Kurum İçi AI Politikası Nasıl Yazılır?

Bir çalışan müşteri verisini ücretsiz bir AI aracına yapıştırdığında sorun çoğu zaman araç değil, kural eksikliğidir. Bu yüzden iyi yazılmış bir kurum içi AI politikası, hız ile veri güvenliği arasındaki çizgiyi netleştirir.

Birçok şirkette yapay zeka kullanımı başladı, ama sınırlar hâlâ bulanık. Hangi araç serbest, hangi veri yasak, son kontrol kimde, bunlar yazılı değilse risk büyür. Aşağıdaki çerçeve, kurumunuzun hukuk, BT, bilgi güvenliği, İK ve uyum ekipleriyle birlikte uyarlayabileceğiniz pratik bir başlangıç sunar.

Key Takeaways

• Belirsizliği Giderin: İyi bir yapay zeka politikası, çalışanları kısıtlamak yerine hangi araçların, hangi verilerle ve hangi kurallar çerçevesinde kullanılabileceğini netleştirerek iş akışını güvenli hale getirir.
• Disiplinlerarası Bir Yaklaşım İzleyin: Politikanın kapsamı; hukuk, BT, bilgi güvenliği, İK ve operasyon gibi farklı departmanların ortak görüşüyle belirlenmeli ve belge yaşayan bir metin olarak düzenli güncellenmelidir.
• Veri Sınıflandırması Yapın: Açık, dahili ve gizli/hassas veri ayrımı yaparak, hangi verilerin AI araçlarına girilebileceği konusunda net sınırlar çizin ve özellikle gizli verilerin korunması için kesin yasaklar tanımlayın.
• İnsan Denetimini Şart Koşun: Yapay zeka çıktılarının doğruluğu ve etik uygunluğu için, kritik kararlar ve dış paylaşımlar öncesinde mutlaka insan onay mekanizmasını devreye alın.
• Eğitim ve İletişime Odaklanın: Sadece bir doküman hazırlamak yeterli değildir; hazırlanan kuralların çalışanlar tarafından benimsenmesi için pratik eğitimler ve düzenli farkındalık çalışmaları yürütülmelidir.

Kurum içi AI politikası neden artık ertelenmemeli?

Yapay zeka araçları çoğu şirkete sessizce girdi. İlk başta birkaç kişi içerik yazdı, toplantı özeti çıkardı, Excel formülü sordu. Sonra kullanım yayıldı. Ancak kural seti aynı hızda gelmediyse, şirket içinde shadow AI kullanımı oluşur. Yani çalışanlar işi hızlandırmak isterken veriyi nereye taşıdığını, çıktının ne kadar doğru olduğunu ve kimin sorumlu olduğunu bilmez.

2026 yılında iyi bir kurum içi AI politikası dört temel beklenti etrafında şekilleniyor: KVKK uyumu, veri koruma yasaları, EU AI Act standartları, insan onayı ve izlenebilirlik. Buna bir de onaylı yapay zeka araçları listesi ve hukuki uyum kriterleri ekleniyor. Kısacası soru artık AI kullanalım mı değil. Asıl soru, hangi sınırlar içinde ve nasıl bir yapay zeka yönetişimi çerçevesinde kullanalım oluyor.

Politika frene basmak için değil, sınırı net çizmek için yazılır. İyi metin, çalışanı korkutmaz. Tam tersine neyin serbest, neyin yasak, neyin onaya bağlı olduğunu sade dille anlatır. Böylece ekipler daha rahat hareket eder.

Kamuya açık örnek metinlere bakmak da faydalıdır. Örneğin Sabancı’nın Yapay Zeka Politikası ve TÜBİTAK Yapay Zekâ Politikası, yönetişim başlıklarının nasıl kurgulanabileceğini gösterir. Eğer politikanız daha geniş bir dönüşüm planının parçası olacaksa, bunu bir kurumsal yapay zeka dönüşüm stratejisi içinde ele almak çok daha sağlıklı olur.

Yazmaya başlamadan önce zemini kurun

Pek çok kurum ilk hatayı burada yapar ve Word belgesini açıp hemen kurallar yazmaya başlar. Oysa metinden önce birkaç net karar gerekir. Çünkü belgenin dili, kapsamı ve yaptırımı bu kararlarla şekillenir.

İlk karar, politikanın sahibidir. Belgeyi tek başına hukuk yazmasın, sadece BT de sahiplenmesin. En pratik model, ana sahip olarak bir ekip belirlemek ve hukuk, bilgi güvenliği, BT, İK, uyum ve operasyon temsilcilerinden küçük bir çalışma grubu kurmaktır. Son söz yine kurumun yetkili yapısında kalır.

İkinci karar, hangi araçların kapsama girdiğidir. Yalnızca sohbet botlarını düşünmeyin. Kod asistanları, toplantı özetleyiciler, görsel üreticiler, çeviri araçları, ofis içi copilotlar, agent tabanlı iş akışları ve çeşitli üretken yapay zeka çözümleri de kapsamda olmalı. Sadece bir ürün adı yazarsanız, çalışan başka bir yapay zeka araçları kullandığında politika boşa düşer.

Üçüncü karar, hangi veri sınıflandırma süreçlerini uygulayacağınızdır. Çoğu şirket için üç katman yeterlidir: açık veri, dahili veri, gizli veya hassas veri. Bu ayrım yazılı değilse çalışan, ürün broşürü ile müşteri sözleşmesini aynı kefeye koyabilir. Etkili bir risk yönetimi için bu ayrımın netleştirilmesi hayati önem taşır.

Dördüncü karar, hangi süreçlerde insan denetimi mekanizmasının zorunlu olduğudur. İşe alım elemesi, performans değerlendirmesi, fiyatlama, hukuki yorum, sözleşme metni, güvenlik kararı veya müşteriye gidecek kritik mesajlar buna girer. AI destek olabilir, ama son karar sahibi belli olmalıdır.

Ana politika belgesini kısa tutun. Çoğu kurum için 2 ila 4 sayfalık çekirdek metin yeterlidir. Detaylı kuralları ek prosedürlere, araç bazlı talimatlara ve eğitim notlarına koyun. Kimse 17 sayfalık bir kurala günlük iş akışı içinde dönüp bakmaz.

Politika belgesinin omurgası nasıl kurulmalı?

Belgenin iskeleti sade olursa hem onay süreci hızlanır hem de çalışanlar metni gerçekten okur. Kurumun AI kullanım politikası, bir yönetmelik kadar ağır olmak zorunda değildir ama boşluk bırakmamalıdır.

Amaç ve kapsam bölümünde ne yazmalı?

İlk bölümde politikanın neden var olduğunu tek paragrafta anlatın. Amaç genelde aynıdır: verimlilik kazanırken veri güvenliği, etik ilkeler, mevzuat uyumu ve kurumsal kaliteyi korumak. Ardından kapsam gelir. Çalışanlar, stajyerler, danışmanlar, ajanslar, tedarikçiler ve dış kaynak ekipler kapsama dahil mi, açıkça yazılmalıdır.

Burada iyi çalışan bir formül şudur: kimler, hangi araçlar, hangi iş amaçları için. Böylece belge yoruma açık kalmaz. Kapsam bölümünde “kişisel hesaplarla yapılan kullanım da bu politikanın kapsamındadır” ifadesi çoğu şirkette kritik fark yaratır.

Onaylı araçlar ve veri sınırları nasıl tanımlanmalı?

Bu bölüm, politikanın kalbidir. Hangi araçlar onaylı, hangi hesap modeli kullanılmalı, ücretsiz sürüm kullanılabilir mi, SSO zorunlu mu, veriler model eğitimi için saklanıyor mu, bunlar burada yer alır. Ayrıca hangi veri tiplerinin hangi ortamda işlenebileceğini basit bir tabloyla göstermek en pratik yoldur.

Aşağıdaki çerçeve, çoğu kurum için iyi bir başlangıç verir:

Veri türü	Genel AI araçları	Kurumsal lisanslı araçlar	Pratik not
Açık veri	Genelde kullanılabilir	Kullanılabilir	Kaynak kontrolü yine gerekir
Dahili veri	Tercihen girilmez, özel onay gerekebilir	Sınırlı kullanım mümkün	Erişim yetkisi ve kayıt şartı koyun
Gizli veya hassas veri	Yasak	Çoğu durumda yasak, istisna özel onaya bağlı	KVKK, ticari sır ve sözleşme riski yüksektir

“Açık veri dışındaki içerikler, yalnızca kurumun onay verdiği AI araçlarında ve belirlenmiş kullanım senaryolarında işlenir.”

Burada örnekleri somut verin. Kişisel veri, müşteri bilgisi, finansal tablo, teklif içeriği, kaynak kod, güvenlik açığı bilgisi, sağlık verisi ve ticari sır gibi alanları açıkça sayın. “Hassas veri” deyip geçmek iyi niyetli ama zayıf bir yazımdır.

Çıktı doğrulama, telif ve dış iletişim kuralları neden ayrı yazılmalı?

Üretken yapay zeka tarafından oluşturulan çıktıların doğru, güncel ve kuruma uygun olduğu varsayılmamalıdır. Bu yüzden politika, insan denetimi mekanizmasını ve kullanılmadan önce doğrulama kuralını açıkça yazmalıdır. İç rapor, müşteri sunumu, teklif metni, kampanya kopyası ve kod parçası için doğrulama sorumlusu belirlenmelidir.

Ayrıca fikri mülkiyet ve telif hakları konusu da önemlidir. Görsel, metin veya kod üretildiğinde çalışan kendi kontrolünü yapmalı, gerekiyorsa ikinci inceleme istemelidir. Dış paylaşımlarda kurumun açıklama yükümlülüğü varsa buna da burada yer verin. Her şirket her içeriğe “AI kullanıldı” notu düşmek zorunda değildir ama şeffaflık ve beyan prensibi çerçevesinde, hangi durumlarda bu bilginin paylaşılacağı net bir şekilde yazılmalıdır.

Güvenlik, kayıt ve ihlal süreci açık olmalı

İyi bir politika yalnızca ne yapmamanız gerektiğini söylemekle kalmaz, bir sorun yaşandığında ne yapılması gerektiği sorusuna da net cevaplar verir. En büyük güvenlik riskleri genellikle kötü niyetten değil, aceleden kaynaklanır. Bir çalışan hassas bir belgeyi yanlış yere yüklediğinde ve veri sızıntısı riski oluştuğunda kime haber verecek? Hangi kayıtlar tutulacak? BT birimi sistemi nasıl kapatacak? Hukuk departmanı süreci nasıl inceleyecek? Bu soruların yanıtları belirsiz kalmamalıdır.

İzlenebilirlik tam bu noktada devreye girer. Kurumun onay verdiği araçlarda kullanıcı hesabı, ekip erişimi, kullanım amacı ve gerekirse log tutma yapısı belirlenmelidir. Her kurum çok ayrıntılı kayıt tutmak zorunda olmasa da, asgari düzeyde kimin hangi aracı hangi iş amacıyla kullandığını takip edebilmelidir. Yapay zeka kullanımı süreçlerinde şeffaflık, çalışanların görevlerini yerine getirirken sergilemesi gereken temel hesap verebilirlik ilkesinin bir parçasıdır.

“AI çıktıları nihai karar değildir; çalışan, çıktıyı doğrulamadan işlem başlatamaz veya dış paylaşıma açamaz.”

İhlal sürecini de sade bir dille kurgulayın. Olay fark edildiğinde durumun kurumun siber güvenlik bildirim kanalına derhal iletilmesi gerektiğini belirten net bir madde, çoğu yapı için yeterli bir başlangıç olacaktır. Süreç, sorumlu ekip ve iç iletişim zinciri kurumunuzun yapısına göre mutlaka güncellenmelidir.

Kişisel hesaplarla kullanım konusu da kurallar bütününde net olmalıdır. En pratik ve güvenli kural şudur: Kurumsal veri, asla kişisel veya ücretsiz hesaplara girilmemelidir. Çalışanların verimliliğini artırmak ve kurumsal veri güvenliğini en üst düzeyde tutmak için departmanların güvenli bir enterprise abonelik modeline geçiş yapması teşvik edilmelidir. Kamuda ve özel sektörde yayımlanan örnekleri karşılaştırmak isterseniz Patika’nın kurumsal AI policy rehberi farklı maddelerin nasıl sadeleştirilebileceği konusunda size yol gösterecektir.

İşe yarayan örnek politika cümleleri

Hazır cümleler, kurum içi yapay zeka politikası hazırlarken sıfırdan yazma zahmetinden kurtararak büyük kolaylık sağlar. Yine de bu maddeleri olduğu gibi kopyalamak yerine, kurumunuzun veri akışına ve yetki yapısına göre uyarlamanız gerekir. Özellikle hukuk, bilgi güvenliği ve KVKK süreçleriyle çelişen ifadeleri temizlemeye özen gösterin.

Aşağıdaki örnekler, bir kurum içi AI politikası oluştururken çekirdek metne doğrudan dahil edilebilecek kadar net ve işlevseldir:

• Kurum çalışanları yalnızca onaylı AI araçlarını ve kurumsal hesapları kullanır.
• Kişisel veri, müşteri verisi, ticari sır, finansal bilgi ve diğer tüm kritik kurumsal veri türleri genel amaçlı AI araçlarına yüklenmez.
• AI ile üretilen içerikler, dış paylaşımdan önce ilgili çalışan tarafından doğrulanır ve kurumun etik ilkeler çerçevesine uygunluğu denetlenir.
• AI çıktısı, işe alım, performans değerlendirme, fiyatlama, hukuki yorum ve güvenlik gibi kritik kararların tek dayanağı olamaz.
• Kurum adına müşteriyle paylaşılan AI destekli içerikler, gerekli durumlarda ikinci göz kontrolünden geçer.
• Politika ihlalleri, kurumun disiplin ve olay yönetimi süreçleri kapsamında değerlendirilir.
• Bu politika, çalışanlar kadar stajyerler, danışmanlar ve dış kaynak ekipler için de geçerlidir.
• Politika en az yılda bir kez veya yeni bir yapay zeka aracı devreye alındığında gözden geçirilir.

Burada amaç sert görünmek değil, gri alanları mümkün olduğunca azaltmaktır. Çalışan neyi yapabileceğini net bir şekilde bilir ve yöneticiler aynı kuralı kurum genelinde standart bir şekilde uygular.

Şirket ölçeğine göre uyarlama yapın

Her kurumun yapay zeka kullanımı üzerindeki risk profili farklıdır. Bu yüzden tek tip bir politika yaklaşımı benimsemek, hem gereksiz bir bürokrasi yükü yaratabilir hem de operasyonel hızı düşürebilir. İyi bir politika belgesi, şirketin ölçeğine ve veri yoğunluğuna göre titizlikle ayarlanmalıdır.

KOBİ’lerde pratik model

Küçük ekiplerde hazırlanan tek sayfalık bir ana politika bile iş süreçlerinde ciddi bir fark yaratır. KOBİ’ler için en etkili yapı; onaylı araç listesi, yasaklı veri örnekleri ve mutlaka insan onayı gerektiren işlerin tanımlanmasıdır. Buna basit bir ihlal bildirim kanalı eklendiğinde, şirket için önemli bir stratejik avantaj sağlayan temel çerçeve oluşmuş olur. Bu ölçekteki işletmelerde uzun metinler yerine, kısa eğitimler ve sık hatırlatmalar çok daha verimli sonuçlar verir.

Orta ölçekli şirketlerde denge modeli

Bu yapıda departmanlar arası ihtiyaçlar ve kullanım alışkanlıkları birbirinden ayrışmaya başlar. Satış ekibi teklif yazarken, İK departmanı CV özetleri oluşturabilir, pazarlama ekibi içerik üretiminde yapay zekadan faydalanırken yazılım ekibi kod asistanlarını kullanabilir. Dolayısıyla, ortak bir ana politika yanında ekip bazlı özel kuralların tanımlanması gerekir. Kurumsal lisans yönetimi, erişim kontrolleri ve düzenli eğitim takvimi bu ölçekte kritik bir önem kazanır.

Büyük kurumlarda yönetişim modeli

Büyük şirketler için yalnızca basit kullanım kuralları yeterli değildir. Kapsamlı bir yapay zeka yönetişimi çerçevesi oluşturulmalı; tedarikçi incelemeleri, satın alma onay mekanizmaları, model risk değerlendirmeleri, kayıt tutma sistemleri ve düzenli denetim süreçleri hayata geçirilmelidir. Politika burada bir şemsiye belge görevi görür. Bu belgenin altında ise operasyonel prosedürler, araç onay süreçleri ve rol bazlı kontrol katmanları yer almalıdır.

En sık yapılan hatalar

İlk yaygın hata, belgeyi fazla soyut yazmaktır. Gizliliğe dikkat edilir gibi ifadeler kulağa doğru gelir, ama sahada işe yaramaz. Çalışan, teklif dosyasını yapıştırıp yapıştıramayacağını bu cümleden anlayamaz.

İkinci hata, sadece yasak listesi üretmektir. Sürekli hayır diyen politika, çalışanları kayıt dışı çözümlere iter. Bunun yerine güvenli kullanım senaryoları da yazılmalıdır. Özellikle halüsinasyon riski ile bias ve önyargı sorunlarını yönetmek adına, üretilen her çıktıda insan denetimi mekanizmasının zorunlu tutulması kritik önem taşır. Örneğin açık veriden özet çıkarma, toplantı notunu biçimlendirme veya anonimleştirilmiş metni taslak haline getirme gibi süreçler belirlenen kurallar çerçevesinde serbest bırakılabilir.

Üçüncü hata, belgeyi tek bir ürüne bağlamaktır. Bugün ChatGPT yazarsınız, yarın ekip başka araca geçer. Bu yüzden kategori bazlı dil kullanın. Genel amaçlı sohbet aracı, kod asistanı, görsel üretici veya toplantı özetleyici gibi yapay zeka araçları kategorileri çok daha kalıcıdır.

Dördüncü hata, güncelleme sahibini atamamaktır. Politikanın sahibi belli değilse belge eski kalır. Oysa AI araçları, siber güvenlik protokolleri ve veri işleme koşulları hızla değişir. Kamuya açık örneklerde başlık yapısını görmek yararlıdır, ama metni bire bir kopyalamak doğru değildir. Bu nedenle 2026 yapay zeka yol haritası ve uygulama rehberi gibi daha geniş planlama çerçeveleriyle politikanın birlikte ele alınması işleri kolaylaştırır.

Son hata ise eğitim ve farkındalık süreçlerini atlamaktır. Politika yayımlanır, PDF intranete yüklenir ve konu kapandı sanılır. Oysa çalışan okumadığı kuralı uygulamaz. Kısa eğitim, örnek olay ve düzenli hatırlatma yoksa en iyi belge bile rafta kalır.

İlk 30 gün için kısa yapılacaklar listesi

Sıfırdan başlıyorsanız, uzun proje planları çıkarmadan da ilerleyebilirsiniz. Aşağıdaki sıra çoğu kurumda hızlı sonuç verir:

1. Mevcut AI kullanımını iki haftada haritalayın. Kim hangi aracı hangi amaçla kullanıyor, önce bunu görün.
2. Üç veri sınıfını netleştirin. Açık, dahili, gizli veya hassas ayrımı çoğu şirket için yeterlidir.
3. Onaylı araç listesini çıkarın. Kişisel hesap ve ücretsiz sürüm kurallarını aynı anda yazın.
4. Bir sayfalık taslak politika ve uygulama planı hazırlayın. Amaç, kapsam, veri sınırları, insan onayı ve ihlal bildirimi mutlaka yer alsın.
5. Taslağı hukuk, BT, bilgi güvenliği, İK ve operasyonla masaya yatırın. Birimlerin gerçek iş akışına uymayan maddeleri düzeltirken siber güvenlik ve risk yönetimi hedeflerinize uyum sağladığınızdan emin olun.
6. Politikayı kısa eğitimle duyurun ve 90 gün sonra gözden geçirme tarihi koyun. Belge, yaşayan bir metin olmalıdır.

Politikayı tek başına bırakmayın. Onu daha geniş bir kurumsal yapay zeka yol haritası oluşturma çalışmasının parçası yaptığınızda, kurallar kağıtta kalmaz ve günlük işe bağlanır.

Frequently Asked Questions

Kurum içi AI politikasının kapsamına sadece ChatGPT gibi araçlar mı girmeli?

Hayır, politika kod asistanlarından görsel üreticilere, toplantı özetleyicilerden agent tabanlı iş akışlarına kadar kurum bünyesinde kullanılan tüm üretken yapay zeka çözümlerini kapsamalıdır. Sadece tek bir marka veya araca odaklanmak yerine kategori bazlı bir tanım yapmak, politikanın uzun vadede güncelliğini korumasını sağlar.

Çalışanların kendi kişisel hesaplarını kullanmalarını nasıl engellerim?

Politikanızda kurumsal verilerin kişisel veya ücretsiz hesaplara girilmesinin kesinlikle yasak olduğunu açıkça belirtmelisiniz. Bu riski azaltmanın en iyi yolu, ekipleri kurumsal lisanslı ve güvenliği sağlanmış abonelik modellerine yönlendirmek ve şirket içindeki veri sızıntısı risklerini düzenli hatırlatmalarla vurgulamaktır.

Politika belgesi ne kadar uzun olmalıdır?

İdeal bir kurum içi AI politikası, temel ilkeleri içeren 2 ila 4 sayfalık kısa bir çekirdek metinden oluşmalıdır. Çok uzun ve detaylı dokümanlar çalışanlar tarafından okunmadığı için, teknik detayları ve araç bazlı kullanım talimatlarını ek prosedürlere veya kısa eğitim notlarına aktarmak çok daha etkilidir.

AI çıktılarının hukuki sorumluluğu kimdedir?

AI destekli içeriklerin doğruluğu, güncelliği ve kurum etik değerlerine uygunluğu konusunda sorumluluk her zaman çıktıyı kullanan çalışandadır. Politikanız, yapay zekanın nihai karar mercii olmadığını ve tüm kritik iş çıktılarının bir insan denetiminden geçmesi gerektiğini net bir şekilde ifade etmelidir.

Son söz

İyi bir kurum içi AI politikası, çalışanı yavaşlatan değil, belirsizliği azaltan bir pusuladır. Bu belgenin en güçlü hali; kısa, anlaşılır ve uygulanabilir olduğunda ortaya çıkar.

Başlangıç aşamasında kusursuz bir belge yazmak zorunda değilsiniz. Veri paylaşım sınırları, onaylı araç listesi, insan onayı gerekliliği ve ihlal bildirim kanalları net bir şekilde belirlenmişse doğru yoldasınız demektir. Hazırladığınız taslağı hukuk ve bilgi güvenliği ekiplerinizle birlikte son haline getirdiğinizde, kurum içi AI politikası belgeniz teorik bir metin olmaktan çıkıp gerçek bir çalışma kuralına dönüşecektir.

Çalışanlarınızın ücretsiz bir araca hassas şirket verilerini girdiği o kritik anı beklemeyin. Kuralları önceden belirlemek; her zaman daha ucuz, daha kontrollü ve daha güvenli bir yaklaşımdır. Şimdi harekete geçin ve kurumunuzun dijital geleceğini bugünden güven altına alın.

This post may contain affiliate links. If you make a purchase through these links, I may earn a small commission at no extra cost to you.