Dijital Casusluk Riski Kamuda WhatsApp Alışkanlığı Alarm Veriyor

Kişisel Verileri Koruma Kurumu’nun (KVKK) 29 Ocak 2026 tarihli duyurusu, kamu kurumlarında WhatsApp ve benzeri yurt dışı menşeli haberleşme uygulamalarının resmî işlerde kullanımını yeniden tartışmaya açtı. Uzmanlar, bu tür platformlar üzerinden yapılan talimat, belge ve veri paylaşımlarının, içeriğin niteliğine göre hukuki ve idari sorumluluklar doğurabileceği uyarısında bulunuyor.

 DİJİTAL CASUSLUK RİSKİ: KAMUDA WHATSAPP DÖNEMİ KAPANIYOR MU? Yazar: Gürkan BAL Kişisel Verileri Koruma Kurumu’nun (KVKK) 29 Ocak 2026 tarihli kamuoyu duyurusu, kamu kurumlarında WhatsApp ve benzeri yurt dışı menşeli haberleşme uygulamalarının “resmî/kurumsal iletişim” amacıyla kullanımını yeniden tartışmanın merkezine taşıdı. Duyuru; kamu personelinin bu tür uygulamalar üzerinden resmî belge, talimat ve kişisel veri paylaşımına zorlandığı yönündeki şikâyetler üzerine yayımlandı.  KVKK’nın işaret ettiği kritik nokta şu: Yurt dışı altyapı üzerinden yapılan paylaşımlar, içerikte kişisel veri bulunuyorsa, bu durum KVKK kapsamında “kişisel veri işleme faaliyeti” olarak değerlendirilebiliyor ve kamu idareleri ile sorumlular açısından idari/disiplin süreçlerine kapı aralayabiliyor.  “Sadece mesajlaşıyoruz” dönemi bitti: Genelge ne diyor? Kamu tarafında zaten yürürlükte olan 2019/12 sayılı Cumhurbaşkanlığı Genelgesi (Bilgi ve İletişim Güvenliği Tedbirleri) açık bir çerçeve çiziyor: Yetkilendirilmiş kurumların geliştirdiği yerli mobil uygulamalar hariç, mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmaması gerektiği belirtiliyor. Sosyal medya/haberleşme uygulamalarıyla gizlilik dereceli veri paylaşımına karşı uyarı var. Yerli uygulamaların tercih edilmesi gerektiği vurgulanıyor.  Bu çerçeve, KVKK duyurusuyla birlikte pratikte şu anlama geliyor: Kamu personelinin kurumsal iş ve evrak trafiğini kişisel/haricî uygulamalarla yürütmesi, “alışkanlık” olmaktan çıkıp “risk” başlığına giriyor.   YERLİ VE KURUMSAL ÇÖZÜMLER: “DİJİTAL SINIR” GÜVENLİK MESELESİ KVKK duyurusu ve 2019/12 Genelgesi sonrası kamu kurumlarında yerli/kurumsal çözümler öne çıkıyor. Bunların içinde en dikkat çekici başlıklardan biri:   YILDIZ KURUMSAL: EGM ALTYAPISIYLA KURUMSAL HABERLEŞME Yıldız Kurumsal, resmî yildiz.gov.tr sayfasında yer alan bilgilere göre; 2019/12 sayılı Genelge doğrultusunda, kamu personelinin kurumsal iletişim ihtiyacını sosyal medya tabanlı uygulamalar yerine kamu tarafından geliştirilen yerli bir uygulama üzerinden karşılamak amacıyla 2019’da Ar-Ge’ye başlanan bir sistem.  Sitede yer alan teknik/işleyiş iddiaları (kamuya açık beyan) özetle şöyle:   Mesajların uçtan uca şifrelendiği, üçüncü kişilerce okunamayacağı, Mesajların sunucuda tutulmadığı, Kullanım için @gov.tr uzantılı kurumsal e-posta ile doğrulama gerektiği, Sunucuların Emniyet Genel Müdürlüğü veri merkezinde barındırıldığı, İçişleri’ne bağlı birçok kurumda aktif kullanım ve kamu ile sınırlı testler bulunduğu.    Bu, “Yıldız”ı tartışma düzeyinden çıkarıp “kurumsal bir alternatif” başlığına taşıyor: Çünkü sistemin resmî .gov.tr alan adı, uygulama mağazası bağlantıları ve EGM iletişim bilgileri kamuya açık şekilde yayınlanmış durumda.    HAVELSAN İLETİ: KURUMSAL GÜVENLİ İLETİŞİM PLATFORMU Kamu tarafındaki bir diğer güçlü başlık ise HAVELSAN İleti. HAVELSAN’ın basın bültenleri ve haber duyurularında; İleti’nin kurumların personeli arasında mesajlaşma, güvenli sesli-görüntülü görüşme, doküman/konum paylaşımı ve kurumsal gruplar gibi özelliklerle kurumsal kullanıma konumlandığı belirtiliyor.  Ayrıca HAVELSAN, “İleti’yi ‘yerli WhatsApp’ diye basitleştiren” haberlerin yanıltıcı olabildiğine dair bir çerçeve de çiziyor: Ürünün farklı bir güvenlik yaklaşımıyla, kurumsal hedefle geliştirildiğini vurguluyor.  BİP: “Kurumsal platform” vurgusu ve şifreleme iddiası BiP tarafında da resmî sayfalarda “kuruma özel iletişim platformu” ve güvenlik/şifreleme anlatımı yer alıyor. (Kamu kurumlarının hangi ölçekte/formatta kullandığı kurumdan kuruma değişebilir.)    PERSONEL İÇİN UYARI: “WHATSAPP’TAN EMİR-TALİMAT” NEDEN RİSK? Risk iki katmanlı:   Kişisel veri/evrak riski (KVKK) Resmî belge, listeler, disiplin/atama/sağlık vb. içerikler kişisel veri içeriyorsa, yurt dışı menşeli uygulamalar üzerinden paylaşım KVKK bakımından sorun doğurabilir. KVKK duyurusu bu riskin altını özellikle çiziyor.  Gizlilik dereceli bilgi riski (Genelge ve ceza hukuku boyutu) 2019/12 Genelgesi, gizlilik dereceli veri/haberleşmeyi açıkça sınırlandırıyor. İçeriğin niteliğine göre ayrıca başka mevzuat/ceza hukuku süreçleri de gündeme gelebilir; ama burada kritik olan şu: Kurumsal iş, kurumsal kanalla yapılmalı.    SON SÖZ: “KURUMSAL İLETİŞİM = KURUMSAL UYGULAMA”   KVKK duyurusu ve 2019/12 Genelgesi birlikte okunduğunda çıkan sonuç net: Kamu kurumlarında “WhatsApp grubu üzerinden talimat” pratiği, artık sadece teknik bir tercih değil; hukuki ve idari sonuç doğurabilecek bir güvenlik meselesi.   Öneri: Kurum içi talimat, belge, personel bilgisi ve operasyonel planlama gibi içerikler için; Yıldız Kurumsal ve HAVELSAN İleti gibi kurumsal çözümlerle ilerlenmesi, hem kurumu hem personeli koruyan en rasyonel yol olarak öne çıkıyor.    HUKUKİ ÇERÇEVE VE DOĞRULUK NOTU Kişisel Verileri Koruma Kurumu (KVKK), 29 Ocak 2026 tarihli kamuoyu duyurusunda; kamu kurumlarında görev yapan personelin WhatsApp ve benzeri yurt dışı menşeli haberleşme uygulamaları üzerinden kişisel veri içeren belge, talimat ve yazışmaları paylaşmasının, kişisel veri işleme faaliyeti kapsamında değerlendirilebileceğini ve bu durumun hukuki ve idari sorumluluklar doğurabileceğini belirtmiştir. Bu tür uygulamalar üzerinden yapılan paylaşımlar her durumda doğrudan suç teşkil etmese de, içeriğin niteliğine bağlı olarak; kişisel veri ihlali, gizlilik ihlali veya farklı idari ve adli soruşturma türlerine konu olabilmektedir. Uzmanlar, özellikle kurumsal talimatlar, operasyonel bilgiler ve gizlilik dereceli içeriklerin bu tür platformlar üzerinden paylaşılmasının ciddi güvenlik ve hukuki riskler barındırdığına dikkat çekmektedir.