KVKK uyumlu dijital arşiv; sadece “belgeleri dijitale aktarmak” değil, belgenin kim tarafından, hangi amaçla, ne kadar süreyle, hangi güvenlik katmanlarıyla işlendiğini uçtan uca yöneten bir mimaridir. Doğru mimari; veri sızıntısı riskini azaltır, denetimde izlenebilirlik sağlar ve kurum içi erişimi kontrollü biçimde hızlandırır.
Serinin ana yol haritası: Dijital Arşiv Sistemine Geçiş Nasıl Olur?
KVKK Uyumlu Dijital Arşiv Ne Demektir? (Kısa Tanım)
KVKK uyumlu dijital arşiv mimarisi; aşağıdaki bileşenlerin birlikte çalıştığı yapıdır:
- Rol bazlı yetkilendirme (en az yetki)
- Gizlilik seviyesi ve erişim matrisi
- Loglama ve izlenebilirlik (kim, ne zaman, ne yaptı?)
- Saklama süresi yönetimi ve imha süreci
- Güvenli paylaşım / dışa aktarma kontrolü
- Yedekleme ve felaket senaryosu
1) En Az Yetki Prensibi: “Herkes Her Şeyi Görmesin”
KVKK uyumunun en kritik ilk adımı, erişimi “kişiye göre” değil role göre yönetmektir. Aynı departmanda bile herkesin her belgeye erişmesi gerekmez. Bu yüzden erişim şu kırılımlarla tasarlanmalıdır:
- Belge türü (özlük, sözleşme, fatura, yazışma vb.)
- Birim / departman
- Dönem
- Gizlilik seviyesi
Yetki tasarımının temeli: Rol Bazlı Yetkilendirme Nasıl Tasarlanır?
2) Gizlilik Seviyesi: Uyumun “Etiket” Katmanı
Gizlilik seviyesi; hem yetkilendirmeyi hem de denetimi sadeleştirir. Kurumsal kullanımda en pratik yaklaşım:
- R0: Genel
- R1: Kurum içi
- R2: Gizli
- R3: Çok gizli / KVKK hassas
Gizlilik etiketi, indeks alanlarının bir parçası olmalıdır. Aksi halde yetki kurgusu büyüdükçe karmaşıklaşır.
Meta veri standardı ile birlikte kurulmalıdır: Kurumsal Meta Veri Standardı Nasıl Oluşturulur?
3) Loglama ve İzlenebilirlik: Denetimde Asıl Soru “Kim Ne Yaptı?”
KVKK uyumlu dijital arşivde loglama opsiyon değil, zorunluluktur. Loglar; sadece “giriş yaptı” kayıtları değil, belgenin yaşamı boyunca yapılan işlemleri kapsamalıdır:
- Görüntüleme
- Arama / filtreleme (kritik sistemlerde)
- İndirme
- Dışa aktarma
- Paylaşma
- Meta veri değiştirme
- Silme / imha aksiyonları
Loglama yapısı: Dijital Arşivde Loglama ve İzlenebilirlik
4) Saklama Süresi ve İmha: “Sonsuza Kadar Saklamak” Uyum Değildir
Dijital arşiv büyüdükçe en büyük risklerden biri, saklama süresi dolmuş belgelerin sistemde gereksiz yere kalmasıdır. KVKK uyumunda kritik olan; belgenin yaşam döngüsünü yönetmektir:
- Belge türüne göre saklama etiketi
- Süre dolunca erişimin kısıtlanması / arşivlenmesi
- İmha aksiyonunun kayıt altına alınması
- İmha kanıtının raporlanabilir olması
Yaşam döngüsü rehberi: Saklama ve İmha Politikası Nasıl Oluşturulur?
5) Dışa Aktarma ve Paylaşım Kontrolü: En Sık Sızıntı Kanalı
Yetkilendirme doğru olsa bile, belgeyi indirip kurum dışına çıkarmak çoğu zaman en büyük risktir. Bu yüzden mimaride şu kontroller mutlaka düşünülmelidir:
- İndirme yetkisini role göre sınırlama
- Dışa aktarmayı (export) ayrı izin olarak yönetme
- Paylaşımı kayıt altına alma
- Hassas belgelerde süreli erişim / ekstra onay
Bu katman, rol bazlı yetkilendirme ile birlikte kurgulanır: Rol Bazlı Yetkilendirme Nasıl Tasarlanır?
6) Arama ve Erişim Deneyimi: Güvenlik Aramayı Kilitlememeli
Aşırı kısıtlı yetki, kullanıcıların belge bulamamasına neden olur; bu da “gizli mail/WhatsApp ile belge paylaşımı” gibi gölge süreçleri doğurur. Doğru çözüm:
- Yetkili olduğu havuzda hızlı arama
- Standart indeks alanları
- Belge türüne göre arama şablonları
- Arama başarısını ölçen metrikler
Arama kalitesini yükseltmek için: Arama Performansını Artıran 7 Teknik
7) Yedekleme ve Felaket Senaryosu: Uyumun Süreklilik Boyutu
KVKK uyumlu dijital arşiv; erişim güvenliği kadar verinin sürekliliğini de kapsar. Mimari şu sorulara cevap vermelidir:
- Yedekler nerede, ne sıklıkta alınıyor?
- Geri yükleme (restore) test ediliyor mu?
- Felaket anında erişim nasıl sağlanacak?
- Loglar ve imha kayıtları da yedekleniyor mu?
Süreklilik rehberi: Yedekleme ve Felaket Senaryosu Tasarımı
KVKK Uyumlu Dijital Arşiv Mimarisinde 9 Maddelik Mini Kontrol Listesi
- Roller tanımlandı mı, kişiye özel yetkiden kaçınıldı mı?
- Gizlilik seviyeleri (R0–R3) belirlendi mi?
- Erişim matrisi yazılı mı?
- İndirme / dışa aktarma ayrı yetki olarak yönetiliyor mu?
- Loglar detaylı ve raporlanabilir mi?
- Saklama süreleri belge türüne göre tanımlı mı?
- İmha süreci kayıt altına alınıyor mu?
- Arama, güvenlik nedeniyle kilitlenmiyor mu?
- Yedekleme ve felaket senaryosu test edildi mi?
Uyum İçin Sistem Seçimi Neden Önemli?
KVKK uyumu; sistemin “adı”ndan çok, yetki–log–saklama–imha kabiliyetleriyle ilgilidir. Bu yüzden yazılım seçiminde bu kabiliyetler baştan sorgulanmalıdır:
Kurumunuza Uygun KVKK Uyumlu Mimariyi Netleştirelim
Kurumsal yaklaşım ve operasyon modeli: Kurumsal Dijital Arşiv Hizmetleri
Planlama ve teklif için: Fiyat Teklifi Alın
