Türkiye'de AI agent kullanımı

Kısa cevap

Türkiye'de AI agent kullanmak teknik olarak her şirketin önünde açık. Asıl mesele üç katmanın eş zamanlı oturmasıdır: KVKK uyumu (kişisel veri nereden geliyor, nereye gidiyor, ne kadar saklanıyor), iş süreci uyumu (agent gerçekten Türkiye iş akışına oturuyor mu — Logo, Mikro, Netsis, Parasüt, e-fatura) ve audit uyumu (her karar denetlenebilir mi).

Pratikte üç sınama beraber çözülür: hassas veriyi yerel çalışan yapay zekâya bırak, kararları imzalı bir zincire yaz, yetiştirmeyi kullanıcının makinesinde tut. Ilura bu üç katmanı tek atölyede birleştirecek şekilde tasarlandı; ilk gün üç soruyla başlayan yetiştirme akışı KVKK envanterine de uyumlu doğar.

Türkiye'de şirketler AI agent'ı nerede kullanabilir?

Türk şirketleri için AI agent'ın oturduğu beş ana yüzey var ve beşinin de mantığı farklı. Ofis içi operasyon — faturalar, mutabakat raporları, ay sonu kapanışı, e-posta tasnifi. Burada agent küçük tekrarlı işleri sessizce yapar; insan kararları agent'ın taslağı üzerinden onaylar.

Müşteri hizmetleri. İade soruları, kargo durumu, sipariş takibi, ürün önerisi. Türkçe konuşan ve markanın tonunu taşıyan bir agent burada üç-dört dakikalık ortalama yanıt süresini otuz saniyenin altına indirir. Ama hassas müşteri verisine dokunduğu için açık rıza ve audit chain birleşik kurulmalı.

İçerik üretimi. Sosyal medya taslakları, ürün açıklamaları, çoklu dilde lansman metni. Burada agent yaratıcı sınırı insanın elinde tutarken hızı katlar — özellikle e-ticaret ve KOBİ pazarlamada bir editörün haftalık üretimini iki saate düşürebilir.

Satın alma. Tedarikçi karşılaştırma, RFQ formu hazırlama, fiyat değişimi takibi, dövizli sözleşme yenilenmesi, tedarikçi sertifika doğrulama. Türkiye'deki çoklu döviz dinamiği agent'ın tablo okuma + hesaplama kabiliyetini kıymetli kılar; insan onayı olmadan satın alma tetiklenmez ama şartname taslağı agent'a bırakılır. Lojistik ve bakım onarımı destekleyen agent kombinasyonları büyüyen pazar — Türkiye'nin coğrafi konumu transit yoğunluğunu zorunlu kılıyor.

Bilgi erişimi (iç wiki, hukuki arşiv, klinik notu). Şirketin kendi belge yığınında bulduğu cevapları doğal dilde çıkaran agent'lar. Burada en kritik nokta cevabın kaynağını göstermesi; agent "tahmin" değil "alıntı" yapmalı. Retrieval augmented kurgu (RAG) bu yüzeyin standardı; kaynak gösterilmeyen cevap insan denetimine girmeden kullanılmaz.

Beş yüzeyin ortak özelliği: agent insan kararını ortadan kaldırmaz, hızlandırır. Türk şirketinin kültürel dokusu yüksek otonomi yerine "danışman" rolüne daha yatkın; agent taslak çıkarır, insan onaylar — moat üreten model bu işbirliği.

KVKK açısından temel ilkeler

KVKK 4. madde işlemenin omurgasıdır: hukuka uygun, dürüst, doğru ve güncel, belirli ve meşru amaçla, sınırlı ve gerektiği kadar. AI agent senaryosunda bu beş ilkenin dördü teknolojinin sırtında taşınır. Hukuka uygunluk için işleme şartı seçilir, doğrulukta agent çıktısının insan onayı zorunludur, sınırlılıkta agent'a yalnız ihtiyaç duyduğu alanlar açılır, amaç dışı kullanım audit chain'de izlenir.

İşleme şartları. Agent'ın işleyebileceği veri için altı şart var, en sık üçü kullanılır. Açık rıza — kullanıcı "evet, müşteri hizmetlerinde verim AI ile işlensin" der. Sözleşmenin gereği — örn. e-ticaret kullanıcı sözleşmesinde "siparişin işlenmesi için zorunlu veri akışı" maddesi varsa ayrıca rıza şart koşmaz. Meşru menfaat — şirketin operasyonel zorunluluğu, ama veri sahibinin hak dengesini bozmamalı.

Veri minimizasyonu. Agent'a gereken minimum veri verilir. T.C. kimlik numarasını sözleşme metnine yazmak yerine son dört hane + isim baş harfleri yetiyorsa öyle yap. Maskelenmiş veri eğitim için, açık veri yalnız üretimde — bu ayrım Ilura atölyesinin temel kuralı.

Açık rıza özellikleri. Belirli bir konuya yönelik, bilgilendirilmeye dayalı, özgür iradeyle verilmiş olmalı. AI agent bağlamında kullanıcıya "verin Anthropic API'sine gidecek, 30 gün saklanacak, eğitim için kullanılmayacak" gibi netlik şart. Şablon onam metni KVKK uyumlu yapay zekâ kavram sayfasında mevcut.

Aydınlatma yükümlülüğü (10. madde). Veri sahibine işleme amacı, hukuki sebebi, aktarım alıcıları, KVKK 11. madde'deki hakları açık ve sade dilde anlatılmalı. AI agent akışında bu yükümlülük genellikle web arayüzünde tek tıkla açılan bir aydınlatma metni + ürün içi kısa hatırlatma şeklinde kurulur. Türkçe dil kalitesi düşük çevirilerden uzak durulmalı — Veri Koruma Kurulu makine çevirisi gibi metinleri "anlaşılır" saymıyor.

Saklama süresi. Veri "amaç için gereken kadar" saklanır; gereksiz uzun tutma ihlal sayılır. Agent senaryosunda iki ayrı saklama politikası kurulur: ham diyalog (90 gün varsayılan) ve eğitim örneği (anonimleştirilmiş, süresiz). İki politikayı ayrı tablolar üzerinden yönetmek hem KVKK envanterini sadeleştirir hem ihlal halinde "hangi veri gitti" sorusunun cevabını netleştirir.

Hangi veriler hassas?

KVKK iki kategori belirler: kişisel veri (kişiyi doğrudan veya dolaylı belirleyebilen herhangi bir bilgi — ad, soyad, e-posta, IP, sipariş geçmişi) ve özel nitelikli veri (6. madde — ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, dernek/vakıf üyeliği, sağlık, cinsel hayat, mahkumiyet, biyometrik, genetik). İkincisi için kural sertleşir: ya açık rıza, ya kanunen öngörülmüş istisna; başka yol yok.

Ticari sır. KVKK'nın doğrudan kapsamında olmasa da agent senaryosunda en sık karşılaşılan ikinci hassas veri. Maliyet listeleri, müşteri portföyü, fiyat marjları, henüz açıklanmamış ürün roadmap'i — bunlar bulut LLM'e gönderilirse şirketin pazarlık gücü dışarı çıkar. Yerel inference burada sigorta görevi görür.

Pratik örnekler. Hastane randevu sistemi → özel nitelikli (sağlık). Bordro sistemi → kişisel veri + finansal hassasiyet. CRM müşteri notu → kişisel veri + ticari sır. E-ticaret iade formu → kişisel veri (ad + adres + IBAN). Hukuk bürosunun dava dosyası → mahkumiyet kategorisinde özel nitelikli. Her birinin işleme rejimi farklı; agent yetiştirirken hangisinin bulut LLM'e dokunup hangisinin yerel kalacağı en başta belirlenir.

Veri envanteri. Hassas veri sınıflandırması bir kerelik egzersiz değil — yeni bir tool eklendiğinde, yeni bir entegrasyon kurulduğunda envanter güncellenir. Ilura'da her agent'ın "veri sınıfı" alanı vardır; bulut LLM'e gönderilmeden önce sınıf kontrolü otomatik tetiklenir. Sınıf "özel nitelikli" ise yerel runtime'a yönlendirme zorunlu, bulut çağrısı engellenir.

VERBIS kaydı. Yıllık çalışan sayısı 50'yi veya yıllık mali bilanço 25 milyon TL'yi aşan veri sorumluları KVKK VERBIS sicilinde kayıtlı olmak zorunda. AI agent kullanımı envanteri zenginleştirir: işleme amacı (örn. müşteri taleplerinin yanıtlanması), aktarılan alıcı grubu (LLM sağlayıcısı, bulut runtime), saklama süresi, uluslararası aktarım. Envanter güncel tutulmazsa idari yaptırım riski yüksek; agent platformu seçerken envantere ne yazacağın baştan netleşmeli.

Yerel çalışan yapay zekâ ne zaman gerekir?

Yerel çalışan yapay zekâ, agent'ın inference'ını cihaz üzerinde yapmasıdır — Ollama, LM Studio, MLX gibi runtime'lar bunu mümkün kılar. Avantajı veri ikametgâhı: kullanıcının yazdığı prompt ve agent'ın aldığı kararlar dış ağa hiç çıkmaz. Detay: yerel yapay zekâ kavram sayfası.

Hangi senaryolarda zorunlu? Özel nitelikli veri işleme — sağlık, biyometrik, mahkumiyet kayıtları. Ticari sır yoğun süreçler — fiyat müzakeresi, M&A due diligence, henüz patentlenmemiş AR-GE notu. Avukat-müvekkil görüşmesi gibi yasal ayrıcalıklı iletişim. Bu üçünde "bulut sağlayıcısının kullanım koşullarına güvendim" cümlesi savunma argümanı olarak zayıftır.

Hangi senaryolarda gerek yok? Maskelenmiş veri akışları, kamuya açık veri analizi, pazarlama metni üretimi, genel müşteri hizmetleri (KVKK kapsamında olsa da açık rıza alındığında). Burada bulut LLM'in yeteneği yerel modeli açıkça geçer; sıkı uyum gerektiren süreç değilse esneklik tercih edilebilir.

Karma yaklaşım. Pratikte en sık görülen kurgu: hassas veri yerel modelle ön işlenir (PII maskeleme, kategori etiketi), maskelenmiş çıktı bulut LLM'e gönderilir, yanıt geri agent zarfına yerleşirken yerel model özel alanları geri kapatır. Bu hibrit pipeline KVKK savunulabilirliği için altın standart.

Donanım kararı. Yerel inference için Türkiye'de en sık tercih edilen kombinasyonlar: Apple M-serisi (M2/M3/M4 ailesi) Llama 3 8B ila 70B modellerini akıcı çalıştırır; NVIDIA RTX 4090 / RTX 5090 GPU 70B'ye kadar olan modelleri 4-bit quantization ile rahat işler; KOBİ ortamında MacBook Pro 36GB+ RAM en pratik başlangıç noktası. Çevrimdışı çalışma gereken sahalarda (uzak şantiye, hastane içi terminal) bu donanımlar Ilura'nın yerel runtime'ını kararlı taşır.

Model seçimi. Türkçe için Cohere Aya, Meta Llama 3 (multilingual), Mistral Nemo gibi çok dilli modeller iyi çalışıyor; Trendyol gibi yerli oyuncuların açık ağırlıklı modelleri Türkçe bir derinlik kazandırıyor. Yetiştirme döngüsünde model değişikliği bir karar: ilk gün küçük ve hızlı bir modelle başla, üçüncü ayda fitness skoru olgunlaştığında daha büyük modele geç. Ilura model değişikliğinde tarih kaybı yaşatmaz — Bayesian profil + LoRA adapter taşınabilir.

Sektörlere göre kullanım

Türkiye'de yedi sektör AI agent için belirgin örüntüler oluşturuyor. Her birinin veri profili, hukuk çerçevesi ve yetiştirme döngüsü farklı; her birinin Türkiye özelinde sektörel düzenleyici (BDDK, Sağlık Bakanlığı, EPDK, Ulaştırma Bakanlığı) ile diyaloğu kuran şablonlar henüz olgunlaşmadı. İlk dönem deneyim biriktiren şirketler yıkılmaz bir öncülük avantajı taşıyacak; KVKK + sektör mevzuatı çerçevesini agent'a baştan oturtmak ileride yapısal kazanç. Kısaca:

Finans

KOBİ muhasebesinden bankacılık back-office'ine kadar geniş yelpaze. Logo Netsis, Mikro Fly, Eta gibi yerel ERP'lerden fatura okuma, mutabakat takibi, vadesi geçen alacak hatırlatma, e-fatura entegrasyonu. BDDK + KVKK çiftli rejim — finansal veri özel nitelikli kategorisinde yer almasa bile sektörel düzenlemeye tabi. Audit chain'in en sıkı uygulandığı alan; her tutar değişikliği denetim sırasında izlenebilir olmalı, MASAK çerçevesinde şüpheli işlem akışları agent'ın gözünden geçmiş olmalı. Türkiye'nin yüksek enflasyon dinamiği agent'ın günlük kur çevrimi ve fiyat güncellemesini değerli kılıyor; KOBİ muhasebecisi için ay sonu kapanışı 3 günden 4 saate inebilir. Detay: Murat persona sayfası.

Hukuk

Sözleşme inceleme, içtihat tarama, dilekçe taslağı, tebligat takibi, KEP yazışma takibi, UYAP entegrasyonu. Avukat-müvekkil görüşmesi yasal ayrıcalıkla korunduğu için yerel inference burada neredeyse zorunlu. Agent dilekçe taslağı çıkarır, avukat son cümleyi kendisi yazar; agent "tahmin" yerine ilgili madde + emsal karar referansı verir. Halüsinasyon riski yüksek olduğundan retrieval-augmented kurgu şart — emsal karar uydurması meslek etiği açısından kabul edilemez. Türk Borçlar Kanunu, TTK, İYUK gibi temel mevzuatın güncel metni ve Anayasa Mahkemesi + Danıştay + Yargıtay içtihatlarının agent'ın erişimine açık tutulması üretkenliği katlar.

Sağlık

Hasta randevusu, klinik not özetleme, reçete okunuşu, anamnez taslağı, MHRS entegrasyonu, e-Nabız veri çekme. Tamamı özel nitelikli veri (KVKK 6. madde) — açık rıza veya kanun istisnası dışında işlenemez. Yerel inference burada savunulabilir tek seçenek; bulut LLM kullanımı için hasta onamı + hastane veri komitesi onayı + KVKK envanter güncellemesi gerekir. Telemedikal başvurularda agent'ın görevi "doktor yerine" değil "doktor öncesi tasnif". Sağlık Bakanlığı'nın bilgi güvenliği yönetmeliği TS ISO/IEC 27001 + 27799 standartlarını zorunlu kılıyor; agent katmanının bu sertifikasyon kapsamına alınması gerekiyor.

İK

CV analizi, ön mülakat soru hazırlama, performans değerlendirme taslağı, çıkış mülakatı özetleme, oryantasyon dokümanı kişiselleme. Çalışan veri sahibi, işveren veri sorumlusu — iş sözleşmesinde meşru menfaat çerçevesi açıkça belirtilmeli. CV elemesinde algoritmik ayrımcılık riski yüksek; agent'ın karar gerekçesini açık tutması (cinsiyet, yaş, etnik köken etiketlerini görmemiş olması) zorunlu. AB AI Act ve Türkiye'nin paralel düzenleme taslağı işe alım agent'larını "yüksek risk" kategorisinde değerlendiriyor; insan onayı yerini tutan tam otonom agent kuran şirket hukuki riskle yüzleşir. Audit chain işten çıkarma davalarında savunma kanıtıdır.

Satın alma

RFQ formu hazırlama, tedarikçi karşılaştırma, fiyat değişim takibi, dövizli sözleşme yenilenmesi, gümrük tarife sınıflama. Türkiye'nin çoklu döviz dinamiği agent'ın tablo okuma + hesaplama kabiliyetini öne çıkarır. Tedarikçi sırrı + alıcı pazarlık marjı çift yönlü ticari hassasiyet — agent şartname taslağı çıkarır ama insan onayı olmadan PO tetiklemez. Bakım onarım sektöründe arıza kaydı + iş emri akışı paralel kullanım alanı; saha teknisyeninin yazdığı serbest metin notu agent'la standartlaştırılır, parça stoğu ile eşlenir, tahmini iş süresi hesaplanır.

Lojistik

Rota optimizasyonu, kargo takibi, gümrük belgesi tasnifi, depo sayım eşleşmesi, sevkiyat planlama. Türkiye'nin transit ülke olması (TIR karnesi, ATR-1, e-İrsaliye) çoklu belge türünü zorunlu kılar; agent OCR + form tanıma + plaka okuma'yı tek akışta birleştirir. KVKK kapsamı düşük (sürücü verisi hariç) ama müşteri sevkiyat datası ticari sır olarak korunmalı. Geri dönüşlü teslimatlarda agent'ın müşteri ile diyalog kurabilmesi (Türkçe doğal dil) operasyonel kazancı katlar. Bayrak değişikliği yapan deniz taşımacılığı, sınır kapısı kuyruk takibi gibi makro değişkenleri agent'ın canlı veri akışıyla izlemesi rota planını gerçek zamanlı revize eder.

Müşteri hizmetleri

E-ticaret iade soruları, telekom fatura itirazı, sigorta poliçe sorgusu, banka şube yönlendirme, otel rezervasyon değişikliği. Yüksek hacim + tekrarlı örüntü agent için en olgun yüzeylerden biri. Türkçe konuşan, markanın tonunu taşıyan ve insan agent'a temiz devir yapabilen bir agent ortalama yanıt süresini saniyelere indirir. Açık rıza müşteri sözleşmesi içinde kurulur, audit chain her aktarılan diyaloğu damgalar. Türkçenin sondan eklemeli yapısı agent'ın doğal dil anlama performansını test eder; iyi yetiştirilmemiş agent kibar bir hitap için "merhabalar değerli müşterimiz" gibi şişirilmiş kalıba düşer — marka tonu için ton kalibrasyonu zorunlu.

Microsoft Copilot / ChatGPT / Ilura farkı

Türkiye'deki şirketin önünde üç ana seçenek var. Her birinin tasarım kararı farklı yere oturur, KVKK çerçevesi farklı şekilde karşılanır.

Microsoft Copilot. Microsoft 365 ekosistemi içinde çalışır; veri Microsoft tenant'ında işlenir. Avrupa tenant tercih edilirse ikametgâh konusu büyük ölçüde karşılanır. Ama Copilot agent yetiştirme döngüsü değil, prompt + retrieval kurgusu — şirket kendi tonunu uzun vadede biriktiremez. Maliyet kullanıcı başına lisans modeli; küçük ekipte ekonomik, büyüdükçe ağır.

ChatGPT (Enterprise/Team). OpenAI altyapısı, US bölge varsayılan. Avrupa veri ikametgâhı son dönemde opsiyonel ama özel nitelikli veri için savunulabilirlik tartışmalı. Custom GPT yetiştirme ChatGPT içinde yarım kalır — sahiplik OpenAI'da, taşınmaz, başka platforma gitmez. KVKK envanterine "OpenAI'ya aktarım" net şekilde yazılması şart. Detaylı karşılaştırma: Karşılaştır sayfası.

Ilura. Tezgah masaüstünde, runtime Avrupa Batı bulutunda. Eğitim verisi kullanıcı makinesinde kalır, yalnız yayınlanmış agent'ın üretim çağrıları buluta iner ve seçilen LLM'e gider. Yetiştirme döngüsü kullanıcının elinde — agent başka platforma da çıkarılabilir, ihraç değildir. KVKK envanterinde "Ilura bulut runtime — West Europe" tek satır; eğitim verisi envantere girmez çünkü dışarı çıkmaz. Konum farkını netleştiren tamamlayıcı sayfa: Ilura ne değildir.

Üç eksende özet. Veri ikametgâhı: Copilot Avrupa tenant ile temiz, ChatGPT tartışmalı, Ilura West Europe + yerel hibrit. Yetiştirme döngüsü: Copilot yok, ChatGPT yarım, Ilura tam halka. Sahiplik: Copilot Microsoft, ChatGPT OpenAI, Ilura kullanıcı.

Maliyet eksenleri. Copilot kullanıcı başına sabit lisans (Microsoft 365 lisansının üstüne aylık ek ücret), kullanım yoğunluğundan bağımsız ödenir. ChatGPT Enterprise kullanıcı başına farklı tarife + kurumsal API çağrıları için ayrı tüketim. Ilura'nın modeli farklı: lisans + kullandığın LLM provider'ın faturası — kendi Anthropic, OpenAI, Gemini anahtarını getir, Ilura aracılık etmez. Yerel inference seçilirse LLM faturası sıfır.

Audit chain neden önemli?

Audit chain — her kararın imzalı, geri-tarihli ve değiştirilemez şekilde zincire yazılması — KVKK denetiminin en güçlü savunma argümanıdır. Veri Koruma Kurulu bir şikayet üzerine "agent'ın 12 Mart günü saat 14:32'deki kararının dayanağı neydi" diye sorduğunda cevap dakika içinde verilebiliyor.

Hash zinciri. Her audit kaydı bir önceki kaydın hash'ini barındırır. Tek bir kaydın değiştirilmesi sonraki tüm kayıtların hash'ini bozar; geri-tarihli müdahale matematiksel olarak imkansız. Kayıtlar P-256 ECDSA ile imzalanır — imza tutmazsa kayıt bozulmuş demektir.

KVKK 12. madde. Veri sorumlusu uygun güvenlik düzeyini sağlamak ve ihlal halinde 72 saat içinde Kurul'a bildirim yapmakla yükümlü. Audit chain bu yükümlülüğün hem önleyici hem tepkisel ayağıdır: önlemde "her erişimi izliyoruz" kanıtı, tepkide "sızıntının kapsamı şu kayıtlardan ibarettir" netliği. Detay: sıfır güven mimari AI.

Ilura'da audit chain yetiştirmenin temel kuralı; her onay/red, her LoRA iterasyonu, her sınır gevşetmesi zincire yazılır. Bir yıl sonra "bu kararı ne zaman ve niye verdim" cümlesinin cevabı zincirden okunur.

Pratik fayda. Bir e-ticaret şirketinin müşteri şikayeti üzerine Veri Koruma Kurulu denetimine girmesi durumunda audit chain'den çıkan rapor: "şu tarih şu saatte, agent şu kararı şu veriyle aldı, insan onayı şu kullanıcıdan geldi" — denetim kapanma süresi ortalama 72 saatten 4 saate iner. Bu sadece uyumluluk değil, ticari süreklilik kazancı.

İhlal bildirim akışı. KVKK 12/5'e göre veri ihlali "en kısa sürede" ve genel uygulamada 72 saat içinde Kurul'a bildirilmeli. Audit chain ihlal kapsamını daraltır — kayıp veri net çerçevelenir, sahte alarmlar elenir, yasal bildirim formu doğru bilgi ile doldurulur. Detaylı akış: AI veri ihlali yönetimi.