Geçtiğimiz yıl ofisimize gelen bir fintech kurucusu, küçük bir yazılım tedarikçisinin ihmali yüzünden müşteri veritabanının bir kısmının dışarı sızdığını anlattığında, masanın üzerine koyduğu ilk belge iki sayfalık bir "gizlilik taahhütnamesi"ydi. O belgede ne erişim logları, ne olay bildirim süresi, ne de denetim hakkı vardı. İşte Bilgi Güvenliği (ISMS) Sözleşmesi tam da bu boşluğu doldurmak için var. Sıradan bir NDA değil; ISO 27001 çerçevesindeki bilgi güvenliği yönetim sistemini tarafların yükümlülüğüne dönüştüren, teknik ve hukuki kontrolleri tek belgede birleştiren bir araç.
2026 itibariyle 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda yapılan değişiklikler, yurt dışına veri aktarımına ilişkin yeni rejim ve KVKK Kurulu'nun artan idari para cezaları, ISMS sözleşmesini artık "olsa iyi olur" kategorisinden çıkarıp zorunluluk haline getirdi. Bu rehberde, bir Bilgi Güvenliği (ISMS) Sözleşmesi'nin iskeletini, pratikte en sık tartışmalı olan maddelerini ve 2026 mevzuatı ışığında nelere dikkat etmeniz gerektiğini anlatıyorum.
Bilgi Güvenliği (ISMS) Sözleşmesi Nedir, Neden NDA'dan Farklıdır?
Çoğu şirket, tedarikçisiyle bir gizlilik sözleşmesi (NDA) imzalayıp işini bitirdiğini düşünüyor. Oysa NDA; bilginin paylaşılmamasına odaklanır. ISMS sözleşmesi ise bilginin nasıl saklanacağını, işleneceğini, yedekleneceğini, silineceğini ve bir ihlal durumunda ne yapılacağını ayrıntılı olarak düzenler. Yani bir tanesi yasak koyar, diğeri süreç inşa eder.
Bilgi Güvenliği (ISMS) Sözleşmesi Şablonunu Hemen Oluşturun
Profesyonel şablon, tüm zorunlu maddelerle birlikte 5 dakikada hazır.
Sözleşmeyi OluşturISO/IEC 27001 standardının Ek A kontrollerine bakıldığında; erişim yönetiminden kriptografik kontrollere, fiziksel güvenlikten insan kaynakları güvenliğine kadar 93 kontrol alanı göze çarpar. İyi yazılmış bir sözleşme, bu kontrollerin tedarikçi tarafında da geçerli olduğunu sözleşmesel bir yükümlülüğe dönüştürür. Yargıtay 11. Hukuk Dairesi'nin 2024 tarihli bir kararında, tedarikçinin "makul güvenlik önlemleri" alma borcunun kapsamı belirlenirken ISO 27001 kriterlerini referans alması dikkat çekicidir.
Hangi Şirketler İçin Zorunlu Sayılabilir?
- KVKK kapsamında veri işleyen sıfatıyla hizmet alan tüm veri sorumluları
- 5411 sayılı Bankacılık Kanunu kapsamındaki kuruluşlarla çalışan tedarikçiler
- BTK düzenlemelerine tabi elektronik haberleşme sektörü paydaşları
- Sağlık verisi işleyen kurumların iş ortakları (özel nitelikli veri nedeniyle)
- Kamu ile çalışan ve "Bilgi ve İletişim Güvenliği Rehberi"ne tabi yükleniciler
Sözleşmenin İçermesi Gereken Temel Maddeler
Son dönemde artan başvurularda gördüğümüz üzere, şirketlerin çoğu internetten indirdiği tek tip şablonları doldurmakla yetiniyor. Oysa bir Bilgi Güvenliği (ISMS) Sözleşmesi tarafların büyüklüğüne, işlenen verinin hassasiyetine ve sektörün düzenleyici yüküne göre özelleştirilmelidir. Aşağıdaki başlıklar olmazsa olmaz niteliğindedir.
1. Kapsam ve Tanımlar
"Bilgi varlığı", "gizli bilgi", "kişisel veri", "güvenlik olayı", "veri ihlali" gibi kavramlar net tanımlanmalı. Özellikle "veri ihlali" tanımı, KVKK m.12/5 kapsamındaki 72 saatlik bildirim yükümlülüğünü tetikleyen kritik bir eşiktir.
2. Teknik ve İdari Tedbirler
6698 sayılı Kanun'un 12. maddesi, veri sorumlusuna "uygun güvenlik düzeyini sağlamak" görevini yükler. Sözleşmede bu görev tedarikçiye somut olarak aktarılmalı: şifreleme algoritması (en az AES-256), parola politikası, çok faktörlü kimlik doğrulama zorunluluğu, log saklama süresi, yedekleme sıklığı gibi ölçülebilir kriterler yazılmalı. "Gerekli tüm önlemler alınacaktır" gibi muğlak ifadeler, ihlal sonrasında neredeyse hiçbir hukuki koruma sağlamıyor.
3. Alt Yüklenici (Sub-processor) Yönetimi
Tedarikçinizin kullandığı bulut sağlayıcıları, CDN hizmetleri, e-posta altyapıları da sizin verinize dokunur. Alt yüklenici listesi sözleşmeye ek yapılmalı, yeni bir alt yüklenici eklenmesi yazılı onayınıza bağlanmalıdır.
4. Denetim Hakkı
Yılda en az bir kez yerinde denetim veya bağımsız denetim raporu talep edebilme hakkı açıkça yazılmalı. Uygulamada en çok atlanan madde budur; oysa denetim hakkı olmayan bir ISMS sözleşmesi, denetlenemez bir yükümlülükten ibarettir.
5. Olay Bildirim Süresi ve Prosedürü
Tedarikçinin bir ihlali kaç saat içinde size bildireceği kritik. KVKK'nın 72 saatlik süresinin altında kalmak için pratikte 24 saatlik bir bildirim penceresi yerleştirilmesini öneriyoruz. Bildirim içeriği de sözleşmede standartlaştırılmalı: etkilenen kişi sayısı, veri kategorileri, kök neden analizi, alınan aksiyonlar.
6. Veri İadesi ve İmhası
Sözleşme sona erdiğinde verinin ne olacağı açık olmalı. 30 gün içinde iade, ardından güvenli imha, imha tutanağının taraflara verilmesi. Kişisel Verileri Koruma Kurumu'nun (kvkk.gov.tr) yayımladığı "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi" bu noktada referans alınmalı.
2026 Mevzuatı Işığında Sözleşmede Dikkat Edilmesi Gerekenler
6698 sayılı KVKK'da 2024'te yapılan ve 2026'da tam uygulanır hale gelen değişikliklerle birlikte yurt dışına veri aktarımı rejimi köklü biçimde değişti. Artık standart sözleşme (SCC), bağlayıcı şirket kuralları (BCR) ve taahhütname gibi araçlardan hangisinin kullanılacağı net biçimde belirlenmeli. Bir ISMS sözleşmesinde bu konu atlanırsa, ileride tedarikçinizin yurt dışındaki bir sunucuya veri taşıması halinde tüm yükümlülük size döner.
Bunun yanında 5651 sayılı Kanun'un trafik verisi saklama yükümlülükleri, 6563 sayılı Elektronik Ticaret Kanunu'nun bilgi saklama süreleri ve 6102 sayılı Türk Ticaret Kanunu'nun 18. maddesindeki ticari defter saklama süreleri gibi paralel mevzuatlar da göz önüne alınmalı. Yargıtay 11. Hukuk Dairesi'nin 2025 tarihli güncel bir kararında, tedarikçinin saklama süresi dolmadan veriyi silmesi "sözleşmeye aykırılık" olarak değerlendirildi ve müşteri lehine tazminata hükmedildi.
Cezai Şart ve Tazminat Dengesi
6098 sayılı Türk Borçlar Kanunu'nun 179 ve 182. maddeleri uyarınca cezai şart kararlaştırılması mümkün. Ancak aşırı yüksek cezai şart, TBK m.182/3 gereği hâkim tarafından indirilebilir. Pratikte gördüğümüz en dengeli yapı: olay başına sabit bir cezai şart + etkilenen kayıt başına kademeli bir bedel + idari para cezalarının rücu hakkı. Sözleşme yapmadan önce benzer maddeleri incelemek için sözleşme analiz aracımız üzerinden mevcut metninizi denetlemenizi tavsiye ederim.
Süre, Saklama ve Bildirim Yükümlülükleri Tablosu
Aşağıdaki tablo, bir ISMS sözleşmesini yazarken farklı mevzuatlardan gelen sürelerin birbirine karışmaması için hazırlanmış hızlı bir referans niteliğindedir.
| Yükümlülük | Kaynak Mevzuat | Süre / Eşik |
|---|---|---|
| Veri ihlalinin Kurul'a bildirimi | 6698 sayılı KVKK m.12/5 | 72 saat |
| Tedarikçinin veri sorumlusuna ihlali bildirimi (önerilen) | Sözleşmesel | 24 saat |
| Trafik verisi saklama süresi | 5651 sayılı Kanun | 2 yıl |
| E-ticaret işlem kayıtları | 6563 sayılı Kanun | 3 yıl |
| Ticari defter ve belgeler | 6102 sayılı TTK m.82 | 10 yıl |
| Sözleşme sonrası veri iadesi/imhası | Sözleşmesel (önerilen) | 30 gün |
| Bağımsız denetim sıklığı | Sözleşmesel (önerilen) | Yılda 1 |
| KVKK idari para cezası üst sınırı (2026) | KVKK m.18 | Yeniden değerleme oranına göre güncellenir |
T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin yayımladığı "Bilgi ve İletişim Güvenliği Rehberi"ne cbddo.gov.tr adresinden ulaşılabilir; kamu kurumlarıyla çalışan tedarikçilerin bu rehberdeki tedbir seviyesine uyum sağlaması sözleşmede kararlaştırılmalıdır. Ayrıca Kişisel Verileri Koruma Kurumu'nun kvkk.gov.tr üzerinden yayımladığı karar özetleri, hangi güvenlik eksikliklerinin ne kadarlık idari yaptırıma yol açtığını somut biçimde gösteriyor.
Sözleşme Hazırlarken Yapılan Yaygın Hatalar
Mesleki pratikte sıkça karşılaştığımız bir durum: taraflar sözleşmeyi imzalıyor ama ekleri boş bırakıyor. Oysa ISMS sözleşmesinin gerçek değeri eklerindedir. Aşağıdaki hatalardan uzak durmanızı öneriyorum.
- Veri işleme envanterini eklememek: Hangi veri, hangi amaçla, ne kadar süre işlenecek? Bu liste yoksa sözleşme uygulanamaz.
- Teknik tedbirleri soyut yazmak: "Endüstri standartlarına uygun" yerine "AES-256, TLS 1.3, MFA zorunlu" yazın.
- Alt yüklenici listesini güncel tutmamak: Sözleşme imzalandığında doğru olan liste, altı ay sonra geçersiz olabilir.
- Olay müdahale prosedürü olmadan bildirim süresi koymak: 24 saat yazmak yetmez; kime, hangi kanaldan, hangi formatta bildirileceği de belirtilmeli.
- Denetim hakkını makul gerekçelerle sınırlandırmamak: "İstediğim zaman denetim yaparım" maddesi mahkemede dürüstlük kuralına aykırı bulunabilir; yılda bir veya olay sonrası ek denetim şeklinde yapılandırın.
- Yurt dışı aktarım hükümlerini atlamak: Bulut hizmeti kullanan her tedarikçide bu konu muhtemelen gündeme gelir.
- Sigortayı unutmak: Tedarikçinin siber risk sigortası yaptırmasını sözleşmede şart koşmak, tazminat tahsilini kolaylaştırır.
Şirketinize özel bir şablon oluşturmak için Sözleşme Cepte platformundaki hazır ISMS sözleşmesi şablonunu kullanabilir, soru-cevap akışıyla kendi sektörünüze uyarlayabilirsiniz. Fiyatlandırma seçenekleri için fiyatlandırma sayfamıza göz atmanızı öneririm.
Sıkça Sorulan Sorular
Bilgi Güvenliği (ISMS) Sözleşmesi ile KVKK Veri İşleyen Sözleşmesi aynı şey midir?
Hayır, ama örtüşürler. KVKK m.12 kapsamındaki veri işleyen sözleşmesi daha dar bir kapsama, yalnızca kişisel verilerin işlenmesine odaklanır. ISMS sözleşmesi ise ticari sırlar, fikri mülkiyet, teknik bilgi gibi tüm bilgi varlıklarını kapsar ve teknik kontrolleri çok daha ayrıntılı düzenler. Pratikte ikisini birleştiren tek bir belge hazırlamak hem yönetilebilirlik hem de tutarlılık açısından daha verimli.
ISO 27001 sertifikamız yoksa bu sözleşmeyi imzalayabilir miyiz?
Evet. ISO 27001 bir sertifikasyondur; ISMS sözleşmesi ise sertifikasyondan bağımsız olarak tarafların bilgi güvenliği yükümlülüklerini düzenleyen bir borçlar hukuku sözleşmesidir. Sertifikanız olmasa da standardın kontrollerini sözleşmesel yükümlülük olarak kabul edebilirsiniz.
Veri ihlalinde tedarikçiye rücu edebilir miyim?
Sözleşmede açık bir rücu hükmü varsa evet. 6698 sayılı KVKK'nın 12. maddesi veri sorumlusu ile veri işleyenin müşterek sorumluluğunu düzenler; idari para cezası veri sorumlusuna kesilse bile, iç ilişkide kusurlu olan tarafa rücu mümkündür. Yargıtay 11. Hukuk Dairesi'nin son dönem kararları da bu yönde.
Sözleşme hangi dilde hazırlanmalı?
Taraflardan biri yabancı ise iki dilli (Türkçe-İngilizce) hazırlanabilir, ancak 805 sayılı İktisadi Müesseselerde Mecburi Türkçe Kullanılması Hakkında Kanun gereği Türkiye'de yerleşik şirketler arasında Türkçe metin esas alınmalıdır. Uyuşmazlık hâlinde Türkçe versiyonun geçerli olacağı sözleşmede açıkça belirtilmeli.
Cezai şart miktarı ne kadar olmalı?
Kesin bir rakam vermek güç; hizmet bedelinin büyüklüğü, işlenen veri miktarı ve KVKK'nın güncel idari para cezası tavanı dikkate alınarak belirlenmeli. Aşırı yüksek cezai şart, TBK m.182/3 gereği indirilebileceğinden, olay başına makul bir taban + etkilenen kayıt başına kademeli artış yapısı daha sağlıklı sonuç veriyor.
Yurt dışındaki bulut sağlayıcılarla çalışıyorsak sözleşmeye ne eklemeliyiz?
KVKK'nın güncellenmiş yurt dışına veri aktarımı rejimi gereği; yeterli koruma kararı olan ülke, standart sözleşme, bağlayıcı şirket kuralları veya taahhütname araçlarından hangisinin kullanılacağı belirtilmeli. Ayrıca sağlayıcının AB GDPR uyumu, veri merkezi lokasyonu ve "CLOUD Act" gibi yabancı yasalardan kaynaklı erişim riskleri sözleşmede ele alınmalı.
Sözleşme imzalandıktan sonra güncelleme yapılabilir mi?
Evet ve yapılmalı. Mevzuat değişiklikleri, yeni güvenlik tehditleri veya alt yüklenici değişiklikleri sözleşmenin güncellenmesini gerektirebilir. Sözleşmeye "yıllık gözden geçirme" hükmü koymak, tarafların ihtiyacı ortaya çıktığında masaya oturmasını kolaylaştırır. Güncel şablonları takip etmek için blog yazılarımızı düzenli izleyebilirsiniz.
Bir bilgi güvenliği sözleşmesi, imzalandığı gün değil ilk ihlal anında değerini gösterir. O an geldiğinde elinizdeki metnin her satırının ne yaptığını bilmek, paniği stratejiye çevirmenin en kısa yoludur. Sözleşmenizi yazarken en çok zaman ayırmanız gereken bölüm, umarsanız da olmayacağını düşündüğünüz "olay müdahale" başlığıdır; çünkü istatistikler ve mesleki tecrübemiz aksini söylüyor. Sorularınız için iletişim sayfamız üzerinden ekibimize ulaşabilirsiniz.
Alakalı Araçlar
Bu konu hakkında diğer platformlarımızdan da faydalanın.
Genel Taahhütname
taahhut
Veraset ve İntikal Vergisi
Miras yoluyla intikal eden mal varlığında ödenecek vergiyi basamaklı olarak hesaplar. Yasal Dayanak: 193 sayılı Gelir Vergisi Kanunu, 488 sayılı Damga Vergisi Kanunu, 3065 sayılı KDV Kanunu.
Fazla Mesaim Ödenmiyor
Haftalık 45 saati aşan çalışmalar için %50 zamlı fazla mesai ücreti.
Daha Fazla Rehber
Tüm Sözleşme Şablonları
200+ profesyonel sözleşme şablonu