Kamuya Açık Metodoloji Belgesi
ORIENT
Metodolojisi
AI sistemleri için altı aşamalı yönetişim çerçevesi.
"Uyum bir kontrol listesi değil, bir pratik yönelimdir. Yönetişim bir teslimat değil, bir duruş biçimidir."
Antik Yunanca ἕξις (hexis) — tekrar ve pratikle kazanılan kararlı bir yönelim. ORIENT yapılandırılmış pratiği sağlar; hexis bu pratiğin ürettiği yönetişim kapasitesidir.
Versiyon 1.0
Yayın: Mart 2026
Son gözden geçirme: Mart 2026
Sonraki planlı gözden geçirme: Eylül 2026
Güncelleme modeli: Dahili inceleme
Geri bildirim: [email protected]
Gerekçe
Neden Başka Bir Çerçeve?

Mevcut AI yönetişim yaklaşımlarının büyük çoğunluğu ya çok soyut — ilkeler listesinden öteye geçemiyor — ya da çok teknik — yalnızca BT ve hukuk ekiplerine hitap ediyor. Sonuç: şirket genelinde benimseme gerçekleşmiyor, uyum kağıt üzerinde kalıyor.

ORIENT bu boşluğu kapatmak için tasarlandı. Her aşama somut, uygulanabilir ve sektörden bağımsız olarak çalışacak şekilde kurgulandı. Tek bir süreç içinde hem AB AI Yasası hem de KVKK yükümlülüklerini paralel olarak ele alır.

"Uyum bir kontrol listesi değil, bir pratik yönelimdir."
— Hexis, ἕξις kavramından ilham alınarak
Bölüm 01
ORIENT Çerçevesi
ORIENT, yönetişim mantığını altı ardışık aşamada uygular. Her aşama, bir sonrakini besleyen tanımlı bir çıktı üretir. Döngü süreklidir — Track aşaması, sistemler, bağlamlar ve düzenlemeler değiştikçe Observe aşamasına geri besleme yapar.
O
Aşama 01
Observe
Bu sistem nedir?
AI sistemini, rolünü, bağlamını ve paydaşlarını tanımlayın. Yönetişim kapsamını belirleyin.
Çıktı
AI Sistem Envanter Kartı
R
Aşama 02
Risk
Risk seviyesi nedir?
AB AI Yasası kategorilerine göre risk seviyesini sınıflandırın. Yönetişim yol yoğunluğunu belirleyin.
Çıktı
Risk Sınıflandırma Raporu
I
Aşama 03
Identify
Hangi yükümlülükler geçerli?
AB AI Yasası, KVKK ve sektöre özgü düzenlemelerden kaynaklanan yasal yükümlülükleri haritalandırın.
Çıktı
Yükümlülük Kayıt Defteri
E
Aşama 04
Evaluate
Neredeyiz?
Mevcut yönetişim olgunluğunu tanımlanan yükümlülüklere karşı değerlendirin. Uyum açıklarını ölçün.
Çıktı
Yönetişim Aktivasyon Matrisi
N
Aşama 05
Navigate
Ne yapmalıyız?
Mevcut durumdan uyuma giden yolu çizin. Eylemleri aciliyete ve etkiye göre önceliklendirin.
Çıktı
Eylem Yol Haritası
T
Aşama 06
Track
Rotada mıyız?
Son tarihleri, gözden geçirme tetikleyicilerini ve izleme periyodunu belirleyin. Yönetişim duruşunu zaman içinde koruyun.
Çıktı
Yönetişim Kaydı ve Gözden Geçirme Takvimi
ORIENT
Observe · Risk · Identify · Evaluate · Navigate · Track
Sürekli döngü — Track her 6 ayda Observe’a geri besleme yapar
Bölüm 02
Risk Bazlı Yollar
Risk aşamasından sonra ORIENT üç yoğunluk yoluna ayrılır. Her kuruluş Observe ve Risk aşamalarını tamamlar. Sonraki aşamaların derinliği sınıflandırılan risk seviyesine bağlıdır.
Aşama 02 (Risk) Sonrası
Üç Yönetişim Yolu
Yüksek Risk
AB AI Yasası Ek III / Ek I sistemleri
Observe — Tam sistem envanteri
Risk — Resmi sınıflandırma
Identify — Tam yükümlülük haritası
Evaluate — Kapsamlı açık analizi + FRIA
Navigate — Ayrıntılı eylem yol haritası
Track — Sürekli izleme döngüsü
Altı aşamanın tamamı tam derinlikte. Yüksek riskli sistem konuşlandırıcıları için zorunlu FRIA (Madde 27).
Sınırlı Risk
Şeffaflık yükümlülükleri (Madde 50) + GPAI
Observe — Sistem envanteri
Risk — Resmi sınıflandırma
Identify — Şeffaflık yükümlülükleri
Evaluate — Odaklanmış açık kontrolü
Navigate — Hafif eylem planı
Track — Yıllık gözden geçirme
Tüm aşamalar, azaltılmış kapsam. Şeffaflık gereklilikleri ve GPAI model kartlarına odaklanma.
Minimal Risk
Gönüllü davranış kuralları (Madde 95)
Observe — Temel envanter
Risk — Sınıflandırma teyidi
Identify — Yalnızca AI okuryazarlığı (Madde 4)
Evaluate — Temel öz-değerlendirme
Navigate — Yönetişim temelleri
Track — Yıllık gözden geçirme
Observe + Risk zorunlu. Kalan aşamalar asgari derinlikte. Kişisel veri işleniyorsa KVKK yükümlülükleri tam olarak geçerli olabilir.
KVKK Notu: KVKK (6698 Sayılı Kanun) yükümlülükleri, kişisel veri işlendiğinde AB AI Yasası risk seviyesinden bağımsız olarak geçerlidir. Minimal riskli bir AI sistemi, kişisel veri işliyorsa KVKK Madde 5 (işleme şartları), Madde 10 (aydınlatma yükümlülüğü) ve Madde 11(1)(g) (otomatik karar itiraz hakkı) gerekliliklerini karşılamak zorundadır. İkili perspektif yaklaşımı KVKK’nın her aşamada değerlendirilmesini güvence altına alır.
Bölüm 03
Aşama Tanımları
Her ORIENT aşamasının tanımlanmış girdileri, süreçleri, çıktıları, yasal referansları ve geçiş koşulları vardır. Bu yapı, farklı kuruluşlar ve risk seviyeleri arasında izlenebilirliği ve tekrarlanabilirliği sağlar.
O
Aşama 01
Observe
Bu AI sistemi nedir ve ne yapar?
Girdiler
Sistem tanımı veya tedarikçi dokümantasyonu
Konuşlandırma bağlamı ve kullanım senaryosu
Paydaş tanımlaması
Veri akışı genel görünümü
Süreç
Sistem amacını ve işlevini belgeleyin
Etkilenen kişileri ve hakları haritalandırın
AI bileşenlerini geleneksel yazılımdan ayırın
Yönetişim kapsam sınırlarını tanımlayın
Çıktılar
AI Sistem Envanter Kartı
Paydaş haritası
Kapsam tanımlama belgesi
AB AI Yasası
Md. 3 (tanımlar), Md. 4 (AI okuryazarlığı), Md. 9 (risk yönetim sistemi)
KVKK
Md. 3 (tanımlar), Md. 10 (aydınlatma yükümlülüğü)
ISO 42001
§4.1 (bağlam), §4.2 (ilgili taraflar), §6.1 (risk/fırsat)
Risk’e geçiş
AI Sistem Envanter Kartı tamamlandı ve onaylandı. Sistem kapsamı tanımlandı.
Geri dönüş tetikleyicisi
Kapsam değişikliği, yeni AI bileşeni veya sistem amacı değişikliği → Observe’a dön.
Hexis Aracı
Generator — Sistem Tanımlama Formu
Aktif
R
Aşama 02
Risk
Bu sistem hangi risk seviyesini taşıyor?
Girdiler
AI Sistem Envanter Kartı (Observe’dan)
AB AI Yasası risk kategorileri
Sektöre özgü düzenleme bağlamı
Süreç
Md. 5 yasaklanan uygulamaları kontrol edin
Md. 6(1) ürün güvenliği / Ek I değerlendirin
Md. 6(2) Ek III yüksek risk alanlarını kontrol edin
Md. 50 şeffaflık yükümlülüklerini değerlendirin
Md. 51–56 GPAI sınıflandırmasını değerlendirin
Çıktılar
Risk Sınıflandırma Raporu
Geçerli madde referansları
Yönetişim yolu belirleme
AB AI Yasası
Md. 5 (yasaklanan), Md. 6 (yüksek risk), Md. 50 (şeffaflık), Md. 51–56 (GPAI)
KVKK
Md. 5–6 (işleme şartları), Md. 11(1)(g) (otomatik karar itiraz hakkı)
ISO 42001
§6.1.2 (risk değerlendirmesi), Ek B (AI risk kaynakları)
Identify’a geçiş
Risk sınıflandırması onaylandı. Yönetişim yolu (yüksek/sınırlı/minimal) seçildi.
Geri dönüş tetikleyicisi
Düzenleyici yeniden sınıflandırma, yeni Ek güncellemesi veya sistem kapasitesi değişikliği → Risk’e dön.
Hexis Aracı
Generator — Risk Sınıflandırma Sihirbazı (6 adım)
Aktif
I
Aşama 03
Identify
Bu sisteme hangi spesifik yükümlülükler uygulanıyor?
Girdiler
Risk Sınıflandırma Raporu (Risk’ten)
Kuruluş rolü (sağlayıcı/konuşlandırıcı/dağıtıcı)
Sektöre özgü gereklilikler
Süreç
AB AI Yasası madde bazlı yükümlülük haritası
KVKK gereklilikleriyle çapraz referanslama
Uygunluk değerlendirmesi yolunu belirleyin (Md. 43)
Teknik dokümantasyon gerekliliklerini haritalandırın (Ek IV)
Çıktılar
Yükümlülük Kayıt Defteri
Sisteme özgü uyum kontrol listesi
KVKK çapraz referans tablosu
AB AI Yasası
Md. 8–15 (yüksek risk gereklilikleri), Md. 16 (sağlayıcı), Md. 26 (konuşlandırıcı), Md. 27 (FRIA), Ek IV
KVKK
Md. 5–6 (işleme şartları ve özel kategoriler), Md. 8 (aktarım kuralları), Md. 12 (veri sorumlusu yükümlülükleri)
ISO 42001
§6.1.3 (risk iyileştirme), §6.2 (hedefler), Ek A (kontroller)
Evaluate’a geçiş
Yükümlülük Kayıt Defteri tamamlandı. Tüm geçerli maddeler ve KVKK çapraz referansları belgelendi.
Geri dönüş tetikleyicisi
Yeni yasal gereklilik, kuruluş rolü değişikliği veya sektör düzenlemesi güncellemesi → Identify’a dön.
Hexis Aracı
AB AI Yasası Uyum Kontrol Listesi
Aktif
E
Aşama 04
Evaluate
Yönetişimimiz yükümlülüklere göre nerede duruyor?
Girdiler
Yükümlülük Kayıt Defteri (Identify’dan)
Mevcut yönetişim dokümantasyonu
Kurumsal olgunluk öz-değerlendirmesi
Süreç
Gözetim, izleme, dokümantasyon olgunluğunu puanlayın (5 seviye)
Ağırlıklı olgunluk hesaplaması uygulayın (G:1.5, İ:1.4, D:1.0)
Asgari güvence ilkesini uygulayın
Yönetişim Aktivasyon Matrisi pozisyonunu oluşturun
Yüksek riskli konuşlandırıcılar için FRIA (Md. 27) gerçekleştirin
Çıktılar
Yönetişim Aktivasyon Matrisi pozisyonu
Aktivasyon duruşu + aciliyet endeksi
Açık analizi raporu
FRIA raporu (varsa)
AB AI Yasası
Md. 9 (risk yönetimi), Md. 14 (insan gözetimi), Md. 27 (FRIA), Md. 17 (kalite yönetim sistemi)
KVKK
Md. 12 (teknik ve idari tedbirler yeterliliği), Md. 11(1)(g) (otomatik karar itiraz hakkı)
ISO 42001
§8.4 (AI risk değerlendirmesi), §9.1 (performans değerlendirmesi)
Navigate’e geçiş
Matris pozisyonu hesaplandı. Aktivasyon duruşu ve açık analizi teyit edildi.
Geri dönüş tetikleyicisi
Önemli kurumsal değişiklik, yeni yönetişim kapasitesi veya olgunluk gerilemesi → Evaluate’a dön.
Hexis Aracı
Yönetişim Aktivasyon Matrisi Generator + FRIA Aracı
Aktif
N
Aşama 05
Navigate
Mevcut durumdan uyuma hangi eylemler taşır?
Girdiler
Aktivasyon duruşu + açık analizi (Evaluate’dan)
Yaptırım takvimi ve son tarihler
Kurumsal kapasite ve kaynaklar
Süreç
Açıkları aciliyet endeksine göre önceliklendirin
Acil eylemleri tanımlayın (0–30 gün)
Orta vadeli hedefleri tanımlayın (30–90 gün)
Sahiplik ve hesap verebilirlik atayın
Kaynak gerekliliklerini tahmin edin
Çıktılar
Son tarihli Eylem Yol Haritası
Sorumluluk atama matrisi
Kaynak tahsis planı
30 günlük hedef durum tanımı
AB AI Yasası
Md. 17 (kalite yönetim sistemi), Md. 11 + Ek IV (teknik dokümantasyon), Md. 43 (uygunluk)
KVKK
Md. 12 (yeterli tedbirler), Md. 16 (VERBİS kayıt), Md. 11 (ilgili kişi hakları)
ISO 42001
§6.2 (hedefler ve planlama), §8.1 (operasyonel planlama), §10.1 (iyileştirme)
Track’e geçiş
Eylem Yol Haritası onaylandı. Sahiplik atandı. İlk gözden geçirme tarihi belirlendi.
Geri dönüş tetikleyicisi
Bütçe kısıtlaması, öncelik değişikliği veya kurumsal yeniden yapılanma → yeniden önceliklendirme için Navigate’e dön.
Hexis Aracı
Eylem Yol Haritası Şablonu
Planlandı
T
Aşama 06
Track
Uyumu zaman içinde koruyabiliyor muyuz?
Girdiler
Eylem Yol Haritası (Navigate’den)
Uygulama kanıtları ve kayıtlar
Düzenleyici değişiklik izleme akışı
Süreç
Eylem tamamlanmasını son tarihlere karşı izleyin
Periyodik yönetişim gözden geçirmeleri yapın
Düzenleyici değişiklikleri ve yeni rehberleri takip edin
Olgunluk sapması veya gerilemesini tespit edin
Koşullar değiştiğinde önceki aşamalara geri dönüşü tetikleyin
Çıktılar
Yönetişim Kaydı (sürümlü)
Gözden geçirme takvimi ve denetim izi
Olgunluk ilerleme takibi
Geri dönüş tetikleyici bildirimleri
AB AI Yasası
Md. 72 (piyasa sonrası izleme), Md. 73 (ciddi olay bildirimi), Md. 17 (kalite yönetim sistemi gözden geçirmesi)
KVKK
Md. 12 (periyodik denetim ve ihlal bildirimi), Md. 15 (veri sorumluları sicili)
ISO 42001
§9.2 (iç denetim), §9.3 (yönetim gözden geçirmesi), §10.2 (sürekli iyileştirme)
Observe’a döngü
Her 6 ayda bir veya geri dönüş tetikleyicisi harekete geçtiğinde. Tam ORIENT döngüsü güncellenmiş bağlamla yeniden başlar.
Geri dönüş tetikleyicileri
Yeni AI sistemi → Observe. Düzenleme değişikliği → Risk. Yeni yükümlülük → Identify. Olgunluk değişikliği → Evaluate.
Hexis Aracı
Yönetişim Gözden Geçirme Takvimi Şablonu
Planlandı
Bölüm 04
İkili Perspektif: AB AI Yasası × KVKK
ORIENT, iki eşzamanlı perspektifle tek bir süreç olarak çalışır. Her aşamada hem AB AI Yasası hem de KVKK gereklilikleri paralel olarak değerlendirilir — ayrı iş akışları olarak değil, aynı yönetişim sorusuna iki farklı bakış açısı olarak.
Aşama
AB AI Yasası Perspektifi
Regulation (EU) 2024/1689
KVKK Perspektifi
6698 Sayılı Kanun
O
Observe
Sistem sınıflandırması: AI sistemi, GPAI modeli veya kapsam dışı mı?
Veri işleme envanteri: kişisel veri kategorileri, sınır ötesi aktarımlar?
R
Risk
Md. 5/6/50’ye göre risk seviyesi: yasaklanan, yüksek, sınırlı veya minimal?
Veri hassasiyeti: özel kategoriler (Md. 6), otomatik kararlar (Md. 11(1)(g))?
I
Identify
Geçerli maddeler, sağlayıcı/konuşlandırıcı yükümlülükleri, uygunluk yolu
Hukuki dayanak (Md. 5), veri sorumlusu yükümlülükleri (Md. 12), VERBİS
E
Evaluate
Yönetişim olgunluk değerlendirmesi, FRIA (Md. 27), açık analizi
Veri koruma etki değerlendirmesi, teknik/idari tedbirler yeterliliği
N
Navigate
Yaptırım tarihlerine uyumlu uyum yol haritası
KVKK uyum eylem planı, ihlal bildirim prosedürleri (Md. 12(5))
T
Track
Piyasa sonrası izleme (Md. 72), düzenleyici değişiklik takibi
Periyodik KVKK denetimi (Md. 12), veri ihlali izleme ve bildirimi (Md. 12(5))
Bölüm 05
Çerçeve Uyumu
ORIENT’in altı aşaması keyfi değil. Uluslararası alanda kabul görmüş çerçevelerin her biri — farklı dille de olsa — aynı mantığı izliyor: önce tanı, sonra ölç, sonra karar ver, sonra uygula, sonra izle. ORIENT bu ortak mantığı tek bir süreçte ifade eder.
ORIENT AB AI Yasası NIST AI RMF ISO/IEC 42001
ObserveMd. 9 — risk yönetim sistemiMapClause 4.1, 6.1
RiskMd. 5–6 — risk sınıflandırmasıMeasureClause 6.1.2
IdentifyMd. 16, 26, 27 — rol bazlı yükümlülüklerGovernClause 6.2
EvaluateMd. 27 — temel haklar etki değerlendirmesiMeasureClause 8.4
NavigateMd. 17 — kalite yönetim sistemiManageClause 8
TrackMd. 72 — piyasa sonrası izlemeManageClause 9–10
Neden İkili Perspektif? Yukarıdaki çerçevelerin hiçbiri AB AI Yasası yükümlülüklerini KVKK yükümlülükleriyle aynı anda, aynı süreçte ele alamaz. AB AI Yasası risk bazlı, KVKK varlık bazlı mantıkla çalışır. ORIENT’in Risk ve Identify aşamaları bu iki mantığı paralel olarak değerlendirir.
Bölüm 06
Geri Dönüş Tetikleyicileri
ORIENT tek yönlü bir süreç değildir. Tanımlanmış koşullar önceki aşamalara geri dönüşü tetikler ve yönetişimin değişen gerçeklikle uyumlu kalmasını sağlar. Track aşaması tüm tetikleyicileri sürekli olarak izler.
Yeni AI sistemi veya bileşeni eklenmesi
Geri dönüş → Observe
Sistem amacı veya kapsamının değişmesi
Geri dönüş → Observe
Düzenleyici yeniden sınıflandırma veya Ek güncellemesi
Geri dönüş → Risk
Sistem kapasitesi veya performans değişikliği
Geri dönüş → Risk
Yeni yasal gereklilik veya sektör düzenlemesi
Geri dönüş → Identify
Kuruluş rolü değişikliği (sağlayıcı ↔ konuşlandırıcı)
Geri dönüş → Identify
Yönetişim olgunluk gerilemesinin tespit edilmesi
Geri dönüş → Evaluate
Kurumsal yeniden yapılanma veya kaynak değişikliği
Geri dönüş → Navigate
Planlı geri giriş: Her 6 ayda bir, Track aşaması belirli bir tetikleyici ateşlenmese bile Observe üzerinden tam döngü yeniden başlatılmasını tetikler. Bu, yönetişimin sabit ortamlarda bile bayatlamamasını güvence altına alır.
Bölüm 07
Sınırlılıklar ve Geri Bildirim
ORIENT v1.0, ne yaptığı ve ne yapmadığı konusunda şeffaf olmak üzere tasarlanmıştır.
Hukuki danışmanlık değildir
ORIENT normatif yönetişim tavsiyeleri üretir, hukuki görüş değil. Bulgular, düzenleyici sunumlardan önce nitelikli hukuk veya uyum danışmanı tarafından gözden geçirilmelidir.
Sertifikasyon değildir
Bir ORIENT değerlendirmesi, AB AI Yasası, ISO 42001 veya başka bir standarda uyumluluğun sertifikasyonu niteliği taşımaz. Yapılandırılmış bir değerlendirme girdisidir.
Bağlam-nötr (V1)
Versiyon 1.0 tüm sektörlerde tek tip ağırlıklar uygular. Sağlık, İK ve finans bağlamları ayarlanmış profiller gerektirebilir. Sektöre özgü ağırlık profilleri V2 için planlanmıştır.
Normatif, istatistiksel değil
Ağırlıklar, düzenleyici öncelik sinyallerini yansıtır — olaylardan elde edilen ampirik verileri değil. Model bu konuda şeffaftır. Ağırlıklar V3’te gerçek kullanım verilerine göre kalibre edilecektir.
Metodolojiyi uygulayın
ORIENT Değerlendirmenize Başlayın
AI sisteminizin riskini sınıflandırın, yönetişim olgunluğunu değerlendirin ve bir aktivasyon raporu oluşturun.
Generator Kontrol Listesi