Hassas veri nedir ve onları nasıl koruyabilirsiniz?

Hassas verilerin yalnızca T.C. kimlik numaraları, kredi kartı bilgileri veya şirket sırları gibi ifşa edilmesi halinde ciddi finansal kayıplara yol açabilecek veri türlerinden ibaret olduğunu düşünmek, yaygın bir yanılgıdır. Hassas veriler, bunlardan çok daha fazlasını kapsar. Bu makalede, hassas verilerin ne olduğunu, kişisel verilerden nasıl ayrıldıklarını ve onları nasıl koruyabileceğinizi öğreneceksiniz.

5 Haziran 2026

10 dk okuma

Hassas Veri Nedir ve Kişisel Veri Nasıl Korunabilir?

Hassas veriler nedir?

Hassas veriler, gizli olan ve bireyler ile kuruluşların güvenliğini ve mahremiyetini korumak için yetkisiz erişime karşı güçlü bir şekilde korunması gereken bilgilerdir. Açığa çıkmaları halinde, ilişkili oldukları kişilere ve kuruluşlara ciddi zarar verebilirler.

Kuruluşlar, veri güvenliği sağlayabilmek için hassas verilere olan erişimi uygun izinlere sahip kişilerle sınırlar. Bu kural, hem kâğıt üzerinde hem de dijital şekilde saklanan bilgi türlerini kapsar.

Hassas veri ve kişisel veri farkı

Hassas verilerin tümü kişisel veri değildir, ancak tüm kişisel veriler hassastır. Kişisel veriler, bir kişinin adı veya e-posta adresi gibi onu tanımlamak için kullanılabilecek her türlü bilgiden oluşur. Hassas veriler ise hem kişisel verileri hem de açığa çıkması halinde ilgili kişiye zarar verebilecek diğer tüm bilgi türlerini kapsar.

Kişisel ve hassas veriler arasındaki farkları gösteren örneklerle, aradaki fark daha rahat anlaşılabilir:

Hassas veri (her zaman kişisel değildir)

Kişisel veri (her zaman hassastır)

Banka hesap numaraları

Tam ad ve soyadı

Sağlık kayıtları

E-posta adresi

Kişisel olmayan ticari sırlar

Telefon numarası

Siyasi görüş

Doğum tarihi

Dini inanç

Resmi kimlik belgesi

Genetik veri

IP adresi

Cinsel yönelim

Çerez kimliği

Irksal veya etnik köken

Biyometrik veri

Müşteri listeleri (kişisel olmayan)

İç denetimler (kişisel olmayan)

Güvenlik protokolleri (kişisel olmayan)

Sözleşmeler ve yasal belgeler (kişisel olmayan)


Kişisel olarak tanımlanabilir bilgiler

Kişisel olarak tanımlanabilir bilgiler (personally identifiable information-PII), belirli bir kişiyi tanımlayabilecek her türlü veriyi içerir. Buna isimler, adresler, telefon numaraları, T.C. kimlik numaraları ve IP adresleri ile çerez kimlikleri gibi dijital tanımlayıcılar dahildir. Kişisel olarak tanımlanabilir bilgilerin kötüye kullanılması, siber suçlara, kimlik hırsızlığına ve dolandırıcılığa yol açabilir. Bu bilgiler, bilgisayar korsanlığının farklı türleri için de kullanılabilir. 

İş bilgileri

Hassas iş bilgileri, rakipler veya kamuoyu tarafından erişilmesi halinde bir kuruluşa zarar verebilecek her türlü veriyi içerir. Ticari sırlar, diğer şirketleri satın alma planları, finansal veriler, tedarikçiler ve müşterilerle ilgili bilgiler, fikri mülkiyet ve büyük verinin (big data) güvenliğiyle ilgili zorluklar bunlar arasında sayılabilir.

Gizli bilgiler

Devlet kurumları, hem ulusal güvenliği korumak hem de kuruluşlar veya bireyler hakkındaki hassas bilgileri güvence altına almak için bilgileri sınıflandırır. Hassasiyet seviyesine göre bilgiye olan erişimi kısıtlayan dört sınıflandırma düzeyi bulunur:

  • Kısıtlı: Devlet tesislerinin işleyişi gibi, açıklanması halinde istenmeyen sonuçlara neden olabilecek bilgileri içerir. Kısıtlı bilgilerin yetkisiz olarak açıklanması, tesisin güvenliğini ve onunla ilişkili kişilerin emniyetini tehlikeye atabilir.
  • Mahrem: Diplomatik temaslar gibi, ulusal çıkarların zarar görmesini önlemek için korunan bilgileri içerir.
  • Gizli: Detaylı askeri planlar gibi, açığa çıkması halinde ulusal güvenliğe ciddi zarar verebilecek bilgileri kapsar.
  • Çok gizli: Gerçek zamanlı istihbarat raporları gibi son derece hassas veriler için kullanılır.

Finansal bilgiler

Finansal bilgiler, genellikle kamuya açık olmayan kişisel bilgiler (nonpublic personal information-NPI) ile birlikte sınıflandırılır ve bir kişi veya kuruluşun finansal durumuyla ilgili verileri içerir. Bu bilgiler arasında isimler, adresler, telefon numaraları, sigorta numaraları, banka ve kredi kartı hesap numaraları, kredi veya banka kartı satın alma detayları, tüketici raporlarındaki mahkeme kayıtları ve diğer tüketici finansal verileri yer alır. Hassas doğaları nedeniyle, bu verilerin korunması kimlik hırsızlığı ve kredi kartı dolandırıcılığı gibi siber suçları önlemek için büyük önem taşır.

Korunan sağlık bilgileri

Korunan sağlık bilgileri (protected health information-PHI), bir kişiyi tanımlayabilen ve sağlık durumu, sağlık hizmetleri veya onlar için yapılan ödemelerle ilgili tüm tıbbi verileri içerir. Tıbbi kayıtlara dayalı veriler, laboratuvar sonuçları, sigorta bilgileri ve sağlık hizmeti sağlayıcıları ile hastalar arasındaki konuşmalar örnek olarak gösterilebilir. Korunan sağlık bilgileri, ayrıca sağlık geçmişlerini, test sonuçlarını, reçeteleri ve hem fiziksel hem de elektronik formattaki tıbbi hizmetlerle ilgili iletişimleri de kapsar.

Erişim bilgileri

Erişim bilgileri genel olarak kullanıcı adları, parolalar, online bankacılık bilgileri, PIN kodları ve biyometrik verilerden oluşur. Tüm bunlar verilerin, sistemlerin ve fiziksel tesislerin güvenliğini sağlamak için hayati öneme sahiptir. Kritik sistemlere ve hassas verilere yetkisiz erişimi önlemek için erişim bilgilerinin güvenli bir şekilde saklanması şarttır. Ele geçirilmeleri durumunda veri ihlalleri, finansal kayıplar, kimlik hırsızlığı, itibar kaybı, yasal yaptırımlar ve operasyonel aksaklıklar gibi sonuçlar ortaya çıkabilir.

Eğitim kayıtları

Eğitim kayıtları, bazı ülkelerde ayrı bir sınıflandırmaya sahiptir ve özel olarak korunur. Örneğin, 1974 tarihli Aile Eğitim Hakları ve Gizlilik Yasası (Family Educational Rights and Privacy Act-FERPA), ABD genelinde reşit olmayanlar ve genç yetişkinler hakkında hassas ve kişisel veriler içeren eğitim kayıtlarına erişimi düzenler. Potansiyel işverenler, akademik kurumlar ve yabancı hükümetler bu kayıtlara yalnızca belirli koşullar altında erişilebilir. Eğitim kayıtları arasında kabul başvuruları, disiplin kayıtları, kayıt detayları, finansal yardım bilgileri, notlar, öğrenci kimlik numaraları ve transkriptler yer alır. FERPA, öğrenci gizliliğini sağlamak için tüm bu hassas bilgileri korur.

İstihdam kayıtları

İstihdam kayıtları, kötüye kullanılmaları halinde iş yerinde ayrımcılığa veya tacize yol açabilecek ve kişisel ve mesleki itibar ile ilişkileri potansiyel olarak zedeleyebilecek hassas veriler içerir. Bu kayıtlar arasında sabıka bilgileri, disiplin işlemleri, istihdam geçmişi, performans değerlendirmeleri, İK amaçlı toplanan kişisel belgeler, maaş ve bordro detayları ile iş yeri olay raporları yer alır.

Hassas verilerle ne yapılabilir?

Hassas veriler yanlış kişilerin eline geçtiğinde, farklı şekillerde kötüye kullanılabilir ve hem bireyler hem de işletmeler için ciddi riskler oluşturabilir.

Kişisel riskler

Hassas kişisel bilgiler kötü niyetli kişilerin eline geçerse; kimlik hırsızlığı, maddi kayıp, gizlilik ihlalleri ve itibar kaybı gibi olumsuz sonuçlara yol açabilir. Veri ihlallerinden en çok yararlananlar suçlular, rakipler, düşmanlar ve veri aracılarıdır: Her birinin hassas verileri kullanmak için kendine özgü nedenleri vardır.

Suçlular hassas verileri genellikle hırsızlık ve dolandırıcılık yoluyla maddi kazanç elde etmek için kullanır. Rakipler ve düşmanlar bu bilgileri kişisel saldırılar düzenlemek veya rekabet avantajı elde etmek için kullanabilir. Veri aracıları, kişisel verileri profil oluşturmak için veya reklam amaçlı olarak yasal veya yasadışı yollarla toplayıp satabilir. Siber tacizciler ise kişisel bilgileri birisini takip etmek, hatta fiziksel saldırıda bulunmak için kullanabilir.

Kurumsal riskler

Kuruluşlar; müşteri ve çalışan bilgileri, ticari sırlar ve fikri mülkiyet gibi hassas bilgileri korumayı başaramazlarsa son derece ağır yaptırımlarla karşı karşıya kalabilir. Böyle bir başarısızlık güven kaybına, itibar kaybına, finansal kayıplara ve yasal düzenlemelere uyulmaması nedeniyle cezalandırılmaya neden olabilir.

Hassas verilerin ne kadar değerli olduğu düşünüldüğünde, veri ihlallerinden fayda sağlamaya çalışan pek çok kötü niyetli tarafın ortaya çıkması kaçınılmazdır. Örneğin rakipler, çalınan verileri pazar avantajı elde etmek veya iş faaliyetlerini aksatmak için kullanabilir. Bilgisayar korsanları, güvenliği ihlal edilmiş sistemlere erişim satarak veya fidye yazılımı (ransomware) yükleyerek kâr elde edebilir. Endüstriyel casuslar ise onlardan şirketlerinin veya ülkelerinin çıkarları doğrultusunda yararlanır.

NordVPN’in çalınan verilerin gerçek maliyetine dair dark web'de yürüttüğü bir araştırmada, ödeme kartı verilerinin dark web pazarlarında en sık satılan öğe olduğu tespit edilmiştir. Veri hırsızlığı ve veri ihlallerinde yaşanan artış, gelişmiş güvenlik önlemlerine duyulan ihtiyacı da göstermektedir. NordVPN Dark Web Monitor özelliği, siber suçlular harekete geçmeden önce hesaplarınızı korumaya yardımcı olabilir: Bu özellik, dark web sayfalarında kimlik bilgilerinizi tespit ederse sizi anında uyarır.

Veri koruma yasaları

Verilerinizi korumak için elinizden geleni yapmanız gerekse de, sizi meraklı gözlerden korumaya yardımcı olacak yasalar da mevcuttur.

KVKK (Türkiye)

Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de faaliyet gösteren kuruluşların kişisel verileri nasıl toplayacağını, işleyeceğini, saklayacağını ve paylaşacağını düzenler. Hem kamu kurumları hem de özel şirketler için geçerlidir. KVKK, isimler, iletişim bilgileri, finansal kayıtlar, sağlık bilgileri ve biyometrik veriler de dahil olmak üzere pek çok farklı kişisel bilgiyi korur. Ayrıca bireylere verilerine erişme, düzeltme talep etme ve hukuka aykırı olarak işlenmiş bilgilerin silinmesini isteme gibi belirli haklar da tanır. KVKK hükümlerine aykırılık, 2026 itibariyle 17.092.242 TL’ye kadar çıkabilen para cezalarına neden olabilir.

GDPR (Avrupa)

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation-GDPR) bir AB yasasıdır ve şirketlerin kişisel bilgileri yalnızca yasal bir dayanakları varsa toplayabileceklerini belirtir. Bu dayanak, sizin rızanız da olabilir. Bu yasa, Avrupa Birliği içindeki bireylerin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir ve bu kuruluşların nerede olduğunun (yani, AB içinde olup olmadıklarının) bir önemi yoktur. Genel Veri Koruma Yönetmeliğine uyulmaması, şirketin küresel yıllık cirosunun %4'üne veya 20 milyon avro’ya kadar (hangisi daha büyükse) önemli para cezalarına yol açabilir.

CCPA (Kaliforniya, ABD)

2018 yılında yürürlüğe giren Kaliforniya Tüketici Gizliliği Yasası (California Consumer Privacy Act -CCPA), bu eyaletin sakinlerine kişisel bilgileri üzerinde daha fazla kontrol sağlamak için tasarlanmıştır. Tüketiciler, bu yasa sayesinde kuruluşların kendileri hakkında hangi verileri topladığını, bu verilerin neden toplandığını ve kimlerle paylaşıldığını öğrenebilir. CCPA, ayrıca tüketicilere kişisel verilerinin satışından vazgeçme hakkı tanır ve yasal haklarını kullandıkları için kötü muameleye maruz kalmayacaklarını garanti eder.

CPRA (Kaliforniya, ABD)

Kaliforniya Gizlilik Hakları Yasası (California Privacy Rights Act-CPRA), daha fazla koruma ve sorumluluk ekleyerek CCPA'yı geliştiren ve tüketici gizliliğini artıran bir yasadır. Temel düzenlemeleri arasında tüketicilerin yanlış kişisel bilgileri düzeltmesine izin vermek, hassas kişisel bilgilerin nasıl kullanılabileceğine dair sınırlar koymak ve bu kuralları uygulamak için Kaliforniya Gizlilik Koruma Ajansı'nı (California Privacy Protection Agency-CPPA) kurmak yer alır.

GLBA (ABD)

Gramm-Leach-Bliley Yasası (Gramm-Leach-Bliley Act-GLBA), finansal kurumlara ve kredi, finansal danışmanlık veya sigorta gibi finansal ürün veya hizmetler sunan şirketlere odaklanan bir yasadır. Söz konusu kuruluşların müşteri bilgilerini nasıl paylaştıklarını net bir şekilde açıklamalarını ve hassas verileri korumalarını zorunlu kılar.

DTSA (ABD)

2016 yılında yürürlüğe giren ABD Ticari Sırlar Koruma Yasası (Defend Trade Secrets Act-DTSA), ticari sırları korumak için federal kurallar belirler. Ticari sırlar, şirketlerin rakiplerinin önüne geçmek için gizli tuttuğu formüller, yöntemler ve tasarımlar gibi önemli iş bilgileridir. Bu bilgilerin DTSA kapsamına giren bir ticari sır olarak kabul edilebilmeleri için kamuoyundan uzak tutulmaları ve özenle korunmaları gerekir.

2016/943 sayılı Direktif (AB) (Avrupa)

Avrupa Birliği'nin Ticari Sırlar Direktifi (European Union’s Trade Secrets Directive), resmi adıyla Direktif (AB) 2016/943, tüm AB üye ülkelerinde ticari sırların korunmasını standartlaştırmak amacıyla 2016 yılında kabul edilmiştir. Bu direktiften önce, ticari sır yasaları Avrupa genelinde önemli farklılıklar gösteriyor ve bu durum, birden fazla ülkede faaliyet gösteren işletmeler açısından tutarsız koruma ile çeşitli hukuki ve operasyonel zorluklara neden oluyordu. Direktif, AB genelinde ticari sırların tutarlı ve etkili biçimde korunmasını sağlamak amacıyla ortak bir yasal çerçeve oluşturmuştur.

HIPAA (ABD)

Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (Health Insurance Portability and Accountability Act-HIPAA), hassas hasta sağlık bilgilerinin korunmasına yönelik ulusal standartları belirleyen bir federal yasadır, yani tüm ABD eyaletlerinde geçerlidir. Bu yasa, sağlık sigortası planlarını, sağlık hizmeti sağlayıcılarını, sağlık bilgi paylaşım merkezlerini ve bunların iş ortaklarını kapsar. HIPAA'nın Gizlilik Kuralı, “korunan sağlık bilgileri” kapsamına giren tüm verilerin korunmasını zorunlu kılar. Güvenlik Kuralı ise bu bilgilerin elektronik ortamdaki versiyonlarını korumak amacıyla fiziksel, teknik ve idari güvenlik önlemlerinin uygulanmasını gerektirir. Bu önlemler, sağlık hizmeti sağlayıcısı veya kullanılan sistem fark etmeksizin hasta verilerinin güvenliğini ve gizliliğini korumaya yardımcı olur. 

Dünya çapındaki diğer veri koruma yasaları arasında şunlar yer alır:

  • Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA) (Kanada)
  • Kişisel Bilgilerin Korunması Yasası (POPIA) (Güney Afrika)
  • Federal Veri Koruma Yasası (BDSG) (Almanya)
  • Lei Geral de Proteção de Dados (LGPD) (Brezilya)
  • Kişisel Verilerin Korunması Yasası (PDPA) (Singapur)

Hassas ve kişisel verilerin korunması için ipuçları

Aşağıdaki veri güvenliği ipuçlarını hassas verilerinizi daha iyi korumak için kullanabilirsiniz:

  • Güçlü şifreler kullanın. Karmaşık parolalar oluşturmak ve onları saklamak için NordPass gibi araçlardan yararlanın. Verilerinizden herhangi biri bir ihlale maruz kalırsa, parolalarınızı derhal değiştirin.
  • Dosyalarınızı şifreleyin. NordLocker kasasını kullanarak birinci sınıf veri şifreleme ile dosyalarınızı veri ihlallerinden koruyun. Biri onları ele geçirse bile, şifrelenmiş dosyaların içeriğine erişemeyecektir.
  • İnternette gezinirken sağduyulu davranın. Şüpheli bağlantılara veya reklamlara tıklamayın ve şüpheli mesajlar ile güvenilmez web sitelerini açmaktan kaçının. Tanımadığınız kişilere kişisel verilerinizi vermeyin.
  • Sosyal medya hesaplarınızı gizli tutun. Sosyal medya sayfalarınızı yalnızca tanıdığınız ve güvendiğiniz kişilerin görebilmesini sağlayın.
  • Tanımlanabilir kişisel bilgilerinizi paylaşmayın. Telefon numaranız veya ev adresiniz gibi bilgileri gizli tutun.
  • VPN kullanın. VPN ile internet gezintilerinizi daha güvenli hale getirin. NordVPN, trafiğinizi şifreler ve kötü amaçlı yazılımları tespit eden, zararlı web sitelerini engelleyen ve web sitelerinin sizi takip etmesini önlemeye yardımcı olan Threat Protection Pro özelliğine sahiptir. VPN kullanmak, ayrıca herkese açık Wi-Fi ağlarında güvende kalmanıza yardımcı olur.
  • Veri aracılarını devre dışı bırakın. Incogni gibi bir hizmet kullanarak aracıların kişisel bilgilerinizi kötüye kullanmasını önleyin.
  • Verilerin hassasiyetini belirleyin. Kullanıcılar ile BT uzmanlarına net kullanım ve koruma talimatları verebilmek için veri hassasiyet sınıflandırması uygulayın. Doğru veri sınıflandırması, hassas verilerin daha verimli bir şekilde yönetilmesine yardımcı olabilir.
  • Kendinizi eğitin ve güncel kalın. Veri güvenliği konusunda kendinizi ve başkalarını bilgilendirerek ve şüpheli faaliyetleri rapor ederek siber güvenlik farkındalığını artırın.
  • Ağınızı güvenli hale getirin. Ağ güvenliğinizi, güvenlik duvarları (firewall), saldırı tespit sistemleri ve aktarım halindeki verileri korumak için şifreli iletişim ile artırın.
  • Sistemleri güncel tutun. Yazılımlarınızı, işletim sistemlerinizi ve güvenlik sistemlerinizi düzenli olarak güncelleyin ve yamaları yükleyin. Bunu yaparak güvenlik açıklarını azaltabilir ve yeni tehditler ile veri ihlallerine karşı korumayı artırabilirsiniz.

Tek bir tıkla online güvenliğe adım atın.

Dünyanın lider VPN'i ile güvende kalın

Ayrıca şu dillerde de mevcuttur:: English,Bahasa Indonesia,Italiano,繁體中文 (台灣).

NordVPN uzmanları

NordVPN uzmanları

NordVPN uzmanlarımız siber güvenlik çözümlerinin bütün inceliklerini bilir ve interneti herkes için daha güvenli hâle getirmeye çalışır. Çevrimiçi tehditlerin nabzını tutarak, uzmanlıklarını ve bunlardan nasıl kaçınılacağına dair pratik ipuçlarını paylaşırlar. İster bir teknoloji acemisi ister deneyimli bir kullanıcı olun, blog yazılarında değerli bilgiler bulacaksınız. Siber güvenlik herkes için erişilebilir olmalıdır ve biz bunu her seferinde bir blog yazısıyla gerçekleştiriyoruz.