Appearance
Uyumluluk Kayıt Defteri (Compliance Register)
- Sahip: Simetri
- Son Güncelleme: 2026-04-18 (SIM-178 — ilk oluşturma)
- Güncelleme Tetikleyicisi: Yeni yasal düzenleme, mevcut kontrolde kapsam değişikliği, yeni veri işleme faaliyeti, denetim bulgusu.
- Durum: İskelet — kontrol karşılıkları mevcut docs'tan eşlenmiştir; prod deployment öncesi hukuk review'u zorunlu.
1. Neden Bu Doküman?
Bir denetçi (regülatör, B2B müşteri DPO'su, ISO denetçisi) Humindx'in hangi yasal/regülatif kontrolleri karşıladığını tek sayfada görmek ister. Her doküman kendi uyumluluk iddiasını ayrı ayrı belirtse de, çapraz referans vermek zaman alır ve boşluk kaçırılır.
Bu register:
- GDPR, EU AI Act ve (ileride) ISO 27001 / SOC 2 kontrollerini tek tabloda toplar,
- Her kontrolün Humindx'teki teknik karşılığını docs referansı ile gösterir,
- Çeyreklik review ritmi ile güncelliği garanti eder.
NIST AI RMF eşlemesi: Bu doküman GOVERN 1.2 (yasal/regülatif kontrol envanteri) gap'ini kapatır — bkz. nist-ai-rmf-mapping.md.
2. Çeyreklik Review Ritmi
| Parametre | Değer |
|---|---|
| Review periyodu | 90 gün |
| Sorumlu | Simetri teknik sahip + hukuk danışmanı (prod sonrası) |
| Tetikleyici | (1) Takvim — son review tarihinden 90 gün geçti; (2) Yeni yasal düzenleme yayınlandı; (3) Denetim talebi geldi |
| Süreç | Her satırın "Son Review" sütunu kontrol edilir → 90 günü geçenler ⚠️ flag alır → karşılık dosyası okunarak durum güncellenir |
| Kayıt | Review yapıldığında bu dosyanın "Son Güncelleme" satırı ve ilgili satırların tarihi güncellenir |
Otomasyon notu: İlk aşamada manuel review. CI entegrasyonu (Markdown lint + tarih kontrolü) Tier 2 follow-up olarak planlanabilir.
3. GDPR Kontrolleri
| Kontrol ID | Kaynak Madde | Konu | Humindx Karşılığı | Durum | Son Review |
|---|---|---|---|---|---|
| GDPR-05 | Art. 5 | İlkeler (amaç sınırlaması, veri minimizasyonu, doğruluk, saklama sınırı, bütünlük/gizlilik) | data-classification.md §2-4 (tier sistemi + retention süreleri), vector-privacy.md (minimizasyon + gürültü) | ✅ | 2026-04-18 |
| GDPR-06 | Art. 6 | Hukuki işleme dayanağı | dpia.md §2.2 (rıza / meşru menfaat / sözleşme analizi) | ✅ iskelet | 2026-04-18 |
| GDPR-09 | Art. 9 | Özel kategori verilerin işlenmesi | dpia.md §1 (psikometrik skorlar ihtiyati olarak kapsama alınmış), data-classification.md T3 tier | ✅ iskelet | 2026-04-18 |
| GDPR-12 | Art. 12-13 | Şeffaf bilgilendirme | eu-ai-act-compliance.md §3.1 (Veri Röntgeni, Data Lineage) | ✅ | 2026-04-18 |
| GDPR-15 | Art. 15 | Erişim hakkı | data-classification.md §6 DSAR akışı (Erişim) | ✅ | 2026-04-18 |
| GDPR-16 | Art. 16 | Düzeltme hakkı | data-classification.md §6 DSAR akışı (Düzeltme) | ✅ | 2026-04-18 |
| GDPR-17 | Art. 17 | Silme hakkı (unutulma) | data-classification.md §6 DSAR akışı (Silme) + §4 retention sınırları; Art. 17(3) istisnası audit trail için belgelenmiş | ✅ | 2026-04-18 |
| GDPR-18 | Art. 18 | İşlemenin kısıtlanması hakkı | data-classification.md §6 DSAR akışı kapsamında | ✅ iskelet | 2026-04-18 |
| GDPR-20 | Art. 20 | Veri taşınabilirliği | data-classification.md §6 DSAR akışı (Taşıma — JSON export) | ✅ | 2026-04-18 |
| GDPR-21 | Art. 21 | İtiraz hakkı | eu-ai-act-compliance.md §4 (Label_Override, Pozitif Transfer Köprüsü) | ✅ | 2026-04-18 |
| GDPR-22 | Art. 22 | Otomatik bireysel karar vermeye tabi olmama | eu-ai-act-compliance.md §3.2 (sistem ikili karar üretmez; inisiyatif insanda) | ✅ | 2026-04-18 |
| GDPR-25 | Art. 25 | Tasarımdan itibaren ve varsayılan olarak veri koruma | vector-privacy.md (diferansiyel gizlilik by-design), zero-knowledge.md, data-classification.md §2 (tier sistemi) | ✅ | 2026-04-18 |
| GDPR-30 | Art. 30 | İşleme faaliyetleri kaydı | dpia.md §3 (mevcut DPIA girişleri = işleme kaydı iskeleti) | ✅ iskelet | 2026-04-18 |
| GDPR-32 | Art. 32 | İşleme güvenliği | threat-model.md (LINDDUN + ATLAS savunmaları), context-rooms-design.md (RLS) | ✅ | 2026-04-18 |
| GDPR-33 | Art. 33 | Kişisel veri ihlali bildirimi (72 saat, DPA'ya) | incident-response.md §1 sınıflandırma + bildirim süreci | ✅ iskelet | 2026-04-18 |
| GDPR-34 | Art. 34 | İlgili kişiye ihlal bildirimi | incident-response.md (kullanıcı bildirimi süreci) | ✅ iskelet | 2026-04-18 |
| GDPR-35 | Art. 35 | Veri Koruma Etki Değerlendirmesi (DPIA) | dpia.md (şablon + 3 iskelet giriş) | ✅ iskelet | 2026-04-18 |
4. EU AI Act Kontrolleri (Ek III — Yüksek Riskli Sistem)
Humindx, B2B İK modülleri nedeniyle Ek III Madde 4 (İstihdam) kapsamında Yüksek Riskli sınıfındadır. Bkz. eu-ai-act-compliance.md §1.
| Kontrol ID | Kaynak Madde | Konu | Humindx Karşılığı | Durum | Son Review |
|---|---|---|---|---|---|
| EUAIA-05 | Art. 5 | Yasaklı uygulamalar (duygu tanıma, subliminal manipülasyon) | eu-ai-act-compliance.md §2 (duygu tanıma yasağı — biyometrik analiz yapılmıyor, NLP tabanlı yapısal çıkarım) | ✅ | 2026-04-18 |
| EUAIA-09 | Art. 9 | Risk yönetim sistemi | threat-model.md (LINDDUN + ATLAS), dpia.md, eu-ai-act-compliance.md §3 | ✅ | 2026-04-18 |
| EUAIA-10 | Art. 10 | Veri ve veri yönetişimi | data-classification.md (tier sistemi), golden-dataset-governance.md (temsil hedefleri + fairness), eu-ai-act-compliance.md §3.3 | ✅ | 2026-04-18 |
| EUAIA-11 | Art. 11 | Teknik dokümantasyon | master-plan.md, docs/ bütünü (mimari, güvenlik, psikometri) | ✅ | 2026-04-18 |
| EUAIA-12 | Art. 12 | Otomatik kayıt tutma (logging) | audit-trail.md (immutable, append-only), observability.md (OpenTelemetry + Grafana) | ✅ | 2026-04-18 |
| EUAIA-13 | Art. 13 | Şeffaflık ve kullanıcıya bilgi sağlama | eu-ai-act-compliance.md §3.1 (Veri Röntgeni, Data Lineage, Yönetim Reçetesi) | ✅ | 2026-04-18 |
| EUAIA-14 | Art. 14 | İnsan gözetimi | eu-ai-act-compliance.md §3.2 (ikili karar yok, güvenilirlik rozetleri, inisiyatif insanda) | ✅ | 2026-04-18 |
| EUAIA-15 | Art. 15 | Doğruluk, sağlamlık ve siber güvenlik | testing-strategy.md (Direction Accuracy >%85), threat-model.md §4 (ATLAS savunmaları), adversarial-eval-suite.md | ✅ | 2026-04-18 |
| EUAIA-17 | Art. 17 | Kalite yönetim sistemi | Bu doküman (compliance register) + nist-ai-rmf-mapping.md + CONTRIBUTING.md §8 (DoD) | ✅ | 2026-04-18 |
| EUAIA-25 | Art. 25 | Tedarik zinciri sorumlulukları | vendor-inventory.md (LLM, embedding, NER, altyapı sağlayıcı envanteri) | ✅ | 2026-04-18 |
| EUAIA-61 | Art. 61 | Piyasa sonrası izleme (post-market monitoring) | observability.md + ADR-005 (metrik taksonomisi, alerting, PII redaction), eu-ai-act-compliance.md §6 | ✅ | 2026-04-18 |
| EUAIA-62 | Art. 62 | Ciddi olay raporlama | incident-response.md (sınıflandırma + bildirim akışı) | ✅ iskelet | 2026-04-18 |
5. ISO 27001 / SOC 2 (Yer Tutucu)
Bu bölüm, ilk enterprise satış veya sertifikasyon süreci başladığında doldurulacaktır.
| Çerçeve | Durum | Tahmini Başlangıç |
|---|---|---|
| ISO 27001:2022 | Planlanmadı | İlk B2B enterprise müşteri pipeline'ı |
| SOC 2 Type II | Planlanmadı | Kuzey Amerika enterprise talebi |
Hazırlık notu: Mevcut GDPR + EU AI Act kontrolleri, ISO 27001 Annex A'nın büyük bölümüyle örtüşür (erişim kontrolü → RLS, olay yönetimi → incident-response, risk değerlendirme → threat-model). Gap analizi sertifikasyon kararı alındığında bu bölüme eklenir.
6. Durum Kodları
| Kod | Anlamı |
|---|---|
| ✅ | Kontrol karşılığı docs'ta tanımlı ve güncel |
| ✅ iskelet | Kontrol karşılığı docs'ta var ama detaylandırılması gerekiyor (prod öncesi) |
| ⚠️ | Kısmen karşılanıyor; bilinen gap var |
| 🔲 | Henüz ele alınmadı |
7. Ne Zaman Bu Dokümanı Aç?
- Yeni yasal düzenleme Humindx'i etkilediğinde (örn: AI Act delegated act, KVKK değişikliği)
- Mevcut bir kontrolün karşılık dosyası güncellediğinde → ilgili satırın "Son Review" tarihini güncelle
- Denetim talebi geldiğinde → bu dosya birincil başlangıç noktası
- Yeni veri işleme faaliyeti → GDPR-30 ve GDPR-35 satırları etkilenir
- 90 günlük review periyodu dolduğunda (bkz. §2)
Son Güncelleme: 2026-04-18 — İlk oluşturma (SIM-178). GDPR 17 satır + EU AI Act 12 satır = 29 kontrol.