Kurumsal Yapay Zeka

Local-First AI: Veriniz Makinenizde Kalsın

9 Temmuz 2026 · 4 dk okuma · Burak Serteser

Kısa Cevap

Local-first AI, yapay zeka araçlarının sizin makinenizde çalıştığı ve verinizin bir satıcının bulut sunucusuna hiç çıkmadığı yaklaşımdır. Bring-your-own-key ise, kendi model API anahtarınızı kullanmanız, yani modelle doğrudan siz konuşmanız, araya bir aracının verinizi depolamamasıdır. Regülasyona tabi bir startup için bunun anlamı nettir: teknik dosyanız, klinik kanıt taslaklarınız ve risk analizleriniz üçüncü bir tarafın altyapısında birikmez. Bu, hem KVKK ve GDPR uyumunu, hem de hasta ve iş ortağı güvenini korumayı çok daha yönetilebilir kılar.

Serteser Danışmanlık'ın regülasyona tabi startuplar için kurduğu rol tabanlı yapay zeka ekibi tam da bu ilkeye göre tasarlanır: local-first ve kendi anahtarınızla çalışır, kurulumu ve uzmanlığı bizden gelir, hassas veriniz sizin makinenizde kalır.

Regülatif veri, sızdırılmaması gereken veridir

Erken aşama bir medtech, biyoteknoloji veya medikal cihaz şirketinin en değerli varlığı çoğu zaman kodu değil, dokümantasyonudur. Kullanım amacı cümlesi, risk yönetim dosyası, klinik değerlendirme raporu taslakları, doğrulama protokolleri, hasta içeren pilot verileri. Bunların bir kısmı KVKK ve GDPR kapsamında kişisel ve hatta özel nitelikli veri sayılabilir. Bir kısmı da henüz patentlenmemiş, yayınlanmamış fikri mülkiyet niteliğindedir.

Bu içerikleri rutin olarak bir yapay zeka aracına yapıştırdığınızda ne olur? Standart bir bulut tabanlı asistanda veriniz satıcının sunucusuna gider, orada işlenir, kimi zaman loglanır. Kullanım koşulları model eğitimini kapsam dışı bıraksa bile, veri fiziksel olarak sizin kontrolünüzden çıkmıştır. Bir startup için bu iki ayrı problemi aynı anda yaratır. Birincisi uyum problemi: veri işleyen zincirinize denetlenmesi güç bir üçüncü taraf eklemiş olursunuz. İkincisi güven problemi: bir hastane iş ortağı veya yatırımcı size "bu regülatif dosya nerede duruyor" diye sorduğunda, cevabınız "bizim makinemizde" olduğunda konuşma çok farklı ilerler.

Local-first yaklaşım bu iki problemi kaynağında keser. Yapay zeka araçları verinizi işlerken makineniz üzerinde çalışır, üretilen dosyalar sizin diskinizde kalır. Model çağrısı için kendi API anahtarınızı kullanırsınız, yani modele isteği doğrudan siz gönderirsiniz, araya sizin adınıza veriyi tutan bir aracı katman girmez.

Bring-your-own-key neden uyum açısından fark yaratır

Bring-your-own-key, yani kendi anahtarınla getir, teknik bir detay gibi görünse de veri yönetişimi açısından belirleyicidir. Kendi anahtarınızı kullandığınızda, model sağlayıcısıyla olan ilişki doğrudan sizin ile o sağlayıcı arasındadır. Aradaki yazılım yalnızca isteği biçimlendirir ve sonucu makinenizde işler, verinizi kendi sunucusunda biriktirmez.

Bunun somut faydaları şöyle sıralanabilir:

  • Daha kısa veri işleyen zinciri: KVKK ve GDPR açısından, verinizi işleyen taraf sayısı azaldıkça uyum yükü de azalır. Aracı bir SaaS katmanı olmadığında, ek bir veri işleyen sözleşmesi ve ek bir denetim yüzeyi ortadan kalkar.
  • Model sağlayıcısıyla doğrudan sözleşme: Kurumsal model API'lerinin çoğu, veriyi eğitime kullanmama ve sınırlı saklama gibi taahhütler sunar. Bu taahhütlere doğrudan siz tabi olursunuz, bir aracının koşullarına değil.
  • Denetlenebilirlik: Verinin nereye gittiğini tek bir noktada, kendi anahtar kullanımınızda görürsünüz. Bir dış hizmetin log ve saklama politikasını ayrıca soruşturmanız gerekmez.

Bu mimari, veri sızıntısı riskini yönetmenin en temiz yollarından biridir. Klinik veriyi yapay zekaya hazırlarken hangi verinin nereye gittiğini kontrol etmenin önemini daha önce klinik veriyi makine öğrenmesine hazırlamak yazısında ele almıştık; local-first, aynı disiplinin altyapı katmanındaki karşılığıdır.

Rol tabanlı yapay zeka ekibi: rapor eder, önerir, karar vermez

Local-first mimari tek başına bir amaç değil, doğru kurgulanmış bir yapay zeka ekibinin taşıyıcısıdır. Erken aşama regülatif startuplar için tasarladığımız yaklaşım, genel amaçlı otonom ajanlar değildir. Rol tabanlı çalışan bir ekiptir: biri regülasyon ve kalite tarafını (MDR, FDA, TİTCK, ISO 13485, IEC 62304 çerçevesinde) izler, biri literatür ve araştırmayı derler, biri iş zekası ve içerik üretir.

Kritik ilke şudur: bu çalışanlar rapor eder ve önerir, ama hiçbir şeyi tek başına göndermez, dosyalamaz, yayına almaz veya onaylamaz. Her adımda insan operatör, yani kurucu, kapıdadır. Otonom karar verici değillerdir; hesap verebilirlik kurucuda kalır. Bir regülatif başvuru bağlamında bu ayrım tesadüfi değildir. Klinik karar destek ve benzeri yazılımların sınıflandırılmasında, bir yazılımın kullanıcının kararını yalnızca bilgilendirmesi ile onun yerine karar vermesi arasındaki fark, EU MDR ve onun Türkiye'deki karşılığı olan ÜTS/TİTCK düzenlemeleri açısından belirleyici olabilir. Bu nedenle "önerir ama uygulamaz" tasarımı hem operasyonel bir güvenlik önlemi, hem de düzenleyici mantıkla uyumlu bir tercihtir. (Kesin sınıflandırma her ürünün kullanım amacına ve Kural 11 ile MDCG kılavuzlarına göre ayrı değerlendirilir; buradaki ifadeler bir uyum güvencesi değil, tasarım gerekçesidir.)

Genel amaçlı yapay zeka ajanı pazarı kalabalıktır. Bizim farkımız, ajanların kendisi değil, arkalarındaki medtech-yerli bakış açısıdır. Regülasyon derinliği ve klinik yapay zeka ürünü çıkarmış bir biyomedikal mühendisinin gerçek saha kredibilitesi, çıktının işe yarar olmasını sağlar. TİTCK ve CDSS bağlamındaki dokümantasyon nüanslarını daha önce TİTCK CDSS klinik validasyon raporu nasıl hazırlanır yazısında ayrıntılandırmıştık.

Kendi ekibinizi kuramadan önceki ilk ekibiniz

Bu yaklaşımın konumlandırması nettir: bunu daha kendi ekibinizi işe alacak bütçeye ulaşmadan önceki ilk takımınız olarak düşünün. Tek kurucu ya da çok küçük bir çekirdek ekiple ilerleyen regülatif bir startup, bir regülasyon uzmanı, bir araştırma asistanı ve bir içerik ekibini aynı anda maaşa bağlayamaz. Rol tabanlı yapay zeka ekibi bu boşluğu, kurucunun kontrolünü ve hesap verebilirliğini koruyarak doldurur.

Önemli bir ayrım: bu kendi kendine kurulan bir SaaS değildir. Serteser Danışmanlık üzerinden, kurulum ve uzmanlıkla birlikte teslim edilir. Yani local-first altyapının doğru kurulması, kendi anahtarınızın güvenli bağlanması, çalışanların rollerinin sizin ürününüze ve regülatif yol haritanıza göre uyarlanması bizim işimizdir. Sonuçta elinizde, verisi kendi makinenizde kalan, önerileri sizin onayınızla hayata geçen ve regülatif derinliği gerçek saha deneyiminden gelen bir ekip olur.

Regülasyona tabi startupınız için bu yaklaşımı nasıl kuracağınızı konuşmak isterseniz, profesyonel danışmanlık ve klinik kanıt hizmetlerimizi inceleyebilirsiniz.

Sıradaki adım

Projenizi konuşalım.

15 dakikalık ücretsiz tanışma görüşmesinde ihtiyacınızı dinler, hangi hizmet katmanına uyduğunu söyleriz.