Sigorta Acentelerinde KVKK ve Veri Güvenliği: Müşteri Bilgilerini Korumanın Hukuki Altyapısı
"Müşteri listesini yanlışlıkla eski çalışana gönderdik. Dosyada binlerce TCKN, plaka ve telefon vardı. Avukata sorduğumuzda öğrendik: sorun sadece mahcubiyet değil, KVKK kapsamında ciddi bir yükümlülük."
Sigorta acentesi ofisinde her gün en hassas kişisel veriler dolaşır. Trafik ve kasko teklifinde TC kimlik numarası, doğum tarihi, adres ve araç plakası; sağlık ve tamamlayıcı sigortada geçmiş hastalık bilgileri, SGK kayıtları ve aile bireyleri; konut poliçesinde tapu adresi ve bina bilgileri; kurumsal portföyde çalışan listeleri ve filo envanteri… Bunların hepsi 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında korunan verilerdir. Müşteri size güvenerek bu bilgileri verir; yasal sorumluluk ise acentenize aittir.
Pek çok acente bu verileri hâlâ Excel tablolarında, şifresiz masaüstü bilgisayarlarda, USB belleklerde veya kişisel WhatsApp sohbetlerinde tutar. Operasyon hızlı görünür; fakat sigorta acentesi KVKK süreçleri açısından görünmez bir risk birikir. Bu yazıda sigorta veri güvenliği konusunu korkutmak için değil, bilinçlendirmek için ele alıyoruz: hangi senaryolar yasal yaptırıma yol açar, kasko müşteri bilgileri yasal saklama beklentisi ne anlama gelir ve AcenteOS bu tabloyu nasıl değiştirir.
Acente Masasında Hangi Veriler Var?
Sigorta operasyonu, doğası gereği özel nitelikli ve hassas kişisel veri yoğun bir iş alanıdır. KVKK uyumu değerlendirirken aşağıdaki veri kategorilerinin acente sorumluluğunda olduğunu unutmamak gerekir:
TC kimlik numarası, ad-soyad, doğum tarihi, telefon, e-posta ve adres — neredeyse her branşta zorunlu. Yanlış kişiye iletilen veya kayıp cihazda bulunan bu veriler, veri ihlali sayılabilir.
Plaka, ruhsat seri numarası, şasi bilgisi, sürücü geçmişi. Kasko müşteri bilgileri yasal saklama süresi ve erişim kontrolü açısından ayrı dikkat gerektirir; statik Excel listesinde bu kontrol sağlanamaz.
Tamamlayıcı sağlık, grup sağlık ve bireysel sağlık poliçelerinde hastalık geçmişi, SGK bilgisi ve aile bireyleri. KVKK md. 6 kapsamında özel nitelikli veri sayılan bu bilgiler için ek koruma tedbirleri gerekir.
Çalışan listeleri, araç envanteri, nakliyat sevkiyat bilgileri. Kurumsal müşteride tek bir Excel dosyası yüzlerce kişinin verisini taşır; yanlış paylaşımın etkisi katlanarak büyür.
KVKK Kapsamında Acente Ne Zorunda?
Sigorta acentesi, müşteri (sigortalı) verilerini işlerken çoğu senaryoda veri sorumlusu sıfatıyla hareket eder. Bu; veriyi toplama, saklama, paylaşma ve imha etme süreçlerinin KVKK'ya uygun yürütülmesi gerektiği anlamına gelir. Aydınlatma yükümlülüğü, veri güvenliği tedbirleri (md. 12), veri ihlali halinde Kişisel Verileri Koruma Kurumu'na ve ilgili kişilere bildirim yükümlülüğü — bunlar "ileride bakarız" denilecek konular değildir.
Sigorta acentesi KVKK süreçleri pratikte şu sorulara indirgenir: Veriyi kim görüyor? Nerede saklıyorsunuz? Kiminle paylaşıyorsunuz? Ne kadar süre tutuyorsunuz? Personel ayrıldığında erişimi kapatıyor musunuz? Bu soruların cevabı "Ahmet'in bilgisayarındaki Excel" ise, hukuki risk ile operasyonel risk aynı dosyada birikir.
Günlük Operasyonda Yasal Risk Üreten Senaryolar
Siber güvenlik sigorta sektöründe yalnızca büyük şirketlerin gündemidir sanılır; oysa acente ölçeğinde en sık görülen ihlaller çoğu zaman teknoloji değil, dağınık veri alışkanlığıdır:
Şifresiz veya zayıf şifreli dizüstü bilgisayarda müşteri listesi, poliçe PDF'leri ve TCKN sütunları. Cihaz kaybı tek başına veri ihlali sayılabilir; Kurul'a bildirim ve ilgili kişilere duyuru yükümlülüğü değerlendirilir.
Excel müşteri listesinin yanlış alıcıya gönderilmesi, sektörde en sık karşılaşılan ihlal türlerinden biridir. "Geri al" düğmesi hukuki sonucu ortadan kaldırmaz; veri üçüncü kişinin kontrolüne geçmiş olabilir.
Yedekleme bahanesiyle taşınan şifresiz .xlsx dosyaları, ortak masaüstü klasörleri ve eski personelin erişiminin kapatılmadığı paylaşımlar. Kasko müşteri bilgileri yasal saklama beklentisi, "bir kopya daha dursun" mantığıyla çelişir.
Ruhsat fotoğrafı, poliçe PDF'i veya müşteri listesi kişisel telefonda kalır; ekran görüntüsü yanlış gruba gider. Merkezi iletişim logu olmadan kimin ne paylaştığı izlenemez; KVKK açısından hesap verilebilirlik zayıflar.
Yasal Yaptırımlar: Korkutmak İçin Değil, Uyarmak İçin
KVKK ihlalleri yalnızca "mahcubiyet" meselesi değildir. Kişisel Verileri Koruma Kurumu, veri güvenliği yükümlülüğünün ihlali, aydınlatma eksikliği ve veri ihlali bildiriminin yapılmaması gibi durumlarda idari para cezası uygulayabilir. Ceza tutarları her yıl güncellenir; asıl mesele rakamdan öte süreklilik ve öngörülebilirliktir: küçük bir acente için bile tek bir ciddi ihlal, yıllık kârlılığı sarsabilecek bir maliyet ve itibar kaybı üretebilir.
Veri ihlali yaşandığında değerlendirilmesi gerekenler arasında Kurul'a bildirim (gerekli hallerde 72 saat içinde), ilgili kişilere bilgilendirme, olay kaydı tutma ve tekrarını önleyecek tedbirlerin alınması yer alır. Excel dosyası kaybolduğunda veya yanlış gittiğinde "fark edilmedi" demek yükümlülükleri ortadan kaldırmaz. Sigorta veri güvenliği, satış sonrası bir formalite değil; acentenin sürdürülebilirliğinin parçasıdır.
Uyumlu Acente Modeli Nasıl Görünür?
KVKK uyumu, karmaşık bir hukuk projesi olarak değil; günlük operasyonun doğru araçlarla yürütülmesi olarak düşünülebilir. Sağlıklı bir sigorta acentesi KVKK süreçleri şu ilkeler etrafında şekillenir:
Merkezi ve Kontrollü Saklama
Müşteri verisi tek platformda, rol bazlı erişimle tutulur. "Kim hangi kaydı gördü?" sorusunun cevabı operasyonel olarak mümkün olmalıdır.
- done%100 kağıtsız operasyon
Erişim Sınırlandırması
Her personel yalnızca göreviyle ilgili ekranlara erişir. İşten ayrılan çalışanın hesabı kapatılır; veri kişisel cihazlarda kalmaz.
- done%100 kağıtsız operasyon
Güvenli İletişim ve Aktarım
HTTPS ile şifrelenmiş bağlantı, kontrollü dosya yükleme ve merkezi bildirim kanalları. Müşteri verisi e-posta eki veya kişisel mesajlaşma yerine iş kaydına bağlı iletilir.
- done%100 kağıtsız operasyon
Hukuki Çerçevenin Ürünle Uyumu
Aydınlatma metinleri, veri işleme sözleşmeleri ve saklama-imha politikaları operasyon modeliyle örtüşmelidir. Yazılım seçimi ile hukuk danışmanlığı birlikte düşünülmelidir.
- done%100 kağıtsız operasyon
Dağınık Dosya vs. Merkezi CRM: Hızlı Karşılaştırma
Excel / Masaüstü vs. AcenteOS CRM — Veri Güvenliği
Sigorta veri güvenliği değerlendirmesinde lisans ücretinden önce erişim kontrolü, izlenebilirlik ve hukuki uyum sorgulanmalıdır.
| Kriter | Excel / Masaüstü / USB | AcenteOS CRM |
|---|---|---|
| Veri konumu | Kişisel bilgisayar, ortak klasör, USB | Merkezi bulut kayıt; tek müşteri kartı |
| Erişim kontrolü | Dosyayı açan herkes tüm listeyi görür | Admin, agent, MH rolleri; rol bazlı menü |
| Kimlik doğrulama | Windows şifresi (çoğu zaman zayıf) | JWT oturum + isteğe bağlı 2FA |
| İletişim izi | WhatsApp ve e-posta dağınık | ActivityLog; bildirim ve işlem geçmişi |
| Personel devri | Liste kişide kalır; erişim kapanmaz | Merkezi kullanıcı yönetimi; hesap kapatma |
| KVKK ihlali riski | Kayıp cihaz, yanlış ek, şifresiz kopya | HTTPS aktarım; kontrollü upload; erişim sınırı |
| Hukuki altyapı | Acente kendi başına yönetmek zorunda | Genesis Hukuk destekli gizlilik ve sözleşme çerçevesi |
AcenteOS SOC2/ISO sertifikası iddiası sunmaz; güvenlik sayfasında yalnızca kod tabanında kanıtlanmış kabiliyetler anlatılır.
Hukuki Vizyon + Teknik Altyapı: Rakiplerin Taklit Edemeyeceği Fark
AcenteOS yalnızca bir yazılım değildir; sigorta sektörü hukuku ile ürün vizyonunu birleştiren bir ekosistemin parçasıdır. Kurucu ortak Sercan Koç'un liderliğindeki Genesis Hukuk, platformun gizlilik politikası ve kullanıcı sözleşmesi gibi hukuki metinlerini hazırlar. Bu, acentelere "bir CRM aldık, KVKK'yı sonra hallederiz" değil; ürünün hukuki altyapısıyla birlikte düşünüldüğü bir güven mesajı verir.
Gizlilik politikası, kullanıcı sözleşmesi ve KVKK kapsamındaki aydınlatma metinleri Genesis Hukuk tarafından hazırlanmıştır. CRM aboneliğinde müşteri (sigortalı) verileri acentenin veri sorumluluğunda işlenir; AcenteOS sözleşmeye bağlı veri işleyen konumunda teknik altyapı sağlar. Hukuk ve yazılım ayrı dillerde konuşmaz.
Müşteri kartı, teklif, poliçe PDF'i, evrak ve iletişim geçmişi tek platformda birleşir. Veriler şifresiz Excel dosyalarında veya kişisel cihazlarda dolaşmak yerine KVKK ve finans sektörü veri güvenliği beklentilerini gözeten bulut altyapısında merkezi olarak saklanır. Aktarım sırasında HTTPS şifrelemesi, erişim kontrolü ve düzenli yedekleme — KVKK md. 12 kapsamındaki teknik tedbirler — bu mimarinin parçasıdır.
Admin, agent, customer_service ve customer (portal) rolleri farklı ekran setlerine erişir. Middleware ve sidebar role mapping ile her personel yalnızca göreviyle ilgili modülleri görür. İki faktörlü doğrulama (2FA) isteğe bağlı etkinleştirilerek hesap güvenliği artırılır — özellikle kasko ve sağlık verisi taşıyan acenteler için kritik bir katmandır.
ActivityLog ile işlem geçmişi kayıt altına alınır; teklif ve poliçe yüklemeleri kontrollü upload akışıyla müşteri kartına bağlanır. Entegrasyon tokenları (WhatsApp, SMTP, SMS) merkezi ayarlar panelinden yönetilir — dağınık yapılandırma ve sızan API anahtarı riski azalır. Siber güvenlik sigorta acentesi ölçeğinde "büyük şirket işi" değil; günlük erişim disiplinidir.
Grup sağlık çalışan listeleri, filo envanteri ve nakliyat sevkiyat bilgileri kurumsal modülde merkezi yönetilir. Yüzlerce kişinin verisini taşıyan tek bir Excel e-postası yerine, rol bazlı erişimli kurumsal müşteri kartı kullanılır. Kasko müşteri bilgileri yasal saklama beklentisi operasyonel olarak karşılanır.
AcenteOS'u anlatırken güvenlik iddialarını abartmıyoruz: otomatik poliçe kesimi, SOC2 sertifikası veya "bankacılık seviyesi 256-bit" pazarlama söylemleri sunulmaz. Bunun yerine kod tabanında kanıtlanmış kabiliyetler — rol bazlı erişim, 2FA, JWT oturum, kontrollü dosya yükleme, activity log — ve Genesis Hukuk destekli hukuki çerçeve öne çıkar. Sigorta acentesi KVKK süreçleri için doğru soru şudur: "Verim mi, uyum mu?" İkisi birbirinin düşmanı değildir; doğru platform ikisini birlikte taşır.
Acente Sahibine Pratik Kontrol Listesi
Sık Sorulan Sorular
Sigorta acentesi KVKK süreçleri ve veri güvenliği hakkında en çok sorulan sorular:
Sigorta acentesi KVKK kapsamında veri sorumlusu mu?
expand_more
Müşteri (sigortalı) verilerini kendi operasyonunuz için topladığınızda çoğu senaryoda evet — veri sorumlusu sizsiniz. CRM sağlayıcısı (AcenteOS) sözleşmeye bağlı olarak veri işleyen konumunda teknik altyapı sunar. Demo ve iletişim formu verileri ile CRM'deki müşteri verileri farklı hukuki çerçevelerde değerlendirilir; ayrıntılar gizlilik politikamızda açıklanmıştır.
Bulut tabanlı sigorta CRM KVKK açısından Excel'den daha güvenli mi?
expand_more
Tek başına "bulut = güvenli" demek doğru değildir; ancak merkezi kayıt, rol bazlı erişim, HTTPS şifrelemesi ve kullanıcı yönetimi, şifresiz .xlsx dosyalarının USB veya e-posta ile dolaşmasına kıyasla çok daha kontrollü bir model sunar. Asıl fark, verinin nerede ve kim tarafından görüldüğünün izlenebilir olmasıdır.
Kasko müşteri bilgileri ne kadar süre saklanmalı?
expand_more
Saklama süresi işlenme amacına, sektörel mevzuata ve imha politikasına bağlıdır; tek bir rakam tüm branşlar için geçerli değildir. Önemli olan, veriyi amaç dışı süresiz tutmamak ve imha prosedürünüzün operasyon modelinizle uyumlu olmasıdır. Merkezi CRM'de müşteri kartı ve poliçe yaşam döngüsü bu disiplini destekler.
Genesis Hukuk'un AcenteOS ile ilişkisi nedir?
expand_more
Genesis Hukuk, AcenteOS ekosisteminin hukuk ortağıdır. Gizlilik politikası ve kullanıcı sözleşmesi Genesis Hukuk tarafından hazırlanmıştır. Kurucu ortak Sercan Koç, sigorta sektörü hukuku ile ürün vizyonunu birleştiren ekip yapısının parçasıdır. Bu, rakip CRM'lerin kolayca kopyalayamayacağı sektörel hukuk + operasyon birleşimidir.
Veri ihlali yaşarsak ne yapmalıyız?
expand_more
Önce etkiyi değerlendirin: hangi veriler, kaç kişiyi, ne ölçüde etkiledi? KVKK md. 12 uyarınca gerekli hallerde Kişisel Verileri Koruma Kurumu'na ve ilgili kişilere bildirim yükümlülükleri değerlendirilir. Olay kaydı tutun, erişimi kapatın, tekrarını önleyecek tedbirleri alın. AcenteOS kullanıcıları için merkezi log ve erişim kontrolü bu süreçte avantaj sağlar.
AcenteOS hangi güvenlik iddialarını sunmaz?
expand_more
Bilinçli olarak sunulmayan iddialar arasında SOC2/ISO 27001 sertifikası, otomatik poliçe kesimi, PCI kapsamı ve kanıtlanmamış penetrasyon testi referansları yer alır. Güvenlik sayfamız yalnızca kod tabanında doğrulanmış kabiliyetleri anlatır: rol bazlı erişim, 2FA, JWT, kontrollü upload ve entegrasyon token yönetimi.
Müşteri verilerinizi hukuki otorite diliyle koruyun
AcenteOS'un rol bazlı erişim, 2FA, merkezi bulut kayıt ve Genesis Hukuk destekli hukuki çerçevesini demo ortamında birlikte inceleyelim. Sigorta acentesi KVKK süreçlerinizi operasyonla birlikte nasıl güçlendirebileceğinizi canlı ortamda görün.
Demo Talep Etarrow_forwardBu konuyu AcenteOS'ta görün
İlgili platform modülleri
Bu yazıdaki konuları CRM operasyonunuzda nasıl yönetebileceğinizi ilgili modül sayfalarından inceleyin.
Bunlar da İlginizi Çekebilir
Excel'in Gizli Maliyeti: Sigorta Acenteleri Excel Tablolarında Ne Kadar Para Kaybediyor?
Ücretsiz Excel sigorta takip şablonu cazip görünür; gözden kaçan tek bir kasko tecdidi veya vade kaçırma maliyeti yıllık tasarrufunuzu eritir. İnsan hatası, hatırlatma eksikliği ve KVKK riskleri.
Eski Nesil Sigorta Programları Neden Acentenizi Yavaşlatıyor? (Yeni Nesil SaaS vs. Masaüstü AMS)
Yıllardır kullandığınız sigorta acente yönetim sistemi güven verir; ancak 2026'da kurulum, güncelleme ücreti ve ofise kilitli erişim acentenizi yavaşlatıyor. Bulut tabanlı sigorta yazılımı ile hantal sigorta yazılımları arasındaki fark.
WhatsApp Entegrasyonlu Sigorta CRM'i ile Müşteri İletişimini Otomatize Edin
Müşteriler e-posta okumuyor, SMS'e bakmıyor; her şey WhatsApp'ta dönüyor. Kişisel telefonlardan kurumsal WhatsApp entegreli CRM'e geçişin acenteye kazandırdıkları.
Masa Başına Mahkum Olmayan Sigortacılık: Mobil Uyumlu CRM ile Sahada Satış
Pazar akşamı gelen "Hasar durumum ne?" veya "Poliçemi atar mısın?" mesajları ofise kilitli sistemlerle cevaplanamaz. Mobil sigorta takip programı ve bulut tabanlı acente yazılımı ile sahada sigorta satışı nasıl hızlanır?