- Çoğu A/B test aracı KVKK uyumluluğu iddia ediyor — ancak çok azı çerez olmadan ve onay banner'ı olmadan çalışabiliyor. Fark önemli: çerez tabanlı araçlar onayı reddeden ziyaretçilerin %20–40'ını kaybediyor ve bu da test sonuçlarınızı çarpıtıyor.
- Varify.io mimarisi gereği KVKK uyumlu: Frankfurt'ta barındırılıyor, çerez-free takip, ABD'ye veri transferi yok, onay banner'ına gerek yok — yani ziyaretçilerin %100'ü deneylere dahil ediliyor.
- A/B testing araçları için temel KVKK kriterleri: sunucu konumu (AB vs ABD), çerez kullanımı, onay banner gereksinimleri, veri işleme anlaşmaları, alt işlemci şeffaflığı ve veri saklama politikaları.
- Bu rehber 8 aracı Avrupa şirketleri için gerçekten önemli olan gizlilik kriterleri üzerinden karşılaştırıyor — pazarlama sayfasındaki sadece onay kutusu iddiası değil.
Her A/B testing aracının web sitesi "KVKK uyumlu" der. Bu artık anlamsız pazarlama metni haline geldi. Asıl soru bir tedarikçinin uyumluluk iddia etmesi değil — aracın teknik mimarisinin gerçekten bunu destekleyip desteklemediği. Çerezlere ihtiyaç var mı? Verileri ABD'ye aktarıyor mu? Onay banner'ı gerektiriyor mu? Hukuki jimnastik yapmadan DPA altında çalıştırabilir misiniz?
Avrupa şirketleri için bunlar akademik sorular değil. Çerez onayı gerektiren bir araç deneylerden önemli sayıda ziyaretçi kaybettirir. Verileri ABD sunucularına aktaran bir araç Schrems II sonrası hukuki risk yaratır. Ve uygun Veri İşleme Anlaşması olmayan bir araç DPO'nuzu zor durumda bırakır. Bu rehber A/B testing araçlarını gerçek dünyada KVKK uyumluluğunu belirleyen teknik gizlilik kriterlerine göre değerlendiriyor — pazarlama iddialarına göre değil.
A/B testing için KVKK uyumluluğunun gerçekte ne anlama geldiği
GDPR A/B testlerini yasaklamaz. Bunu yaparken ziyaretçi verilerini nasıl topladığınızı, işlediğinizi ve sakladığınızı düzenler. Gerçekten uyumlu araçları sadece bir kutuyu işaretleyenlerden ayıran altı kriter şunlar:
1. Çerez kullanımı. Geri dönen ziyaretçileri tanımlamak için çerez koyan araçlar GDPR (ve ePrivacy) altında açık onay gerektirir. Onay yok = çerez yok = o ziyaretçi için takip yok. Çerez kullanmayan araçlar sunucu taraflı oturum tanımlama veya parmak izi olmayan karma kullanarak bunu tamamen önler.
2. Sunucu konumu. Schrems II'den sonra, kişisel verilerin ABD sunucularına aktarılması ek güvenceler gerektirir (Standart Sözleşmeli Hükümler + tamamlayıcı önlemler). AB'de barındırılan araçlar bu riski tamamen ortadan kaldırır. ABD'de barındırılan veya ABD alt işlemcili araçlar sürekli yasal risk yaratır.
3. Onay banner'ı bağımlılığı. Bir araç çerez gerektiriyorsa, onay banner'ına ihtiyacınız var. Reddeden ziyaretçiler deneylerden dışlanır. Sektör verileri Avrupalı ziyaretçilerin %20-40'ının çerez onayını reddettiğini gösteriyor — bu da A/B testlerinizin sistematik olarak büyük, rastgele olmayan bir nüfus segmentini dışladığı anlamına gelir. Bu sadece bir gizlilik sorunu değil; aynı zamanda bir veri kalitesi sorunu.
4. Veri İşleme Sözleşmesi (DPA). Sizin adınıza ziyaretçi verilerini işleyen her araç GDPR uyumlu bir DPA'ya ihtiyaç duyar. Kontrol edin: DPA müzakere olmadan mevcut mu? Alt işlemcileri belirtir mi? Veri silme prosedürlerini içerir mi?
5. Veri minimizasyonu. GDPR sadece gerekli olanı toplamayı gerektirir. Ziyaretçi profilleri oluşturan, alan adlarında takip eden veya oturum kapsamının ötesinde kişisel tanımlayıcıları saklayan araçlar veri minimizasyon ilkelerini ihlal edebilir.
6. Alt işlemci şeffaflığı. Test aracıyla yaptığınız DPA yalnızca onların alt işlemcilerle yaptığı DPA'lar kadar güçlüdür. Onlarca üçüncü taraf hizmeti (CDN'ler, analitik, hata takibi) kullanan araçlar denetlenmesi zor bir veri işleme zinciri yaratır.
8 A/B test aracı — GDPR uyumluluğu karşılaştırması
| Araç | Sunucu konumu | Çerez gerekli mi? | Onay banner'ı? | DPA mevcut mu? | GDPR puanı |
|---|---|---|---|---|---|
| Varify.io | Almanya (Frankfurt) | Hayır | Gerekli değil | Evet | 9.5/10 |
| Convert | AB (çoklu) | İsteğe bağlı (çerezsiz mod) | Moda bağlı | Evet | 8.2/10 |
| Kameleoon | AB (Fransa) | İsteğe bağlı (çerezsiz mod) | Moda bağlı | Evet | 7.8/10 |
| AB Tasty | AB (Fransa) | Evet | Gerekli | Evet | 7.0/10 |
| GrowthBook | Kendi barındırma (seçiminiz) | Uygulamaya bağlı | Uygulamaya bağlı | Sadece bulut | 7.0/10 |
| VWO | ABD + AB seçenekleri | Evet | Gerekli | Evet | 6.0/10 |
| Optimizely | ABD (istek üzerine AB seçeneği) | Evet | Gerekli | Evet | 5.5/10 |
| PostHog | ABD varsayılan (AB eklenti) | İsteğe bağlı | Konfigürasyona bağlı | Evet | 6.5/10 |
Kaynak: Claude Research, Mayıs 2026. GDPR puanları sunucu konumu, çerez bağımlılığı, onay gerekliliği, DPA mevcudiyeti ve veri minimizasyon mimarisi temelinde. Veriler resmi dokümantasyon, gizlilik politikaları ve DPA belgelerinden alınmıştır.
Varify.io — Çözüm yoluyla değil, mimari ile GDPR uyumlu
Çoğu araç çerezsiz mod ekleyerek, AB barındırmayı eklenti olarak sunarak veya ABD transferleri için SCC'ler sağlayarak GDPR uyumluluğu sağlar. Varify.io farklı bir yaklaşım benimser: mimarinin kendisi gizlilik için inşa edilmiştir.
Bu pratikte ne anlama gelir:
- Frankfurt, Almanya'da barındırılır — tüm veriler AB içinde kalır. ABD alt işlemcisi yok, transatlantik veri transferi yok, SCC gerekli değil. VKO'nuz tamamlayıcı önlemleri değerlendirmek zorunda değil. Sunucu konumu ve uyumluluk hakkında tüm detaylar.
- Varsayılan olarak çerezsiz — Varify çerezler yerine sunucu taraflı oturum tanımlama kullanır. A/B testleri için onay banner'ı gerekli değil. Ziyaretçilerin %100'ü takip edilir ve deneylere atanır — test verilerinizde onay önyargısı yok.
- Kişisel veri saklanmaz — Varify isimler, e-postalar, IP adresleri veya cihaz parmak izleri toplamaz. Oturum tanımlama bireyleri tanımlamak için tersine çevrilemeyen bir karma kullanır. Bu tasarım gereği veri minimizasyon gereksinimlerini karşılar.
- DPA dahil — GDPR uyumlu Veri İşleme Sözleşmesi her planın parçası. Müzakere yok, yasal inceleme döngüsü yok, ekstra maliyet yok.
- Şeffaf alt işlemci listesi — Varify tam alt işlemci listesini yayınlar. Zincir kısa: Frankfurt tabanlı altyapı, üçüncü taraf analitik yok, reklam ağları yok.
Pratik etki: Varify kullanan Avrupalı şirketler her yeni deney için hukuk ekibini dahil etmeden A/B testleri yürütebilir. Araç konfigürasyonla değil, varsayılan olarak uyumludur.
30 günlük ücretsiz deneme başlat →
Çerez onayının A/B test kalitenizi nasıl etkilediği
Bu, A/B testingdeki en az takdir edilen GDPR sorunudur. Yasal risk meselesi değil — veri kalitesi meselesidir.
Bir araç çerez gerektirdiğinde, onayı reddeden ziyaretçiler deneyimlerinizde görünmez olur. Bu iki problem yaratır:
Sistematik önyargı. Çerezleri reddeden ziyaretçiler rastgele değildir. Gizlilik konusunda daha bilinçli, teknik açıdan daha anlayışlı ve genellikle daha yüksek değerli olma eğilimindedirler (kurumsal alıcılar, Alman/Avusturyalı ziyaretçiler, çerezlerin ne işe yaradığını bilen geri dönen kullanıcılar). Bunları testlerinizden dışlamak, sonuçlarınızın önyargılı bir örneklemi temsil ettiği anlamına gelir — tüm kitleniz için değil, sadece onay veren segment için optimizasyon yaparsınız.
Azaltılmış örnek boyutu. Ziyaretçilerinizin %30'u çerezleri reddederse, aynı istatistiksel anlamlılığa ulaşmak için %43 daha fazla trafiğe ihtiyacınız var. Aylık 100K ziyaretçisi olan bir site için bu, 2 haftada anlamlılığa ulaşmak ile 3,5 haftada ulaşmak arasındaki farktır. Daha düşük trafikli siteler için, kesin bir test ile belirsiz bir test arasındaki fark olabilir.
Matematik: Aylık 200K ziyaretçisi olan ve %30 onay reddi ile çerez tabanlı araç kullanan bir site: etkili test popülasyonu = 140K. Varify'ın çerez-free takibi ile aynı site: etkili test popülasyonu = 200K. Bu, test başına %43 daha fazla veri, daha hızlı sonuçlar ve sonuçlarınızda onay önyargısı yok demektir.
Çerez-free araçlar sadece yasal bir problemi çözmez — istatistiksel bir problemi çözer.
A/B testing aracı seçimi için GDPR uyumluluk kontrol listesi
Herhangi bir A/B testing platformunu GDPR uyumluluğu için değerlendirirken bu kontrol listesini kullanın. Tüm kriterler eşit değil — ilk üçü en etkilidir:
Kritik (AB şirketleri için anlaşma bozucular):
- Sunucular fiziksel olarak nerede bulunuyor? Sadece AB = yeşil. AB seçenekli ABD = sarı. Sadece ABD = kırmızı.
- Araç çerezler olmadan çalışıyor mu? Evet ise: onay banner'ı gerekmez, %100 ziyaretçi kapsamı. Hayır ise: onay banner'ı gerekli, %20–40 veri kaybı.
- DPA müzakere olmadan mevcut mu? DPA almak için satış görüşmesi veya yasal inceleme gerekiyorsa, bu bir uyarı işaretidir.
Önemli (uzun vadeli uyumluluk duruşunu etkiler):
- Araç kaç alt işlemci kullanıyor? Az = denetlemesi kolay. Listeyi proaktif olarak yayınlayıp yayınlamadıklarını kontrol edin.
- Araç hangi verileri topluyor? IP adresleri, cihaz parmak izleri, domain arası takip = daha fazla GDPR riski. PII olmadan session düzeyinde hash'ler = minimal risk.
- Veri saklama süresi nedir? Ziyaretçi verilerini süresiz saklayan araçlar gereksiz risk yaratır. 30–90 gün sonra otomatik silme arayın.
Güzel olur (pozisyonunuzu güçlendirir):
- ISO 27001 veya SOC 2 sertifikası — güvenlik süreçlerinin denetlendiğini kanıtlar.
- Tasarım gereği gizlilik belgeleri — satıcının gizliliği sadece yasal olarak değil, mimari olarak da düşündüğünü gösterir.
- DPA'da belgelenmiş olay müdahale prosedürleri — ihlal durumunda ne olacağını belirtir.
GDPR uyumlu A/B testleri yapın — yasal baş ağrıları olmadan.
Varify.io: Almanya'da barındırılan, çerez-free, onay banner'ı yok. Her ziyaretçi sayılır.