Yapay zeka son birkaç yıldır şirketlerin gündeminde daha çok verimlilik, otomasyon, maliyet avantajı ve rekabet başlıklarıyla konuşuluyordu. Ancak Avrupa Birliği’nin AI Act düzenlemesiyle birlikte bu başlıklara artık çok daha kritik bir madde daha eklendi: uyum.
Bana göre EU AI Act, sadece Avrupa’daki şirketleri ilgilendiren bir mevzuat değil. Avrupa ile iş yapan, Avrupa’daki müşterilere ürün veya hizmet sunan, Avrupa vatandaşlarının verisini işleyen ya da global pazarda yapay zeka tabanlı ürün geliştiren her şirket için yeni bir dönemin başlangıcı.
Çünkü bu düzenleme bize net bir mesaj veriyor:
Yapay zeka geliştirmek serbest, ama kontrolsüz, belirsiz ve denetlenemez yapay zeka dönemi kapanıyor.
EU AI Act, 1 Ağustos 2024’te yürürlüğe girdi. Düzenleme kademeli olarak uygulanıyor; yasaklı yapay zeka uygulamaları 2 Şubat 2025 itibarıyla kapsam altına girdi, genel amaçlı yapay zeka modellerine ilişkin kurallar 2 Ağustos 2025’te uygulanmaya başladı ve düzenlemenin büyük bölümü 2 Ağustos 2026 itibarıyla geçerli olacak. Bazı yüksek riskli sistemler için ise süreç 2 Ağustos 2027’ye kadar uzuyor.
Risk bazlı yaklaşım: Her yapay zeka aynı değil
EU AI Act’in temel yaklaşımı aslında oldukça anlaşılır: Her yapay zeka sistemi aynı risk seviyesinde değil.
Bir içerik öneri sistemi ile kredi skorlama yapan bir sistem aynı kategoride değerlendirilemez. Bir chatbot ile işe alım sürecinde adayları eleyen bir yapay zeka aynı seviyede regüle edilemez. Sağlık, finans, insan kaynakları, eğitim, kritik altyapı veya kamu güvenliği gibi alanlarda kullanılan yapay zeka sistemleri doğal olarak daha sıkı kurallara tabi olmak zorunda.
Bu nedenle düzenleme yapay zeka sistemlerini kabaca şu risk seviyeleri üzerinden ele alıyor:
Kabul edilemez risk kategorisindeki bazı uygulamalar yasaklanıyor. İnsan davranışını manipüle eden, zafiyetleri istismar eden, sosyal skorlama yapan veya belirli biyometrik uygulamalarla temel hakları riske atan sistemler bu alana giriyor.
Yüksek riskli sistemler ise tamamen yasaklanmıyor ancak ciddi yükümlülüklere tabi tutuluyor. Burada risk yönetimi, veri yönetişimi, kayıt tutma, teknik dokümantasyon, insan gözetimi, doğruluk, güvenlik ve siber dayanıklılık gibi başlıklar öne çıkıyor.
Sınırlı riskli sistemlerde ise daha çok şeffaflık yükümlülüğü var. Örneğin bir kullanıcının karşısında gerçek insan değil de yapay zeka destekli bir sistem varsa bunun açıkça belirtilmesi gerekiyor.
Düşük riskli sistemler ise daha serbest bırakılıyor.
Aslında bu yaklaşım şirketler için de mantıklı bir çerçeve sunuyor. Her yapay zeka projesini aynı ağırlıkta ele almak yerine, önce risk sınıfını belirlemek ve buna göre kontrol seti oluşturmak gerekiyor.
Şirketler için asıl mesele: “Biz yapay zeka kullanıyoruz” demek yetmeyecek
Bugüne kadar pek çok kurumda yapay zeka kullanımı biraz dağınık ilerledi. Bir departman ChatGPT kullanıyor, başka bir ekip Copilot deniyor, yazılım ekipleri Cursor veya benzeri araçlarla kod yazıyor, pazarlama tarafı içerik üretiyor, insan kaynakları aday değerlendirmesinde bazı otomasyonlar kullanıyor.
Ancak EU AI Act sonrası şirketlerin şu sorulara net cevap verebilmesi gerekecek:
- Biz hangi yapay zeka sistemlerini kullanıyoruz?
- Bu sistemler hangi iş süreçlerinde kullanılıyor?
- Hangi veriler bu sistemlere giriyor?
- Bu sistemlerin çıktıları karar süreçlerini etkiliyor mu?
- İnsan gözetimi var mı?
- Modelin hata yapması durumunda operasyonel, hukuki veya etik risk nedir?
- Tedarikçi kim, model nerede çalışıyor, veri nerede işleniyor?
- Loglama, izleme, denetim ve geri alma mekanizmaları var mı?
Bence en kritik konu şu:
Yapay zeka kullanımı artık sadece IT’nin veya inovasyon ekiplerinin konusu değil. Hukuk, uyum, insan kaynakları, veri koruma, siber güvenlik, risk yönetimi ve üst yönetim aynı masada olmak zorunda.
Türkiye’deki şirketleri nasıl etkiler?
“Bu Avrupa Birliği düzenlemesi, Türkiye’deki şirketleri neden ilgilendirsin?” sorusu çok doğal. Ancak cevabı oldukça net: Avrupa ile temasınız varsa, bu düzenleme bir şekilde karşınıza çıkacak.
Türkiye’deki bir yazılım şirketi Avrupa’daki bir müşteriye yapay zeka tabanlı ürün satıyorsa, bir SaaS platformu AB kullanıcılarına hizmet veriyorsa, bir kurum Avrupa’daki iştirakleri için yapay zeka destekli süreçler çalıştırıyorsa veya AB vatandaşlarının verisini işliyorsa EU AI Act gündeme gelebilir.
Ayrıca sadece doğrudan regülasyon etkisi değil, ticari etki de var. Avrupa’daki büyük şirketler kendi tedarikçilerinden uyum, güvenlik, veri işleme, model şeffaflığı ve dokümantasyon talep etmeye başlayacak. Yani regülasyon doğrudan sizi hedeflemese bile, müşterinizin vendor assessment sürecinde karşınıza çıkabilir.
Bugün ISO 27001, SOC 2, GDPR veya KVKK uyumu nasıl satış süreçlerinde rekabet avantajı haline geldiyse, yakın zamanda AI governance ve AI compliance başlıkları da aynı şekilde kritik hale gelecek.
Kurumların ilk yapması gereken şey: Yapay zeka envanteri
Bence şirketlerin ilk adımı büyük danışmanlık raporları hazırlamak değil, basit ama disiplinli bir envanter çıkarmak olmalı.
- Hangi ekip hangi yapay zeka aracını kullanıyor?
- Kurumsal veri bu araçlara giriyor mu?
- Kişisel veri, finansal veri, müşteri verisi, kaynak kod veya ticari sır paylaşılıyor mu?
- Bu araçlar karar destek için mi kullanılıyor, yoksa otomatik karar mı veriyor?
- Kullanılan model kurum içinde mi, bulutta mı, üçüncü taraf servis olarak mı çalışıyor?
- Çıktılar denetleniyor mu?
Bu soruların cevabı olmadan sağlıklı bir AI governance modeli kurmak mümkün değil.
Benim gördüğüm en büyük risklerden biri de “shadow AI” dediğimiz kontrolsüz kullanım. Çalışanların kişisel hesaplarla yapay zeka araçlarını kullanması, hassas verileri bu sistemlere yüklemesi veya kurumun hiç bilmediği araçlarla iş süreçlerinin yürütülmesi ciddi bir güvenlik ve uyum riski oluşturuyor.
Siber güvenlik tarafı da unutulmamalı
EU AI Act genelde hukuk ve uyum başlığı gibi konuşuluyor ama işin ciddi bir siber güvenlik boyutu da var.
Yapay zeka sistemleri klasik uygulamalardan farklı saldırı yüzeylerine sahip. Prompt injection, data poisoning, model extraction, sensitive data leakage, hallucination kaynaklı hatalı kararlar, tedarik zinciri riskleri ve yetkisiz veri kullanımı artık kurumların risk listesine girmek zorunda.
Bu yüzden AI governance sadece politika yazmak değildir. Teknik kontroller de gerekir:
- Veri sınıflandırma
- DLP entegrasyonu
- AI gateway kullanımı
- Loglama ve izleme
- Model ve prompt kayıtları
- Rol bazlı erişim
- Üçüncü taraf model değerlendirmesi
- Güvenli yazılım geliştirme yaşam döngüsüne AI kontrollerinin eklenmesi
- Incident response planlarına yapay zeka senaryolarının dahil edilmesi
- Yapay zeka sistemleri kurumun içine girdikçe, güvenlik ekiplerinin de bu sistemleri klasik uygulama güvenliği mantığıyla değil, yeni nesil AI security perspektifiyle ele alması gerekiyor.
Bu düzenleme inovasyonu durdurur mu?
Bu soruya cevabım: Hayır, ama kontrolsüz inovasyonu yavaşlatır.
Zaten amaç da bu olmalı. Çünkü yapay zeka artık sadece metin üreten, görsel oluşturan veya kod yazan bir araç değil. İnsanların işe alımını, krediye erişimini, eğitim fırsatlarını, sağlık süreçlerini veya kamu hizmetlerini etkileyebilecek bir teknoloji.
Bu kadar güçlü bir teknolojinin tamamen denetimsiz kalmasını beklemek gerçekçi değil.
Elbette regülasyonun fazla ağır olması Avrupa’daki girişimler için dezavantaj yaratabilir. ABD ve Çin gibi pazarlarda inovasyon daha hızlı ilerlerken, Avrupa’nın daha kontrollü bir yol seçmesi rekabet tartışmalarını da beraberinde getiriyor. Ancak diğer taraftan bu düzenleme global standartları da etkileyebilir. GDPR nasıl dünyadaki veri koruma yaklaşımını değiştirdiyse, EU AI Act de yapay zeka yönetişimi için benzer bir etki yaratabilir.
Benim önerim: Beklemeyin
Şirketlerin “2026’da bakarız” deme lüksü yok. Çünkü yapay zeka kullanımı kurumların içine çoktan girdi. Bugün kontrol altına alınmayan kullanım, yarın hem güvenlik hem uyum hem de itibar riski olarak geri dönebilir.
Benim önerim şu şekilde olur:
- Önce kurum içindeki yapay zeka kullanımını envanterleyin.
- Sonra kullanım senaryolarını risk seviyelerine göre sınıflandırın.
- Hassas veri paylaşımını kontrol altına alın.
- Yapay zeka araçları için kurumsal politika oluşturun.
- Üçüncü taraf AI servislerini tedarikçi risk yönetimi kapsamına alın.
- AI gateway, DLP, loglama ve izleme gibi teknik kontrolleri devreye alın.
- İnsan gözetimi ve onay mekanizmalarını netleştirin.
- Hukuk, uyum, IT, güvenlik ve iş birimlerini aynı yönetişim modelinde buluşturun.