Kopyala-Yapıştır Sorunu
Kurumsal yapay zeka kullanıcılarının %77'si verileri chatbot sorgularına kopyalayıp yapıştırıyor. Bu marjinal bir davranış değil. Çalışanların yapay zeka araçlarını işte kullanma biçiminin varsayılan yolu bu.
Desen basit. Bir çalışan bir görevle karşılaşıyor. Bir belge açıyor, ilgili metni kopyalıyor ve ChatGPT'ye yapıştırıyor. Kullanışlı bir yanıt alıyor.
Bu iş akışında kişisel veriyi filtreleyen hiçbir şey yok. Yapıştırma işlemi şunu sormadan önce gerçekleşiyor: "Bunda KKB var mı?" Yapay zekanın yanıtını okuduğunda iletim tamamlanmış oluyor.
Cyberhaven araştırması, yapay zeka araçlarına yüklenen dosyaların neredeyse %40'ının KKB veya PCI verisi içerdiğini buldu. Bu yüklemelerin çoğu umursamazlıktan değil. Çalışanlar kendilerine atanan dosya üzerinde çalışıyor. İçindeki müşteri verisi tesadüfi.
Eğitim Neden Ölçeklenmiyor
Politika eğitimi yapısal bir sınırla karşılaşıyor. Periyodik eğitim yoluyla alışılmış davranışı değiştirmeye çalışıyor.
Eğitim oturumları arasındaki boşluk sorun. Kurumsal programların çoğu yıllık yapılıyor. Ocak ayında yapay zeka veri yönetimi eğitimi alan bir çalışan Ekim'de alışkanlıklarıyla hareket ediyor. Hatıralar soluklaşıyor. Alışkanlıklar devam ediyor.
Mart 2025'te önerilen HIPAA Güvenlik Kuralı güncellemesi bunu yansıtıyor. Yalnızca yıllık eğitimi değil yıllık şifreleme denetimlerini zorunlu kılıyor. Düzenleyiciler teknik kontrollerin birincil güvence olmasını bekliyor. Eğitim takviyedir.
Yapay zeka araçları eğitim sorununu daha da kötüleştiriyor. Davranış yeni. Çalışanlar yapay zeka veri yönetimi alışkanlıklarını on yıl önce e-postayla edindikleri gibi edinmedi. Ve sızıntı görünmez. Çalışan yararlı bir yanıt görüyor. Hata mesajı yok. Anında olumsuz geri bildirim yok.
Geri bildirim olmadan davranış kendi kendini düzeltmiyor.
Chrome Uzantısı Yapıştırmayı Nasıl Engelliyor
Chrome Uzantısı pano katmanında çalışıyor. Kopyalama işlemi ile yapay zeka aracının giriş alanı arasında yer alıyor.
Engelleme şöyle işliyor. Çalışan iş uygulamasından metin kopyalıyor. ChatGPT sekmesine geçiyor ve yapıştırıyor. Uzantı, içerik giriş alanında görünmeden hemen önce — yapıştırma anında — pano içeriğindeki KKB'yi tespit ediyor.
Bir önizleme modalı beliriyor. Tam olarak neyin değişeceğini gösteriyor:
"Müşteri adı 'Maria Schmidt' → '[KİŞİ_1]'; E-posta 'maria.schmidt@company.de' → '[E-POSTA_1]'"
Çalışan anonimleştirilmiş versiyonla devam edebilir. Değiştirme görevi için uygun değilse iptal de edebilir.
Bu tasarım iki şey yapıyor. Birincisi, şeffaf. Çalışanlar aracın ne yaptığını görüyor. Bu güven inşa ediyor ve gizlilik kontrollerinin gözetim gibi hissettirdiği algısını önlüyor. İkincisi, sınıflandırma kararını açık hale getiriyor. Bir insan her anonimleştirme adımını onaylıyor. Karar otomasyonla devre dışı bırakılmıyor.
Pratik Bir Örnek
Bir Avrupalı e-ticaret şirketinin müşteri destek ekibini düşünün. Temsilciler yanıt taslakları oluşturmak için ChatGPT kullanıyor. Adlar, sipariş numaraları ve adresler içeren müşteri e-postalarını yapıştırıyorlar.
Uzantı aktifken her yapıştırma bir anonimleştirme kontrolünü tetikliyor. Temsilci anonimleştirilmiş bir istem gönderiyor. ChatGPT'nin yanıtı anonimleştirilmiş belirteçlere atıfta bulunuyor. Temsilci önerileri okuyor ve gerçek yanıta dahil ediyor.
Destek kalitesi yüksek kalıyor. GDPR Madde 5 veri minimizasyonu karşılanıyor. Müşterinin kişisel verisi hiçbir zaman OpenAI sunucularına ulaşmıyor.
Politika eğitimi bu sonucu üretemez. Pano katmanındaki teknik bir kontrol üretebilir.
Politika Birincil Kontrol Değil, Takviyedir
Politika eğitiminin yeri var. Beklentileri belirliyor. Temel farkındalık oluşturuyor. Ama gerçek zamanlı bir yapıştırmayı engelleyemiyor.
HIPAA kural güncellemesi uyumluluğun nereye gittiğini işaret ediyor. Yalnızca belgelenmiş eğitim programları değil denetlenebilir teknik kontroller. Yalnızca eğitime güvenen işletmeler, yalnızca teknik bir katmanın kapatabileceği bir denetim açığıyla karşı karşıya.
Ayrıca bakın:
- Yapay Zeka: 1 Numaralı Veri Sızıntısı Vektörü
- ChatGPT, Claude ve Gemini için Tarayıcı DLP — 2026 Araç Karşılaştırması