Bir satış müdürü, BT birimine iş talebi açmak yerine ücretsiz no-code platformla kendi müşteri takip uygulamasını kuruyor. İki haftada işler yoluna giriyor; müdür memnun, ekip verimli. Ama o uygulama şirketin müşteri verilerini hangi sunucuda saklıyor? KVKK kapsamındaki kişisel verileri kimler görüyor? Uygulama geliştirici şirketten ayrılırsa ne olur? Bu sorular yanıtsız kaldığı sürece no-code araçların kurumsal ortamda yarattığı hız avantajı, aynı anda ciddi bir risk birikimi anlamına geliyor. Türkiye’de 2019 itibarıyla no-code ve low-code platformlara kurumsal ilgi hızla artıyor; ancak bu ilginin çok azı yönetişim sorusuyla birlikte ele alınıyor.
No-code platformlar, teknik bilgisi olmayan çalışanların görsel arayüzler aracılığıyla uygulama, iş akışı veya veri formu oluşturmasına imkân veriyor. Microsoft Power Apps, Google AppSheet, Airtable ve benzeri araçlar bu kategorinin öne çıkan örnekleri. Kurumsal BT birimlerinin yıllarca kuyruğunda bekleyen talepleri birkaç günde hayata geçirebiliyor olmaları, bu araçları özellikle orta ölçekli şirketlerde cazip kılıyor. Türkiye’deki KOBİ’lerin büyük çoğunluğunda BT ekibi iki ila beş kişiden oluşuyor; bu ekipler hem altyapıyı hem yazılım geliştirmeyi hem de destek taleplerini eş zamanlı yönetiyor. Bu koşulda iş birimlerinin kendi çözümlerini üretmesine izin veren no-code yaklaşım, kaynakları zorlanmış BT birimlerine nefes aldırıyor gibi görünüyor. Görünüyor; ama bu tablo her zaman gerçeği yansıtmıyor.
Asıl sorun, no-code araçların kendisinde değil, bu araçların kurumsal bir çerçeve olmadan yayılmasında. Gölge BT (shadow IT) kavramı yeni değil; şirketler yıllardır çalışanların onaysız yazılım kurduğunu biliyor. Ancak no-code platformlar bu dinamiği bambaşka bir boyuta taşıyor: artık çalışanlar yalnızca hazır bir yazılım kullanmıyor, sıfırdan uygulama inşa ediyor. Bu uygulamalar müşteri verisi, sözleşme bilgisi, fiyat listesi veya çalışan kayıtları gibi hassas kurumsal varlıkları işleyebiliyor. Nisan 2018’de yürürlüğe giren KVKK, kişisel verilerin işlenmesi ve depolanmasına ilişkin net yükümlülükler getiriyor. Çalışanın kendi inisiyatifiyle kurduğu bir no-code uygulama bu yükümlülükleri karşılıyor mu? Çoğunlukla hayır; çünkü uygulama kurulurken bu soru hiç sorulmuyor.
Kontrolsüz no-code yayılımının yarattığı ikinci kritik risk, iş sürekliliği. Bir çalışan kendi geliştirdiği uygulamayı günlük operasyonun merkezine koyuyor; ekip bu uygulamaya bağımlı hale geliyor. Çalışan işten ayrıldığında uygulama ya erişilemez oluyor ya da kimsenin bakım yapamadığı bir ‘kara kutu’ya dönüşüyor. Türkiye’de tekstil, lojistik ve gıda sektörlerinde çalışan orta ölçekli şirketlerde bu senaryonun yaşandığı artık sıkça duyuluyor. Bir İstanbul lojistik firmasında saha koordinatörünün kendi geliştirdiği araç üzerinden yürütülen araç takip sürecinin, o koordinatörün ayrılmasıyla birlikte iki hafta boyunca çalışamaz hale geldiği bu tür vakaların somut bir örneği. Süreç belgelenmemiş, erişim bilgileri aktarılmamış, yedekleme yapılmamış. Sonuç: operasyonel kayıp ve acil BT müdahalesi.
Bu riskleri görmek, no-code araçları yasaklamayı meşrulaştırmıyor. Yasaklama pratikte de işe yaramıyor; çalışanlar kısıtlamaları aşmanın yolunu buluyor ve sorun görünmez hale geliyor, çözülmüyor. Doğru yaklaşım, demokratikleşmeyi yönetilebilir bir çerçeveye oturtmak. Bu çerçevenin üç temel bileşeni var: onaylı araç kataloğu, kullanım standartları ve periyodik denetim. Onaylı araç kataloğu, BT biriminin kurumsal güvenlik, veri yerleşimi ve lisans koşulları açısından değerlendirip kabul ettiği no-code platformların listesi. Çalışanlar bu listeden seçim yapıyor; liste dışı araçlar kurumsal ağda kullanılamıyor. Bu basit adım bile gölge BT riskinin büyük bölümünü bertaraf ediyor. Kullanım standartları ise hangi veri türlerinin no-code uygulamalarda işlenebileceğini, hangi entegrasyonların izin gerektirdiğini ve uygulama sahipliğinin nasıl devredileceğini tanımlıyor. Periyodik denetim, aktif no-code uygulamaların envanterini çıkarıyor, kullanılmayan ya da sahipsiz kalan uygulamaları tespit ediyor ve KVKK uyumunu kontrol ediyor.
Türkiye’de bu çerçeveyi kurmak isteyen şirketler için pratik bir başlangıç noktası var: mevcut durumu haritalandırmak. Hangi departmanlarda, hangi araçlarla, kaç uygulama çalışıyor? Bu sorunun yanıtı çoğu zaman BT birimini şaşırtıyor; çünkü sayı tahminlerin çok üzerinde çıkıyor. Haritalandırma tamamlandıktan sonra risk sınıflandırması yapılıyor: hangi uygulamalar kişisel veri işliyor, hangisi kritik iş sürecine dokunuyor, hangisi yalnızca dahili bir kolaylık sağlıyor? Bu sınıflandırma, denetim enerjisinin nereye yoğunlaştırılacağını belirliyor. Her uygulamaya eşit denetim uygulamak hem pratik değil hem de gereksiz; risk odaklı bir yaklaşım kaynakları verimli kullanıyor.
No-code platformlar, doğru yönetişim çerçevesiyle kurumsal BT’nin gerçek bir ortağı olabilir. Hız avantajını korurken veri güvenliği, iş sürekliliği ve yasal uyum gerekliliklerini de karşılamak mümkün; ancak bu denge kendiliğinden kurulmuyor. Şirketlerin bu dengeyi kurabilmesi için BT biriminin rolü de değişmek zorunda: talep kuyruğunu yöneten bir birim olmaktan çıkıp iş birimlerine teknik rehberlik eden ve standartları belirleyen bir iç danışman konumuna geçmek. Bu geçiş kolay değil, özellikle kaynakları kısıtlı KOBİ’lerde. Ama no-code araçların kurumsal ortamda kalıcı olacağı artık tartışma götürmüyor; bu araçları yönetmek için harcanan çaba, yönetilmeden büyüyen risklerle baş etmek için harcanan çabadan her zaman daha az olacak.