Avukatlık Büroları İçin Veri Güvenliği: Müvekkil Dosyaları ve KVKK

Bir avukatın müvekkilinden öğrendiği bilgiyi saklama yükümlülüğü, dava kapandığında bitmez. Avukatlık Kanunu’nun 36. maddesi bu ödevi ömür boyu sürdürür ve vekâlet ilişkisi sona erse bile geçerli kalır. Aynı sır artık bir dolapta değil, bir dosya sunucusunda, bir e-posta kutusunda ve çoğu zaman bir bulut diskinde duruyor. Sorun şu: müvekkil dosyaları bir fidye yazılımı saldırısında şifrelenip dışarı sızdırıldığında ihlal edilen yalnızca KVKK olmaz; mesleğin en temel ödevi de çiğnenir.

Bu ikili sorumluluk, hukuk bürolarını diğer KOBİ’lerden ayıran şeydir. Çoğu işletme için veri ihlali idari para cezası ve itibar kaybı anlamına gelir. Bir hukuk bürosu için buna bir de meslek sırrının ifşası — ve TCK 239 kapsamında ceza sorumluluğu riski — eklenir.

Hukuk büroları neden öncelikli hedef?

Saldırganların hedef seçerken baktığı tek şey verinin değeridir; bu açıdan hukuk büroları küçük ekiplerine rağmen yüksek getirili hedeflerdir. Bir büronun sunucusunda devam eden ceza dosyaları, birleşme-devralma sözleşmeleri, ticari sırlar, boşanma ve miras dosyalarındaki mahrem bilgiler bir arada bulunur.

Veri sızdırma temelli fidye saldırılarında bu içeriğin kamuya açıklanma tehdidi, ödeme baskısını klasik şifrelemeli saldırılardan çok daha güçlü kılar. Müvekkil, sırrını büroya emanet etmiştir; bu güvenin teknik bir zafiyetle kırılması, mali sonucun ötesinde onarılması güç bir itibar hasarı bırakır.

Bir başka gerçek de büroların ölçeğidir. Üç-beş kişilik bir büroda çoğu zaman tam zamanlı bir BT sorumlusu yoktur; sistemler kuruluştan kalma varsayılan ayarlarla çalışır, yedekler düzensizdir, e-posta tek faktörlü parolayla korunur. Saldırgan tarafında bu durum bilinen bir fırsattır.

VERBİS muafiyeti, KVKK muafiyeti değildir

Burada yaygın bir yanılgıyı netleştirmek gerekir. Avukatlar, Kişisel Verileri Koruma Kurulu’nun kararı uyarınca Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğünden muaf tutulmuştur. Bu muafiyet sık sık “avukatlar KVKK’dan muaf” şeklinde yanlış okunuyor.

Gerçek farklı. Muafiyet yalnızca sicile kayıt adımını kaldırır. KVKK’nın asıl yükleri yerinde durur:

Yükümlülük	Avukatlık bürosu için karşılığı
Veri güvenliği (m.12)	Müvekkil verisini yetkisiz erişim, kayıp ve değiştirilmeye karşı korumak için teknik ve idari tedbir almak
Aydınlatma yükümlülüğü	Müvekkili, verisinin hangi amaçla işlendiği konusunda bilgilendirmek
Veri ihlali bildirimi	Bir ihlal tespit edildiğinde Kurul’a 72 saat içinde bildirim yapmak
Saklama ve imha	Verileri amacı sona erince saklama politikasına göre imha etmek

Yani teknik tedbir alma sorumluluğu avukat için iki kaynaktan birden doğar: KVKK m.12 ve Avukatlık Kanunu m.36. İkisi de aynı yöne işaret eder — müvekkil verisinin korunması artık fiziksel değil, dijital bir disiplin meselesi.

Bir büroda asgari teknik kontroller

Müvekkil dosyalarının korunması, pahalı tek bir ürünle değil, katmanlı birkaç temel kontrolle sağlanır. Üç-otuz kullanıcılı bir büro için işin özü şu başlıklarda toplanır:

1. E-posta güvenliği ve çok faktörlü kimlik doğrulama (MFA). Saldırıların büyük kısmı çalınmış parola ya da phishing ile başlar. Tüm hesaplarda MFA, oltalama filtresi ve sahte gönderici engellemesi (DMARC/DKIM/SPF) ilk savunma hattıdır.
2. Değişmez (immutable) yedekleme. Fidye yazılımı senaryosunda pazarlık masasından kalkmanın tek yolu, saldırganın silemeyeceği temiz bir yedektir. 3-2-1 ilkesi ve en az bir çevrimdışı/değişmez kopya esastır.
3. Erişim yetkilendirmesi. Her avukatın ve kâtibin yalnızca kendi dosyalarına erişmesi, sızıntının kapsamını sınırlar. “Herkes her şeye erişiyor” yapısı bir ihlali tüm büroya yayar.
4. Endpoint koruması ve yama yönetimi. Güncel olmayan bir sunucu ya da Windows istemcisi, bilinen açıklarla açık bir kapıdır. Merkezi yama ve EDR/MDR katmanı bu kapıyı kapatır.
5. UYAP ve e-imza erişiminin güvenliği. Avukat kimliğiyle yapılan dijital işlemler için kullanılan cihaz ve e-imza aracının ele geçirilmesi, doğrudan müvekkil aleyhine sonuç doğurabilir.

Bu beş başlık, büronun büyüklüğünden bağımsız olarak başlangıç seviyesidir; lüks değil, mesleki sorumluluğun teknik karşılığıdır.

Kurumsal değerlendirme için kontrol listesi

Bir büronun mevcut durumunu ölçmek için soru tek tek sorulduğunda tablo netleşir:

• Tüm e-posta hesaplarında MFA etkin mi, yoksa yalnızca parola mı kullanılıyor?
• Dosya sunucusunun son temiz yedeği ne zaman alındı ve bu yedekten geri dönüş test edildi mi?
• En az bir yedek kopya çevrimdışı ya da değiştirilemez durumda mı?
• Stajyer ve kâtip hesapları, devam eden tüm dosyalara mı erişiyor?
• Sunucu ve istemcilerdeki güvenlik yamaları son 30 gün içinde uygulandı mı?
• Bir veri ihlali durumunda 72 saatlik bildirim için yazılı bir süreç var mı?

Bu kriterler üzerinden net bir tablo isteyen bürolar için 30 dakikalık bir değerlendirme görüşmesi talebi iletişim formundan iletilebilir.

Xen Bilişim hizmet kapsamı

Hukuk bürolarına yönelik veri güvenliği çalışmalarımız tek bir ürünün satışı değil, mesleki gizlilik yükümlülüğüne uygun bir BT duruşunun kurulmasıdır:

Kapsam	İçerik
Durum değerlendirmesi	Mevcut yedekleme, e-posta ve erişim yapısının KVKK m.12 ve mesleki gizlilik açısından denetimi
E-posta ve kimlik güvenliği	MFA, oltalama filtresi, DMARC/DKIM/SPF kurulumu
Yedekleme mimarisi	3-2-1 ve değişmez yedekleme tasarımı, geri dönüş testi
Endpoint ve sunucu koruması	EDR/MDR, merkezi yama yönetimi, sunucu sıkılaştırma
Erişim yönetimi	Dosya bazlı yetkilendirme, en az ayrıcalık ilkesi
KVKK uyum desteği	Aydınlatma metni, saklama-imha politikası, ihlal müdahale akışı danışmanlığı
Sürekli operasyon	İzleme, güncelleme ve kullanıcı farkındalık eğitimi

Ölçeğe göre öneri çerçevesi

Büro ölçeği	Önerilen yapı	Açıklama
1-5 kullanıcı	Bulut tabanlı e-posta + MFA, değişmez yedek, endpoint koruması	Sunucu yükü olmadan temel koruma; düşük operasyon maliyeti
6-20 kullanıcı	Yukarıdakilere ek olarak merkezi yama, erişim yetkilendirmesi, MDR	Birden çok avukatın dosya ayrımı kritikleşir
20+ kullanıcı	Tam yönetilen BT, log saklama, ihlal müdahale planı, yıllık denetim	Çoklu lokasyon ve stajyer rotasyonu yapısal yönetim gerektirir

Sıkça sorulan sorular

Avukatlar KVKK’dan muaf değil mi? Hayır. Muafiyet yalnızca VERBİS’e kayıt yükümlülüğüyle sınırlıdır. Veri güvenliği, aydınlatma, saklama-imha ve ihlal bildirimi yükümlülükleri tüm bürolar için geçerlidir.

Küçük bir büro için bu kadar kontrol gerçekten gerekli mi? Saldırganlar ölçeğe değil, korumanın zayıflığına bakar. Üç kişilik bir büro, zayıf yedekleme ve tek faktörlü parola nedeniyle çoğu zaman daha kolay hedeftir.

Yedeklerimiz var, bu yeterli değil mi? Yedeğin varlığı yeterli değildir; değiştirilemez olması ve geri dönüşünün test edilmiş olması esastır. Saldırganların ilk hedeflerinden biri erişilebilir durumdaki yedeklerdir.

Bir ihlal yaşarsak ne olur? Kişisel veri içeren bir ihlalde Kurul’a 72 saat içinde bildirim gerekir. Buna ek olarak mesleki gizlilik açısından ayrı bir değerlendirme yapılır; bu nedenle yazılı bir müdahale akışının önceden hazır olması önemlidir.

Tek seferlik bir kurulum mümkün mü? Mümkündür, ancak güvenlik tek seferlik bir kurulum değil sürdürülen bir durumdur. Yama ve yedek testleri düzenli yapılmadığında koruma birkaç ay içinde aşınır.

İletişim

Hukuk bürosu veri güvenliği değerlendirmesi ya da görüşme talebiniz için:

Kanal	Bilgi
Telefon	0850 259 5949 (Hafta içi 09:00-18:00)
E-posta	[email protected]
Form	Kurumsal değerlendirme talebi
WhatsApp	+90 850 259 5949

Teknik değerlendirme görüşmeleri ücretsizdir; ön bilgi paylaşımı için bir taahhüt gerekmez.

Kaynaklar

• Avukatlık Kanunu Madde 36 — Sır Saklama
• KVKK — 6698 Sayılı Kanun, Veri Güvenliğine İlişkin Yükümlülükler (m.12)
• KVKK — Veri Sorumluları Siciline Kayıt Yükümlülüğüne İstisna Getirilen Veri Sorumluları
• KVKK — Veri İhlali Bildirimi