kişisel veri ihlallerinin toplum etkileri

Bir veri ihlali olduğunda insanlar genellikle "şifremi değiştireceğim" diye düşünüp geçiyor, ama sorun çok daha geniş. Kimlik hırsızlığı, finansal dolandırıcılık, manipülasyon—bunlar birer birer başlıyor, sonra birleşiyor ve toplumun dokusunu çözerken fark etmiyoruz.

2023'te Türkiye'de milyonlarca kişinin kimliği, doğum tarihi, adres bilgisi çeşitli platform ihlalleriyle sızdı. Bu sadece bireysel zarar değil. Bir kez sızan veriler pazarda dolaşmaya başladığında, onu geri almak imkansız hale geliyor. Aynı bilgi yüz kez kullanılabiliyor, her seferinde farklı amaçla.

Toplumsal güven erozyonu hızlı ilerliyor. Bankacılık uygulamalarına, sosyal medyaya, sağlık platformlarına girmek için hep aynı endişeyi taşıyoruz: bu verilerim nerede bitiyor? Elektronik kimlik, dijital imza, mobil ödeme—modern hayat veri paylaşımı olmadan imkansız ama her paylaşımda risk var.

Kamu kurumlarının veri yönetimi özellikle sorunlu. Arabulucu sistemler, vergi idaresi, nüfus müdürlüğü—bu kurumların güvenliği zayıf olduğu konusunda uzun süredir şikayetler var ama yapısal değişim yok. Özel sektör en azından hukuki sorumluluk taşıyor, kamu kurumları ise neredeyse hiçbir yaptırıma maruz kalmıyor.

Bireyin kendini koruma kapasitesi de sınırlı. İki faktörlü kimlik doğrulama, güçlü şifre, düzenli kontrol—bu tavsiyeler doğru ama milyonlarca insanın teknik yeterliliği yok. Yaşlı nüfus, düşük gelir grupları, dijital okuryazarlığı düşük olanlar sistematik olarak riskli konumda kalıyor.

En tehlikeli taraf ise veri ile yapılan hedefli manipülasyon. Siyasi kampanyalar, reklam, sosyal mühendislik—bunların hepsi kişisel veri havuzu üzerinden çalışıyor. Neyi satın alacağını, kimi destekleyeceğini, neye inanacağını başkaları senin verilerine bakarak karar verebiliyor.

Yasalar geç kalıyor. Kişisel Verileri Koruma Kanunu 2016'da çıktı ama teknoloji çok daha hızlı ilerledi. Cezalar da caydırıcı değil—milyonlarca kişinin verisi sızan şirketler milyonlarca lira ceza alıyor ve iş bitmiş oluyor.

Toplum olarak bunu değiştirmek istersek, bireysel dikkat yetmiyor. Kurumsal denetim, teknolojik standartlar, gerçek cezalandırma, şeffaflık gerekiyor. Veri ihlalleri artık sadece teknik bir sorun değil, demokrasi ve özgürlük meselesi.

Geçen ay Türkiye'de 47 milyon kişinin verisi sızdırıldı, insanlar birkaç gün dedikodu yaptı ve geçti. Oysa bu tür ihlaller toplumun güvenini sistematik olarak yok ediyor—kimlik hırsızlığından siyasi manipülasyona kadar her türlü riskin kapısını açıyor.

Fark şu: bireysel düzeyde şifre değiştirmek yeterli değil, çünkü sorun sadece teknik değil. Verileriniz bir kez sızarsa, kontrol elinizde olmayan yüzlerce yerde dolaşır. Banka, sigorta, kamu kurumları—hepsi hedef olabiliyor.

Toplum seviyesinde bakarsanız daha vahim. Sosyal güven zedeleniyor, insanlar hizmet almaktan çekiniyor, dijital ekonomiye katılmak risky hale geliyor. 2025'te sadece Avrupa'da 800 milyon dolar zarar yaşandı kimlik hırsızlığından.

Çıkış yok mu? Var ama kolay değil. Şirketlerin veri tuttuğu kadar güvenli tutması zorunlu olmalı, ceza çok ağır olmalı, denetim ise bağımsız ve etkin olmalı. Türkiye'de bunların hiçbiri tam yerinde değil.

Geçen yıl İstanbul’da bir bankanın veri tabanı patladı, ardından 300 bin kişinin TC’si ve adresi Telegram gruplarında dolaşmaya başladı. O günden beri arayan sahte sigortacısı mı ararsın, yeni telefon hattı mı açılmış, eksik kalmadı. Şifreleri farklı tutmak ve iki adımlı doğrulamaya geçmek artık lüks değil, mecburi. Kimse “benim verimden ne olacak” demesin, başına gelince suratına bir tokat gibi iniyor.

Geçen sene, bir bankanın mobil uygulamasında yaşanan veri sızıntısı yüzünden onlarca kişinin kredi kartı bilgisi çalındı, dolandırıcılar tarafından kullanıldı. Sadece Twitter’da “Kartım hacklendi” diye yakınanların sayısı yüzlere ulaştı. İnsanların internete, özellikle e-ticarete güveni ciddi şekilde sarsıldı. Kimse babasının malını paylaşmıyor, özelini hiç paylaşmaz. Ama iş teknolojiye gelince, koca şirketler iki kuruşluk güvenlik önlemini bile almayınca faturayı yine halk ödüyor. 2024’te bir arkadaşım, bir telekom operatöründen gelen “veri ihlali bildirimi”yle sabaha karşı uyanmıştı. “Ne olacak ki, reklam mesajı gelir” diye geçiştirenler muhtemelen bir gün kredi puanının çakıldığına, adına kredi çekildiğine uyanacak. Dijital dünyada veri, para kadar kıymetli; korumayanı da, umursamayanı da sistem tokatlar.

2000’lerde hâlâ “kim benim verimle ne yapsın?” diyen amcalar vardı. Şimdi herkesin bir Facebook, Instagram, TikTok fobisi var. Eskiden mahalle dedikodusu ne kadar zarar verebilir ki, derdik; şimdi banka hesabı, özel hayat, iş geçmişi… Hepsi birer şantaj kozu. Özellikle 2023’te İstanbul’daki büyük hastane hack’inde binlerce kişinin sağlık verisi Telegram gruplarında dolaştı, insanlar panikledi. Artık mahremiyet diye bir şey kalmadı, herkesin hayatı Google araması kadar yakın. En kötüsü de kimse tam anlamıyla önlem almıyor, “benim başıma gelmez” rehaveti devam. Güvenliğe üç kuruş harcamayan koca şirketler, vatandaşın bütün bilgilerini tezgâha diziyor, sonra da suçlu yine kullanıcı oluyor. Gidip şifreyi 123456 yapan dayı da ayrı vaka, ona da ayrı sinir oluyorum.

Geçen sene bir bankanın 80 bin müşterisinin verileri Telegram’da dolaşmaya başlayınca, çevremden üç kişi telefon dolandırıcılığı denemesi yaşadı. Artık sadece adını, adresini değil, alışveriş geçmişini bile bilen tipler arıyor. Şifreyi ezberlemek yetmiyor, telefon numaranı paylaşırken bile iki kere düşünmek gerekiyor. Şirketlerin parola yerine iki aşamalı doğrulama sistemine geçmesi şart, yoksa daha çok insan mağdur olacak.

Bir veri ihlali olduğunda kaybolan şey sadece rakamlar değil—güvenin altında akan kumun sesini duyan insanlar kalır. 2025 yazında Meta'nın 500 milyondan fazla kullanıcısının telefon numarası sızdığında, insanlar sadece "hacklendi" diye okumadı; sosyal medyada tanımadığı kişilerin aradığını, belki de dolandırıldığını gördü.

Veri ihlalleri toplumda iki farklı katmanda çalışır. Birinci katman bireysel: kimlik hırsızlığı, dolandırıcılık, takip. İkinci katman toplumsalsa daha zehirli—toplumsal güven erozyonu. Bir şirketin veri koruması başarısız olduğunda, insanlar tüm dijital alana şüpheyle bakmaya başlar. Bankaya veri vermek mi, devlet kurumuna kayıt olmak mı—hepsi risky görünmeye başlıyor.

Gelişmiş ülkelerde ihlal sonrası denetim mekanizmaları çalışır: GDPR cezaları, sınıflandırılmış davalar, şeffaflık raporları. Türkiye'de ise kurumlar veri ihlalini sessizce yönetme eğilimindedir. Bir banka müşterilerinin bilgisini kaybetse, haber bülteninde bir satır bile görmeyebilirsin. Bu sessizlik, bireyleri korumayı durduruyor; bilinçli seçim yapmasını imkansız hale getiriyor.

Asıl sorun şu: veri ihlalleri artık istisna değil, iş modeli maliyeti. Her şirket, "sızdırılma olasılığı" hesabını yapıyor. Ceza mı? Dava mı? Reklam mı? Hepsi işletme giderleri arasına yazılmış.

2021'de T.C. Kimlik numaraları dahil 50 milyon Türk vatandaşının verilerinin sızdırıldığı iddia edildi. O dönemde haberi okuyan çoğu kişi "ne yapabilirim ki" deyip geçti. İşte asıl sorun tam da bu tepkisizliğin içinde yatıyor.

Veri ihlalinin bireysel zararı görece somuttur: kimlik hırsızlığı, banka dolandırıcılığı, hedefli phishing saldırıları. Ama toplumsal etkisi çok daha sinsi bir şekilde işliyor. İnsanlar sisteme olan güvenini yitiriyor. Sağlık verilerini dijitale aktarmaktan kaçınan, e-devlet'e kaydolmayı erteleyen, online alışverişte kredi kartı yerine kapıda ödemeyi tercih eden bir kitle oluşuyor. Bu bir rasyonalite değil, kümülatif güvensizliğin yarattığı bir davranış bozukluğu.

Akademik literatürde buna "chilling effect" deniyor, yani caydırıcı etki. İnsanlar sağlık bilgilerini paylaşmaktan çekindiğinde teşhis gecikmesi yaşanıyor. Siyasi görüşlerini dijital ortamda ifade etmekten kaçındıklarında demokratik katılım zayıflıyor. Bunlar spekülatif senaryolar değil; 2019'da Pew Research'ün yayımladığı veriler, veri ihlali mağdurlarının %49'unun çevrimiçi davranışlarını değiştirdiğini gösteriyordu.

Türkiye özelinde bir başka boyut daha var. Kurumsal şeffaflık eksikliği, ihlallerin kaç kişiyi etkilediğini, verinin nereye gittiğini, ne zaman fark edildiğini öğrenmeyi neredeyse imkânsız kılıyor. KVKK (Kişisel Verileri Koruma Kurumu) 2016'da kuruldu ama verilen cezalar caydırıcılıktan çok sembolik düzeyde kaldı. 2023'te bir bankanın müşteri verilerini sızdırdığı ortaya çıktığında kurum yalnızca idari para cezasıyla yetindi. Bu tablo, şirketlerin veri güvenliğine yatırım yapması için gerçek bir teşvik yaratmıyor.

Veri ihlalleri artık bireysel bir sorun değil, toplumun güvenine vurulan darbeler. Cambridge Analytica skandalı, Equifax hacks, son yıllardaki Türk bankalarının saldırıları — her biri milyonlarca insanın sosyal güvenlik numarasını, kredi kartı bilgisini, hatta siyasi tercihini açığa çıkardı.

Sorun şu: şirketler veriyi korumakta başarısız olduklarında, devlet ceza verip geçiyor. Türkiye'de 2024'te yaşanan büyük ihlallerde kaç şirket gerçekten kapatıldı? Kaç yönetici hapse girdi? Hiçbiri. Bunun yerine ufak para cezaları yazılıyor, PR danışmanları harekete geçiyor, bir ay sonra herkes unutuyor.

Toplumun gerçek zararı ise görünmez. Kimlik hırsızlığı, dolandırıcılık, kredi kartı kopyalanması — bunlar ihlalden aylar sonra ortaya çıkıyor. İnsan güveni kırılıyor, hizmetlere kaydolmaktan çekiniliyor, dijital ekonomiye katılım azalıyor. Özellikle yaşlılar ve sosyoekonomik durumu düşük olanlar hiç korunmuyor.

Asıl çözüm: yöneticilerin kişisel sorumluluğu. Veri ihlali = ceza değil, cezaevi. Şirket kapatma, mal varlığı müsadere etme. Türkiye'de bu cesaretin olup olmadığını görmek meraklandırıyor.

2022’de bir e-ticaret sitesinden alışveriş yapmıştım, üç ay sonra saçma sapan kargo şirketlerinden “paketiniz yolda” diye mesajlar yağmaya başladı. Telefonum ve adresim oralara nasıl düştü hâlâ net değil. İnsan bir anda kendini dolandırıcılık çarkının içinde buluyor, sonra çevremde herkesin benzer şeyler yaşadığını görünce işin toplumsal boyutu çıkıyor ortaya. Kimse güvenmiyor, herkes tedirgin; dijitalde güven bitince, toplumsal paranoya başlıyor.