GÜNDEM
Chat Control, şifreleme sınırı ve kurumunuzun düz metni gerçekte nerede duruyor
5 dk okuma
9 Temmuz’da Avrupa Parlamentosu’nda Chat Control 1.0’ı reddedenler kabul edenlerden fazlaydı — ve metin yine de ayakta kaldı. Henüz kanun değil ve hiçbir zaman tarama zorunluluğu getirmedi. Oylamanın asıl netleştirdiği şey şu: Avrupa’nın hukuki sınırı artık tek bir mimari sorudan geçiyor — mesajınızın okunabilir kopyası kimin sunucusunda duruyor?
9 Temmuz 2026’da Strazburg’da, Avrupa Parlamentosu üyelerinin Chat Control 1.0’ı reddedenleri kabul edenlerden fazlaydı — 314’e karşı 276, 17 çekimser — ve metin yine de ayakta kaldı. İkinci okumada Konsey tutumunu reddetmek için salondakilerin değil, tüm üyelerin salt çoğunluğu gerekiyor (Parlamento eşiği 360 olarak verdi; basının büyük kısmı 361 yazdı), dolayısıyla 314 yaklaşık kırk oy eksik kaldı. Oy kullanan salonun çoğunluğunun karşı çıktığı bir dosya, bir eşik sayesinde yoluna devam etti. O günden beri yazılanların neredeyse tamamı aynı iki noktada yanlış — ve bir kurumun iletişiminden siz sorumluysanız, iki yanlış da sizi ilgilendiriyor.
Neredeyse her başlığın kaçırdığı iki şey
Birincisi: buna “kanun oldu” demek. Olmadı. Parlamento Konsey’in tutumunu değiştirdiği için metin Konsey’e geri dönüyor; Konsey’in bu değişiklikleri kabul ya da reddetmek için üç ayı var ve hepsini birden kabul etmezse dosya uzlaştırma komitesine gidiyor. Yürürlüğe giren bir şey yok, hiçbir sağlayıcıya verilmiş bir yetki yok. İkincisi: buna “uzatma” demek. Chat Control 1.0 — (AB) 2021/1232 sayılı Tüzük — Parlamento 26 Mart’ta uzatmayı reddettikten sonra 3 Nisan 2026’da zaten yürürlükten kalkmıştı. Temmuz’da yapılan, yaşayan bir kuralı ileri taşımak değil, süresi dolmuş bir kuralı diriltme denemesiydi; önerilen yeni bitiş tarihi olan 3 Nisan 2028 de tam olarak bu: bir öneri.
Kural aslında ne diyor
Chat Control 1.0 bir istisna düzenlemesidir, bir zorunluluk değil. ePrivacy Direktifi’nin bazı hükümlerini askıya alarak numaradan bağımsız kişilerarası iletişim hizmeti sağlayıcılarının çocuk istismarı içeriğini gönüllü olarak taramasına izin verir. Hiç kimseye tarama yükümlülüğü getirmemiştir. Sesli iletişimi açıkça kapsam dışında bırakır. Ve kendi 25. gerekçesinde, içindeki hiçbir hükmün “uçtan uca şifrelemeyi yasaklar ya da zayıflatır biçimde yorumlanamayacağı” yazılıdır. Zorunlu sürüm — tespit emirleri, yani kamuoyunda Chat Control 2.0 denen öneri — hâlâ kabul edilmemiş ayrı bir dosya; müzakereler eylülde yeniden başlıyor. Hukuki ayrıntıdan tek bir şey alacaksanız şu olsun: mesele hiçbir zaman şifrelemenin yasaklanıp yasaklanmadığı değildi. Mesele, kimin neyi, kimin sunucusunda okuyabileceği.
Şifreleme, sınır çizgisi hâline geldi
Parlamento’nun kabul ettiği değişiklikler Renew Europe’tan geldi ve kanunun kapsamından “uçtan uca şifrelemenin uygulandığı, uygulanmış olduğu veya uygulanacağı iletişimleri” çıkarıyor. Bu değişiklikler, red önergesinin aşamadığı salt çoğunluk eşiğini aştı. Eleştirmenler bu istisnanın büyük ölçüde sembolik olduğunu söylüyor — zaten uçtan uca şifreleme yapan sağlayıcılar içerik taraması yapmıyordu — ve Konsey bunu hâlâ reddedebilir. Bu eleştiri haklı. Ama yine de kalıcı bir şey tescillendi: Avrupa’nın yasama organı bir sınır çizmek istediğinde, çizdiği sınır “mesaj bir sunucuda okunabiliyor mu” oldu. Bu ayrım artık Avrupa iletişim hukukunun taşıyıcı unsuru ve bir politika ayrımı değil, bir mimari ayrım.
Sağlayıcının sunucusu · okunabilir
Sağlayıcının sunucusu · şifreli metin + üstveri
Sizin sunucunuz · kendi çeperinizin içinde
Siyasetin altındaki asıl soru
Siyaseti çıkarın; bu tartışmaların her biri — gönüllü tarama, hukuki erişim, bir sağlayıcının politika güncellemesi, yabancı bir mahkeme kararı — kimsenin görüşüne bağlı olmayan tek bir soruda düğümleniyor: konuşmanın okunabilir kopyası nerede duruyor ve kimin kontrol düzleminde? Kurumunuzun mesajları üçüncü bir tarafın sunucusunda düz metin olarak duruyorsa, onları yöneten politika o tarafın politikasıdır, geçerli yargı yetkisi o tarafın yargı yetkisidir ve ikisi de size sorulmadan değişebilir. Aktarım şifrelemesi bunu değiştirmez; hattı korur, varış noktasını değil.
Bu hafta olan diğer şey
10 Temmuz’da Progress, ShareFile müşterilerine “inandırıcı bir dış güvenlik tehdidi” gerekçesiyle Storage Zone Controller bileşenlerini barındıran Windows sunucularını fiziksel olarak kapatmalarını söyledi ve bunları kullanan hesapları devre dışı bıraktı. Yama yok, yeniden açılış tarihi yok. Oysa Storage Zone Controller, o ürünün tam da “veriniz kendi altyapınızda kalsın” diye satılan bileşeni — ve bunu yapmış olan müşterilerin, hizmetin çalışmaya devam edip etmeyeceğinde hiçbir sözü olmadı. Verinin sizin diskinizde ama başkasının kontrol düzleminde durması egemenlik değildir. Güzel bir şeması olan bir barındırma anlaşmasıdır.
Bu bir kurum için ne anlama gelir — ve ne anlama gelmez
Sonucu çıkarırken dikkatli olun, çünkü bunun dürüst olmayan bir versiyonu var. Bu istisna, kamuya açık numaradan bağımsız kişilerarası iletişim hizmetlerini kapsıyor — pratikte tüketici mesajlaşma uygulamalarını. Bir kurumun yalnızca kendi çalışanları için kendi barındırdığı bir platform farklı bir kategoridir ve bundan hiçbir şey kazanmaz: Chat Control 1.0 tarama izni verir, asla tarama yükümlülüğü getirmez. Yani burada kaçılacak bir yükümlülük yok; olsaydı da kendi barındırmak hiçbir şeyden kaçırmazdı — ceza hukuku, GDPR ve DSA aynen önceki gibi geçerlidir. Size yerinde kurulan yazılımı çocuk koruma hukukunu dolanmanın yolu diye satan varsa, size gerçek olmayan bir şey satıyordur.
Kendi barındırmanın değiştirdiği şey daha dar ve çok daha işe yarar: kimin karar verdiği. Düz metnin nerede durduğu. Anahtarların kimde olduğu. Saklama kuralının ne olduğu. Kimin, kim tarafından zorlanabileceği. Ve — ShareFile müşterilerinin cuma günü öğrendiği gibi — fişi kimin çekebileceği. Bu soruların hiçbirinin politika cevabı yok. Hepsinin mimari cevabı var.
Tasarımı gereği egemen, maliyeti konusunda dürüst
Talky, kendi iletişimimiz için kurduğumuz ve şimdi başka kurumlar için işlettiğimiz cevaptır: bir toplantı aracı değil, bir iletişim çalışma alanı — üç oda türünde video konferans, mesajlaşma ve doğrudan mesajlar, ArpBoard beyaz tahtası, takvim, notlar, dosya paylaşımı, ekran paylaşımı ve kayıt. AES-256 şifreleme, lobi, oda kilidi ve RBAC her oturumu kontrol altında tutar; yerinde, kendi SSO’nuzun arkasında kurulur ve web, iOS, Android ve masaüstünden erişilir. Düz metin sizin sunucularınızda durur, çünkü o sunucular sizindir.
Ve işin dürüst yarısı: bu bir taahhüttür, bir onay kutusu değil. Siz işletirsiniz, siz yamalarsınız, siz yedeklersiniz. Yukarıdaki matris bunu açıkça söylüyor — kendi barındırmanın kaybettiği satır dahil. Egemenlik, bedelini ödemeye devam ettiğiniz bir işletme duruşudur; zaten bir sonraki politika değişikliğinden sonra da ayakta kalmasının sebebi tam olarak budur.
Şifreleme, mesajı kimin okuyabileceğine karar verir. Mimari ise kuralları kimin değiştirebileceğine.
Türkiye’de bu gereklilik zaten yazılı. Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi, iletişim kayıtlarını yurt içinde güvenli biçimde saklanması gereken kritik veriler arasında sayıyor ve kamu kurumlarının verisinin, kendi sistemleri ya da kurum kontrolündeki yerli hizmet sağlayıcılar dışında bulut depolamada tutulamayacağını söylüyor. 19 Mart 2025’te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, kamu kurumları ve kritik altyapı işletmecilerine yerli ve millî ürünleri tercih etmeyi işaret ediyor. KVKK tarafında ise Kurul bugüne kadar hiçbir ülke için yeterlilik kararı vermediğinden, yurt dışına aktarım pratikte Kurum’a bildirilen standart sözleşmeler üzerinden yürüyor. Pek çok Türk kurumu için yerinde kurulum bir tercih değil, yükümlülüğün ta kendisinin aldığı biçim. Arpanet Bilişim A.Ş.’nin ürünü Talky, ilk satırından itibaren KVKK için tasarlandı. Fiyatlandırma kurulumunuza ve ölçeğinize bağlı — bizimle iletişime geçin, birlikte kapsamını çıkaralım.