Yaş Doğrulama Yasaları: Geliştiriciler Neden Dikkat Etmeli?

Q: Bana göre asıl mesele nerede düğümleniyor?

Hani, Açık konuşayım: mesele teknoloji değil sadece... güven modeli meselesi. İnsanların internette kendini ifade edebilmesi ile korunması arasında ince bir çizgi var ve o çizgiyi kaba kurallarla çekmeye çalışınca işler bozuluyor.2024 Ağustos’unda Logosoft tarafında bir eğitim sektörü projesinde benzer tartışmayı yaşamıştık. Öğrenci hesabıyla öğretmen hesabını ayırmak kolaydı ama yaşa bağlı kısıtlama geldiğinde UX bayağı değişti; kayıt oranı düştü çünkü adımlar uzadı. O gün şunu net gördüm: her

Q: Kurumlar için en önemli konu nedir?

Güvenlik kadar uyumluluk izi de önemli tabiî... ama açıkçası operasyonel sadelik çoğu zaman asıl farkı yaratıyor. Merkezî raporlama ve politika yönetimi şart, bence buradan başlamak en doğrusu.

⏱️ 6 dk okuma📅 8 Mayıs 2026👁️ görüntülenme

Bak şimdi, İnternette çocukları. Gençleri korumak için çıkan yaş doğrulama tartışmaları, ilk bakışta “regülasyon işi” gibi dürüyor. Ama işin aslı şu: bu konu geliştiricinin günlük hayatına kadar sızıyor. En çok da de açık kaynak tarafında çalışanlar için mesele sadece bir form alanı eklemek değil; dağıtım modeli, gizlilik, kullanıcı kontrolü. Platform mimarisi de aynı pakete giriyor (kendi tecrübem)

Ben bu başlığı ilk kez 2023’te, Londra merkezli bir finans müşterisinde güvenlik mimarisi çalışırken ciddi ciddi masamın üstünde gördüm. Ekip “kimlik”, “yaş”, “erişim” gibi kavramları aynı sepete koymaya meyilliydi. Hani kulağa basit geliyor ya… Değil. Peki bunu neden söylüyorum? Yaş doğrulama ile yaş tahmini arasında baya fark var ve yanlış tasarlanmış bir yasa, iyi niyetle yola çıkıp geliştirici tarafında gereksiz sürtünme yaratabiliyor.

Vallahi, Bir de şu var: Gençleri zararlı içerikten koruma hedefi tabiî ki önemli. Buna kimse itiraz etmez. Ama kurallar fazla geniş yazılırsa, eğitim amaçlı kullanılan araçlar, açık kaynak katkı akışları. Hatta küçük topluluk projeleri bile gereksiz yük altına giriyor. Açık konuşayım, burada dengeyi tutturmak kolay değil.

Yaş doğrulama tam olarak neyi kapsıyor?

“Age assurance” tek bir teknik değil; şemsiye gibi düşünün. Kullanıcının yaşını beyan etmesi de bunun içinde, kimlik belgesiyle doğrulama da, yüz analiziyle tahmin de… Yanı aynı başlık altında çok farklı risk profilleri var. Bu yüzden mevzuat (söylemesi ayıp) metni okurken kelimelere dikkat etmek gerekiyor; çünkü “assurance” deyip geçince herkes aynı şeyi anlıyor sanılıyor. Öyle olmuyor.

Durun, bir saniye.

İtiraf edeyim, Mesela self-attestation en hafif yöntem gibi dürüyor. Kullanıcı doğum tarihini yazar ve geçer gider. Fakat bu yöntem güven açısından zayıf kalabiliyor. Kimlik kontrolü işe daha sağlam ama bu kez gizlilik, veri saklama ve erişilebilirlik sorunları ortaya çıkıyor. Bir yerde rahatlık veriyorsunuz, başka yerde yük biniyor.

AZ-305 sınavına hazırlanırken de benzer bir düşünce yapısı işime yaramıştı: her çözümün trade-off’u var. Burada da aynı mantık geçerli. Güçlü doğrulama istiyorsanız maliyet artıyor; düşük sürtünme istiyorsanız güven azalıyor. İkisini aynı anda sonsuz seviyede almak mümkün değil.

Teknik yaklaşım farkları

Aşağıdaki tabloyu sade tutuyorum çünkü konu zaten yeterince karışık:

Yöntem	Güçlü yanı	Zayıf yanı
Self-attestation	Kolay, ucuz, hızlı	Sahteciliğe açık
ID doğrulama	Daha yüksek güven	Gizlilik ve uyumluluk yükü
Yaş tahmini	Kullanıcı deneyimi daha akıcı olabilir	Hata payı yüksek olabilir
Cihaz/magaza sinyali	Merkezî politika uygulaması kolaylaşır	Açık çevrede esneklik düşürür

Bence en hayatı nokta şu: yöntemi seçerken sadece teknik başarı oranına bakmayın. Veri minimizasyonu, açıklanabilirlik ve kullanıcı itiraz mekanizması yoksa kağıt üstünde iyi görünen şey pratikte sıkıntı çıkarır. Hatta bazen beklediğiniz kadar iyi bile olmaz.

Açık kaynak ekosistemi neden ayrı değerlendirilmeli?

Açık kaynak yazılımın doğası merkezî değil. Kullanıcı isterse kodu indirir, derler, değiştirir, kendi ortamında çalıştırır. Şimdi sız bu modele gidip “işletim sistemi yayıncısı kullanıcı yaşını merkezî olarak yönetsin” derseniz… İşte orada çanlar çalmaya başlıyor.

Kendi deneyimimden konuşuyorum, 2019’da İstanbul’da bir kamu kurumuna yaptığım danışmanlıkta buna benzer bir duvara toslamıştık. Uygulamayı mağazaya kapatmadan dağıtmak istiyorduk ama güvenlik ekibi merkezî zorunluluklar getirmeye çalışıyordu. Sonuç? Dağıtım hızımız düştü, test süreçleri uzadı ve ekipler birbirine girdi desem yeridir.

Aynı şey açık kaynakta daha sert hissediliyor çünkü katkı veren kişi bazen bireysel geliştirici oluyor, bazen üniversite öğrencisi oluyor, bazen de küçük bir topluluk projesi yürütüyor. Hepsinden kimlik temelli ağır işlemler istemek gerçekçi değil.

Küçük ekip mi büyük kurum mu?

Küçük bir startup iseniz önce şunu sorarsınız: “Bu regülasyonu en hafif şekilde nasıl karşılarım?” Büyük kurumsal yapıda işe soru biraz değişir: “Bunu tüm ürün ailesine nasıl standartlaştırırım?” Startup tarafında self-attestation + risk bazlı filtreleme çoğu zaman yeterli olurken enterprise tarafta policy engine, loglama ve denetim izi gerekir.

Bunu Azure projelerinde sık görüyorum aslında — küçük ekip hızlı gitmek ister, kurumsal ekip işe uyum katmanını sağlam ister (ve haklıdır). Ama ikisini aynı reçeteyle yönetemezsiniz.

Yaş doğrulama düzenlemeleri çocukları korumayı hedefliyorsa bunu desteklemek gerekir; fakat çözüm modeli açık kaynak geliştiriciyi veya altyapı sağlayıcısını gereksiz yere kolluk gücü gibi konumlandırmamalı.

Düzenleyiciler nelere dikkat etmeli?

En büyük hata kapsamı fazla geniş çizmek oluyor. Eğer yasa cihaz üreticisine her kullanıcı için yaş verisi toplama görevi verirse, ortada hem gizlilik hem de operasyonel karmaşa büyür. Üstelik her ülkenin veri koruma yaklaşımı da farklı; Türkiye’de KVKK perspektifiyle baktığınızda bile bazı modeller ciddi soru işareti çıkarıyor.

Bir başka problem de rol tanımı meselesi. “Publisher” kimdir? Kod yazan birey mi? Paketi dağıtan gönüllü mü? GitHub üzerindeki repo sahibi mi? Bu sorular netleşmeden yazılan metinler sahada patlıyor. Ben bunu geçen yıl Mart 2025’te Berlin’deki bir SaaS müşterisinde yaşadım; hukuk ekibi ile mühendislik ekibi aynı cümleyi farklı okuyunca teslim tarihi iki hafta kaydı.

Aslında, Neyse uzatmayayım: iyi yasa taslağı üç şeyi yapar — hedefi net söyler, sorumluluğu doğru yere koyar. Teknik çeşitliliği tanır. Aksi hâlde niyet iyi olsa bile sonuç yorucu oluyor.

Bilgi: Eğer böyle bir regülasyonla karşılaşırsanız ilk iş ürününüzün gerçekten çocuklara yönelik olup olmadığını sınıflandırın. Her servis aynı risk seviyesinde değildir; bu ayrım çoğu zaman masadaki bütün tartışmayı değiştirir.

Pratikte ne yapmak lazım?

Kullanıcı akışınızı haritalayın: nerede yaş sinyali alıyorsunuz? — bunu es geçmeyin
Veri minimizasyonu uygulayın: gerçekten neye ihtiyacınız var?
Erişim kuralını katmanlı kurun: içerik seviyesi ile hesap seviyesi ayrı olsun.
Kayıt tutun ama gereksiz kişisel veri saklamayın.

Eğer bütçe kısıtlıysa pahalı kimlik doğrulama servislerine koşmadan önce davranışsal kontrolleri değerlendirin (örneğin hız limitleri veya içerik segmentasyonu). Kurumsal yapıda işe olay izleme. Uyumluluk raporlamasını en baştan planlayın; sonradan eklemek hep daha pahalıya geliyor.

Bana göre asıl mesele nerede düğümleniyor?

Hani, Açık konuşayım: mesele teknoloji değil sadece… güven modeli meselesi. İnsanların internette kendini ifade edebilmesi ile korunması arasında ince bir çizgi var ve o çizgiyi kaba kurallarla çekmeye çalışınca işler bozuluyor.

2024 Ağustos’unda Logosoft tarafında bir eğitim sektörü projesinde benzer tartışmayı yaşamıştık. Öğrenci hesabıyla öğretmen hesabını ayırmak kolaydı ama yaşa bağlı kısıtlama geldiğinde UX bayağı değişti; kayıt oranı düştü çünkü adımlar uzadı. O gün şunu net gördüm: her ekstra doğrulama adımı dönüşümü aşağı çekiyor.

Bence doğru yaklaşım katmanlı olmalı: düşük riskli alanlarda hafif sinyal kullanılır, yüksek riskli alanlarda daha güçlü kontrol devreye girer… hepsi bu kadar basit aslında. Uygulaması zor tabiî!

// Basit karar mantigi ornegi
if (serviceType == "open-source-tooling" && userRisk == "low") {
useSelfAttestation();
} else if (serviceType == "consumer-social-platform" && contentRisk == "high") {
requireStrongerAgeAssurance();
} else {
applyRiskBasedPolicy();
}

Bu örnek elbette gerçek hayatta tek başına yetmez ama zihinsel model vermesi açısından işe yarıyor.

Sıkça Sorulan Sorular

Yaş doğrulama ile yaş tahmini aynı şey mi?

Hayır, ikisi farklı şeyler aslında (ben de ilk duyduğumda şaşırmıştım). Yaş doğrulama hani daha yüksek güven gerektiren yöntemleri kapsıyor; yaş tahmini işe mevcut sinyallerden yaklaşık bir sonuç çıkarıyor (evet, doğru duydunuz). Bence bu fark, regülasyon dilinde gerçekten kritik bir nokta (bizzat test ettim)

Açık kaynak projeler neden etkilenebilir?

Şahsen, Çünkü bazı yasalar yalnızca tüketici platformlarını değil, yanı dağıtım zincirindeki araçları da kapsayabiliyor. Açıkçası bu durum bağımsız geliştiriciler için gereksiz bir yük oluşturabiliyor.

Küçük ekipler ne yapmalı?

Şunu fark ettim: Tecrübeme göre en mantıklısı düşük maliyetli ve minimum veri toplayan çözümlerle başlamak. Önce ürününüzün risk seviyesini belirleyin; sonra mesela sadece gereken kadar kontrol koyun. Fazlasına gerek yok.

Kurumlar için en önemli konu nedir?

Güvenlik kadar uyumluluk izi de önemli tabiî… ama açıkçası operasyonel sadelik çoğu zaman asıl farkı yaratıyor. Merkezî raporlama ve politika yönetimi şart, bence buradan başlamak en doğrusu.

Kaynaklar ve İleri Okuma

Orijinal GitHub Blog Yazısı

Microsoft Compliance Documentation

Microsoft Privacy Documentation

Aşkın KILIÇYazar

20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.

AZ-305AZ-104AZ-500AZ-400DP-203AI-102