1. Giriş ve Temel Problem Bilgi toplumunun gelişimi ve e-Devlet anlayışının yaygınlaşmasıyla birlikte, Türkiye'de ve dünyada belge yönetiminde kağıt ortamdan elektronik ortama geçiş yaşanmıştır. Elektronik imzalı belgeler (e-belgeler), hukukun tanıdığı delil ve ispat değerine sahip kabul edilse de, uzun vadede bu değerin nasıl korunacağı konusunda ciddi şüpheler bulunmaktadır. Bu şüpheler, sayısal ortamın kırılganlığı, e-imzaların uzun yıllar geçerliliğini koruyamaması, arşivsel bağın kurulamama sı, yeterli teknolojik koşulların sağlanamaması ve kurumsal politika/prosedür eksikliklerinden kaynaklanmaktadır. Bu özet belgesi, elektronik belgelerin delil değerinin arşivsel güvenilirlik yaklaşımıyla nasıl korunabileceğini inceleyen "Elektronik Belgelerin Güvenilirliği" adlı çalışmanın ana temalarını ve önemli bulgularını sunmaktadır. Ana Problem: E-imzalı belgelerin "özniteliklerinin zaman içerisinde korunup korunamayacağı" ve bunun sonucunda "delil değerini tehdit edip güvenilirliğinden şüphe duyulmasına neden olabilen" durumlar. 2. E-Belgelerin Delil Değeri ve Hukuki Perspektif Elektronik belgelerin delil değeri, hukuk, arşivcilik ve standartlar açısından değerlendirilen çok yönlü bir kavramdır. 2.1. E-Belge Tanımı ve Delil Değeri Unsurları "E-belge, elektronik ortamda bir işlemin yerine getirilmesi için oluşmuş; içerik, ilişki ve formatı ile ait olduğu işlem için delil teşkil ederek aidiyet zincirini muhafaza eden, imzalanmış ve kayıt altına alınmış uyuşmazlık konusu vakıaları ispata elverişli olan her türlü bilgi biçiminde ifade edilebilir." (s. 33-34) E-belgelerin delil değeri için kağıt belgelerde aranan yazılılık, hukuki sonuç doğurmaya elverişli bir içerik ve düzenleyenin belli olması gibi temel özellikler geçerlidir. Ancak elektronik ortamın dinamik yapısı nedeniyle ek hususiyetler de aranmaktadır. Örneğin: Güvenli e-imza ile imzalanmak: Özellikle resmi e-belgelerde kilit rol oynar. (s. 36) EBYS'de kayıt altına alınmış olmak: Sürecin izlenebilirliği için önemlidir. (s. 36) KEP gibi bir protokol ile gönderilmek: Resmi yazışmalarda iletimin güvenilirliğini sağlar. (s. 36) Üstveri, form özellikleri ve kontekst: E-defter ve e-faturalar gibi belgeler için özel düzenlemelerde bu unsurlar aranmaktadır. (s. 36) Log kayıtları: Belgenin içeriğinin zamanla değişime uğrayıp uğramadığının tespiti için kullanılır. (s. 36-37) Bilgi güvenliği standartlarına uygun saklama, risk analizi, yedekleme: Noterlik ve Bankacılık gibi sektörlerde zorunlu kılınmıştır. (s. 37) 2.2. Türk Hukukunda E-Belgelerin Delil Değeri Türk hukuku, e-belgelerin delil değerini çeşitli kanun ve yönetmeliklerde ele almaktadır: HMK: E-imza ile oluşturulan verileri senet hükmünde kabul eder. "Senette aranan özellikler, somutluluk, yazılılık, bir irade beyanı içermek ve irade beyanının kimlik tespiti için bir imzanın bulunmasıdır." (s. 41-42) E-belgelerde veri bütünlüğünün sağlanması da eklenmiştir. CMK: Delil serbestîsi ilkesi benimsenmiştir, ancak delillerin "hukuka uygun yollardan elde edilmeli, sağlam ve güvenilir olmalı, uydurulmamalı ve değiştirilmemeli" gibi özellikleri taşıması gerektiği vurgulanır. (s. 43) UYAP'taki e-imzalı belgenin elle atılan imzayla çelişmesi hâlinde e-belgenin geçerli kabul edilmesi önemli bir hükümdür. (s. 44) TBK: Sözleşmelerin yazılı şekil şartını taşıması için e-imzalı belgelerin yeterli olduğu belirtilir. "Güvenli elektronik imza da el yazısıyla atılmış imzanın bütün hukuki sonuçlarını doğurur." (s. 46) Bazı işlemler için noter onayı veya tescil şartı gibi resmi şekiller aranır. TTK ve VUK: Ticari defterlerde kayıtların "eksiksiz, doğru, zamanında ve düzenli" yapılması, belgelerin sınıflandırılarak saklanması ve KEP sistemi ile gönderilmesi gerektiği belirtilmiştir. (s. 49-50) E-fatura, e-defter gibi belgeler için belirli format (XML, UBL-TR), imza türleri (XADES-A), saklama koşulları (Türkiye'de muhafaza) ve risk planları zorunludur. (s. 52-53) Noterlik Kanunu: E-imza ile yapılan noterlik işlemlerinin, belirli istisnalar dışında, fiziki işlemlerle aynı hukuki geçerliliğe sahip olduğu kabul edilmektedir. E-imzası doğrulanamayan belgeler için "noterlik faaliyetleri sonucunda oluştuğunu gösterebilecek başka mekanizmaların da kullanılabileceği düşünülmektedir." (s. 61) Tebligat Kanunu: E-tebligat için UETS'nin kullanılması zorunlu kılınmış, sistem tarafından üretilen ve e-sertifika ile imzalanan delil kayıtları "aksi ispat edilmedikçe kesin delil sayılırlar" ve "30 yıl boyunca erişilebilir, güvenli ve gizli bir şekilde bütünlük içerisinde saklanması" gerekir. (s. 63-64) Bankacılık Kanunu: Belgelerin "asılları veya bunun mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyaları"nın 10 yıl saklanması istenir. (s. 65) Ayrıca, bilgi sistemlerinin yönetiminde "bütünlük, tutarlılık, güvenilirlik, doğruluk ve hesap verebilirlik koşullarına sahip olması" gerekliliği vurgulanır. (s. 66) Elektronik Haberleşme Kanunu: İşletmecilerin varlık envanteri oluşturması, bilgilerin gizliliği, bütünlüğü ve ulaşılabilirliği için önlemler alması ve log kayıtlarının en az 2 yıl saklanması gibi hükümler içerir. (s. 67-68) EİK: Güvenli elektronik imzanın elle atılan imza ile aynı hukuki sonucu doğurduğunu ifade eder. "Güvenli elektronik imza, sadece imza sahibine bağlı olan ve imza sahibinin tasarrufundaki güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifika aracılığıyla imza sahibinin kimlik tespitine imkân veren ve imzalanmış elektronik veride sonradan değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imza olarak tarif edilmektedir." (s. 71) 2.3. Seçilmiş Ülkelerin Mevzuatı ve Ortak Hükümler AB, Kanada ve ABD gibi ülkelerin mevzuatlarında e-belgelerin delil değeri için benzer özellikler aranmaktadır: Ulusal/uluslararası standartlara uygunluk. Dosya planı kodu alarak ilgili dosyayla ilişkilendirme. Aidiyet zincirini yönetmek için prosedürler. Güvenli e-arşiv sistemlerinde saklama ve ileride formatı bozulmayacak şekilde muhafaza. Üstverilerden yararlanma. Fransa gibi ülkelerde ise arşivlenen e-belgelerin devlet arşivine devri sırasında yazılım, donanım özellikleri, teknolojik göç kayıtları ve dokümantasyonu gibi özel normlar bulunmaktadır. Özetle, e-imzalı bir belgenin delil değeri şu niteliklerle tarif edilebilir: "Elektronik vasıtalar aracılığıyla kullanılmaya elverişli bir cisme kaydedilen, işlemlerin doğruluğunu belirtme yetkisine sahip makam tarafından usulüne göre düzenlenmiş e-imzalı belgeler, okunabilir, anlaşılabilir, doğrulanabilir ve güvenilir olmalıdır. Bunlar, kurumun elektronik belge yönetim sistemlerinde kayıt altına alınıp güvenli e-imza ile oluşturulurlar. Belgelerin içerik, ilişki ve formatını koruyup ait olduğu fonksiyon veya işlem için delil teşkil etmesi hedeflenir. Böylece, e-imzalı bir belge aidiyet zincirini muhafaza ederek belirli bir düşünce, hukuki ilişki veya vakayı yansıtır. Aynı zamanda e-imzalı bir belge, doğduğu faaliyet alanını düzenleyen prosedürlerdeki şekil özelliklerini taşır." (s. 74) 3. Arşivlenen E-Belgelerin Delil Değeri Tartışmaları E-belgelerin arşivlenmesinde delil değerinin korunması, teknolojik eskime, uygulama yazılımlarındaki sorunlar ve kurumsal politika eksiklikleri gibi çeşitli tartışmaları beraberinde getirmektedir. 3.1. E-Belge Bileşenlerinin Korunamaması Riski Format Değişikliği ve İçerik Korunması: PDF/A, TIFF gibi yaygın formatların zamanla değişime uğraması, belgenin form özellikleri, içerik ve kontekst gibi bileşenlerinin yeni formata nasıl aktarılacağı ve bit yapısının korunup korunamayacağı sorununu ortaya çıkarır. Reprodüksiyon Kavramı: E-belgelerin orijinalinin bit yapısını korumak mümkün olmadığından, "söz konusu bileşenler korunarak belge yeniden tanzim edilebilir." (s. 82) Bu durum, "belgenin saklanan hâli (stored record) ve sunulan hâli (manifested record)" ayrımını ortaya çıkarmıştır. (s. 83) Kontekst Eksikliği: Kanada ve ABD'de yapılan çalışmalarda e-postalarda alıcının adı gibi eksik form elemanlarının bulunması, kontekstin belirlenmesinde yetersizliğe yol açarak belgenin delil değerini etkileyebilir. 3.2. Uygulama Yazılımlarından Kaynaklanan Sorunlar Standartlara Uygunsuzluk: Yazılımların standartlara uygun geliştirilmemesi sonucunda "sabit bir form ve içeriğe sahip olmayan, arşivsel bağı kurulamayan belgelerin oluştuğu" (s. 84) ve delil değerini tehdit ettiği belirtilmiştir. Bilgisayar Mühendisliği Odaklı Bakış Açısı: Yazılımlarda belge yönetimi yerine bilgisayar mühendisliği odaklı problemler, belge hiyerarşisinin kurulamamasına, yanlış dosyalama ve aidiyet zincirinin bozulmasına yol açmaktadır. (s. 84) Denetim Mekanizması Eksikliği: Kanada Savunma Bakanlığı'nda log kayıtlarının değiştirildiği ve silindiği tespit edilmiştir, bu da denetim mekanizmasının eksikliğine işaret eder. (s. 85) 3.3. Kurumsal Politika ve Prosedürlerin Yetersizliği Hukuki Dayanak Eksikliği: E-belgelerin arşivleme işlerinin nasıl yapılacağını gösteren prosedürlerin eksikliği, çalışanları yasal dayanaktan yoksun bırakır ve delil değerinin korunmasını engeller. Standartların Tesis Edilememesi: Yeterli standartların olmaması, işlerin nasıl yapılacağına dair ortak bir çerçeve sağlamaz. Eğitim Eksikliği: Donanımlı arşivcilerin eksikliği ve gerekli eğitimlerin verilmemesi, politika ve standartlarda ifade edilen hususların yerine getirilememesine yol açar. "Özgünlüğün korunmasına yönelik uygulamalar içeren belge ve arşiv yönetimi kapasite geliştirme programının hazırlanıp, gerekli politika ve prosedürlerle de desteklenmesi tavsiye edilmektedir." (s. 87) 4. Arşivsel Güvenilirlik Yaklaşımları ve Kriterleri Arşivlenen e-belgelerin delil değerinin korunması, hukuki, diplomatik ve tarihi güvenilirlik yaklaşımlarını bir araya getiren "arşivsel güvenilirlik" kavramı etrafında ele alınmaktadır. 4.1. Güvenilirlik Yaklaşımları Hukuki Güvenilirlik: Belgenin yaşam döngüsünde onu üreten yetkilinin otorite ve garantisini gösteren hukuki delillere sahip olması. (s. 92) Diplomatik Güvenilirlik: Belgenin karakteristiğini açıklayan form unsurlarının uygun şekilde bulunup bulunmadığının değerlendirilmesi. Taşıyıcı ortam, içerik, form özellikleri, işlem ve kişiler, arşivsel bağ, üstveriler, kontekst gibi özellikler kritik edilir. (s. 93) Tarihi Güvenilirlik: Belgenin içerdiği bilgilerin, yer ve olayların doğru olarak verilip verilmediği kontrol edilir. (s. 93) INTERPARES projesi gibi çalışmalar, bu yaklaşımlardan yararlanarak e-belgelerin güvenilirliğinin korunmasında diplomatik analizi ön plana çıkarmıştır. 4.2. Güvenilirlik Kriterleri Arşivsel güvenilirliğin temel kriterleri şunlardır: Özgünlük: Belgenin özniteliklerinin üretildikten sonra işlem gördüğü ve arşivlendiği dönem içerisinde değişmemesi. Tanımlanabilirlik (kişiler, üretim/iletim tarihi, konu, arşivsel bağ, dosya kodu) ve bütünlük (bozulmamış ve değiştirilmemiş olma, bit akışının korunması, semantik yapı) olmak üzere iki adımda incelenir. (s. 94-95) Tamlık: Hukuki sonuç meydana getirebilmek için belgenin üreticisi ve idari-hukuki sistem tarafından ihtiyaç duyulan tüm elemanların varlığı. Kesin, doğru, hakikate uygun ve tahrifattan uzak olmak gibi özellikler aranır. (s. 96) Gerçeklik: Belgenin üretim prosedürlerindeki kontrollerle belge formunun tamlığına dayanarak değerlendirilir. Üretim, alım, dosyasına kaldırma ve kişilerin yetkileri bu kontrolleri oluşturur. (s. 96) 4.3. Güvenilirliğin Korunmasına Yönelik Görüşler Entelektüel Yöntemler (Arşivcilik Odaklı): Belgenin arşivcilik standartlarına göre tanımlanması, provenans, kontekst ve yapısının sunulması. Arşivsel bağın kurulması için dosyalama, diplomatik analiz ve üstverilerden yararlanılır. "Fonlara saygı, asli düzeni korumak ve provenansı tesis etmek ilkeleriyle arşivsel bağı açığa çıkarmak mümkün olabilir." (s. 97) Teknolojik Yöntemler: Donanım ve yazılım gibi belgelerin teknolojik yönüyle ilişkili olup e-imza, e-mühür, log kayıtları, denetim günlükleri ve veri tabanı kayıtlarının analiz edilmesini içerir. (s. 97) Politika, Prosedür ve Mekanizmalar: Luciana Duranti ve Corinne Rogers, "güvenilir kişiler tarafından politika-lar, prosedürler ve mekanizmalar geliştirilmesi" (s. 98) gerektiğini belirtir. Arşivcilerin bu konuda önemli görevleri vardır. 4.4. Güvenilirlik Analizi Düzeyleri (Şekil 1) E-imzalı belgelerin delil değerinin arşivsel güvenilirlik açısından incelenmesi için bir yaklaşım geliştirilmiştir. Bu yaklaşım, delil değerinin belge, teknolojik koşullar, kurumsal politika-prosedürler, mevzuat ve toplum düzeyleri bakımından kritik edilebileceğini öne sürmektedir. (s. 99-102) 5. Bilgi ve Belge Yönetimi Standartlarında E-Belgelerin Delil Değeri Ulususal ve uluslararası standartlar, e-belgelerin delil değerinin korunmasında kritik bir rol oynamaktadır. 5.1. Delil Değeri Unsurları Standartlar, e-belgelerin delil değerini analiz etmek için şu unsurları ortaya koymaktadır: Fonksiyon Analizi: Belgelerin oluşumuna kaynaklık eden kurumsal süreçlerin incelenmesi. Ne tür belgelerin üretileceği, sahip olmaları gereken form özellikleri, üstveriler ve içerik bu aşamada belirlenir. (s. 104-106) Değerlendirme: Belgelerin arşivlik değerine göre nihai tasfiyesine karar verme süreci. Teknolojik göç işlemleri, üstveri şeması, dosyalama gibi süreçler bu aşamada belirlenir. (s. 106-107) Form Özellikleri: Antetten imzaya, tarihten eklere kadar belgenin sahip olması gereken iç ve dış kaynaklı hususiyetler. Belgenin türünü belirlemede ve özgünlük/tamlık nitelemesinde kullanılır. (s. 107-108) Kontekst: Belgelerin üretilmesinden arşive devrine kadar yaşam sürecinin evrelerindeki bağlamsal ilişkiyi anlamak. Kurumsal faaliyet ve işlemleri şekillendiren iç ve dış dinamikler incelenir. (s. 108-109) Üstveriler: Sorumludan imzalayana, tarihten belgenin amacına kadar tanımlama bilgileri. Belgenin özgünlüğünün temel yapı taşlarından biridir. Üstveri şemaları, kontrollü terminoloji ve değişikliklerin kaydedilmesi önemlidir. "Üstverilerin güvenilirliği, belgelerin güvenilirliği için alınan önlemlerden ayrı düşünülmemelidir." (s. 109-111) Dosya ve Saklama Planları: Kurumda oluşan belgeleri ait olduğu fonksiyona göre tasnif eden dosya planları, yasal ve idari prosedürler kapsamında belgelerin ne kadar süre saklanacağını gösterir. (s. 111-112) Dosyalama (Organik Bağ ve Belge Hiyerarşisi): Belgeleri ait oldukları iş bağlamında organik bağ kurarak bir araya getirme işlemi. "Arşivsel bağ, belgelerin kim tarafından, hangi idari işlem ve fonksiyon kapsamında üretildiğini, kime devredildiğini, nasıl dosyalandığını ve hangi seride bulunduğunu açıklayıp, bu seri içerisinde ait olduğu dosya ve dosyadaki diğer belgelerle ilişkisini kurabilmek şeklinde ifade edilmektedir." (s. 201) Dosya kodları ve belge hiyerarşisi bu bağın kurulmasında önemlidir. Belge hiyerarşisi dışındaki görüşler ise üstveriler aracılığıyla sorgulama ve ilişkilendirme imkanını savunur. (s. 205-207) 5.2. Önerilen Teknolojik Koşullar Standartlar, e-belgelerin sürdürülebilirliğini sağlamak için şu teknolojik kriterleri belirlemiştir: Birlikte Çalışabilirlik: Belgelerin başka yazılımlarda da okunabilir olması. KAYSİS kimlik kodu, referans numarası gibi tek biçim tanımlayıcıların kullanılması ve açık kaynak kodlu formatların tercih edilmesi. (s. 114-116) Onay ve Kayıt Prosedürleri: E-imza, zaman damgası, kurumsal mühür ve KEP gibi prosedürlerin, belgenin imhasına kadar korunması. İmza ile yetkinin uyumlu olması ve imza oluşturma verisinin değiştirilememesi. (s. 116) Log Kayıtları ve Denetim Günlükleri: Belgenin ne zaman, kim tarafından, nasıl düzenlendiği ve arşive nasıl devredildiği gibi bilgileri sunarak aidiyet zincirinin kurulmasına yardımcı olur. Otomatik oluşması, değiştirilememesi ve düzenli raporlanması önemlidir. (s. 117-118) Uygulama Yazılımları ve Depolama Donanımları: Belgelerin değiştirilmemesini sağlayan önlemler, veri tabanlarının bütünlüğü koruyacak yapısı (ACID), teknik özelliklerin kayıt altına alınması ve donanımların kullanım ömrü bitince yenilenmesi. Bir kez yazılabilir diskler, sağlama toplamı ve felaket kurtarma planları önemlidir. (s. 118-120) Düzenleme ve Erişim Seviyesi: Belgeleri kimin düzenleyebileceği ve kimlerin erişilebileceği. Görev tanımlarına ve belge statüsüne göre yetkilendirme. (s. 120-121) Teknolojik Göç: Teknolojik eskimenin önüne geçmek için format ve sistem yenileme işlemleri. "Göç işlemlerinin doğru yürütülebilmesi için mutlaka dokümantasyon hazırlanmalıdır." (s. 121-123) Bu dokümantasyon, göç öncesi ve sonrası değişiklikleri kaydetmelidir. 5.3. E-Belgelerin Güvenli Paylaşımında Kurumsal Politikalar Kurumsal politikalar, e-belge ve arşiv yönetimi süreçlerini düzenleyerek delil değerinin korunmasında kritik rol oynar: Politika Geliştirme: Kurumların hangi malzemeleri transfer edeceklerini, hangi hizmet koşullarında kullanıma açacaklarını belirten bir politika geliştirmeleri önerilir. (s. 123-124) Dokümantasyon: Prosedürlerdeki normların nasıl uygulandığı dokümantasyonlarda yer almalıdır. (s. 125) Dış Kaynaklı Hizmet Alımı: Üçüncü taraf hizmet sağlayıcılarla çalışıldığında, sistem ve belge bütünlüğünün korunması, yetkisiz erişimlerin engellenmesi, şifreleme ve güvenlik önlemleri gibi prosedürler önceden belirlenmelidir. (s. 125-126) Bilgi Güvenliği Politikası (ISO 27001): İç ve dış tehditlere karşı önlemler içeren, risk yönetimi ilkelerini benimseyen bir politika önerilir. (s. 126-127) OAIS Standardı (ISO 14721): Elektronik ortamdaki bilginin uzun dönemli korunması ve paylaşımı için modeller sunar. Provenans, kontekst, sunum formatı, yapı ve semantik bilgiler önemlidir. SIP, AIP ve DIP olmak üzere üç farklı paket türü tanımlanır. (s. 127-129) 5.4. Farklı Standartlarda E-Belgelerin Delil Değeri BS 10008, ISO 27037, 27042, 27043 ve 30121 gibi standartlar, doğrudan belge yönetimiyle ilgili olmasa da elektronik ortamdaki bilgilerin delil değerini değerlendirme ve elektronik delil elde etme yöntemlerine ilişkin kriterler içerir: Risk Yönetimi: Belgelerin delil değerini olumsuz etkileyecek risklerin değerlendirilip çözüm yollarının belirlenmesi. (s. 130-131) Süreç Dokümantasyonu: Üretimden arşive devrine kadar süreçlerin nasıl gerçekleştirildiğini açıklayan dokümantasyon. (s. 131) Cihaz İncelemesi: Delilin bulunduğu akıllı telefon, sabit disk ve sunucu gibi cihazların tetkik edilmesi. (s. 131) Organik Bağ ve Bütünlük: Belgenin ilişkili olduğu diğer belgelerin incelenmesi ve aidiyet zincirinin korunması. Replika düzenlenerek bütünlüğün zamanla değişmediğinin özet değerler aracılığıyla gösterilmesi. (s. 131-132) Arşivleme Stratejisi: Delillerin bütünlüğünün korunması, yedeklenmesi ve felaket kurtarma planlarının oluşturulması. (s. 132-133) Saklama Koşulları: Etkin (güncel) ve etkin olmayan (arşivlenmiş) belgelerin farklı yerlerde saklanması önerilir. (s. 133) 6. E-Belgelerin Güvenilirliği Unsurları ve Tehditler Güven ve güvenilirlik kavramları, e-belgelerin geçerliliği için temel teşkil ederken, bu güvenilirliği tehdit eden unsurlar da bulunmaktadır. 6.1. Güven ve Güvenilirlik Kavramları Belgede Güven: Tarafların faaliyetlerini belirlenen değerler sistemine uygun davrandıklarına inanılması. Güven, "sözler, sorumluluklar, yükümlülükler yazılı olarak açıkça beyan edilerek taraflar arasında güvenin tesis edilmesi hedeflenir. Taraflar arasında güvenin yazılı olarak tesisi belge ile sağlanır." (s. 136) Hukukun Güvenilirliği: Hukuk kuralları ve mahkeme kararlarının adaletin tesisi için "belirlilik, istikrar ve öngörülebilirlik" gibi niteliklere sahip olması. (s. 137-138) Kurumların Güvenilirliği: Kurumların yasalara uygun hareket etmesi, hesap verebilirlik, şeffaflık ve katılımcılık ilkelerine uyması. "Kurumların güvenilirliği (kurumsal güvenilirlik), hesap verebilirlik, katılımcılık ve şeffaflık ilkeleriyle son derece ilişkilidir." (s. 141) 6.2. E-İmzalı Belgelerin Güvenilirliğini Tesis Eden Araçlar E-imzalı belgelerin güvenilirliğini sağlamak için çeşitli mekanizmalar kullanılmaktadır: Elektronik Kimlik Tespiti Araçları:Basit (Temel) E-İmza: Sadece düzenleyenin kimlik tespitini açıklayan imza türü, sertifika süresi kadar geçerlidir. (s. 143-144) Zaman Damgalı İmza: Elektronik verinin üretildiği veya gönderilip alındığı zamanın tespit edilmesi amacıyla e-imza ile doğrulanan kayıt. Sertifika kullanım süresi dolsa dahi belgenin doğrulama imkanı sunar. (s. 144-145) X-Long İmza ve Arşiv İmza: Zaman damgalı imzanın üzerine kurulu olup, ESHS'ye ait kök sertifikaları, SİL ve ÇiSDuP cevaplarını da içererek uzun dönemli doğrulamaya imkan verir. Arşiv imza, kriptografik algoritmaların zayıflamadan önce daha güçlü bir algoritmaya sahip zaman damgasının eklendiği imza türüdür. (s. 146-147) İmza Doğrulama Süreci: Açık ve özel anahtarlar kullanılarak imzaların doğrulanması. Ancak, "özet değerlerinin birbiriyle eşleşmemesi ve teknolojik göç problemleri e-imzalı belgelerin güvenilirliğini tehdit eden sorunlar olarak değerlendirilebilir." (s. 151) Kurumsal Şifreleme ve Elektronik Mühür: Elektronik ortamdaki belge paylaşımlarında gizlilik sağlamak için şifreleme ve belgenin kaynağını ve bütünlüğünü garantileyen e-mühür kullanılır. "Elektronik mühür, elektronik belgenin veya verinin mühür sahibi tarafından oluşturulduğunu gösteren, belgenin veya verinin kaynağını ve bütünlüğünü garanti eden delil kaydı olarak tanımlanmaktadır." (s. 156-157) Belge Doğrulama Kodu: Belgedeki doğrulama kodu aracılığıyla e-Devlet Kapısı veya kurumun kendi sistemi üzerinden belge görüntülenebilir ve doğrulanabilir. (s. 157-159) Elektronik Yazışma Paketi (EYP): Kamu kurumları arasındaki resmi yazışmaların elektronik ortamda güvenli bir şekilde yapılmasını sağlamak amacıyla geliştirilen, üstveri, imza ve mühür gibi bileşenleri içeren standart bir paket yapısı. (s. 159-161) Kayıtlı Elektronik Posta (KEP): Elektronik iletilerin gönderimi ve teslimatına ilişkin hukuki delil sağlayan nitelikli elektronik posta. KEP delilleri, iletinin gönderim, kabul ve okunma süreçlerini kanıtlar. (s. 162-165) Log Kayıtları ve Olağanüstü Belge Kayıt Defteri: Sistem performansı ve kullanıcı etkinliklerini gösteren log kayıtları ile olağanüstü durumlarda hazırlanan belgelerin kaydını tutan defterler, güvenilirliği tesis eden diğer araçlardır. (s. 165-168) 6.3. Güvenilirliği Tehdit Eden Unsurlar Güvenilirliği tehdit eden riskler üç ana başlık altında toplanmıştır: 6.3.1. Güncel Belge Yönetim Sürecinde Riskler: Belge Formatının Korunamaması: Doğru formatın tercih edilmemesi, endüstri standardı formatların bozulması, yazılımların formatı açamaması gibi nedenlerle uzun dönemde erişim sorunları yaşanabilir. Örneğin, PDF/A formatının karmaşık yapısı ve doğrulanabilirlik sorunları belirtilmiştir. (s. 168-171) Dosya Yönetiminin Planlanmaması (Organik Bağın Kurulamaması): "Belgelerin, aralarında organik bağ bulunduğu diğer belgelerle ilişkilendirilmesi yerine, daha çok tek başına bilgi içeren bir nesne olarak yönetildiği gözlenmiştir." (s. 171) Bu durum, kontekstin açığa çıkarılamamasına, dosya bütünlüğünün sağlanamamasına ve belgelerin yığın oluşturmasına yol açar. "Bir belgenin ait olduğu dosyada bulunmaması ya da yanlış dosyada bulunması güvenilirliği tehdit eden bir risk olarak karşımıza çıkabilir." (s. 172) Yanlış dosyalama, uzman personel eksikliği, takip mekanizmalarının yokluğu ve kurum kültürünün gelişmemesi bu sorunlara neden olmaktadır. (s. 175) 6.3.2. Gerekli Teknolojik Koşulların Sağlanamaması: Bit Akışının Bozulması: Radyasyon, disk çarpışmaları, depolama donanımının eskimesi gibi nedenlerle bit akışı bozulabilir, bu da belgeye erişimi engeller. (s. 179) Belge ile Bileşenleri Arasındaki İlişkinin Kopması: Farklı işletim sistemleri arasında transfer ve organik bağ kurulamaması nedeniyle üstveri, ek ve e-imza gibi bileşenler arasındaki ilişki kopabilir. (s. 179-180) Yetkisiz Erişim: Erişim kontrollerinin yetersizliği nedeniyle ticari sır ve kişisel verilerin gizliliği riske girebilir. (s. 180-181) Donanım Koşulları: Uygun sıcaklık, nem ve ışık koşullarının sağlanamaması, depolama donanımlarının eskimesi. RAID 10 gibi güvenilir saklama yöntemleri önerilir. (s. 181) Yazılım Güncellemeleri: Gerekli yamaların yapılmaması veri sızıntısı, standartlara uyum sorunları ve uzun dönemli koruma eksikliklerine yol açar. (s. 181) Şifreleme Sorunları: Anahtarın unutulması veya zayıf şifreleme algoritmaları, belgenin erişilemez hale gelmesine neden olabilir. (s. 182-183) Özet Değerlerinin Eşleşememesi: Depolama ortamı veya işletim sistemi değişiklikleri nedeniyle özet değerleri farklılaşabilir, bu da belgenin tahrif edildiği şüphesini doğurur. (s. 183) Teknolojik Göç Riskleri: Göç sırasında tek biçim tanımlayıcıların değişmesi, kontekstin bozulması, format değişikliğinde yeniden imzalama ihtiyacı gibi sorunlar yaşanabilir. Dokümantasyon ve kalite kontrol önemlidir. (s. 184-185) 6.3.3. E-Belgelerin Sürdürülebilirlik Riskleri: Kurumsal Kapasite Eksikliği: Yönergelerin belirlenmemesi, nitelikli personel istihdam edilmemesi, teknoloji odaklı yaklaşımın belge yönetimi merkezli yaklaşıma tercih edilmesi sürdürülebilirliği tehdit eder. "Yönergelerin eksikliği, hangi durumda ne yapılacağı konusunda doğru karar vermeyi güçleştirir." (s. 186) Uzman Eksikliği: Bilgisayar mühendislerinin veri kaybını "kabul edilebilir" görmesi, ancak belge yönetiminde herhangi bir veri kaybının telafi edilemez sonuçlara yol açması, arşivcilik ve mühendislik yaklaşımının birlikte değerlendirilmesi gerektiğini gösterir. (s. 187-188) Risk Analizi Eksikliği: Belgelerin okunup erişilememesi, fonksiyon analizinin yapılamaması ve kontekstin açığa çıkarılamaması gibi sonuçlara yol açar. (s. 188) 7. E-Belgelerin Güvenilirliğinin Korunması Yöntemleri Elektronik belgelerin güvenilirliğinin korunması için belge yönetimi ve arşivcilik alanında çeşitli gereksinimler ve yöntemler geliştirilmiştir. 7.1. Belge Yönetimi ve Arşivcilikte Güvenilirlik Yöntemleri 7.1.1. Gereksinimler: Güvenilirlik gereksinimleri, güncel dönem ve arşiv safhası için farklılık gösterir. Belge Yönetimi Fonksiyonları:Özniteliklerin Korunması: Hukukun belgede delil değeri olarak belirlediği özellikler (sorumlu, düzenleyen, içerik, tarih, arşivsel bağ vb.) güvenilirlik gereksinimleri olarak kabul edilir. Bunlar, belgenin tanımlanması ve bütünlüğüyle ilişkilidir. (s. 189-190) Erişim Seviyelerinin Belirlenmesi: Kurumun yetkili organları tarafından görev tanımlarına ve imza yetkilerine göre erişim seviyeleri belirlenir ve log kayıtları ile denetlenir. (s. 190-191) Kaybolma ve Bozulmayı Önleyici Prosedürler: Düzenli yedeklemeler, sistem yedeklerinin muhafazası, değişikliklerin saklanması gibi adımlar. (s. 191) Ortam ve Teknoloji Prosedürleri: Teknoloji yenilemelerini planlama, yazılım değiştiğinde belgelere erişim ve taşıyıcı ortamı yenileme gibi teknolojik göç işlemleri. (s. 191) Dokümanter Form Tanzimi: Yasal ve idari prosedürlerle ilişki kurularak belge türüne özgü şablonlar oluşturulur. Fonksiyonlara göre dosyalama ve saklama planları oluşturulur. (s. 191-192) Uygunluk Kontrolü ve Onaylama: Belgenin arşive devredilmeden önce güncel dönemdeki özniteliklerini koruyup korumadığı değerlendirilir ve e-mühür gibi araçlarla onaylanır. (s. 192-193) Nüsha Yönetimi: Birden fazla nüsha bulunabileceği durumlarda, hangi nüshanın delil olarak değerlendirileceği prosedürler ışığında belirlenir. (s. 193) Dokümantasyon ile Arşive Devir: Belgeler, tek başlarına değil, log kayıtları ve denetim günlükleri gibi dokümantasyonlarla birlikte arşive transfer edilir. (s. 193) Arşivcilik Uygulamaları:Aidiyet Zinciri ve Belge Hiyerarşisinin Korunması: Arşive transfer ve arşivdeki uygulamalar sırasında belge hiyerarşisinin kopmadan muhafazasına ilişkin kurallar belirlenir. (s. 194-195) Reprodüksiyon Sürecinin Dokümantasyonu: Teknolojik gelişmeler nedeniyle ikinci nüsha (reprodüksiyon) üretildiğinde, bu sürecin (tarihi, sorumlu kişi, form özelliklerindeki değişiklikler) dokümantasyonu hazırlanır. (s. 195-196) Arşivsel Tanımlama: Bir fondaki tüm belgelerin konteksti ve teknolojik geçmişiyle birlikte kapsam ve içeriğinin açıklanması. (s. 196-197) 7.1.2. Güvenilirlik Yöntemleri: INTERPARES Projesi: E-belgelerin güvenilirliğinin korunmasında modern diplomatik yöntemlerden faydalanılabileceği anlaşılmıştır. "Modern diplomatik, e-belgelerin özgünlüğünü değerlendirebilmek için bir analiz metodu ortaya koymaktadır." (s. 198) Bu yöntem, belge yönetimi, arşivcilik, hukuk, bilgisayar ve işletme mühendisliği gibi farklı disiplinlerin katılımıyla değerlendirilmiştir. Rogers'ın Sosyal ve Teknolojik Göstergeleri:Sosyal Göstergeler: Politikalar, tasnif şeması ve dosya planı, saklama ve imha süreleri, arşivsel tanımlama ve niteleyici üstveriler. (s. 199) Teknolojik Göstergeler: Sistemsel üstveriler, log kayıtları, e-imza doğrulama teknikleri, erişim kontrolleri ve güvenlik önlemleri ile teknik dokümantasyon. (s. 199) Arşivsel Bağ Odaklı Yöntemler:Dosyalama (Organik Bağ ve Belge Hiyerarşisi): Belgeleri ait oldukları iş bağlamında organik bağ kurarak bir araya getirme. "Arşivsel bağ, belgelerin kim tarafından, hangi idari işlem ve fonksiyon kapsamında üretildiğini, kime devredildiğini, nasıl dosyalandığını ve hangi seride bulunduğunu açıklayıp, bu seri içerisinde ait olduğu dosya ve dosyadaki diğer belgelerle ilişkisini kurabilmek şeklinde ifade edilmektedir." (s. 201) Dosya kodları ve belge hiyerarşisi, bu bağın kurulmasında temel araçlardır. (s. 200-205) Provenans Kaydı ve Üstveriler: Belge hiyerarşisi dışında, provenans bilgilerinin üstveriler aracılığıyla muhafaza edilmesi ve ilişkilendirilmesi de bir yöntem olarak sunulmuştur. (s. 205-207) Teknolojik Yöntemler (Blokzincir, Yapay Zeka, Derin Öğrenme): E-delil elde etme yöntemleri, blokzincir teknolojisi, yapay zekâ ve derin öğrenme yaklaşımları, güvenilirliğin korunmasında yeni imkanlar sunmaktadır. (s. 200) 8. Sonuç ve Önemli Çıkarımlar Elektronik belgelerin güvenilirliği, modern toplumun dijitalleşen idari ve hukuki süreçlerinde merkezi bir öneme sahiptir. Kaynaklar, e-belgelerin delil değerinin korunması için sadece e-imza gibi tekil araçların yeterli olmadığını, "arşivsel güvenilirlik" yaklaşımıyla çok katmanlı ve disiplinlerarası bir çabanın gerektiğini vurgulamaktadır. Bu çaba, mevzuat, kurumsal politikalar, teknolojik altyapı ve nitelikli insan kaynağının eşgüdümlü çalışmasını gerektirir. En Önemli Çıkarımlar: Bütüncül Bir Yaklaşım Şarttır: E-belgelerin güvenilirliği, tek bir teknik çözümle sağlanamaz; hukuki, diplomatik, arşivsel ve teknolojik perspektiflerin bir arada değerlendirilmesini gerektirir. Arşivsel Bağ Kritik Öneme Sahiptir: Belgeler arasındaki organik bağın ve belge hiyerarşisinin doğru kurulması, belgenin kontekstini ve dolayısıyla delil değerini korumak için vazgeçilmezdir. Yanlış dosyalama ve yığın oluşumu en büyük tehditlerdendir. Teknolojik Gelişmeler Riskleri Beraberinde Getirir: Format değişiklikleri, imza algoritmalarının eskimesi, donanım ömürleri ve yazılım uyumsuzlukları gibi teknolojik zorluklar, e-belgelerin uzun vadeli korunmasını karmaşık hale getirmektedir. Teknolojik göç ve dokümantasyon süreçleri hayati önem taşır. Kurumsal Kapasite ve Politikalar Temeldir: Net politika ve prosedürlerin oluşturulması, nitelikli arşivci ve belge yöneticilerinin istihdam edilmesi, çalışan eğitimleri ve bilgi güvenliği yönetim sistemleri, güvenilirliğin sağlanmasında kilit rol oynar. Üstveriler ve Log Kayıtları Olmazsa Olmazdır: Belgenin yaşam döngüsü boyunca oluşan üstveriler ve log kayıtları, aidiyet zincirini, değişiklikleri ve işlemlerin doğruluğunu kanıtlayan temel delillerdir. Bunların bütünlüğü ve erişilebilirliği sağlanmalıdır. Uluslararası Standartlara Uyum: ISO, ETSI gibi uluslararası standartlar, e-belgelerin üretiminden arşivlenmesine kadar geçen tüm süreçlerde izlenecek ortak bir çerçeve sunarak güvenilirliği artırır. Bu çalışma, e-imzalı belgelerin delil değerinin korunmasına yönelik mevcut sorunlara dikkat çekerek, arşivsel güvenilirlik yaklaşımıyla çözüm yolları sunmaktadır. Gelecekteki araştırmalar ve uygulamalar için sağlam bir temel oluşturmaktadır. ... Devamını Oku