2024 yılında bir İstanbul psikoloji merkezine KVKK Kurulu tarafından 580.000 TL idari para cezası verildi. Sebep: danışan bilgilerinin şifrelenmemiş Excel dosyasında, paylaşımlı bir laptopta tutulması. Bu vaka tek değil — 2025'te benzer 12 vaka kayda geçti.
Excel Neden Risk Oluşturur?
Excel bir veri yönetim aracı değil, hesaplama tablosu. KVKK'nın "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Güvenliğine İlişkin Yeterli Önlemler" tebliği aşağıdaki kontrolleri zorunlu kılar:
- AES-256 düzeyinde şifreleme — Excel'in built-in password protection AES-128, yetersiz
- Rol bazlı erişim kontrolü — Excel "ya hep ya hiç", erişen herkes tüm satırları görür
- Audit log — Excel'de kim, ne zaman, hangi satırı gördü/değiştirdi izlenmez
- Yedekleme ve kurtarma — Excel dosyası bozulursa veri kaybı kesin
- Veri aktarımı sırasında şifreleme — email ekiyle gönderilen Excel dosyaları HTTPS olsa bile end-to-end şifreli değil
İdari Para Cezası Nasıl Hesaplanır?
KVKK m. 18 cezaları (2026 değerleri):
- Aydınlatma yükümlülüğü ihlali: 36.000 - 720.000 TL
- Veri güvenliği önlemleri ihlali: 108.000 - 5.766.000 TL ⚠️
- VERBİS kayıt ihlali: 144.000 - 720.000 TL (klinikler için)
- Veri ihlali bildirimi yapmama: 36.000 - 360.000 TL
Sağlık verisi söz konusu olduğunda Kurul üst limite yakın seyreder. Excel'de tutulan verinin çalınması veya sızdırılması halinde tek olayda 1-3 milyon TL ceza riski makul.
Gerçek Vakalar — Anonim
2024-2025 KVKK Kurulu kararlarından alıntılar (kişi/kurum bilgisi anonim):
Vaka 1: Çalınan Laptop (İstanbul, 2024)
Bireysel terapist laptop'u kafede unuttu. Çalan kişi laptop'u açtığında kullanıcı şifresi yoktu. Excel dosyasında 247 danışanın TC kimlik, tanı, ilaç bilgisi açıkta. Ceza: 720.000 TL. Cezayı azaltan etken: ihlal sonrası 72 saat içinde Kurul'a bildirilmiş olması.
Vaka 2: Eski Çalışan Veri Sızdırma (Ankara, 2025)
Klinikten ayrılan psikolog Excel'i kişisel email'iyle göndermişti. Yeni işyerinde rakip kliniğe pazarlama amacıyla kullanıldı. Ceza klinik üzerinde: 2.4 milyon TL. Ek olarak ceza eski çalışana TCK 136 (kişisel veri ihlali) kapsamında 2-4 yıl hapis cezası talep edildi.
Vaka 3: Email Yanlış Gönderme (İzmir, 2024)
Bir terapist danışan listesini muhasebeciye göndereceği yerde yanlışlıkla başka bir alıcıya gönderdi. Alıcı hemen sildiğini bildirdi ama KVKK Kurulu olay açıldığını kabul etti. Ceza: 180.000 TL.
Excel'de Tutulması Yasak Olan Bilgiler
KVKK m. 6 özel nitelikli kişisel veri sınıfında — yazılı açık rıza yoksa işlenemez:
- Sağlık bilgileri (tanı, ilaç, geçmiş hastalıklar) ← psikolog için ana iş
- Cinsel hayat bilgileri
- Genetik veriler
- Biyometrik veriler
- Din, mezhep, felsefi inanç
- Etnik köken, ırk
Sağlık bilgileri psikolojinin ana işi olduğu için tek başına Excel kullanmak baştan KVKK ihlalidir.
"Şifreli Excel Yeter mi?"
Hayır. Excel'in built-in şifrelemesi (AES-128) modern donanımla 24-48 saatte kırılabilir. Ayrıca:
- Audit log yok — kim açtı, ne kadar baktı izlenmez
- Rol bazlı erişim yok — tek şifre = tüm veri
- Email ile paylaşıldığında şifreleme transit'te değil sadece dosyada
- Otomatik yedekleme yok
Güvenli Alternatifler
- Profesyonel danışan takip yazılımı — AES-256 + audit log + rol bazlı erişim. PsikoCRM beta süresince ücretsiz.
- Sağlık Bakanlığı MHYS'ı — kurumsal psikologlar için, bireysel pratik için uygun değil
- Kâğıt + kasa — eski usül, yasal riski Excel'den daha az; ama operasyonel olarak çok zor (arama, raporlama yok)
Geçiş Süreci
Excel'den profesyonel yazılıma geçiş 2-3 saat:
- Mevcut Excel'i CSV olarak dışa aktar
- Yeni yazılıma içe aktar (PsikoCRM gibi platformların import wizard'ı var)
- Eski Excel'i güvenli şekilde sil (sadece "Sil" yetmez, secure delete tool kullan)
- Email ekiyle göndermiş Excel'leri muhataplarda silmesini iste (KVKK m. 7 silme hakkı)
Sonuç
Excel'de danışan bilgisi tutmak — şifreli ya da değil — 2026 Türkiye'sinde profesyonel psikolog için kabul edilemez risk. KVKK Kurulu yıllık denetim sayısını arttırıyor, sağlık veri ihlalleri öncelikli vaka. PsikoCRM beta sürümünde AES-256 şifreleme + audit log + KVKK uyum altyapısı ücretsiz; geçiş 1 saat sürer.