BTK Denetiminde Ne Sorulur? 5651 Hazırlık Rehberi — Denetim Öncesi, Sırasında ve Sonrasında Yapmanız Gerekenler
BTK denetimi haberi pek çok kurumda paniğe yol açar. "Loglarımız var mı?", "Geçerli mi?", "Ne kadar süredir çalışıyor?" soruları art arda gelir. Oysa doğru bir altyapıyla bu süreci sakin, hazırlıklı ve güvenli biçimde geçirmek mümkündür.
Bu rehberde BTK'nın 5651 denetimlerinde hangi bilgi ve belgeleri talep ettiğini, denetim sürecinin nasıl işlediğini ve kendinizi nasıl hazırlayabileceğinizi adım adım açıklıyoruz.
BTK Denetimleri Nasıl Gerçekleşir?
Bilgi Teknolojileri ve İletişim Kurumu (BTK), 5651 sayılı kanun kapsamındaki denetimleri iki farklı yolla gerçekleştirir:
- 🔵 Planlı Sektörel Denetimler: BTK belirli dönemlerde otel, yurt, hastane veya kamu kurumu gibi sektörlere yönelik toplu denetimler düzenler. Bu denetimlerde kuruma yazılı tebligat gönderilir ve belirli bir süre içinde belgelerin sunulması istenir.
- 🔴 Şikayet veya Soruşturma Kaynaklı Denetimler: Ağınız üzerinden gerçekleştirildiği iddia edilen bir suç ya da vatandaş şikayeti nedeniyle savcılık veya BTK tarafından log talep edilebilir. Bu tür denetimler önceden haber verilmeksizin başlayabilir.
⚠️ Uyarı:
Her iki durumda da hazırlıksız yakalanmak ciddi yaptırım riskiyle sonuçlanır. Denetim haberi geldikten sonra log sistemi kurmak veya kayıt oluşturmaya çalışmak hem teknik olarak hem de hukuken imkansızdır.
Denetimde Talep Edilen Belgeler ve Bilgiler
BTK denetimlerinde kurumunuzdan talep edilebilecek başlıca unsurlar şunlardır:
- Belirli tarih aralığına ait internet erişim log dosyaları
- Her log dosyasına ait SHA-256 hash değerleri
- TÜBİTAK Kamu SM veya yetkili kuruluştan alınan zaman damgası sertifikaları
- Kullanıcı kimlik doğrulama kayıtları (SMS logu, TC kimlik eşleşmesi veya PMS kaydı)
- IP adresi–kullanıcı kimliği eşleşme tabloları
- Log sisteminin kesintisiz çalıştığını gösteren sistem kayıtları
- Saklama süresine uyulduğuna dair arşiv belgesi
📌 Kritik nokta:
BTK yalnızca "log var" demek istemiyor. Sunulan logların değiştirilemez, imzalı ve zaman damgalı olduğunu kriptografik olarak kanıtlamanız gerekiyor. Bu kanıtı sunamazsanız log hiç yokmuş gibi değerlendirilebilir.
Denetim Senaryoları: Hazırlıklı mı, Değil mi?
- 🟢 Senaryo 1 — Hazırlıklı Kurum: BTK tebligatı gelir. IT sorumlusu sisteme girer, ilgili tarih aralığını seçer, imzalı log dosyalarını ve zaman damgası sertifikalarını dakikalar içinde dışa aktarır. Denetim sorunsuz kapanır, herhangi bir yaptırım uygulanmaz.
- 🔴 Senaryo 2 — Hazırlıksız Kurum: BTK tebligatı gelir. Log sistemi ya hiç kurulmamıştır, ya yanlış yapılandırılmıştır ya da kayıtlar imzasız metin dosyası olarak tutulmaktadır. Sunulan belgeler geçersiz sayılır. Para cezası kesilir, tekrar denetim kararı çıkar, operasyonel risk başlar.
- 🟠 Senaryo 3 — Kısmen Hazırlıklı Kurum: Log sistemi kurulu ve çalışmaktadır ancak zaman damgası eksik ya da bazı tarihlerde sistem kesintiye uğramıştır. Denetim kısmen olumlu kapanır; eksik dönem için uyarı ve ek süre verilebilir ya da kısmi ceza uygulanabilir.
Denetim Öncesi 10 Maddelik Kontrol Listesi
Aşağıdaki kontrol listesini düzenli aralıklarla gözden geçirerek denetim hazırlığınızı her an güncel tutabilirsiniz:
| # | Kontrol Maddesi |
|---|---|
| 01 | Kimlik doğrulama sistemi aktif ve kayıtlar eksiksiz mi? |
| 02 | Log dosyaları SHA-256 ile hash'lendi mi? |
| 03 | TÜBİTAK veya yetkili kuruluştan zaman damgası alındı mı? |
| 04 | Kayıtlar minimum 1 yıl arşivlendi mi? |
| 05 | Herhangi bir tarih aralığı için kayıtlar hızla sunulabiliyor mu? |
| 06 | Log sisteminin kesintisiz çalıştığı izleniyor mu? |
| 07 | Misafir/personel ağ segmentasyonu yapıldı mı? |
| 08 | Kullanıcı bazlı IP–kimlik eşleşme kayıtları mevcut mu? |
| 09 | Sistem kurulumu ve güncellemeleri belgelenmiş mi? |
| 10 | Yetkili personel BTK tebliğine nasıl yanıt vereceğini biliyor mu? |
💡 İpucu:
Bu kontrol listesini her 3 ayda bir gözden geçirmenizi öneririz. NextLog 5651 müşterileri için bu kontroller sistem tarafından otomatik olarak izlenir ve uyarı mekanizmaları devreye girer.
Denetim Sırasında Yapılması ve Yapılmaması Gerekenler
✅ Yapılması Gerekenler
- Tebligatı aldığınız anda IT sorumlusunu ve varsa hukuk danışmanınızı bilgilendirin
- Talep edilen tarih aralığına ait tüm log dosyalarını, hash değerlerini ve zaman damgası sertifikalarını eksiksiz hazırlayın
- Yanıtı verilen süre içinde (genellikle 5-15 iş günü) ve yazılı olarak BTK'ya iletin
- Sunduğunuz belgelerin bir kopyasını kurumunuzda arşivleyin
❌ Yapılmaması Gerekenler
- Geriye dönük log oluşturmaya ya da mevcut kayıtları düzenlemeye çalışmayın — bu durum ağır hukuki sonuçlar doğurabilir
- Tebligatı görmezden gelmeyin ya da süreyi kaçırmayın — yanıtsız kalan tebligat doğrudan yaptırım gerekçesi oluşturur
- Sisteminizin durumunu bilmeden "her şey yolunda" beyanında bulunmayın
BTK Denetimine Hazır Olmak İçin Ne Zaman Harekete Geçmeli?
En yaygın yanıt "denetim gelince bakarız" olmaktadır. Ancak bu yaklaşım hem teknik hem hukuki açıdan işe yaramaz. Zaman damgalı kayıtlar geriye dönük olarak oluşturulamaz; denetim tebligatı geldiğinde geçmişe ait geçerli log sunmanın tek yolu o kayıtların önceden oluşturulmuş olmasıdır.
Bu nedenle harekete geçmek için en doğru zaman, her zaman bugündür.
Ağınızın Güvenliğini Şansa Bırakmayın
NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.
Bunları da İncelemek İsteyebilirsiniz
23.04.2026
5651 Loglama Cezaları 2025: Uyumsuzluğun Gerçek Bedeli — Cezalar, Riskler ve Nasıl Korunursunuz?
23.04.2026
Otel Hotspot Sistemi Nasıl Kurulur? 2025 Güncel Rehberi — Adım Adım Kurulum, Kimlik Doğrulama ve 5651 Uyumu
23.04.2026