GÜNDEM
2026’da veri egemenliği: on-prem ve izole yapay zekâ neden tercihten plana dönüştü
2 dk okuma
AB Yapay Zekâ Yasası’nın takvimi, yeniden yazılan KVKK aktarım rejimi ve CLOUD Act açığı, “yapay zekânız nerede çalışıyor” sorusunu mimari değil hukuki bir soruya dönüştürdü.
Uzun süre “yapay zekâ nerede çalışıyor” bir mühendislik ayrıntısıydı. 2026’da tarihleri olan bir uyum sorusu.
Mevzuat saati gerçek
AB Yapay Zekâ Yasası 1 Ağustos 2024’te yürürlüğe girdi ve kademeli uygulanıyor: yasak uygulamalar 2 Şubat 2025’ten, genel amaçlı yapay zekâ yükümlülükleri 2 Ağustos 2025’ten, yüksek riskli yükümlülüklerin çoğu ise 2 Ağustos 2026’dan itibaren. Bugün kurduğunuz her şey bu takvimin içinde yaşayacak.
Türkiye’de KVKK’nın 9. maddesi 7499 sayılı Kanun’la yeniden yazıldı ve 1 Haziran 2024’te yürürlüğe girdi. Yurt dışı aktarımlarda eski “açık rıza al, yeter” yolu 1 Eylül 2024’te kapandı ve yerini üç kademeli bir rejime bıraktı — yeterlilik kararı, uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları veya taahhütname) ya da dar istisnalar — uygulama yönetmeliği 10 Temmuz 2024’ten beri yürürlükte ve imzadan sonra Kurum’a beş iş günü içinde bildirim yükümlülüğüyle.
Yurt içi neden en az dirençli yol
İşin pratik kısmı şu: 2026 itibarıyla KVKK Kurulu hiçbir ülke için yeterlilik kararı vermedi. Bir “güvenli liste” yok. Dolayısıyla Türk kişisel verilerinin neredeyse her yurt dışı aktarımı bir standart sözleşmeye ya da başka bir güvenceye dayanmak zorunda — evrak, bildirim ve süregelen risk. Veriyi yurt içinde, kontrol ettiğiniz altyapıda işlemek bu yüzeyi tümüyle ortadan kaldırır.
GDPR farklı işler — kişisel verinin fiziksel olarak AB içinde saklanmasını zorunlu kılmaz; verinin AEA dışına nasıl çıktığını yeterlilik veya güvencelerle düzenler. Ama yön aynı: veri akışı hikâyeniz ne kadar temizse, savunmanız gereken o kadar azalır.
Sözleşmenin kapatamadığı açık
Bir de hiçbir maddenin düzeltemediği kısım var. ABD CLOUD Act ve FISA 702 kapsamında, ABD merkezli bir sağlayıcı “AB bölgesinde” dursa bile veriye yönelik yasal taleplerle karşılaşabilir — Microsoft Haziran 2025’te Fransız Senatosu’na yeminli ifadesinde bunu kabul etti. Yabancı sahipli bir bulutun “egemen” etiketi maruziyeti azaltır; hukuki erişim vektörünü kaldırmaz. On-prem ve izole kurulum kaldırır.
“İzole” derken ne kastettiğinizi söyleyin
Bir dürüstlük notu. “İzole” genellikle çıkışı denetlenen, ayrılmış bir ağ demektir; “air-gapped” ise kutudan dışarı hiçbir yol olmaması demektir. Bunlar farklı risk profilleridir ve ikisini karıştırmak bir güvenilirlik hatasıdır. Hangisini satın aldığınız konusunda net olun.
Arpanet, yanıtın “sizin çeperinizin içinde” olabilmesi için kuruldu: on-prem, tamamen izole veya bulutta — karar sizin. Platform ilk satırdan itibaren KVKK için tasarlandı ve egemenlik bir ek satış değil, bir ayar.