerlendirmesi. **Audit Trail** — her başvuru için tam izleme, BDDK denetiminde 5 dakikada karar gerekçesi çıkarma yeteneği.
Sonuç: BDDK denetiminden tam uyumlu çıktı, müşteri itiraz oranı %23 azaldı (şeffaflık güveni artırdı), aylık etik komite raporlarıyla model drift erken yakalandı. Maliyet etkisi: AI sistem maliyetinin %18'i etik+audit altyapıya gitti — ama bu yatırım banka için sigorta primi oldu.
Etik Risk Kategorileri
Yazılım Koçu Etik Risk Sınıflandırması beş kategori tanımlar: (1) **Düşük risk** — içerik özetleme, sınıflandırma, dil çevirisi. Standart KVKK yeterli, etik komite gözden geçirmesi aylık. (2) **Orta risk** — müşteri segmentasyonu, ürün önerisi, içerik kişiselleştirme. Demografik adillik audit'i + ad-hoc etik gözden geçirme. (3) **Yüksek risk** — kredi skorlama, sigorta fiyatlama, işe alım eleme. Tam üçlü çerçeve + sektörel regülatör onayı. (4) **Çok yüksek risk** — sağlık tanı/tedavi önerisi, ceza adalet sistemi, çocukları etkileyen kararlar. Üçlü çerçeve + bağımsız etik denetim + insan-onayı (HITL) zorunlu. (5) **Yasak risk** — sosyal skorlama, biyometrik gözetim, manipülatif reklam. Hiç başlamamalı.
Türkiye Düzenleyici Çerçeveleri 2026
Türkiye'de AI etik düzenleme katmanlı: (a) **Yatay** — KVKK Kurumu rehberi (2026 Mart), Anayasa kişisel veri madde, TCK madde 135-140 (kişisel veri suçları). (b) **Sektörel** — BDDK AI Rehberi (bankacılık), SPK Algoritmik İşlem Rehberi (sermaye piyasası), Sağlık Bakanlığı Tıbbi AI Yönetmeliği (taslak), EPDK AI Enerji Sistemleri Rehberi (taslak), MEB Eğitim Teknolojileri Rehberi. (c) **Uluslararası** — EU AI Act (Türkiye EU pazarına satıyorsa), GDPR (EU veri sahipleri varsa), ISO 42001 AI Yönetim Sistemleri standardı.
Yazılım Koçu Etik Olgunluk Matrisi
Bir kurumun AI etik olgunluğu beş seviyede ölçülür: **Seviye 1 Farkındalık** — etik bilinç var ama yapısallaşmamış. **Seviye 2 Politika** — yazılı etik politika var, uygulama ad-hoc. **Seviye 3 Süreç** — etik komite kurulu, düzenli toplanıyor, audit trail kısmi. **Seviye 4 Sistematik** — tüm AI projelerinde üçlü çerçeve uygulanıyor, metrikler izleniyor. **Seviye 5 Strateji** — AI etiği rekabet avantajı, açıkça pazarlanıyor, sektör liderliği.
Türkiye'de Seviye 4-5 kurum sayısı az (~50, çoğu büyük bankalar ve telekomunikasyon). Seviye 1-2 yaygın (~%75). Bu boşluk 2027'ye kadar büyük fırsat — etik olgunluğunu artıran kurumlar müşteri güveni + regülatör pozitif algı + nitelikli AI yetenek çekme avantajı kazanır.
Sonuç
Kurumsal AI etiği "yapsam mı, yapmasam mı" sorusu değil, "ne zaman ve nasıl" sorusudur. KVKK + Etik Komite + Audit Trail üçlü çerçevesi, AI yatırımının sürdürülebilir olması için temel altyapıdır. Yazılım Koçu olarak 6 sektörde 50+ projeyle bu çerçeveyi pratiğe geçirmiş bir ekibiz. Kurumunuzun AI etik altyapısını oluşturmak veya olgunluk seviyesini artırmak için Keşif görüşmesi yapın.