Gölge Yapay Zekâ (Shadow AI): kurumunuzdaki görünmez KVKK riski
IT'nin bilmediği ChatGPT kullanımı gölge yapay zekâdır. Envanter, KVKK riski, operasyonel maliyet ve yönetişim metrikleri — pratik rehber.
Gölge yapay zekâ (Shadow AI) nedir?
Gölge yapay zekâ, kurumsal IT onayı ve denetimi dışında kullanılan tüm üretken AI araçlarını tanımlar. Çalışan kişisel ChatGPT hesabına girer, Claude veya Gemini'yi tarayıcıdan açar, e-posta eklentisiyle taslak üretir — hiçbiri merkezi loga düşmez. Yönetim “yapay zekâ kullanmıyoruz” sanırken organizasyon yoğun biçimde kullanıyordur.
2024–2025 anketlerinde kurumsal çalışanların önemli bir kısmının iş amaçlı LLM kullandığı; bunun büyük bölümünün resmi kanal dışında kaldığı raporlanmıştır. Türkiye'de banka, sigorta ve holding IT ekipleri bu tabloyu artık “var mı yok mu” değil “ne ölçekte” diye soruyor.
KVKK açısından gölge AI neden tehlikeli?
Veri sorumlusu, bilgisi dışında gerçekleşen kişisel veri işlemelerinden sorumlu kalabilir. Denetimde “bilmiyorduk” savunması, gerekli tedbirleri almadığınız algısını güçlendirir. Özellikle müşteri hizmetleri, satınalma ve finans ekipleri hassas veriyi doğrudan modele taşıma eğilimindedir.
Gölge kullanımda m.9 (yurt dışı aktarım) ve m.12 (teknik-idari tedbir) birlikte devreye girer — çünkü ne aktarıldığı, kime gittiği ve hangi güvencenin geçerli olduğu belirsizdir. Hukuki çerçevenin tamamı için iş yerinde ChatGPT KVKK rehberimize bakın.
Pratik örnek: çağrı merkezi temsilcisi müşteri doğrulaması için TC kimlik son dört hanesini bile modele yazdığında kişisel veri işlenmiş olur. Kayıt yoksa olay müdahalesi yapılamaz; tekrarlayan kullanım sistematik ihlal profiline dönüşür.
Operasyonel ve stratejik maliyet
Gölge AI yalnızca hukuki risk değildir. Aynı soruya farklı ekipler farklı modellerden farklı cevaplar alır; kurumsal bilgi bankası yoktur, kaynak gösterimi yoktur, maliyet dağılımı görünmez. Resmi pilot projeler yürürken asıl kullanım gölgede büyür — dijital dönüşüm stratejisi çarpılır.
Yönetim kurulu “AI bütçesi ne?” diye sorduğunda cevap verilemez: dağınık kişisel abonelikler, görünmeyen API anahtarları, faturalandırılmamış kullanım. Maliyet ile uyumluluk aynı görünürlük sorununu paylaşır.
Gölge AI envanteri nasıl çıkarılır?
İlk adım yasak değil, görünürlük sağlamaktır. Pratik envanter adımları aşağıdadır. Envanter mükemmel olmak zorunda değil; kabaca ölçek görmek karar için yeterlidir.
- Ağ loglarında openai.com, anthropic.com, gemini.google.com trafiği (kaba sinyal)
- Çalışan anketleri — anonim, cezalandırıcı olmayan
- Satınalma: kişisel ChatGPT Plus / API faturaları geri ödemesi var mı?
- Geliştirici ekipleri: repolarda API anahtarı, LangChain, Copilot eklentisi taraması
- Pilot projeler listesi vs fiili kullanım karşılaştırması
Envanter sonuçlarını yorumlama
“%0 gölge” nadiren gerçektir. Hedef, gölgenin büyüklüğünü ve hangi birimlerde yoğunlaştığını görmektir. IT yalnızca URL engeli trafiğini ölçerse gerçeğin altında kalır — mobil ve kişisel cihaz envanter dışı kalır.
Envanter çıktısı üç kovaya ayrılmalı: (1) onaylı kurumsal kullanım, (2) bilinçli gölge — verimlilik baskısı, (3) bilinmeyen gölge — fark edilmemiş risk. Kovya 2 ve 3 alternatif kanal ve eğitimle; kova 3 acil politika + teknik tedbir gerektirir.
Envanter sonrası yapay zekâ kullanım politikası taslağı ve üst yönetim brifingi aynı hafta içinde planlanmalıdır. Envanter raporu çekmecede kalırsa gölge büyümeye devam eder.
Yasak mı, alternatif kanal mı?
Gölge AI'yı ortadan kaldırmanın yolu çoğu kurumda yasaklamak değildir; yasak gölgeyi büyütür. Merkezi, güvenli ve kullanımı kolay kurumsal alternatif sunulduğunda çalışan kişisel hesaba dönmek zorunda kalmaz. Gateway üzerinden erişim, rol bazlı yetkilendirme ve kullanım raporları gölgeyi görünür kılar.
Stratejik çerçeve: ChatGPT yasaklamak mı yönetmek mi. Teknik uygulama: merkezi gateway, maskeleme, denetim izi.
Alternatif kanalın “ChatGPT kadar iyi” hissi vermesi gölge azaltmada belirleyicidir. Yavaş, kısıtlı veya her istekte onay isteyen kanal, gölgeyi geri getirir. Pilot sırasında kullanıcı geri bildirimi toplanmalıdır.
Maskeleme ve log açıkken pilot yürütün — “sonra ekleriz” maskeleme gölge azaltma projesini denetim riski taşıyan kanala dönüştürür. TC kimlik maskeleme teknik özet için.
Gölge AI yönetişimi — ölçülebilir hedefler
Hedef “sıfır gölge” değil; onaylı kanala kaydırmaktır. IT ve uyumluluk ekipleri şu metrikleri izlemeli: departman bazlı token tüketimi, model dağılımı, kişisel veri olay sayısı, politika ihlali uyarıları, aylık gölge trafik trendi.
Dashboard ve yönetici raporu olmadan yönetişim kağıt kalır. Gölge AI yönetimi, bu metrikleri sıfıra indirmekten çok kontrollü kullanıma kanalize etmektir.
Departman bazlı risk profili
Müşteri hizmetleri: yüksek kişisel veri yoğunluğu, hız baskısı — yapıştır-yapıştır kültürü. Satınalma: tedarikçi finansal verisi, IBAN, vergi no. Hukuk: sözleşme metni, taraf kimlik bilgisi. IK: aday özgeçmişi, sağlık, özel nitelikli veri — en hassas segment.
Her departman için ayrı politika kuralı ve gateway kotası tanımlanmalıdır. Tek tip “herkese aynı limit” gölgeyi azaltmaz; doğru kanalı cazip kılmak azaltır.
30-60-90 gün gölge azaltma planı
0–30 gün: envanter + üst yönetim brifingi + yasak genişletme (ters etki yaratmadan). 30–60 gün: gateway pilotu tek departmanda, duyuru “alternatif hazır”. 60–90 gün: metrik karşılaştırma — gölge trafik, olay sayısı, memnuniyet.
Başarı kriteri: gölge trafikte anlamlı düşüş + olay kaydı görünür + maliyet tek faturada. Başarısızlık: yasak sıkılaştı + gölge artışı — strateji değişimi gerekir (yasak vs yönetim).
Sonuç
Gölge yapay zekâ görünmez KVKK ve operasyon riskidir. Envanter, alternatif kanal ve ölçüm üçlüsü olmadan “kullanmıyoruz” varsayımı tehlikelidir. Hukuki çerçeve iş yerinde ChatGPT KVKK rehberinde; bu yazı operasyonel gölge yönetimine odaklanır.
Sık sorulan sorular
- Gölge AI'yı tamamen yasaklayabilir miyiz?
- Teknik olarak kısmen engellenebilir; pratikte VPN, kişisel cihaz ve alternatif modellerle devam edilir. Yasak görünürlüğü sıfırlar. Sürdürülebilir model: onaylı kurumsal erişim + gateway.
- Gölge AI KVKK cezasına yol açar mı?
- Doğrudan “gölge AI cezası” yoktur; kişisel veri ihlali ve m.12 tedbir eksikliği idari para cezası doğurabilir. Gölge kullanım ihlal riskini artırır çünkü kontrol yoktur.
- İlk 30 günde ne yapmalıyız?
- Kaba envanter, hukuki çerçeve netleştirme (KVKK rehberi), çalışanlara alternatif kanal duyurusu, gateway pilotu (tek departman). Yasak listesini genişletmek yerine görünürlük yatırımı yapın.
- Hangi departman önce pilot olmalı?
- En yüksek gölge kullanımı + yönetilebilir kapsam: genelde pazarlama içerik ekibi veya iç iletişim. Müşteri hizmetleri yüksek veri riski taşır — pilot için maskeleme testi şart.
- Gölge AI metriklerini kim izlemeli?
- IT operasyon (trafik, gateway), uyumluluk (olay, politika ihlali), iş birimi sponsor (adoption). Aylık birleşik rapor üst yönetime.
Kurumsal yapay zekâ altyapınızı birlikte değerlendirelim.
KVKK uyumlu gateway, denetim izi ve maliyet yönetimi — ihtiyacınıza göre modül modül.