Sabah viziti bitmeden önce bir meslektaşınız telefonunu çıkardı, hastanın son epikrizini ChatGPT'ye yapıştırdı ve ayırıcı tanı listesi istedi. Kimse sormadı, sistem kaydetmedi. Buna "yardımcı araç kullanmak" mı demeliyiz, yoksa başka bir şey mi?

Bu soru artık teorik değil. Sağlık çalışanlarının yarısından fazlası kurumun onaylamadığı YZ araçlarıyla karşılaşmış ya da bunları bizzat kullanmış durumda. Ve Türkiye'de düzenleyici çerçeve, 2026 yılı itibarıyla bu pratiği hukuki risk alanına çekmeye başladı.

Shadow AI Nedir — Sağlıkta Neden Farklı Bir Sorun?

"Shadow AI" terimi, kurumun bilgisi, onayı veya denetimi olmadan çalışanların YZ araçlarını iş süreçlerine dahil etmesini tanımlıyor. Kavram, yıllarca bilişim güvenliği gündeminde kalmış olan "Shadow IT"den — yani kurumun bilgisi dışında kurulan yazılım ve donanımlardan — türüyor. Ama sağlık alanında boyutlar farklı.

Bir muhasebeci onaysız bir elektronik tablo aracı kullandığında ortaya çıkabilecek zarar, en fazla bir finansal hata ya da veri sızıntısı. Bir hekimin onaysız bir dil modeline hasta bilgisi yapıştırması ise çok katmanlı bir risk barındırıyor: hastanın kimlik bilgileri üçüncü taraf sunuculara gidiyor, model yanlış ya da eksik bilgiyle klinik öneri üretiyor, hekim bu öneriyi doğrulamadan uyguluyor olabilir. Tüm bunlar herhangi bir kurumsal kayıt mekanizmasının dışında gerçekleşiyor.

Sağlık verisinin "özel nitelikli kişisel veri" kategorisinde yer alması bu tabloyu daha da ağırlaştırıyor. KVKK'ya göre bu veriler en yüksek koruma düzeyine tabi — ve bu düzeyi sağlamak, veriyi işleyen kurumun sorumluluğunda.

Neden Kullanıyorlar — İnsani Boyutu Atlamayalım

Shadow AI tartışmaları çoğu zaman "sorumluluk" ve "uyum" diline erken giriyor. Bu doğru ama eksik. Hekimler bu araçları kötü niyetle değil, tam tersine daha iyi iş çıkarmak için kullanıyor.

500'den fazla sağlık çalışanıyla yapılan bir ankette, onaysız araç kullananların yaklaşık yarısı bunu hız için yaptığını belirtti.1 Yaklaşık üçte biri ise kurumun onaylı bir araç sunmadığını ya da mevcut araçların ihtiyacı karşılamadığını söylüyor. Klinisyenler tükeniyor, dokümantasyon yükü artıyor, servis hızlanıyor — bu koşullarda biri elinin altında bir araç bulursa kullanıyor. Anlayışlı bir tepki.

Hekimlerin YZ'ye yönelik tutumunu inceleyen kapsamlı bir araştırmada, katılımcıların %66,5'inin zaten YZ kullandığı saptandı; ama bunların yalnızca %26,5'i herhangi bir eğitim almıştı.2 Yani hekimlerin büyük çoğunluğu eğitimsiz, kurumsal yönlendirme olmadan ve hangi verinin nereye gittiğini bilmeden bu araçları kullanıyor. Kasıtlı bir ihlalden değil, boşlukta bırakılmış bir sağlık çalışanından söz ediyoruz.

⚠️ Neden Sağlıkta Daha Riskli?
Onaysız bir araçla işlenen hasta verisi üç ayrı problem doğuruyor: veri gizliliği ihlali (KVKK), klinik doğruluk riski (halüsinasyon, önyargı) ve hesap verebilirlik boşluğu (kimin neyi onayladığı belli değil). Bu üç risk aynı anda, aynı eylemle ortaya çıkıyor.

Rakamlar Ne Diyor

Shadow AI sağlıkta artık istisna değil, yaygın pratik. Verilere bakmak bu tabloyu somutlaştırıyor.

%57
Sağlık çalışanlarının onaysız YZ araçlarıyla karşılaşma veya kullanma oranı (Şubat 2026)
%40
Meslektaşlarının onaysız araç kullandığından haberdar olan sağlık çalışanı oranı
%17
Bizzat onaysız YZ aracı kullandığını kabul eden sağlık çalışanı oranı

Bu rakamlar Wolters Kluwer'in 500'den fazla sağlık profesyoneliyle yürüttüğü iki ayrı anketten geliyor.1* %17 "kullandım" derken %57'nin "karşılaştım veya kullandım" demesi dikkat çekici; kullandığını kabul etmekten kaçınan bir kesim olduğunu düşündürüyor. Gerçek rakamın bu ölçümlerin üzerinde olması kuvvetle muhtemel.

Diğer verilere bakıldığında, ABD'de tek bir akademik hastanedeki anket çalışmasında yatan hasta servislerinde çalışan dahiliye hekimlerinin üçte ikisinin YZ kullandığı görülüyor — ama kurumsal yönlendirme ya da politika olmadan, kendi inisiyatifleriyle.3 Araç var, kullanım var, çerçeve yok.

Türkiye için karşılaştırmalı bir veri elimde yok. Ama Kaspersky'nin Türkiye dahil Orta Doğu-Afrika bölgesinde 2.800 kişiyle yaptığı araştırma, bu coğrafyadaki çalışanların %81,7'sinin YZ araçları kullandığını ortaya koyuyor — ancak bunların yalnızca %38'i siber güvenlik boyutunda herhangi bir eğitim almış. Eğitimsiz ve kurumsal yönlendirmesiz kullanım sağlık alanında da geçerli; bu çerçevede shadow AI riski Türkiye için de gerçek.

Hukuki Çerçeve: Türkiye'de Mart 2026'da Ne Değişti?

Kişisel Verileri Koruma Kurumu (KVKK), 5 Mart 2026'da "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" başlıklı rehberini yayımladı. Rehber bağlayıcı değil — yani doğrudan yaptırım içermiyor. Ama iki açıdan son derece önemli: KVKK'nın bu alanda nasıl yorumlayacağını ve ne beklediğini ortaya koyuyor.

Rehberin odağı tam olarak Shadow AI. Tanımı şöyle: çalışanların kurumun bilgisi, onayı ya da kurumsal denetimi olmadan üretici YZ araçlarını iş süreçlerine dahil etmesi. Ve rehber, bu pratiği önceki "Shadow IT" tartışmalarından ayırıyor; çünkü YZ'nin veri işleme kapasitesi ve karar mekanizmalarına doğrudan etkisi çok daha yüksek.

Rehberde vurgulanan en kritik nokta şu: 6698 sayılı KVKK, kullanılan teknolojiden bağımsız olarak kişisel veri işlenen her durumda uygulanır. YZ sistemleri aracılığıyla yürütülen veri işleme faaliyetleri de bu kapsamda.

🔴 Kritik Nokta
KVKK rehberi, kurumun "çalışanım kendi başına yaptı, biz bilmiyorduk" savunmasını geçersiz kılıyor. Rehber bağlayıcı olmasa da KVKK'nın değerlendirme kriterleri açısından belirleyici: kurum politika oluşturmak ve uygulatmakla yükümlü kılındı. Türk hukuk yorumcuları bu yaklaşımı "kusursuz sorumluluk" çerçevesine yakın buluyor; yani bilmemek, sorumlu olmamak anlamına gelmiyor.

Sağlık alanı için bu tablo daha da ağır. KVKK'da sağlık verisi "özel nitelikli kişisel veri" — en üst koruma düzeyinde. Bu kategoride herhangi bir ihlal, idari para cezasının yanı sıra cezai yaptırım da doğurabilir. Türkiye'de şu an YZ destekli klinik araçlara özgü bir düzenleme bulunmuyor; bu boşluk hem fırsatı hem riski büyütüyor.

Sorumluluk Kime Düşüyor — Hekim mi, Hastane mi?

Bu soruya tek bir yanıt yok. Tablo, kimin neyi bildiğine, neyi onayladığına ve kurumun nasıl bir politika çerçevesi oluşturduğuna göre değişiyor.

Hekimin bireysel sorumluluğu: Hasta bilgisini kurumun onaylamadığı bir araca yükleyen hekim, KVKK kapsamında kişisel veri ihlaline doğrudan katılmış oluyor. Öte yandan ürettiği klinik kararı YZ çıktısına dayandırıp belgelememişse, klinik sorumluluk boyutu da açılıyor. Türk hukukunda malpraktis davalarında hekimin karar alma sürecinin nasıl işlediği inceleniyor; YZ'nin bu sürece nasıl dahil edildiği belgelenebilir bir veri haline gelebilir.

Kurumun sorumluluğu: KVKK rehberi, kurumun çalışanlarına hangi araçların hangi koşullarda kullanılabileceğini belirten açık bir politika oluşturmasını bekliyor. Bu politika yoksa ya da çalışanlar bu politikadan haberdar edilmemişse, kurumun "bilmiyordum" savunması geçerli sayılmıyor. Sağlık kurumları veri sorumlusu sıfatıyla hareket ediyor; bu sıfat ağır yükümlülükler taşıyor.

İkisi de sorumlu olabilir mi? Evet. KVKK ihlali hem veri sorumlusunu hem veri işleyeni kapsayabilir. Bir hekimin onaysız araç kullanması bireysel ihlal doğurabilirken, kurumun bu pratiği önlemeye yönelik herhangi bir mekanizma kurmaması kurumsal sorumluluğu doğurabilir. Bu iki sorumluluk birbiriyle çelişmiyor; yan yana işleyebilir.

Şu ana kadar Türkiye'de bu konuya özgü yargı kararı ya da idari yaptırım kamuoyuna yansımadı. Ama KVKK rehberinin yayımlanması, yakın vadede denetim ve inceleme başlatılması için hukuki zemin oluşturdu. "Henüz dava açılmadı" ile "hukuki risk yok" aynı şey değil.

Yasak Çalışmıyor — Peki Ne Çalışıyor?

Bu noktada sık yapılan bir hata var: kurumların refleks olarak yasaklama yolunu seçmesi. Samsung 2023'te çalışanlarının hassas kaynak kodunu ChatGPT'ye yüklemesinin ardından üretken YZ araçlarını yasakladı. Yasak geçici olarak ilan edildi; ama çalışanlar için ihtiyaç ortadan kalkmamıştı.

Sağlık alanında da benzer bir tablo var. Wolters Kluwer'in araştırmasında dikkat çekici bir veri yer alıyor: onaylı YZ alternatifi sunan bir sağlık sisteminde yetkisiz araç kullanımının %89 oranında düştüğü raporlandı.1 Tek bir kurumun müdahale deneyiminden gelen bu bulgu, yine de mantıklı bir şeyi doğruluyor: ihtiyaca yanıt veren onaylı araç sunulduğunda, çalışanların yasak dışına çıkma eğilimi belirgin biçimde azalıyor.

Stanford Sağlık Sistemi'nin 2025 yılında geliştirdiği model bu konuda somut bir örnek. Araştırmacılara ve klinisyenlere HIPAA uyumlu, kurumsal denetim altında çalışan güvenli bir YZ altyapısı sağladılar.4 Sistem, hassas hasta verilerini kurumun kendi sunucularında tutarken dil modellerine güvenli API erişimi açıyor. Amaç tek: güvenli olmayan araçlara duyulan ihtiyacı ortadan kaldırmak.

Bu model her kurumun kısa vadede uygulayabileceği bir şey değil. Ama KVKK rehberinin önerdiği çerçeve çok daha erişilebilir: kurumun hangi araçların kullanılabileceğini belirleyen açık bir politika yayımlaması, çalışanlara eğitim vermesi, YZ çıktılarının insan denetiminden geçmesini zorunlu kılması. Bu üçü için büyük bir teknoloji yatırımı gerekmiyor.

🔒 Temel Risk
Kamuya açık LLM kullanımının temel riski: ChatGPT, Gemini veya benzeri araçlara girilen hasta bilgileri o şirketin sunucularına gidiyor. Bu şirketlerle KVKK'nın gerektirdiği veri işleme sözleşmeleri kurumsal düzeyde yapılmış değilse, her yapıştırma işlemi potansiyel bir ihlal. Bilgi "anonim" değilse — yani yaş, cinsiyet, tanı, tarih, kurum adı gibi dolaylı kimlik oluşturucu veriler içeriyorsa — "anonimleştirdim" savunması da çoğu durumda geçerli değil.

Klinik Doğruluk Sorununu da Atlamayalım

Hukuki çerçeve önemli ama tek mesele değil. Shadow AI pratiğinin ikinci büyük riski, klinik doğruluk.

Kamuya açık büyük dil modelleri, gerçekmiş gibi görünen ama yanlış olan bilgiler üretebilir — buna "halüsinasyon" deniyor. Tıbbi bağlamda bu özellikle tehlikeli: model, mevcut olmayan bir ilaç dozunu güvenle önerebilir, gerçek bir kontraendikasyonu gözden kaçırabilir ya da güncel kılavuzlar yerine eğitim verisindeki eski protokolleri yansıtabilir.

Üstelik bu modeller, farklı hasta popülasyonlarında farklı performans gösteriyor. Büyük bölümü Batılı, İngilizce kaynaklı verilerle eğitilen bir model, Türk hasta profillerine ya da Türk sağlık sistemi pratiğine özgü nüansları yakalayamayabilir. Kamuya açık LLM'lerin sağlık ortamında kullanımına ilişkin etik değerlendirmeleri inceleyen bir derleme, önyargı, halüsinasyon ve gizlilik risklerini azaltmak için katı protokollerin zorunlu olduğunu açıkça belirtiyor.5

Bir hekimin bir YZ önerisini doğrulamadan uygulamaya koyması ve bunun sonucunda bir hasta zararı doğması halinde, "YZ önerdi, ben de uyguladım" savunması Türk hukukunda herhangi bir koruma sağlamaz. Klinik karar hekime ait olmaya devam ediyor.

Güvenli Altyapı Olmadan YZ Araştırması da Yapılamıyor

Konunun bir boyutu daha var: klinik araştırma. Birçok sağlık araştırmacısı, gerçek hasta verisi içeren veritabanlarını kamuya açık YZ araçlarıyla analiz etmeye çalışıyor. Bu, klinik kullanımdan daha az görünür ama en az onun kadar riskli.

Stanford'un güvenli altyapı modelini oluşturma çalışması tam da bu soruna yanıt veriyordu: araştırmacılara HIPAA uyumlu, kurumsal gözetim altında çalışan bir YZ erişimi sunmak.4 Hasta verileri kurumun kendi sunucularında kalırken araştırmacılar dil modellerine güvenli API bağlantısıyla erişebiliyor. Güvenli altyapı, yasak değil; yönlendirme.

Türkiye'de klinik araştırma ekiplerinin bu tür bir altyapıya erişimi hâlâ son derece sınırlı. Kurumsal politika yokluğunda araştırmacılar ellerindeki araçlarla iş görmeye çalışırken onaysız araçlara yöneliyor — bu bir tercih değil, zorunluluk.

BU
Doktor Notu

Yeterince irdelemeden günlük pratiğimize hızla dahil ettiğimiz YZ araçlarının kullanımı bir hak ihlali doğurabilir mi? Görünüşe göre evet. Birçoğumuz LLM modellerinin verileri nasıl işlediğinden habersiz olarak belki de bu hatayı her gün tekrarlıyoruz. Türkiye'de henüz olmasa da bu konuda bir koruma kalkanı oluşturacak teknik ve hukuki adımlar atılıyor. Peki biz bu durumda ne yapmalıyız? Henüz yasal bir düzenleme olmasa da, yalnızca öneri düzeyinde bir rehber olsa da hem kendimizi hem de hastalarımızın verilerini güvence altına almalıyız. Anonimleştirmenin zaman zaman yetersiz kaldığı bu hassas konuda hekimler olarak azami özen göstermeliyiz. Bir başka yazımızda hekimlerin neden LLM modellerine güvenmediğinden bahsetmiştik; hekimler binbir zorlukla ayrıştırıp analiz ettiği verileri bir yapay zeka modeline yüklemekten çekiniyor, çünkü verilerin çalınabileceğini düşünüyor. Aynı hassasiyeti hasta verileri söz konusu olduğunda da göstermekten geri durmamalıyız. Öte yandan halüsinasyon ve yanlış öneri sonucunda hem hasta hayatını hem de meslek hayatımızı riske atacak adımlardan kendimizi korumalıyız. Uygulayacağımız yanlış bir adım, hastanın tedavi sürecini bambaşka bir noktaya taşıyabilir. Bu süreç bazen geri döndürülebilir olsa da, geri döndürülemez bir noktaya ulaştığında ciddi yasal yaptırımlarla karşı karşıya kalabiliriz. Günlük pratiğimizi kolaylaştırmak için hayatımıza aldığımız YZ araçları, hasta hayatını ve meslek hayatımızı tehlikeye atacak bir noktaya bizi sürüklememeli. Güvenli ve doğru YZ kullanım ilkelerini öğrenmek ve elimizdeki araçları bu doğrultuda kullanmak, hekimin güvenli limanı olmalı.

Bu yazının özeti
  • Shadow AI sağlık kurumlarında artık yaygın bir gerçek. Hekimler bunu genellikle kötü niyetle değil, iş yükü baskısı ve kurum içi boşluk nedeniyle yapıyor. Ama KVKK'nın Mart 2026 rehberiyle birlikte "kimse sormadı, ben de kullandım" artık hukuki güvence sayılmıyor. Sorumluluk hem hekime hem kuruma düşebiliyor. Çözüm yasaklamak değil — onaylı alternatif sunmak, politika oluşturmak ve YZ çıktısını insan denetimine tabi kılmak. Araç gelmişken, onu yönetmenin tam zamanı.

* Wolters Kluwer anket verileri: Aralık 2025 tarihli 518 katılımcı anketi ve Şubat 2026 tarihli Healthcare Brew araştırması. Farklı dönem ve örneklem büyüklükleri nedeniyle rakamlar arasında fark var. %89 azalma rakamı tek bir sağlık sisteminin müdahale deneyiminden geliyor.

Kaynaklar

  1. Wolters Kluwer Health. Shadow AI: A Hidden Risk for Healthcare. Anket raporu, Aralık 2025. wolterskluwer.com [Anket raporu]
  2. Vimalananda VG, Kragen B, Leibowitz AJ, et al. Knowledge, attitudes, and training needs for AI in primary care: national survey study of clinicians in the Veterans Health Administration. JMIR Form Res. 2026;10:e90641. doi:10.2196/90641 PMID: 41894543 [Ulusal anket çalışması]
  3. Maw A, Pandita A, Burden M. Hospitalists are already using AI—why implementation will determine its impact. J Med Internet Res. 2026;28:e97419. doi:10.2196/97419 PMID: 42224270 [Journal Article]
  4. Ng MY, Helzer J, Pfeffer MA, et al. Development of secure infrastructure for advancing generative artificial intelligence research in healthcare at an academic medical center. J Am Med Inform Assoc. 2025;32(3):586-588. doi:10.1093/jamia/ocaf005 PMID: 39836496 [Journal Article]
  5. Sheth S, Baker HP, Prescher H, Strelzow JA. Ethical considerations of artificial intelligence in health care: examining the role of Generative Pretrained Transformer-4. J Am Acad Orthop Surg. 2024;32(5):205-210. doi:10.5435/JAAOS-D-23-00787 PMID: 38175996 [Journal Article]
  6. Kişisel Verileri Koruma Kurumu (KVKK). İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı Rehberi. 5 Mart 2026. kvkk.gov.tr [Düzenleyici rehber]