narbulut

Dijital Sınırlar ve Veri Egemenliği: Verileriniz Gerçekten Güvende mi?

22 Apr, 2026

Bulut Bilişimde Veri Egemenliği:

Türkiye İçin Bütünsel Bir Çerçeve Önerisi

Dijital dönüşümün hız kazandığı günümüzde, her ölçekten kurum ve kuruluş verilerini bulut ortamına taşıyor. Bulut bilişimin sunduğu esneklik, ölçeklenebilirlik ve maliyet avantajı bu dönüşümü hızlandıran temel etkenler arasında yer alıyor. Bu süreçle birlikte, verilerin nerede barındırıldığı, hangi hukuki çerçeveye tabi olduğu ve üzerlerindeki kontrolün nasıl sağlandığı konuları da giderek daha fazla önem kazanıyor.

Bulut bilişim alanında “veri egemenliği” kavramı, dünya genelinde stratejik bir gündem maddesi haline gelmiş durumda. Türkiye de bu alanda önemli adımlar atan ülkeler arasında yer alıyor. Bu yazıda, Türkiye’nin mevcut düzenleyici altyapısı değerlendirilmekte ve bulut hizmetlerinin egemenlik perspektifinden ele alınabileceği bütünsel bir çerçeve önerisi sunuluyor.

Veri Egemenliği Neden Önemli?

Bulut bilişimde değerlendirme kriterleri artık yalnızca teknik performans ve maliyetle sınırlı kalmıyor. Kurumların, kullandıkları bulut hizmetleri üzerinde hukuki, teknik ve operasyonel kontrolü ne ölçüde sürdürebildiği de stratejik bir kriter olarak öne çıkıyor.

Bu konunun önemini ortaya koyan uluslararası gelişmelerden biri, ABD’nin 2018 yılında yürürlüğe koyduğu CLOUD Act (Clarifying Lawful Overseas Use of Data Act) düzenlemesidir. Bu yasa, ABD yargı yetkisine tabi bulut sağlayıcılarından — veri fiziksel olarak nerede depolanıyor olursa olsun — veri talep edilmesine olanak tanıyor. Bu tür uluslararası düzenlemeler, ülkelerin kendi veri egemenliği çerçevelerini oluşturmasının önemini bir kez daha ortaya koyuyor.

Türkiye’nin Güçlenen Düzenleyici Altyapısı

Türkiye, veri egemenliği ve dijital güvenlik alanında son yıllarda kapsamlı adımlar atıyor. Bu adımlar, güçlü bir düzenleyici altyapının temellerini oluşturuyor.

6698 sayılı KVKK, 2016’dan bu yana yürürlükte olup Türkiye’nin kişisel verilerin korunması alanındaki temel düzenlemesini oluşturuyor. 2024 yılında gerçekleştirilen güncellemelerle yurt dışına veri aktarım rejimi modernize edildi; yeterlilik kararları, standart sözleşmeler ve bağlayıcı şirket kuralları gibi mekanizmalar mevzuata dahil edildi.

7545 sayılı Siber Güvenlik Kanunu, Mart 2025’te yürürlüğe girerek Türkiye’nin bu alandaki ilk kapsamlı yasal düzenlemesi oldu. Kanunla birlikte Siber Güvenlik Başkanlığı kuruldu, kritik altyapılar için denetim, sertifikasyon ve yaptırım mekanizmaları oluşturuldu.

Sektörel düzenlemeler kapsamında BDDK, finansal kuruluşların birincil ve ikincil bilgi sistemlerini yurt içinde bulundurmasını zorunlu kılıyor. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ise kamu kurumlarına hizmet sunacak bulut sağlayıcılar için belgelendirme mekanizması çalışmalarını sürdürüyor.

Altyapı yatırımları tarafında Türk Telekom ve TÜBİTAK BİLGEM’in açık kaynak kodlu yerli bulut platformu iş birliği dikkat çekiyor. HIT-30 Programı kapsamında 2030’a kadar 30 milyar doların üzerinde yüksek teknoloji yatırımı hedefleniyor.

Bu gelişmeler, Türkiye’nin veri egemenliği konusundaki kararlılığını açıkça gösteriyor. Bu noktada, mevcut düzenlemeleri birbirine bağlayan ve bulut hizmetlerini bütünsel bir egemenlik perspektifinden ele alan bir çerçevenin oluşturulması, atılan adımları daha da güçlendirecektir.

Bulut Egemenliği Hedefleri (BEH): Bir Çerçeve Önerisi

Bu kapsamda, bulut hizmet sağlayıcılarının dijital egemenlik açısından değerlendirilebileceği sekiz boyutlu bir çerçeve önerilebilir. Aşağıdaki tablo, bu boyutları özetlemektedir.

# Egemenlik Hedefi Açıklama
BEH-1 Stratejik Egemenlik Sağlayıcının sahiplik yapısı, yönetim merkezi, finansman kaynağı ve Türkiye’nin stratejik öncelikleriyle uyumu.
BEH-2 Hukuki ve Yargısal Egemenlik Hizmetin tabi olduğu hukuki çerçeve, yabancı yargı alanlarına maruz kalma riski ve Türk hukukunun etkin uygulanabilirliği.
BEH-3 Veri ve Yapay Zekâ Egemenliği Verilerin şifreleme kontrolü, depolama ve işlemenin yurt içinde kalması, YZ modellerinin bağımsızlığı.
BEH-4 Operasyonel Egemenlik Türk operatörlerin sistemi bağımsız yönetebilmesi, vendor lock-in riski ve kaynak kod erişimi.
BEH-5 Tedarik Zinciri Egemenliği Donanım, yazılım ve firmware bileşenlerinin coğrafi kaynağı, şeffaflığı ve dayanıklılığı.
BEH-6 Teknoloji Egemenliği Açık standartlara uyum, açık kaynak yazılım, bağımsız denetlenebilirlik ve birlikte çalışabilirlik.
BEH-7 Güvenlik ve Uyumluluk KVKK, Siber Güvenlik Kanunu ve uluslararası standartlara uyum; güvenlik operasyonlarının yurt içinde yürütülmesi.
BEH-8 Çevresel Sürdürülebilirlik Enerji verimliliği, yenilenebilir enerji kullanımı, karbon ayak izi şeffaflığı ve döngüsel ekonomi uygulamaları.

Egemenlik Güvence Seviyeleri (TEGS)

Her hedefin değerlendirilmesinde beş kademeli bir güvence skalası kullanılabilir. TEGS-0 hiçbir egemenlik güvencesinin bulunmadığını, TEGS-4 ise tam dijital egemenliğin sağlandığını ifade eder.

Seviye Tanım Açıklama
TEGS-0 Egemenlik Yok Hizmet tamamen yabancı kontrolünde; Türk hukuku pratik olarak uygulanamıyor.
TEGS-1 Hukuki Egemenlik Türk hukuku biçimsel olarak geçerli ancak yaptırım gücü sınırlı; hizmet yabancı tarafların kontrolünde.
TEGS-2 Veri Egemenliği Türk hukuku uygulanabilir ve icra edilebilir; ancak önemli yabancı bağımlılıklar devam ediyor.
TEGS-3 Dijital Dayanıklılık Türk aktörler anlamlı etki sahibi; yabancı kontrol marjinal düzeyde.
TEGS-4 Tam Dijital Egemenlik Teknoloji ve operasyonlar tamamen Türkiye kontrolünde; yalnızca Türk hukukuna tabi; kritik yabancı bağımlılık yok.

Değerlendirme Ağırlıkları

Her egemenlik hedefinin genel skordaki ağırlığı aşağıda gösterilmektedir. En yüksek ağırlık tedarik zinciri egemenliğine ayrılmıştır; çünkü donanım ve yazılım kaynağının kontrolü, diğer tüm boyutları doğrudan etkiler.

# Egemenlik Hedefi Ağırlık
BEH-1Stratejik Egemenlik%15
BEH-2Hukuki ve Yargısal Egemenlik%10
BEH-3Veri ve Yapay Zekâ Egemenliği%15
BEH-4Operasyonel Egemenlik%15
BEH-5Tedarik Zinciri Egemenliği%20
BEH-6Teknoloji Egemenliği%10
BEH-7Güvenlik ve Uyumluluk Egemenliği%10
BEH-8Çevresel Sürdürülebilirlik%5
TOPLAM%100

Veri Egemenliği ve Veri Lokalizasyonu Arasındaki Fark

Bu çerçeve bağlamında önemli bir ayrımın altını çizmekte fayda var: veri egemenliği, yalnızca verilerin fiziksel olarak yurt içinde tutulması anlamına gelmiyor. Asıl mesele, veriler üzerindeki hukuki, teknik ve operasyonel kontrolün bütünüyle sağlanabilmesi.

Veriler yurt içinde barındırılıyor olsa bile, şifreleme anahtarlarının kontrolü, kaynak koda erişim imkânı ve güvenlik güncellemelerinin bağımsız olarak uygulanabilmesi gibi unsurlar da egemenliğin tamamlayıcı boyutlarını oluşturuyor. Bu kapsamlı bakış açısı, daha sağlıklı bir değerlendirme çerçevesinin temel koşullarından biri.

Yerli Ekosistemin Katkısı

Dijital egemenliğin güçlendirilmesinde büyük ölçekli altyapı yatırımları kadar, kurumların günlük operasyonlarında kullandığı çözümlerin yerli kaynaklardan sağlanması da önemli bir role sahip. Yedekleme çözümleri, dosya paylaşım platformları, video gözetim altyapıları ve nesne depolama hizmetleri gibi operasyonel düzeydeki araçlar, kurumsal verilerin fiilen nerede yönetildiğini belirleyen temel unsurlar.

Narbulut, bu ekosistemin bir parçası olarak yedekleme yazılımından nesne depolamaya, doküman iş birliği platformundan bulut tabanlı video gözetim çözümlerine kadar geniş bir ürün yelpazesiyle kurumların verilerini Türkiye sınırları içinde ve Türk hukukuna tabi şekilde yönetmelerine olanak sağlıyor. Yerli çözüm sağlayıcıların güçlenmesi, Türkiye’nin dijital egemenlik hedeflerine önemli katkı sunuyor.

Referanslar
  • CLOUD Act — ABD Kongresi Resmi Metin
  • 6698 sayılı KVKK
  • 7545 sayılı Siber Güvenlik Kanunu
  • Cumhurbaşkanlığı Dijital Dönüşüm Ofisi — Kamu Bulut Bilişim Stratejisi
  • HIT-30 Programı — Veri Merkezi, Yapay Zekâ, Kuantum ve Endüstriyel Robot Çağrıları
  • BDDK Bilgi Sistemleri Yönetmeliği
  • Türk Telekom – TÜBİTAK BİLGEM Yerli Bulut Platformu İş Birliği

Yazar: Bahri Uludağ – Bilgi Teknolojileri Yöneticisi

Leave a Comment

Your email address will not be published. Required fields are marked *

Narbulut Product Analysis

Step 1/12
What area of technological improvement are you planning for your company?
Data Security & BackupRansomware, deleted files and disaster recovery.
Cloud Server (IaaS)Website, ERP, CRM or application hosting.
Team CollaborationSecure file sharing and remote work.
Object Storage (S3)Object Storage for developers.
What industry does your company operate in?
Healthcare / MedicalPatient data (GDPR critical).
Finance / AccountingSensitive financial data.
Manufacturing / EngineeringCAD drawings and production plans.
Other / General ServicesOffice documents and general data.
What type of devices need to be protected?
Employee ComputersLaptop and desktop end-user devices.
Physical / Virtual ServersDatabase, Active Directory or File Server.
What should your backup strategy be?
File & Folder BasedOnly important business files (XLS, PDF, SQL) should be backed up.
Full Disk ImageBack up "Everything" including the operating system.
What is your upload speed for cloud backup?
Fiber / High SpeedI can send large data quickly.
Standard / ADSLMy speed is limited, compression is important.
Is ransomware a threat?
Yes, Very CriticalWe have experienced it before or are at risk.
Standard Protection is SufficientBasic backup measures are enough.
How long would you like to keep versions?
90
30 - 90 DaysTo fix recent errors.
365+
1 Year and AboveLegal requirements or archiving.
What will be the primary purpose of the server?
E-Commerce / WebsiteHigh uptime and speed required.
ERP / Accounting SoftwareDatabase performance is important.
Software DevelopmentFlexible resource management.
What infrastructure do you need?
Windows ServerASP.NET, MSSQL, RDP.
Linux (Ubuntu/CentOS)PHP, Python, MySQL, Docker.
What is the estimated user traffic?
Low / MediumEntry level or new project.
High TrafficHeavy campaigns or many users.
Who will manage the server?
I Will Manage ItI have a technical team, root access is enough.
I Need SupportManaged Services required.
How many people will work in the shared workspace?
1 - 10 UsersSmall teams.
10 - 50+ UsersDepartment-based permissions required.
Is remote access required?
Yes, DefinitelyField team needs to upload files from mobile.
No, Office OnlyAccess only from company computers.
Analyzing Your Responses...
BEST SOLUTION FOR YOU

Product Title

Description

Explore Product Now

Product Information Request

Fill out the form so our solution experts can contact you.

Size uygun Narbulut Cloud Server planlarına göz atın

Narbulut Cloud Server ile ihtiyaçlarınıza en uygun sunucuları yapılandırın.

    SUNUCU TEKLİF & YAPILANDIRMA FORMU

    1. KURUMSAL KİMLİK & İLETİŞİM
    2. TEKNİK GEREKSİNİMLER
    3. LİSANS YÖNETİMİ

    Check out Narbulut Cloud Server plans that suit you

    Configure the servers that best fit your needs with Narbulut Cloud Server.

      SERVER QUOTE & CONFIGURATION FORM

      1. CORPORATE IDENTITY & CONTACT
      2. TECHNICAL REQUIREMENTS
      3. LICENSE MANAGEMENT

      Narbulut Mobile’ı İndirin

      Uygulamayı indirmek istediğiniz platformu seçin

      Google Play
      App Store
      AppGallery

      Download Narbulut Mobile

      Select the platform you want to download the app

      Google Play
      App Store
      AppGallery
      ×