PII & Veri Gizliliği Sözlüğü
Sektörde kullanılan temel gizlilik, uyum ve veri koruma terimlerinin net tanımları.
Gizlilik & Uyum Terimleri
Kişisel Olarak Tanımlanabilir Bilgi (PII)
İsimler, e-posta adresleri, sosyal güvenlik numaraları veya telefon numaraları gibi belirli bir bireyi tanımlayabilen herhangi bir veri.
Anonimleştirme
Bireylerin doğrudan veya dolaylı olarak tanımlanamayacak şekilde verilerin değiştirilmesi süreci.
Taklitleme
Tanımlanabilir verilerin, yeniden tanımlama için ayrı bir anahtar gerektiren yapay tanımlayıcılar (taklitler) ile değiştirilmesi.
Kimlik Bilgisi Kaldırma
Verilerden kişisel tanımlayıcıların kaldırılması veya gizlenmesi, böylece ek bilgi olmadan belirli bir bireyle ilişkilendirilememesi.
Veri Sahibi
Kişisel verileri bir kontrolör veya işleyici tarafından işlenen tanımlanmış veya tanımlanabilir gerçek kişi.
Veri Kontrolörü
Kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen varlık.
Veri İşleyici
Bir veri kontrolörü adına kişisel verileri işleyen, kontrolörün talimatlarına uyan varlık.
Rıza
Bir veri sahibinin kişisel verilerinin işlenmesine yönelik özgürce verilen, belirli, bilgilendirilmiş ve belirsiz olmayan onay belirtimi.
Yasal Dayanak
Kişisel veri işlenmesinin izin verildiği yasal bir zemin, örneğin rıza, sözleşme gerekliliği, yasal yükümlülük veya meşru menfaat.
Veri Minimizasyonu
Toplanan kişisel verilerin, amacına uygun, yeterli, ilgili ve sınırlı olmasını gerektiren ilke.
Silme Hakkı
Bir veri sahibinin, artık gerekli olmadığında kişisel verilerinin silinmesini talep etme hakkı; GDPR kapsamında 'unutulma hakkı' olarak da bilinir.
Veri Taşınabilirliği
Veri sahiplerinin kişisel verilerini yapılandırılmış, yaygın olarak kullanılan bir formatta alma ve başka bir kontrolöre aktarma hakkı.
Veri Koruma Görevlisi (DPO)
Bir kuruluşun veri koruma stratejisini denetlemek ve gizlilik düzenlemelerine uyumu sağlamakla sorumlu atanan kişi.
Veri Koruma Etki Değerlendirmesi (DPIA)
Bir projenin veri koruma risklerini belirlemek ve en aza indirmek için bir süreç; yüksek riskli işleme faaliyetleri için GDPR gereğidir.
Veri İhlali
Kişisel verilere yetkisiz erişim, ifşa, değiştirme veya yok etme durumunu ifade eden bir güvenlik olayı.
Gölge Yapay Zekası
Yapay zeka araçlarının (ChatGPT, Copilot, Gemini) çalışanlar tarafından BT onayı olmadan izinsiz kullanılması. Kullanıcılar hassas iş verilerini (müşteri kayıtları, hasta bilgileri, finansal veriler) doğrudan AI istemlerine yapıştırdığından Shadow AI, PII veri sızıntılarının önde gelen nedenidir.
Veri Minimizasyonu
Kuruluşların yalnızca belirli bir amaç için gerekli olan minimum kişisel verileri toplamasını ve işlemesini gerektiren bir GDPR ilkesi (Art. 5(1)(c)) Yapay zeka sistemlerinde veri minimizasyonu, veriler yapay zeka hatlarına girmeden önce PII'nin anonimleştirilmesi veya kaldırılması, uyumluluk riskinin ve ihlal yüzeyinin azaltılması anlamına gelir.
Regülatif Çerçeveler
GDPR (Genel Veri Koruma Yönetmeliği)
Avrupa Ekonomik Alanı içindeki bireylerin kişisel verilerinin işlenmesini düzenleyen AB yönetmeliği, Mayıs 2018'den beri geçerlidir.
CCPA (California Tüketici Gizliliği Yasası)
Tüketicilere işletmeler tarafından toplanan kişisel bilgileri üzerinde haklar veren Kaliforniya eyalet yasası, Ocak 2020'den beri geçerlidir.
HIPAA (Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası)
Hassas hasta sağlık bilgilerinin izinsiz ifşasından korunmasına yönelik standartlar belirleyen ABD federal yasası.
ISO 27001
Bilgi güvenliği yönetim sistemleri (ISMS) için uluslararası bir standart, güvenlik kontrollerinin kurulması, uygulanması ve sürekli iyileştirilmesi için gereklilikleri belirler.
SOC 2 (Sistem ve Organizasyon Kontrolleri 2)
Hizmet organizasyonları için güvenlik, kullanılabilirlik, işleme bütünlüğü, gizlilik ve mahremiyetle ilgili kontrolleri değerlendiren bir denetim çerçevesi.
EU AI Act
Yapay zekaya ilişkin Avrupa Birliği düzenlemesi (Ağustos 2026'dan itibaren yürürlüğe girmiştir). Yüksek riskli yapay zeka sistemleri, kişisel veri minimizasyonu, dokümantasyon ve DPIA dahil olmak üzere veri yönetimi önlemlerini uygulamalıdır. Bireyler hakkında karar vermek için yapay zekayı kullanan kuruluşlar, eğitim verilerinin anonimleştirilmesini veya takma ad verilmesini sağlamalıdır.
ISO 42001
2023'te yayınlanan Yapay Zeka Yönetim Sistemleri (AIMS) için uluslararası standart. Veri kalitesi, önyargı kontrolleri ve gizlilik önlemleri dahil olmak üzere sorumlu yapay zeka geliştirme ve dağıtımı için bir çerçeve sağlar. Kişisel verilerle yapay zeka sistemlerini işleten kuruluşlar için genellikle ISO 27001 ile eşleştirilir.
Hindistan DPDP Act
Hindistan'ın Dijital Kişisel Verileri Koruma Yasası (2023), 2025'ten itibaren yürürlüğe girmiştir. Hindistan'da ikamet edenlerin kişisel verilerinin işlenmesi için açık izin, hassas veriler için veri yerelleştirmesi ve 72 saat içinde ihlal bildirimi gerektirir. Hindistan vatandaşlarının verilerini işleyen dünya çapındaki kuruluşlar için geçerlidir.
Teknik Terimler
Adlandırılmış Varlık Tanıma (NER)
Metin içinde adlandırılmış varlıkları tanımlayan ve sınıflandıran bir NLP tekniği; kişi isimleri, yerler ve organizasyonlar gibi önceden tanımlanmış kategorilere ayrılır.
Doğal Dil İşleme (NLP)
Bilgisayarların insan dilini anlamasını, yorumlamasını ve üretmesini sağlayan yapay zeka dalı.
Desen Tanıyıcı
Belirli veri desenlerini tanımlamak için düzenli ifadeler ve bağlam ipuçları kullanan kural tabanlı bir dedektör; örneğin kredi kartı numaraları veya sosyal güvenlik numaraları.
Güven Skoru
Bir tespit motorunun belirli bir varlık türüne ait bir metin parçasının eşleştiğinden ne kadar emin olduğunu gösteren 0 ile 1 arasında bir sayısal değer.
Düzenli İfade (Regex)
Bir arama desenini tanımlayan karakter dizisi; genellikle telefon numaraları veya e-posta adresleri gibi yapılandırılmış veri formatlarını doğrulamak ve tespit etmek için kullanılır.
AES-256-GCM
256 bit anahtar kullanan ve şifrelenmiş verilerin hem gizliliğini hem de bütünlüğünü doğrulayan Galois/Sayaç Modu kullanan bir kimlik doğrulamalı şifreleme algoritması.
Sıfır Bilgi Şifrelemesi
Sadece kullanıcının şifre çözme anahtarını elinde tuttuğu bir şifreleme mimarisi; bu, hizmet sağlayıcının düz metin veriye erişememesi anlamına gelir.
Tokenizasyon
Hassas verilerin, orijinal verilere güvenli bir arama ile geri dönülebilen, hassas olmayan yer tutucu jetonlarla değiştirilmesi.
Veri Maskelenmesi
Hassas bilgilerin gizlenmesi için bir veri kümesindeki belirli verilerin bulanıklaştırılması; verilerin test veya analiz için kullanılabilir kalmasını sağlar.
Kırmızı İşaretleme
Bir belge veya veri kümesinden hassas bilgilerin kalıcı olarak kaldırılması; bunun yerine [KIRMIZI İŞARET] gibi bir işaretleyici ile değiştirilmesi.
Sentetik Veriler
Gerçek kayıtları içermeden gerçek verileri istatistiksel olarak taklit eden yapay zeka tarafından oluşturulan veriler. Anonimleştirmeyle karşılaştırıldığında: anonimleştirilmiş veriler, alt makine öğrenimi için daha yüksek analitik doğruluğu korur; sentetik veriler yeniden tanımlama riskini ortadan kaldırır ancak istatistiksel sapmaya neden olur. Uygunluk denetimleri için orijinal kayıtlara ihtiyaç duyulabileceği durumlarda geri döndürülebilir anonimleştirme tercih edilir.
Yüksek Lisans İstemi Enjeksiyonu
Kötü amaçlı girişin, talimatları göz ardı etmek veya hassas bilgileri sızdırmak için büyük bir dil modelini manipüle ettiği bir saldırı tekniği. PII koruma bağlamlarında, anında enjeksiyon, bir yapay zeka modelinin anonimleştirilmiş veri modellerini veya kullanıcı bilgilerini ortaya çıkarmasına neden olabilir. Girişlerin LLM'lere ulaşmadan önce önceden anonimleştirilmesi saldırı yüzeyini azaltır.
Tasarım Bazında Gizlilik
Veri korumanın sonradan akla gelen bir fikir olarak eklenmesi yerine sıfırdan sistemlere yerleştirilmesini gerektiren bir GDPR Art. 25 ilkesi. Yapay zeka sistemleri için tasarım gereği gizlilik, verilerin yapay zeka hatlarına girmeden önce anonimleştirilmesi, sıfır bilgi şifrelemesinin uygulanması ve veri saklamanın en aza indirilmesi anlamına gelir.
Anonimleştirme Yöntemleri
Değiştir
Tespit edilen PII'yi aynı varlık türünde genel bir yer tutucu ile değiştirmek; örneğin 'John Smith' yerine '<KİŞİ>' ile değiştirmek.
Maskele
Karakterleri maskeleme sembolleri ile değiştirerek PII'yi kısmen gizlemek; örneğin '123-45-6789' numarasını '***-**-6789' haline getirmek.
Kırmızı İşaretle
Tespit edilen PII'yi metinden tamamen kaldırmak; orijinal değerin hiçbir izini bırakmamak.
Hash
PII'yi sabit uzunlukta bir kriptografik hash'e dönüştürmek; bu, tutarlı bir değişim sağlarken tersine çevirmeyi hesaplama açısından imkansız hale getirir.
Şifrele
PII'yi kullanıcı tarafından tutulan bir anahtar ile AES-256-GCM şifrelemesi kullanarak dönüştürmek; gerektiğinde yetkili tersine çevirme (de-anonimleştirme) sağlar.
Sıkça Sorulan Sorular
Anonimleştirme ile taklitleme arasındaki fark nedir?
Anonimleştirme, yeniden tanımlamanın imkansız olduğu şekilde tüm tanımlayıcı bilgileri geri dönüşümsüz olarak kaldırır. Taklitleme, tanımlayıcıları yapay olanlarla değiştirirken, yeniden tanımlama için ayrı bir anahtar bulundurur. GDPR kapsamında, taklitlenmiş veriler hala kişisel veri olarak kabul edilir.
Neden PII tespiti hem NLP hem de desen tanıyıcıları kullanıyor?
NLP modelleri, sabit bir formata sahip olmayan kişi isimleri ve yerler gibi bağlama bağlı varlıkları tespit eder. Desen tanıyıcıları, sosyal güvenlik numaraları, kredi kartı numaraları ve telefon numaraları gibi yapılandırılmış tanımlayıcıları yakalamak için düzenli ifadeleri kullanır. Her iki yaklaşımın birleştirilmesi, tüm varlık türlerinde tespit doğruluğunu maksimize eder.
Sıfır bilgi şifrelemesi nedir ve neden önemlidir?
Sıfır bilgi şifrelemesi, yalnızca sizin şifre çözme anahtarını elinizde bulundurmanız anlamına gelir; hizmet sağlayıcısı verilerinizi okuyamaz. Bu önemlidir çünkü bir sunucu ihlali durumunda bile, şifrelenmiş verileriniz anahtarınız olmadan okunamaz kalır ve en güçlü veri korumasını sağlar.
Tersine çevrilebilir şifreleme ile hashing arasındaki fark nedir?
Hashing, tek yönlü bir dönüşümdür; veri hash'lenince, orijinal geri alınamaz. Tersine çevrilebilir şifreleme (AES-256-GCM kullanarak), doğru anahtara sahip yetkili kullanıcıların şifre çözmesine ve orijinal veriyi geri almasına olanak tanır; bu, de-anonimleştirmenin gerekli olduğu iş akışlarını mümkün kılar.