Rol bazlı erişim kontrolü (RBAC — Role-Based Access Control), her kullanıcıya yalnızca kendi göreviyle sınırlı yetkiler tanıyarak veri güvenliğini sağlamanın en güvenilir yöntemlerinden biridir. Apartman ve site yönetim sistemlerinde bu yaklaşım; sakin bilgileri, aidat kayıtları ve toplantı tutanaklarının yalnızca yetkili gözlere açık kalmasını güvence altına alır.
Rol Bazlı Erişim Kontrolü Nedir?

Rol bazlı erişim kontrolü, bir sistemdeki kullanıcılara bireysel izinler atamak yerine önceden tanımlanmış "roller" aracılığıyla yetki vermek esasına dayanır. Her rol, belirli bir görev tanımına karşılık gelir ve o role atanan kişi yalnızca kendi rol kapsamındaki verilere ulaşabilir. Bu yaklaşım, 1990'ların ortasında NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından sistematize edilmiş; bugün kurumsal yazılımlardan konut yönetim platformlarına kadar pek çok alanda standart güvenlik mimarisi olarak kabul görmektedir.
Bir apartman ya da site yönetim ortamında düşündüğünüzde tablo netleşir: Yönetici, kapıcı, muhasebeci, sakin ve denetçi gibi birbirinden farklı aktörler sistemi kullanır. Her birinin erişmesi gereken bilgiler birbirinden temelden ayrılır. Muhasebecinin sakinlerin sağlık bilgilerine ya da kapıcının mali tablolara ulaşması hem gereksiz hem de hukuken risklidir. Rol bazlı erişim, bu karmaşıklığı yönetilebilir bir çerçeveye oturtur.
Sistemin çalışma mantığı şu üç unsura dayanır: önce kullanıcı tanımlanır, ardından bu kullanıcıya bir veya birden fazla rol atanır, son olarak her rolün hangi veri ve işlemlere erişebileceği açıkça belirlenir. Böylece yüzlerce kullanıcı için tek tek izin yönetimi yapmak yerine birkaç rol üzerinden tüm sistemi yönetmek mümkün hale gelir. Bu yaklaşım, hem yönetimsel kolaylık hem de güvenlik açısından ciddi avantajlar sunar.
Pratikte bir site yönetim yazılımında rollerin nasıl şekillenebileceğine bakacak olursak: Platform yöneticisi sisteme tam erişime sahipken, site yöneticisi yalnızca kendi bloğunun verilerini görebilir; muhasebeci gelir-gider tablolarına erişebilir ama sakin iletişim bilgilerini değiştiremez; sakin ise yalnızca kendi hesabını, ödeme geçmişini ve ortak alan duyurularını takip edebilir. Bu katmanlı yapı, hem işlevselliği hem de güvenliği bir arada sağlar.
Neden Veri Güvenliği Kritik Bir Meseledir?

Apartman ve site yönetimi, özünde yoğun bir kişisel veri işleme faaliyetidir. Sakinlerin adı, soyadı, telefon numarası, e-posta adresi, araç plakası, tapu bilgisi, ödeme geçmişi ve zaman zaman sağlık ya da engel durumu gibi hassas bilgiler sistemde tutulur. Bu verilerin yetkisiz kişilerce görülmesi, değiştirilmesi ya da dışarıya sızması; hem etkilenen bireyler için ciddi mağduriyet hem de yönetim açısından ağır hukuki sonuçlar doğurabilir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde veri güvenliğini sağlamayı veri sorumlusunun temel yükümlülükleri arasında saymaktadır. Kanunun 12. maddesi uyarınca, veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bir apartman yönetim kurulunun ya da profesyonel yönetim şirketinin bu yükümlülüğün dışında kaldığını düşünmek artık mümkün değildir.
Kişisel Verileri Koruma Kurumu (KVKK Kurumu) kararlarına bakıldığında, konut yönetimi sektörünü doğrudan ilgilendiren ihlal örneklerine rastlamak mümkündür. Sakin listesinin üçüncü taraflarla paylaşılması, kapıcı tarafından erişilen özel bilgilerin kötüye kullanılması ya da eski yöneticilerin sistemdeki hesaplarının kapatılmadan bırakılması gibi durumlar ciddi idari para cezalarına konu olmuştur. KVKK kapsamında idari para cezaları yüzbin Türk lirasından başlayıp milyonlara ulaşabilen seviyelere çıkabilmektedir.
Güvenlik ihlali yalnızca dışarıdan gelen saldırılarla değil, içeriden kaynaklanan risklerle de gerçekleşir. Eski bir çalışanın hesabının açık bırakılması, bir sakin temsilcisinin mali verilere erişebilmesi ya da sistem bakımını yapan teknik personelin tüm kayıtlara ulaşabilmesi — bunların hepsi "içeriden tehdit" kapsamında değerlendirilen, ancak rol bazlı erişim denetimi ile önlenebilecek risklerdir. Doğru yapılandırılmış bir RBAC sistemi bu risklerin büyük bölümünü baştan ortadan kaldırır.
Site Yönetiminde Temel Roller ve Yetki Seviyeleri

Bir apartman veya site yönetim sisteminde rollerin doğru tanımlanması, güvenlik mimarisinin temel taşını oluşturur. Roller çok dar tanımlanırsa yönetim aksaklaşır; çok geniş tutulursa güvenlik boşlukları oluşur. Dengeli bir rol yapısı için aşağıdaki temel kategoriler iyi bir başlangıç noktası sunar.
Platform Yöneticisi (Süper Admin): Sisteme tam erişime sahip olan bu rol, genellikle yazılım sağlayıcısının teknik ekibine ya da sitenin genel müdürüne verilir. Kullanıcı oluşturma, rol tanımlama, sistem ayarlarını değiştirme ve denetim günlüklerine erişim bu rolün kapsamındadır. Site günlük operasyonlarında bu yetkinin kullanılması önerilmez; kriz durumları ve yapılandırma değişiklikleri için ayrılmalıdır.
Site Yöneticisi: Günlük operasyonel kararları yürüten bu rol; sakin bilgilerini görüntüleme ve güncelleme, duyuru yayınlama, bakım taleplerini yönetme ve genel kurul toplantısı düzenleme yetkilerine sahip olur. Ancak mali verileri tek başına onaylama ya da sistemden kullanıcı silme gibi kritik aksiyonlar çift doğrulama ya da farklı bir rol gerektirir.
Muhasebeci/Mali Görevli: Yalnızca finansal verilere erişen bu rol; aidat takibi, gelir-gider kaydı, banka mutabakatı ve ödeme geçmişi görüntüleme yetkilerini içerir. Sakin iletişim bilgilerini değiştirme, toplantı tutanaklarını düzenleme ya da teknik bakım emirleri oluşturma bu rolün kapsamı dışındadır.
Sakin/Mal Sahibi: Yalnızca kendi verilerine erişen bu rol; ödeme geçmişini görme, aidat ödemesi yapma, bakım talebi oluşturma ve genel duyuruları okuma yetkisine sahipken başka sakinlerin bilgilerine kesinlikle erişemez.
Denetçi/Denetim Kurulu Üyesi: Okuma yetkisine sahip bu özel rol, mali raporları ve işlem geçmişini inceleyebilir ancak hiçbir kaydı değiştiremez. Bu özellik, Kat Mülkiyeti Kanunu kapsamındaki denetim görevini şeffaf ve güvenli biçimde yerine getirir.
KVKK Uyumu ve Hukuki Çerçeve

634 sayılı Kat Mülkiyeti Kanunu, apartman yönetiminde hesap verebilirlik ve şeffaflık ilkelerini düzenlerken; 6698 sayılı KVKK, bu süreçte işlenen kişisel verilerin korunmasına ilişkin kapsamlı bir çerçeve çizer. Bu iki mevzuatın kesişim noktasında rol bazlı erişim kontrolü, hem hukuki uyumu hem de operasyonel güveni aynı anda sağlayan bir araç olarak öne çıkar.
KVKK'nın 4. maddesi kişisel verilerin işlenmesinde "amaçla sınırlılık" ilkesini öngörür: veriler, yalnızca toplandıkları amaçla bağlantılı ve bu amaçla orantılı ölçüde işlenebilir. Rol bazlı erişim, bu ilkeyi teknik düzeyde hayata geçirir. Muhasebecinin görev tanımı dışında kalan sakin iletişim verilerine erişememesi, amaçla sınırlılık ilkesinin yazılım mimarisine yansımasıdır.
Kanunun 12. maddesi uyarınca veri sorumluları, yetkisiz erişimi engellemek için teknik tedbirler almak zorundadır. Kişisel Verileri Koruma Kurumu'nun rehber dokümanlarında bu tedbirler arasında erişim yetkilendirme ve kontrol mekanizmaları açıkça sayılmaktadır. Dolayısıyla bir apartman yönetim platformunun RBAC altyapısına sahip olması, artık iyi niyet göstergesi değil; hukuki zorunluluğun karşılanmasıdır.
Veri ihlali bildirimi yükümlülüğü de bu bağlamda kritik önem taşır. KVKK, veri ihlalini öğrenen veri sorumlusunun 72 saat içinde Kurul'a bildirimde bulunmasını zorunlu kılmaktadır. Rol bazlı erişimin sağladığı denetim günlükleri (audit log), böyle bir durumda ihlalin kapsamını ve kaynağını tespit etmeyi kolaylaştırır; bu da hem bildirimi hem de olası savunmayı güçlendirir.
Hukuki Uyarı: Bu makaledeki bilgiler genel bilgilendirme amaçlıdır. KVKK uyum süreçleri ve kişisel veri işleme politikalarınız için mutlaka bir veri koruma uzmanı veya avukattan profesyonel destek almanız önerilir. Her sitenin koşulları farklıdır ve bireysel hukuki değerlendirme gerektirir.
Rol Bazlı Erişimi Uygulamanın Adımları

Teorik çerçeveyi doğru anlamak önemlidir; ancak asıl değer, bu çerçevenin sahaya yansıtılmasında gizlidir. Rol bazlı erişimi bir apartman veya site yönetim sistemine entegre etmek için takip edilmesi gereken sistematik bir yol haritası vardır.
1. Varlık ve Veri Envanteri: İlk adım, sistemde hangi verilerin tutulduğunu ve kimin hangi veriye neden ihtiyaç duyduğunu belirlemektir. Sakin bilgileri, ödeme kayıtları, toplantı tutanakları, bakım emirleri ve kamera erişim logları gibi varlıklar ayrı kategoriler halinde listelenir. Bu envanter, hem KVKK'nın "Veri Envanteri" yükümlülüğünü karşılar hem de rol tasarımının temelini oluşturur.
2. Rol Tasarımı: Envanter tamamlandıktan sonra, organizasyonun görev yapısı incelenerek roller oluşturulur. "En az ayrıcalık" (least privilege) ilkesi burada rehber olmalıdır: her rol, görevini yerine getirmek için gereken minimum yetkiyle sınırlı tutulur. Tasarım aşamasında gerçek kullanıcılarla görüşmek, gereksiz kısıtlamaların önüne geçer.
3. Teknik Yapılandırma: Kullandığınız apartman yönetim programı, rollerin teknik olarak yapılandırılmasına olanak tanıyan bir yetkilendirme modülüne sahip olmalıdır. Bu aşamada; menü görünürlükleri, veri filtreleri ve işlem izinleri role özgü biçimde ayarlanır.
4. Kullanıcı Onboarding Prosedürü: Her yeni kullanıcı sisteme eklenirken hangi role dahil olacağı açıkça belirlenmeli, görev değişikliklerinde rol güncellemesi yapılmalı ve işten ayrılan personelin hesabı derhal devre dışı bırakılmalıdır. Bu adım, KVKK'nın "veri sorumlusunun çalışan denetimi" yükümlülüğüyle de örtüşür.
5. Düzenli Gözden Geçirme: Roller ve atamalar yılda en az bir kez —tercihen her yönetim dönemi değişiminde— gözden geçirilmelidir. Ayrılan personelin hesabının sisteme açık kaldığı durumlar, en yaygın veri güvenliği zaafiyetleri arasında yer almaktadır.
Denetim Günlükleri: Hesap Verebilirliğin Teknik Zemini

Rol bazlı erişim kontrolünün güvenlik değeri yalnızca "kimin neye ulaşabileceğini" sınırlamakla bitmez. Bir o kadar önemli olan ikinci bileşen, "kimin ne zaman neye eriştiğini ve ne yaptığını" kaydeden denetim günlükleridir (audit log). Bu kayıtlar, güvenlik olayı yaşandığında hem soruşturmayı hem de kanıt sunmayı mümkün kılar.
İyi yapılandırılmış bir denetim günlüğü şu bilgileri içermelidir: erişimi gerçekleştiren kullanıcının kimliği ve rolü, erişilen veri ya da işlemin türü, erişim tarihi ve saati, işlem sonucu (başarılı/başarısız) ve erişimin gerçekleştiği IP adresi ya da cihaz bilgisi. Bu beş unsur, çoğu güvenlik soruşturmasında kök neden analizini yeterince destekleyecek bilgiyi sunar.
Denetim günlüklerinin pratik bir değeri de şöyledir: kat malikleri kurulunun mali denetim yetkisini kullanan denetçiler, muhasebe kayıtlarında bir tutarsızlık tespit ettiklerinde hangi kullanıcının hangi kaydı ne zaman değiştirdiğini görebilir. Bu, eski usul evrak incelemenin çok ötesinde bir şeffaflık sunar ve yönetim kurulunun hesap verebilirliğini güçlendirir.
Günlüklerin güvenliği de ayrıca ele alınmalıdır. Denetim kayıtlarına yalnızca yönetici rolünün erişebilmesi, ancak bu kayıtları değiştirememesi sağlanmalıdır; aksi takdirde izlerin silinmesi mümkün hale gelir. Modern site yönetim yazılımları, bu yapıyı genellikle değişmez (immutable) log altyapısıyla çözer.
Yetki Yönetimi: Rolden Role Geçiş Senaryoları

Gerçek hayat, statik rol yapılarıyla her zaman örtüşmez. Site yöneticisi değişir, muhasebeci izne ayrılır, denetim kurulu yenilenir ya da bir sakin kat maliki konumuna geçer. Bu geçiş senaryolarının önceden planlanmış olması, hem operasyonel sürekliliği hem de güvenliği korur.
Yönetici Değişimi Senaryosu: En hassas ve sık karşılaşılan geçiş budur. Eski yöneticinin sisteme erişimi derhal kaldırılmalı, devir-teslim belgelerindeki veriler yeni yöneticiye aktarılmalı ve yeni kişi için uygun rol ayarlamaları yapılmalıdır. Bu sürecin geciktirilmesi, eski yöneticinin sisteme erişmeye devam etmesi anlamına gelir ki bu hem KVKK hem de Kat Mülkiyeti Kanunu açısından sorun teşkil eder.
Geçici Yetki Senaryosu: Muhasebecinin izin döneminde görevini devralan kişiye kalıcı yetki vermek yerine süre sınırlı bir geçici yetki tanımlamak, güvenli uygulamanın bir parçasıdır. Bu özelliği destekleyen platformlar, tanımlanan tarihe geldiğinde yetkiyi otomatik olarak geri alır ve manuel takip gerekliliğini ortadan kaldırır.
Çok Rollü Kullanıcı Senaryosu: Küçük yapılarda bir kişi hem yönetici hem muhasebeci görevini üstlenebilir. Bu durumda her iki rolün yetkilerini birleştiren bir "bileşik rol" tanımlamak, hem kullanım kolaylığı hem de denetim şeffaflığı açısından tek rol üzerinden yönetmekten daha doğrudur. Böylece kullanıcının hangi kapasiteyle hangi işlemi gerçekleştirdiği kayıtlarda görünür kalır.
Sakin Statüsü Değişimi: Kiracıdan mal sahibine geçen ya da bloğunu devreden sakinlerin erişim hakları da güncellenmeli; eski birime ait verilere artık ulaşılamaması sağlanmalıdır. Bu küçük ama kritik adım, pek çok sistemde göz ardı edilir ve sakinler arasında veri gizliliği sorununa yol açar.
Rol Bazlı Erişim ile Siber Güvenlik Tehditlerine Karşı Koruma

Rol bazlı erişim kontrolü, yalnızca içeriden kaynaklanan riskleri değil; dışarıdan gelen siber tehditlerin etkisini de sınırlayan bir yapı sunar. Bir kullanıcının hesabının ele geçirildiği senaryoda saldırganın erişebileceği veriler ve yapabileceği işlemler, o kullanıcının rolüyle kısıtlı kalır. Bu "hasar kontrolü" işlevi, modern siber güvenlik mimarilerinde kritik bir savunma katmanı olarak kabul görmektedir.
Örnek bir senaryo düşünün: Site kapıcısının sistemdeki hesabı sosyal mühendislik yoluyla ele geçirildi. Eğer kapıcı rolü yalnızca "giriş-çıkış loglarını görüntüle" ve "bakım talebi oluştur" yetkilerine sahipse, saldırgan bu hesapla sakin kişisel verilerine, mali kayıtlara ya da genel kurul belgelerine erişemez. Hasarın boyutu, rolün sınırlarıyla doğrudan orantılıdır.
Aynı senaryoda rol ayrımı olmayan bir sistemde neler olabileceğini hayal etmek güç değildir: tüm sakin bilgileri, ödeme kayıtları, iletişim adresleri ve potansiyel olarak kimlik numaraları tek bir ihlalle tehlikeye girebilir. KVKK Kurumu'nun değerlendirmesinde bu fark kritik önem taşır; uygun erişim kısıtlaması uygulayan bir veri sorumlusunun ihlal sonrası hesap verebilirliği, bunu uygulamayan bir yapıyla aynı değildir.
Güçlü kimlik doğrulama (iki faktörlü doğrulama — 2FA) rol bazlı erişimi tamamlayan önemli bir katmandır. Rol bazlı sistem "yetkili kullanıcı kime ne yapabilir" sorusunu yanıtlarken, 2FA "sisteme giriş yapanın gerçekten o kullanıcı olduğunu" doğrular. Bu iki mekanizmanın birlikte uygulanması, kapsamlı bir güvenlik duruşu oluşturur.
Rol ve Yetki Karşılaştırma Tablosu

Hangi rolün hangi işlemleri gerçekleştirebileceğini net biçimde görselleştirmek, hem sistem tasarımcılarına hem de yöneticilere rehberlik eder. Aşağıdaki tablo, tipik bir apartman veya site yönetim platformu için örnek bir yetki matrisi sunmaktadır.
| Yetki / İşlem | Platform Yöneticisi | Site Yöneticisi | Muhasebeci | Denetçi | Sakin |
|---|---|---|---|---|---|
| Sakin bilgilerini görüntüleme | Evet | Evet | Kısıtlı | Hayır | Yalnızca kendi |
| Sakin bilgilerini düzenleme | Evet | Evet | Hayır | Hayır | Kısıtlı |
| Mali raporları görüntüleme | Evet | Evet | Evet | Evet | Hayır |
| Mali kayıt oluşturma/düzenleme | Evet | Kısıtlı | Evet | Hayır | Hayır |
| Genel kurul toplantısı düzenleme | Evet | Evet | Hayır | Hayır | Hayır |
| Duyuru yayınlama | Evet | Evet | Hayır | Hayır | Hayır |
| Bakım talebi oluşturma | Evet | Evet | Hayır | Hayır | Evet |
| Kullanıcı ekleme/silme | Evet | Kısıtlı | Hayır | Hayır | Hayır |
| Denetim günlüklerini görüntüleme | Evet | Kısıtlı | Hayır | Evet | Hayır |
| Sistem ayarlarını değiştirme | Evet | Hayır | Hayır | Hayır | Hayır |
Bu tablo bir şablon olarak değerlendirilmeli; her sitenin kendi organizasyon yapısına göre uyarlanmalıdır. Önemli olan, hangi kararın hangi rol kapsamında alındığının net biçimde tanımlanmış olmasıdır.
Doğru Yazılım Seçimi: RBAC Desteğinde Nelere Bakmalı?

Piyasada çok sayıda konut yönetim yazılımı bulunmaktadır; ancak hepsinin rol bazlı erişim kontrolünü eşit düzeyde desteklediğini söylemek mümkün değildir. Bir platform seçerken RBAC açısından değerlendirmeniz gereken temel özellikler aşağıda sıralanmıştır.
- Özelleştirilebilir Rol Tanımlama: Sistem, standart rollerin ötesinde kuruluşa özel roller oluşturmanıza izin veriyor mu? Sabit rol şablonları, çoğu sitenin gerçek ihtiyacını karşılamaz.
- Granüler İzin Ayarları: Yetki yönetimi menü düzeyinde mi, yoksa veri alanı düzeyinde mi yapılabiliyor? Alan bazlı erişim kontrolü, çok daha güçlü bir güvenlik sunar.
- Denetim Günlüğü Desteği: Platform, tüm kritik işlemleri tarih-saat-kullanıcı bilgisiyle kayıt altına alıyor ve bu kayıtlara erişimi ayrı bir yetkiyle sınırlıyor mu?
- Çift Faktörlü Kimlik Doğrulama: SMS veya TOTP tabanlı 2FA desteği, hesap ele geçirme riskini önemli ölçüde azaltır.
- KVKK Uyum Araçları: Veri envanteri, açık rıza yönetimi ve kişisel veri silme talepleri (unutulma hakkı) gibi KVKK yükümlülüklerini karşılayan modüller barındırıyor mu?
- Oturum ve Erişim Zaman Aşımı: Belirli bir süre hareketsiz kalan kullanıcı hesaplarını otomatik olarak kapatıyor mu?
- Yedek Yönetici Mekanizması: Birincil yöneticinin sisteme erişemediği acil durumlarda yedek yönetici devreye girebiliyor mu?
Bu özelliklerin tamamını destekleyen bir rezidans yönetim sistemi ya da apartman yönetim platformu, güvenlik yatırımınızı uzun vadede karşılayacak bir seçimdir. Kısa vadeli maliyet avantajı sunan ancak RBAC desteği zayıf olan platformlar, ileride hem operasyonel hem de hukuki maliyetlere kapı aralayabilir.
Sık Sorulan Sorular

Rol bazlı erişim kontrolü ile geleneksel şifre koruması arasındaki fark nedir?
KVKK kapsamında apartman yönetimleri veri sorumlusu sayılır mı?
Küçük bir apartmanda rol bazlı erişim uygulamak gerekli midir?
Sakin, kendi kişisel verilerine erişim ve düzeltme talebinde bulunabilir mi?
Apartmanınızın ya da sitenizin verilerini güvende tutmak için adım atmaya hazırsanız, apartman yönetim programımızın rol bazlı erişim ve KVKK uyum modüllerini inceleyebilirsiniz. Sakinlerinizin verilerini korumak, güvenilir bir yönetimin temel taşıdır.