Erciyes Üniversitesi’nde Skandal Veri İhlali: Kişisel Bilgiler Üniversite Dışı Sitede Yayınlandı

Erciyes Üniversitesi, kişisel verilerin korunmasına ilişkin en temel yükümlülüklerin tartışmaya açıldığı ciddi bir veri güvenliği olayıyla gündemde. Kişisel Verileri Koruma Kurumu (KVKK) tarafından yayımlanan resmî duyuruya göre, üniversite bünyesinde işlenen kişisel verilerin yetkisiz şekilde ele geçirildiği ve üniversiteye ait olmayan bir internet sitesinde yayımlandığı bildirildi.

KVKK kayıtlarına giren veri ihlali bildiriminde, olayın 26 Aralık 2025’te başladığı, ancak 5 Ocak 2026’da tespit edilebildiği ifade edildi. Bu süre zarfında kişisel verilerin üçüncü kişilerce erişilebilir hâle gelmiş olması, veri güvenliğinin ne ölçüde denetlendiği sorusunu da beraberinde getirdi.

Veriler Yayımlandı, Kapsam Hâlâ Bilinmiyor

Resmî bildirime göre, ihlalin; üniversitenin geçiş sistemleri yönetiminde kullanılan yazılımla ilgili sözleşme sürecinin sona yaklaşması ve yeni dönem ihale hazırlıkları sırasında fark edildiği belirtildi. Ancak bildirimin en dikkat çekici kısmı, kaç kişinin etkilendiğinin, hangi verilerin ele geçirildiğinin ve ihlalin boyutunun henüz netleştirilememiş olması oldu.

Başka bir ifadeyle, kişisel verilerin ele geçirildiği kabul edilirken, bu verilerin kime ait olduğu ve ne kadarının açığa çıktığı hâlâ bilinmiyor.

KVKK: “Kamuoyuna İlan Edilsin”

KVKK, süren inceleme devam ederken, 27 Ocak 2026 tarihli ve 2026/104 sayılı Kurul Kararı ile veri ihlalinin Kurumun resmî internet sitesinde ilan edilmesine karar verdi. Bu adım, mevzuat gereği yalnızca kamuoyunu ilgilendiren ve ciddiyet taşıyan veri ihlallerinde atılıyor.

Uzmanlar, Kurulun ilan kararının; olayın basit bir teknik aksaklık olarak görülmediğini, kamuoyunun bilgilendirilmesinin gerekli bulunduğunu gösterdiğine dikkat çekiyor.

İnceleme Sürüyor, Sorular Ortada

KVKK incelemesi sürerken, üniversite bünyesinde:

• Hangi verilerin ele geçirildiği,
• Kaç kişinin etkilendiği,
• Kişisel verilerin ne kadar süreyle erişime açık kaldığı gibi kritik başlıklar henüz yanıt bulmuş değil. Yaşanan gelişme, kamusal kurumlarda kişisel veri güvenliğinin nasıl sağlandığı, sözleşme ve yazılım süreçlerinin yeterince denetlenip denetlenmediği sorularını bir kez daha gündeme taşıdı.