CRM

CRM'de Veri Güvenliği ve KVKK

Müşteri telefon numaralarından satış geçmişine kadar her şey CRM'inizde duruyor. Peki bu verinin gerçek sahibi kim, kimler erişebiliyor ve bir gün silinirse ne olur?

Bir KOBI için en değerli varlık çoğu zaman bilançoda görünmez: müşteri verisi. İsimler, telefonlar, sipariş geçmişi, fiyat teklifleri ve yazışmalar... Bunların tamamı bugün bir CRM içinde yaşıyor. Ancak bu verinin kime ait olduğu, kimlerin erişebildiği ve kaybolursa ne olacağı çoğu işletmede net değildir. Üstelik 6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) bu soruları yalnızca teknik değil, hukuki bir zorunluluk haline getiriyor. Bu yazıda CRM'de veri güvenliği ve KVKK uyumunu dört temel başlıkta, abartısız ve uygulanabilir biçimde ele alıyoruz.

CRM'de Veri Sahipliği: Müşteri Verisi Kime Ait?

KVKK açısından kritik bir ayrım var. Kişisel verinin sahibi her zaman o verinin ait olduğu kişidir, yani müşterinizdir. Sizin işletmeniz ise verinin veri sorumlusudur: yani onu işleme, saklama ve koruma yükümlülüğü olan taraf. Bu yükümlülük "ben sadece bir yazılım kullanıyorum" diyerek devredilemez. Kullandığınız CRM sağlayıcısı genellikle veri işleyen konumundadır ve hukuki sorumluluğun büyük kısmı yine sizde kalır.

Pratikte sormanız gereken sorular şunlardır:

  • Veri nerede tutuluyor? Yurt içi mi, yurt dışı mı? Yurt dışına veri aktarımı KVKK kapsamında ek koşullara tabidir.
  • Verilerinizi dışa aktarabiliyor musunuz? CRM'den ayrılmak istediğinizde tüm müşteri kayıtlarınızı standart bir formatta (Excel, CSV) alabilmelisiniz. Alamıyorsanız veriniz aslında sizin kontrolünüzde değildir.
  • Sözleşmede veri işleme maddesi var mı? Sağlayıcıyla aranızdaki sözleşme, verinin nasıl işleneceğini ve sizin talimatlarınız dışında kullanılmayacağını açıkça belirtmelidir.

Verinin tek bir panelde, sizin erişebileceğiniz ve dışa aktarabileceğiniz biçimde toplanması ilk adımdır. Örneğin Orbitix, WhatsApp üzerinden gelen mesajları, randevuları ve müşteri kayıtlarını dağınık ekran görüntüleri yerine tek bir yapıda topladığı için "verim nerede" sorusunun cevabı baştan nettir.

CRM Erişim Yetkileri ve Rol Bazlı Güvenlik

Veri güvenliğinin en sık atlanan ama en etkili katmanı erişim yetkileridir. KVKK, kişisel veriye yalnızca işin gerektirdiği kadar erişim sağlanmasını bekler. Buna "veri minimizasyonu" ve "yetki sınırlaması" denir. Pratikte çoğu KOBI'de ise tüm çalışanlar tek bir ortak hesapla her şeyi görebilir; bu hem sızıntı riskini büyütür hem de bir ihlal yaşandığında kimin ne yaptığını izlemeyi imkânsız kılar.

Sağlıklı bir CRM'de aşağıdaki yapı bulunmalıdır:

  • Rol bazlı yetkilendirme: Satış personeli yalnızca kendi müşterilerini görebilir, muhasebe finansal verilere erişebilir, stajyer fiyat marjlarını göremez.
  • Kişisel hesaplar: Her çalışanın ayrı kullanıcı adı ve şifresi olmalı; ortak hesap kullanılmamalı.
  • İşlem kaydı (audit log): Hangi kullanıcının hangi kaydı ne zaman görüntülediği veya değiştirdiği izlenebilmeli.
  • Ayrılan personelin erişiminin anında kapatılması: İşten çıkan bir çalışanın hesabı açık kalırsa bu en büyük güvenlik açıklarından biridir.

İyi tasarlanmış bir erişim modeli yalnızca dış saldırılara değil, çoğu veri sızıntısının asıl kaynağı olan iç hatalara ve kötü niyete karşı da koruma sağlar.

CRM Verisinde Yedekleme ve Veri Kaybına Karşı Koruma

Güvenlik sadece "veriyi başkası görmesin" değildir; "veri kaybolmasın" da en az onun kadar önemlidir. Bir donanım arızası, yanlışlıkla silme, hatalı bir toplu güncelleme veya fidye yazılımı saldırısı, yıllarca biriktirdiğiniz müşteri verisini saniyeler içinde yok edebilir. Bu nedenle düzenli ve otomatik yedekleme bir lüks değil, temel bir gerekliliktir.

Güçlü bir yedekleme yaklaşımı şunları içerir:

  • Otomatik ve düzenli yedek: Yedeklemenin elle yapılmaya bırakılmaması; günlük veya saatlik otomatik kopyalar alınması.
  • Geçmişe dönük sürümler: Sadece son halin değil, önceki günlerin de saklanması. Böylece bir hatanın fark edilmesi gün alsa bile temiz veriye dönülebilir.
  • Geri yükleme testi: Yedeğin gerçekten geri yüklenebildiğinin ara ara denenmesi. Açılmayan bir yedek, hiç yedek almamakla aynıdır.
  • Yetkisiz değişikliklere karşı koruma: Toplu silme veya üzerine yazma gibi riskli işlemlerde uyarı ve geri alma imkânı.

Verilerin tek bir merkezde, otomatik yedeklenen bir yapıda tutulması "telefonumdaki not defteri", "personelin kendi Excel'i" ve "WhatsApp sohbet geçmişi" gibi dağınık ve kırılgan kaynaklara olan bağımlılığı ortadan kaldırır. Orbitix gibi merkezi bir panelde verinin tek bir yerde toplanması, hem yedeklemeyi hem de denetimi tek elden mümkün kılar.

KVKK Uyumu İçin CRM'de Atılması Gereken Adımlar

KVKK uyumu büyük ölçekli şirketlere özgü bir konu değildir; kişisel veri işleyen her işletmeyi kapsar. Mahalledeki bir kuaför de, küçük bir mobilya atölyesi de müşteri telefonu kaydettiği anda bu kapsama girer. İyi haber şu ki, doğru bir CRM bu sürecin önemli bir kısmını sizin için kolaylaştırır.

Temel uyum adımları şöyle özetlenebilir:

  • Aydınlatma yükümlülüğü: Müşteriye, verisinin hangi amaçla işlendiğini bildirmek. Form ve kayıt noktalarınızda aydınlatma metni bulunmalı.
  • Açık rıza: Özellikle pazarlama amaçlı mesajlaşma için (ör. WhatsApp veya SMS kampanyaları) gerekli durumlarda rızanın alınması ve kaydedilmesi.
  • Silme ve düzeltme hakkı: Müşteri talep ettiğinde verisinin silinebilmesi veya düzeltilebilmesi. CRM'iniz tek bir kayıt üzerinden bunu yapabilmeli.
  • Saklama süresi: Verinin sonsuza kadar değil, amacı gerçekleştiği sürece tutulması.
  • Güvenlik tedbirleri: Şifreleme, yetki sınırlaması ve erişim kayıtlarının tutulması.

Burada en kritik nokta, müşteriyle olan tüm temasın izlenebilir biçimde tek bir kayda bağlanmasıdır. WhatsApp'a yazılan bir mesaj, alınan bir randevu veya gönderilen bir teklif dağınık kanallarda kaybolduğunda, bir KVKK talebi geldiğinde verinin tamamını bulup yönetmek neredeyse imkânsız hale gelir. Orbitix'in WhatsApp mesajlarını yapay zeka ile doğru müşteri kaydına işlemesi, tam da bu "izlenebilir tek kayıt" mantığını destekler ve uyum sürecini sadeleştirir.

Veri Güvenliği Bir Ürün Değil, Bir Alışkanlıktır

Sonuç olarak CRM'de veri güvenliği ve KVKK uyumu, tek seferde kurulup unutulan bir özellik değil, sürekli sürdürülen bir disiplindir. Verinizin sahipliğini netleştirmek, erişim yetkilerini sınırlamak, düzenli yedek almak ve KVKK gerekliliklerini yerine getirmek; hem cezai riskleri azaltır hem de en değerli varlığınız olan müşteri güvenini korur. Doğru kurgulanmış, merkezi ve şeffaf bir CRM altyapısı bu dört başlığın tamamını günlük operasyonunuzun doğal bir parçası haline getirir.

← Tüm yazılar

İşletmeni WhatsApp'tan yöneten CRM'i canlı gör

Orbi ile konuş, işine göre demoyu birlikte kuralım — dakikalar içinde kendi CRM'ini aç.