Günümüzde şirketler, tedarikçilerinin kişisel verileri nasıl işlediğini değerlendirmek için veri işleme anlaşmalarına (DPA) güveniyor. Ancak DataGrail’in 2026 Veri Gizliliği ve AI Eğilimleri Raporu, bu belgelerin artık güvenilir olmadığını gösteriyor. Rapor, popüler iş yazılımlarını inceleyen araştırmada, AI yetenekleri sunduğunu iddia eden tedarikçilerin %63,6’sının üçüncü taraf AI alt işlemcilerini yasal belgelerinde açıklamadığını ortaya koydu.
Bu durum, şirketlerin farkında olmadan müşteri verilerini onaylamadıkları AI modellerine aktardığı anlamına geliyor. DataGrail’in kurucu ortağı ve CEO’su Daniel Barber, konuyla ilgili olarak yaptığı açıklamada şunları söyledi: "Tüm yazılım tedarikçileri AI şirketlerine dönüşmeye çalışıyor, ancak AI yönetişimi bu teknolojilerin hızına yetişemiyor. DPA’nın AI risklerini değerlendirmek için güvenilir bir belge olması gerekiyor, ancak 2026 itibarıyla bu durum geçerli değil."
AI tedarikçilerinin belgelerdeki boşlukları nasıl ortaya çıkardılar?
DataGrail’in araştırmacıları, 2.400 popüler iş yazılımını inceleyerek DPAlardaki açıklamaları ürün dokümantasyonu, GitHub ortamları, API bağlantılar ve pazarlama materyalleriyle karşılaştırdı. Barber, süreci şöyle özetledi: "DPAları temel aldık, ancak aynı zamanda GitHub ortamlarını, API bağlantılarını ve pazarlama belgelerini de inceledik. Örneğin, bir tedarikçinin DPA’sında OpenAI kullanıldığı belirtilirken, ürün dokümantasyonunda başka üç AI alt işlemcinin varlığı ortaya çıktı. Bu da DPAlarda yer almıyordu."
Barber, bu boşlukların gerçek bir risk oluşturduğundan emin olduğunu vurguladı: "2.400 sistem üzerinde yaptığımız inceleme ve ürün dokümantasyonlarını, GitHub ortamlarını doğrudan inceleyerek bu risklerin gerçek olduğunu kanıtladık. Sistemleri entegre ettiğimiz için nasıl veri işlediklerini de biliyoruz."
Gizli AI kullanımı: Bir şirketin başına gelebilecekler
Bu belgelenmemiş AI kullanımı, şirketler için ciddi sonuçlar doğurabilir. Örneğin, bir şirket AI destekli bir işe alım aracı satın aldığında, DPA’sında sadece Claude modelinin kullanıldığı belirtiliyor. Şirket, Anthropic’in AI modelini güvenlik incelemesine tabi tutuyor. Ancak arka planda, bu araç OpenAI ve Gemini gibi başka modelleri de kullanıyor — ki bunlar şirketin onaylamadığı sistemler.
Bu durum, hassas kişisel verilerin (ev adresleri, finansal bilgiler, hatta sosyal güvenlik numaraları) onaylanmamış AI sistemlerine aktarılması anlamına geliyor. Bu da FTC’nin otomatik karar verme düzenlemelerini ihlal edebilir ve şirketi yasal yaptırımlara maruz bırakabilir. Barber, şöyle uyardı: "Bu tedarikçilerin otomatik karar verme süreçleri, bir işletme için felaketle sonuçlanabilir."
AI sistemlerinin üçte biri hassas verileri işliyor — ve gerçek sayı daha yüksek olabilir
DataGrail’in raporu, sadece belgelenmemiş AI kullanımını değil, aynı zamanda AI sistemlerinin %32,8’inin yüksek riskli faaliyetler gerçekleştirdiğini de ortaya koydu. Bu faaliyetler arasında hassas kişisel verilerin işlenmesi veya otomatik karar verme süreçlerinin desteklenmesi yer alıyor. Rapora göre:
- AI sistemlerinin %47,1’i kişisel verileri işliyor.
- %20,7’si otomatik karar verme süreçlerini destekliyor.
- %16,5’i sağlık veya finansal bilgiler gibi hassas veri kategorilerini işliyor.
- %7,5’i biyometrik verileri işliyor.
Ancak araştırmacılar, bu rakamların gerçek durumu yansıtmadığını düşünüyor. Çünkü tedarikçiler, kişisel verilere erişimlerini eksik bildirebilirler. Ayrıca, AI’nın esnek yapısı nedeniyle, iyi niyetli tedarikçiler bile kullanıcıların araçlarını daha riskli şekilde kullanmasını öngöremeyebilir.
Bu durum, ABD’nin CCPA düzenlemeleri açısından da önemli sonuçlar doğuruyor. Ocak 2026’dan itibaren, şirketlerin yüksek riskli veri işleme faaliyetleri için risk değerlendirmeleri yapmaları ve bu değerlendirmeleri Nisan 2028’e kadar Kaliforniya Gizlilik Koruma Kurumu’na (CalPrivacy) sunmaları gerekiyor. Bu değerlendirmeler, yasal sorumluluğu olan yöneticiler tarafından imzalanacak ve yalan beyanda bulunmanın cezai yaptırımları olacak.
AI’nın veri gizliliği üzerindeki etkileri giderek daha karmaşık hale geliyor. Şirketler, AI kullanımını belgeleyen tedarikçilerle çalışsalar bile, bu belgelerin her zaman gerçeği yansıtmayabileceğini unutmamalıdır. Bu nedenle, AI risklerini yönetmek için daha şeffaf ve sürekli izleme sistemlerine ihtiyaç vardır. Gelecekte, AI’nın veri gizliliği üzerindeki baskısı artmaya devam edecek ve şirketler bu konuda daha proaktif adımlar atmak zorunda kalacak.
Yapay zeka özeti
Yeni bir araştırma, şirketlerin %63,6’sının AI özellikli yazılımlarında üçüncü taraf AI alt işlemcilerini belgelememesiyle veri gizliliğinin ciddi bir tehdit altında olduğunu ortaya koyuyor. Gizli AI kullanımı, ihlal maliyetlerini artırırken, şirketleri yasal yaptırımlara da açık hale getiriyor.
