Mali Müşavir ve Muhasebe Büroları İçin KVKK ve Siber Güvenlik

Tek bir muhasebe bürosunun sunucusunda kaç kişinin verisi durur, hiç düşündünüz mü? Yüz müşterilik orta ölçekli bir ofis; her müşterinin çalışan bordroları, TC kimlik numaraları, SGK bildirgeleri, banka hesap hareketleri, e-beyanname şifreleri. Binlerce kişinin en hassas verisi, çoğu zaman tek bir Windows sunucusunda, çoğu zaman da düzgün yedeği olmadan.

Bu yüzden mali müşavirlik ofisleri, fidye yazılımı çetelerinin gözünde “küçük ama çok değerli” hedef. Basına yansıyan bir vakada, Türk emniyetinin yakaladığı “AtSeverse” kod adlı saldırgan Mimic fidye yazılımıyla doğrudan mali müşavirleri hedef almış; mağdurlardan biri verilerini geri almak için 7 bin euro fidye ödemişti. Saldırı mantığı basit: beyanname dönemine denk getir, sunucuyu şifrele, mükellef GİB’e yetişemesin diye telaşlanırken pazarlık et.

Mali Müşavir Neden “Veri Sorumlusu” Sayılır?

KVKK açısından mali müşavir iki şapka takar. Kendi personelinin özlük dosyaları, ofis kamera kayıtları ve büronun kendi kayıtları için veri sorumlusudur. Müşterinin defterini tutarken, bordrosunu hazırlarken ise çoğu durumda müşteri adına veri işleyen konumundadır. İki rol de yükümlülük doğurur ve ikisinde de teknik tedbir almayan taraf Kurul karşısında tek başına kalır.

Pratikte şu ayrım önemli: müşteri “veri sorumlusu” olsa bile, veriyi sizin sunucunuzda işliyorsanız, o veriyi korumak teknik olarak sizin sorumluluğunuzdadır. Bir sızıntı olduğunda Kurul “işleyen yeterli tedbiri almamış” diyerek büroya da yönelir. Müşteriyle aranızda yazılı bir veri işleyen sözleşmesi yoksa, sorumluluğun sınırı da belirsiz kalır.

VERBİS Son Tarihi 5 Haziran 2026

Güncel ve kaçırılmaması gereken bir tarih var. Kurul’un 13.05.2026 tarihli kararıyla, 2025 mali bilanço toplamı eşiği aşan kurumlar vergisi mükellefi tüzel kişiler için VERBİS’e kayıt ve bildirim son tarihi 5 Haziran 2026 Cuma’ya uzatıldı. Limited ya da anonim şirket olarak yapılanmış muhasebe bürolarının önemli bir kısmı bu kapsama girebilir.

VERBİS muafiyeti hâlâ var: yıllık net satış hasılatı 2,5 milyon TL altında ve 50’den az çalışanı olan işletmeler kayıttan muaf. Ama muafiyet sadece sicil kaydını kaldırır. Aydınlatma yükümlülüğü, açık rıza, veri güvenliği tedbirleri bütün bürolar için geçerli kalmaya devam eder. “Biz küçüğüz, bize bir şey olmaz” cümlesi, ne yazık ki Kurul kararlarında karşılığı olmayan bir avuntu.

İhlal Olursa: 72 Saatlik Kronometre

Bir sızıntı yaşadığınız anda kronometre başlıyor. KVKK Kurulu’nun 2019/10 sayılı kararı gereği, ihlali öğrendiğiniz andan itibaren en geç 72 saat içinde Kurul’a bildirim yapmanız gerekiyor. Etkilenen kişilere ise “makul olan en kısa süre” içinde haber vermelisiniz.

Sahada en sık gördüğüm hata, bu süreyi geciktirmek. Büro sahibi “müşteri duymasın, halledelim” diye iki gün kaybediyor, sonra bildirim penceresi kapanıyor. Oysa Kurul, gizleme tespit ettiğinde ihlalin kendisinden daha ağır ceza yazıyor. Bilgilerin tamamı 72 saatte hazır olmasa bile, başlangıç bildirimi yapıp sonrasında aşamalı tamamlamak kabul ediliyor — yani “elimde her şey yok” demek beklemek için bir gerekçe değil.

Rakamlar ufak değil. 27 Kasım 2025 tarihli Resmî Gazete’de yayımlanan %25,49 yeniden değerleme oranıyla 2026 cezaları yeniden hesaplandı: veri güvenliği yükümlülüklerine aykırılık kalemi 256.357 TL ile 17.092.242 TL arasında değişiyor. On kişilik bir büro için üst sınır, yıllık karın tamamı anlamına gelebilir.

Bir Muhasebe Bürosunda Önce Yapılacaklar

Bütçe sıralaması açısından, her büronun ilk hafta atabileceği somut adımlar:

Öncelik	Tedbir	Neyi çözer
1	3-2-1 yedekleme + değişmez (immutable) kopya	Fidye yazılımında veriyi geri getirir
2	E-posta için MFA / passkey	Hesap ele geçirmenin önünü keser
3	Sunucu ve uç noktada EDR/MDR	Şifrelemeyi başlamadan durdurur
4	VERBİS kaydı ve aydınlatma metinleri	İdari ceza riskini düşürür
5	Müşterilerle veri işleyen sözleşmesi	Sorumluluk sınırını netleştirir

Bunların hiçbiri lüks değil. Yedekleme olmadan fidye ödemekten başka çıkış kalmıyor; MFA olmadan tek bir oltalama maili bütün ofisi kilitliyor. Açıkçası işin en zor kısmı teknoloji değil, alışkanlık: beyanname yoğunluğunda “sonra yaparız” denen güncellemeler, kapanmayan açıklara dönüşüyor.

Mali müşavirlik bürosu için doğru kurgu, ofisin büyüklüğüne göre aylık birkaç bin liralık bir yönetilen BT anlaşmasıyla kurulabilir. Tam maliyet; ofisteki kullanıcı sayısı, sunucu yapısı ve yedekleme hacmine göre değişir. Bürodan veri envanteri çıkarıp size özel bir yol haritası hazırlayalım.

Sıkça Sorulan Sorular

Müşterimin verisi sızdı, sorumlu ben mi oluyorum? Veriyi sizin altyapınızda işliyorsanız, teknik tedbir yükümlülüğü size aittir. Kurul, “veri işleyen yeterli güvenliği sağlamamış” gerekçesiyle büroya doğrudan ceza yazabiliyor. Müşteriyle imzalı veri işleyen sözleşmesi bu sınırı netleştirir.

Tek kişilik bir SMMM ofisiyim, VERBİS’e girmek zorunda mıyım? Şahıs işletmesi olarak yıllık net satış hasılatınız 2,5 milyon TL altındaysa ve 50’den az çalışanınız varsa sicil kaydından muafsınız. Ama aydınlatma, açık rıza ve veri güvenliği yükümlülükleri muafiyetten bağımsız olarak sizi de bağlar.

Fidye yazılımı bulaşırsa fidyeyi ödesem yeter mi? Ödeme verinin geri geleceğini garanti etmez, üstelik aynı çetenin tekrar hedefi olursunuz. Değişmez yedek varsa fidye ödemeden kurtarma yapılır; bu yüzden yedekleme her zaman fidye pazarlığından ucuzdur.

Beyanname döneminde saldırı olursa ne yaparım? Bu çetelerin bilerek seçtiği zaman bu. Önceden hazırlanmış bir olay müdahale planı, çevrimdışı yedek ve ulaşılacak BT desteğinin telefonu olmazsa, en kötü anda en kötü kararları verirsiniz.

Kaynaklar

• Kişisel Verileri Koruma Kurumu — VERBİS kayıt süreleri ve veri ihlali bildirimi: kvkk.gov.tr
• KVKK Kurulu 24.01.2019 tarih ve 2019/10 sayılı kararı (72 saat bildirim usulü)
• Resmî Gazete, 27 Kasım 2025 — 2026 yeniden değerleme oranı (%25,49)