Belediyelerin Borç Sorgulama Ekranlarına KVKK Ayarı: 2022/388 Sayılı İlke Kararı

Belediyelerin dijitalleşme sürecinde sunduğu “Hızlı Ödeme” veya “Borç Sorgulama” gibi kolaylıklar, güvenlik önlemleri alınmadığında büyük bir veri ihlali merkezine dönüşebiliyor. KVKK Kurulu, 21/04/2022 tarihli ve 2022/388 sayılı ilke kararı ile belediyelerin internet sitelerinde sadece T.C. Kimlik Numarası (TCKN) ile sorgulama yapılması dönemini resmen kapattı.

Tek Kademeli Sorgulama Neden Riskli?

Pek çok belediye, emlak vergisi veya çevre temizlik vergisi ödemeleri için vatandaşın sadece TCKN bilgisini girmesini yeterli görüyordu. Ancak TCKN, üçüncü kişiler tarafından kolayca ele geçirilebilen bir bilgi olduğu için, bu yöntem art niyetli kişilerin vatandaşın taşınmaz bilgilerine, borç miktarlarına ve diğer kişisel verilerine erişmesine kapı aralamaktaydı.

Mevzuat Hatırlatması (KVKK Md. 12): Veri sorumlusu olan belediyeler; kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek için uygun güvenlik düzeyini temin edecek her türlü teknik ve idari tedbiri almakla yükümlüdür.

İki Kademeli Doğrulama (2FA) Zorunluluğu

Kurul, kişisel verilere uzaktan erişimde güvenliğin sağlanması için “İki Kademeli Kimlik Doğrulama” sisteminin uygulanması gerektiğini vurgulamıştır. Karara göre doğrulama şu şekilde kurgulanmalıdır:

1. Birinci Kademe: TCKN, ad-soyad, vergi numarası veya sicil numarası gibi temel bilgiler.
2. İkinci Kademe: Kişiye özel oluşturulmuş bir şifre, üyelik sistemi veya kişinin sistemde kayıtlı telefon numarasına gönderilen tek kullanımlık SMS kodu (OTP).

Önemli Uyarı: Kurul, anne adı, baba adı, doğum tarihi veya telefon numarası gibi başkaları tarafından da bilinebilecek bilgilerin ikinci bir doğrulama kademesi olarak kullanılmasını yeterli bulmamaktadır. İkinci aşama mutlaka sadece “ilgili kişinin” erişebileceği bir yöntem (şifre veya SMS kodu) olmalıdır.

Özgür Eralp Perspektifi: “Hız, Güvenliğin Önüne Geçmemeli”

Bilişim dünyasında 25 yılı devirirken gördüğümüz en büyük hata, “kullanıcı dostu arayüz” oluşturma çabasının veri güvenliğini feda etmesidir. Belediyelerin borç sorgulama ekranlarındaki bu zafiyet, sosyal mühendislik saldırıları için adeta bir altın madeniydi. Bir teknoloji yatırımcısı ve hukukçu olarak şunu söylemeliyim: Çift faktörlü doğrulama (2FA) artık bir lüks değil, dijital vatandaşlık hukukunun asgari şartıdır. Kamu kurumları, vatandaşa hizmet sunarken mahremiyeti korumakla mükelleftir.

---

Sıkça Sorulan Sorular

1. Sadece TCKN ile borç sorgulatan bir belediye sitesi görürsem ne yapmalıyım?

Bu durum 2022/388 sayılı ilke kararına aykırıdır. İlgili belediyeye KVKK kapsamında başvurarak sistemin güvenli hale getirilmesini talep edebilir, sonuç alamazsanız Kurul’a şikayette bulunabilirsiniz.

2. Doğum tarihi veya telefon numarası girerek sorgulama yapmak “çift faktörlü” sayılır mı?

Hayır. Kurul bu kararda; doğum tarihi, anne-baba adı gibi bilgilerin başkaları tarafından ele geçirilebileceğini belirterek, bunları ikinci kademe doğrulama olarak kabul etmemiştir.

3. Belediyeler bu karara uymazsa ne olur?

İlke kararına uymayan belediyeler hakkında şikayet üzerine veya resen inceleme başlatılır ve KVKK’nın 18. maddesi uyarınca idari yaptırımlar uygulanır.

4. E-Devlet üzerinden yapılan sorgulamalar güvenli mi?

Evet. e-Devlet kapısı zaten yüksek güvenlikli kimlik doğrulama yöntemleri kullandığı için bu ilke kararındaki güvenlik şartlarını karşılamaktadır.

5. Belediyenin “Hızlı Ödeme” sistemi tamamen mi kaldırıldı?

Hayır, sistem kaldırılmadı; sadece “doğrulama” şartı getirildi. TCKN bilgisinin yanına bir SMS kodu veya önceden belirlenmiş bir şifre aşaması ekleyen belediyeler hizmet vermeye devam edebilir.

---

Kaynaklar

• KVKK Kurumu – 2022/388 Sayılı İlke Kararı
• Resmî Gazete – 29 Nisan 2022 (Sayı: 31824)
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu
• Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
• mevzuat.gov.tr