KVKK Sağlık Kurumları Uyum Rehberi | Özel Nitelikli Sağlık Verisi & Teknik Tedbirler

KVKK · Sağlık Kuruluşları · Uyum & Güvenlik

KVKK Sağlık Kurumları Uyum Rehberi: Özel Nitelikli Sağlık Verisi, Teknik Tedbirler ve VERBİS

Sağlık kuruluşlarında; tanılar, ilaçlar, tetkikler ve bakım süreçleri dahil olmak üzere bireylerin fiziksel ve ruhsal sağlığına ilişkin çok sayıda veri işlenir. Bu veriler, ayrımcılık ve mağduriyet riski doğurduğu için özel nitelikli kişisel veri sayılır ve KVKK kapsamında sıkı işleme şartlarına tabidir. Dolayısıyla özel hastaneler, tıp merkezleri, diyaliz merkezleri, ağız ve diş sağlığı poliklinikleri, aile sağlığı merkezleri, işyeri hekimliği birimleri ve laboratuvarlar için KVKK uyumu kritik bir gündemdir.

Bu rehber; Türkiye genelinde (İstanbul, Ankara, İzmir ve diğer illerde) faaliyet gösteren sağlık kuruluşlarında veri sorumlularının uyması gereken kuralları, uyum adımlarını ve uygulanabilir teknik/idari kontrol setlerini bütüncül bir bakış açısıyla özetler. Amaç; sadece VERBİS kaydını tamamlamak değil, sürdürülebilir veri güvenliği ve hasta mahremiyeti için kurumsal bir çerçeve oluşturmaktır.

Yazı, özel hastanelerden tıp merkezlerine, ağız ve diş sağlığı polikliniklerinden işyeri hekimliği ve laboratuvar hizmetlerine kadar geniş bir yelpazede faaliyet gösteren sağlık kuruluşlarının KVKK uyum yolculuğu için referans niteliğindedir.

Sağlık Verisi & Özel Nitelik KVKK Uyum Adımlarını Gör

İçindekiler 1. Giriş 2. Sağlık Verisi & Özel Nitelikli Kişisel Veri 3. Sağlık Sektöründe Veri Sorumlusunun Yükümlülükleri 4. KVKK Uyum Adımları 4.a Teknik Tedbirler 4.b İdari Tedbirler 5. VERBİS Kaydı 6. Danışmanlık & Denetim Süreçleri 7. Faydalı Bağlantılar 8. Sık Sorulan Sorular

Hızlı Özet

Odak: Sağlık kuruluşlarında işlenen özel nitelikli kişisel veriler için KVKK uyum çerçevesi.
Kapsam: Özel hastaneler, tıp merkezleri, diş poliklinikleri, işyeri hekimliği, laboratuvarlar, görüntüleme merkezleri.
Temel başlıklar: Sağlık verisinin kapsamı, veri sorumlusu yükümlülükleri, teknik & idari tedbirler, VERBİS, danışmanlık ve denetim, SSS.
Hedef: Sadece kayıt yükümlülüklerini değil; hasta mahremiyeti, veri güvenliği ve operasyonel sürekliliği birlikte ele alan bir KVKK uyum programı.

KVKK & Sağlık Verisi Özel Nitelikli Kişisel Veri VERBİS Kayıt Yükümlülüğü Teknik & İdari Tedbirler

Not: Sağlık kuruluşlarında KVKK uyumu; yalnızca bir “form doldurma” süreci değil, yüksek riskli özel nitelikli veriler için yaşayan bir bilgi güvenliği ve mahremiyet yönetim sistemi kurmak anlamına gelir. Bu nedenle hukuki, teknik ve operasyonel ekiplerin koordineli çalışması şarttır.

2. Sağlık Verisi ve Özel Nitelikli Kişisel Veri

2.1. Kapsam: Sağlık Verisi Neleri İçerir?

Sağlık kuruluşlarında işlenen veriler yalnızca tıbbi kayıtlardan ibaret değildir. KVKK kapsamında sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgiyi içerir ve bunların önemli bir bölümü özel nitelikli kişisel veri sayılır.

Sağlık verisi kapsamına girebilecek başlıca unsurlar şunlardır:

Tanı ve teşhis bilgileri, epikrizler, konsültasyon kayıtları,
Tedavi planları, reçeteler, ilaç kullanım geçmişi,
Laboratuvar ve görüntüleme sonuçları, tetkik raporları,
Engellilik durumu, sağlık kurulu raporları, istirahat raporları,
Randevu ve triage verileri, anamnez kayıtları,
İşyeri hekimliği kayıtları, periyodik muayene formları,
Yoğun bakım, psikiyatri, üreme sağlığı gibi hassas alanlara ilişkin bilgiler.

2.2. Özel Nitelikli Kişisel Veri Kategorileri

KVKK’ya göre; ırk, etnik köken, siyasi düşünce, din, mezhep, kılık-kıyafet, dernek-vakıf-sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veri kategorisine girer.

Sağlık kurum ve kuruluşları bu kategorilerin tamamına bir şekilde temas edebildiği için; süreç bazlı envanter çalışmasında özel nitelikli veriler ayrı katman olarak ele alınmalı, erişim ve saklama kuralları buna göre tasarlanmalıdır.

2.3. Risk Profili ve Temel İlkeler

Sağlık verileri; ayrımcılık, stigmatizasyon ve ekonomik/kamusal hak kaybı riski taşıdığı için, diğer birçok veri kategorisine kıyasla daha yüksek koruma gerektirir. Bu nedenle:

Ayrımcılık ve mağduriyete açık içerik: Sağlık verilerinin yetkisiz erişim veya sızıntı durumunda doğuracağı etkiler daha ağırdır; yüksek güvenlik seviyesi esastır.
Hukuka ve dürüstlük kurallarına uygunluk: Veriler, açık ve meşru amaçlarla, ölçülü ve hak temelli yaklaşımla işlenmelidir.
Amaçla sınırlılık ve veri minimizasyonu: “Belki ileride lazım olur” yaklaşımı yerine, her süreç için gerekli asgari veri işlenmelidir.
Doğru ve güncel olma: Tıbbi kararlar bu verilere dayanacağından, verinin doğruluğu ve güncelliği kritik önem taşır.
Saklama süresi ile sınırlılık: İlgili mevzuat ve tıbbi zorunluluklar dışında, veriler gereğinden fazla saklanmamalıdır.

Alan	Risk / İlke	Örnek Uygulama
Hasta Mahremiyeti	Ayrımcılık ve stigmatizasyon riski	Yetki matrisi, ekran maskesi, çıktı yönetimi, kısıtlı erişimli alanlar
Tıbbi Karar Destek	Doğru ve güncel veri ihtiyacı	Düzenli veri güncelleme, klinik doküman versiyon yönetimi
Arşiv & Saklama	Aşırı saklama ve veri ihlali riski	Saklama-imha politikası, periyodik imha ve anonimleştirme

3. Sağlık Sektöründe Veri Sorumlusunun Yükümlülükleri

3.1. Hukuki Çerçeve

Sağlık kurum ve kuruluşları, KVKK açısından çoğunlukla “veri sorumlusu” sıfatına sahiptir. Özel nitelikli kişisel veri işlemeleri, hem işleme şartları hem de güvenlik tedbirleri açısından daha sıkı kurallara tabidir.

Başlıca yükümlülükler şu çerçevede toplanabilir:

Özel nitelikli veri işleme şartları: Kanunda öngörülen haller (örneğin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, finansman ve planlama) ile sınırlı işleme.
Sıkı güvenlik tedbirleri: Kurul kararları ve rehberlerine uygun olarak özel nitelikli veriler için ek teknik ve idari tedbir seti uygulanması.
Aydınlatma yükümlülüğü: Hasta, ziyaretçi ve personelin; verilerinin hangi amaçlarla, hangi hukuki sebebe dayanarak işlendiği, kimlere aktarıldığı ve haklarının neler olduğu konusunda bilgilendirilmesi.
Açık rıza gereklilikleri: Kanuni zorunluluk dışındaki ikincil amaçlar (pazarlama, sadakat programları, ileti izinleri vb.) için açık rıza alınması ve rızanın istenildiğinde kolayca geri alınabilir olması.
Aktarım şartları: Yurt içi ve yurt dışı aktarımlarda; sözleşmesel güvenceler, taahhütnameler, yeterli koruma mekanizmaları ve Kurul kararları çerçevesinde hareket edilmesi.

3.2. Sadece VERBİS Değil

Sağlık kuruluşları için VERBİS kaydı önemli bir yükümlülüktür; ancak uyumun “son adımı” olmalıdır. Sağlam bir KVKK programı için:

Veri işleme süreçlerinin ve envanterin çıkarılması,
Politika, prosedür ve talimatların yazılması,
Teknik ve idari tedbirlerin hayata geçirilmesi,
Çalışanların rol bazlı eğitilmesi ve farkındalık programlarının işletilmesi

esastır. VERBİS, bu çalışmaların özet beyanı niteliğindedir; yerini tutmaz.

Not: Nesil Teknoloji; hukuk ve bilişim uzmanlarından oluşan ekibiyle sağlık kuruluşlarında KVKK uyumunu hem hukuki hem teknik yönden bütünleşik şekilde yürütür.

4. KVKK Uyumunu Sağlamak İçin Temel Adımlar

Sağlık kuruluşlarında KVKK uyumu, tek seferlik bir doküman çalışmasından çok, süreç bazlı ve kurumsal olgunluk yönetimi perspektifiyle ele alınmalıdır. Uygulamada uyum programları genellikle aşağıdaki ana adımlar üzerinden kurgulanır.

4.1. Kişisel Veri Envanteri

Uyumun başlangıç noktası, süreç bazlı kişisel veri envanteridir. Hangi süreçte, hangi verilerin, kimden, hangi amaçla alındığı ve nerede saklandığı netleştirilmeden sağlıklı bir uyum programı oluşturulamaz.

Envanter çalışmasında cevaplanması gereken temel sorular:

Hangi veriler işleniyor? (hasta, personel, ziyaretçi, tedarikçi vb.)
Veriler kimden ve hangi kanallarla (fiziksel form, portal, çağrı merkezi vb.) toplanıyor?
Hangi amaçlarla ve hangi hukuki sebeplere dayanarak işleniyor?
Veriler nerede saklanıyor? (HBYS, PACS, arşiv, bulut, üçüncü taraf sistemler)
Kimler erişebiliyor? (rol, birim, lokasyon bazında)
Veriler kimlere ve hangi amaçla aktarılıyor? (SGK, sigorta, laboratuvar, çağrı merkezi vb.)
Ne kadar süre saklanıyor ve ne zaman imha ediliyor?

Özel nitelikli veriler için ayrı bir kontrol seti tanımlanmalı; erişim, saklama, yedekleme ve imha süreçleri bu kategoriye özel olarak tasarlanmalıdır. Envanter, aynı zamanda VERBİS’in doğru, tam ve eksiksiz beyanı için zorunlu girdidir.

4.2. Aydınlatma, Açık Rıza ve Görsel Alanlar

Sağlık kuruluşlarında farklı kişi grupları (hasta, refakatçi, ziyaretçi, personel, taşeron çalışan, kamera alanları, çağrı merkezi aramaları vb.) için özelleştirilmiş Aydınlatma Metinleri hazırlanması gerekir.

Hasta aydınlatmaları: Kayıt bankosu, online randevu, web portalı, mobil uygulama gibi temas noktalarında görünür ve erişilebilir olmalıdır.
Ziyaretçi ve kamera alanları: Giriş alanları, otopark, yemekhane gibi yerlerde kameraya ilişkin bilgilendirici görsel alanlar bulundurulmalıdır.
Açık rıza yönetimi: Pazarlama, memnuniyet aramaları, sadakat programları ve ikincil amaçlar için ayrı ve özgür iradeye dayalı açık rıza metinleri tasarlanmalı; rızanın geri alınması kolaylaştırılmalıdır.

4.3. Sözleşmeler ve Dokümantasyon

KVKK uyumu yalnızca iç dokümanlarla sınırlı değildir; tedarikçi ve iş ortaklarıyla yapılan sözleşmeler de bu çerçeveye göre revize edilmelidir.

Gizlilik taahhütnameleri ve çalışan sözleşmelerinde KVKK hükümleri,
Veri işleyenlerle (HBYS firmaları, laboratuvar, çağrı merkezi, arşiv, bulut hizmetleri vb.) yapılan sözleşmelerde veri işleme şartları ve sorumluluklar,
Saklama ve imha politikası; log yönetimi, arşiv imhası ve anonimleştirme prosedürleri,
Sağlık kurumuna özel prosedür ve talimatlar (işyeri hekimi, laboratuvar süreçleri, görüntüleme merkezleri vb.).

4.4. Eğitim ve Farkındalık

Sağlık verisinin korunması, en zayıf halka kadar güçlüdür. Bu nedenle role özgü eğitim ve farkındalık programları hayati önem taşır:

KVKK ve özel nitelikli veri güvenliği eğitimleri,
Hasta dosyası, ekran görüntüsü, WhatsApp/mesajlaşma kullanımı gibi pratik konular,
Olağan dışı durumların (yanlış kişiye SMS, yanlış dosya paylaşımı vb.) nasıl raporlanacağı,
Sosyal mühendislik, kimlik avı ve parola güvenliği farkındalığı.

4.a Teknik Tedbirler

Sağlık verisinin KVKK’ya uygun olarak korunması için, teknik tedbirler katmanlı bir şekilde kurgulanmalıdır. Aşağıdaki başlıklar, özellikle HBYS, PACS, hasta portalı ve medikal cihaz entegrasyonları açısından kritik önceliğe sahiptir.

Erişim ve Yetki Yönetimi

Rol bazlı yetki matrisi ve “en az ayrıcalık” prensibi,
Çok faktörlü kimlik doğrulama (MFA) ve güçlü parola politikaları,
Kullanıcı hesap yaşam döngüsü yönetimi (işe giriş, rol değişikliği, işten ayrılış),
Erişim loglarının tutulması ve düzenli olarak gözden geçirilmesi.

Şifreleme

Veri aktarımında TLS ve HSTS kullanımı, yönetim panellerinde güvenli bağlantı zorunluluğu,
Depolamada AES-256 gibi güçlü algoritmalarla disk, veritabanı ve yedeklerin şifrelenmesi,
Anahtar yönetimi süreçlerinin tanımlanması; anahtarların yetkisiz erişime kapalı tutulması,
Rapor ve çıktıların maskelenmesi; hassas alanların sınırlı görünür hâle getirilmesi.

Ağ ve Uç Güvenliği

Network segmentasyonu (HBYS, misafir Wi-Fi, idari ağların ayrıştırılması),
IDS/IPS, uç nokta güvenlik çözümleri (EDR), güvenlik duvarı ve WAF kullanımı,
Güncel antivirüs/anti-malware, zafiyet yönetimi ve yama süreçleri,
DLP çözümleri ile hassas verinin kurum dışına kontrolsüz çıkışının engellenmesi.

Log, İzleme ve Olay Yönetimi

SIEM ile logların merkezi toplanması ve korelasyon kuralları oluşturulması,
Bütünlük izleme (dosya ve konfigürasyon değişikliklerinin takibi),
Olay sınıflandırma, önceliklendirme ve müdahale prosedürlerinin tanımlanması,
Veri ihlallerinde 72 saatlik bildirim hedefini destekleyen süreç tasarımı.

Güvenli SDLC ve Test

HBYS, hasta portalı, mobil uygulama gibi sistemler için güvenli yazılım geliştirme yaşam döngüsü (SDLC),
Statik/dinamik analiz (SAST/DAST) ve bağımlılık zafiyet yönetimi,
Düzenli sızma testleri ve bulgulara yönelik iyileştirme planları,
Tıbbi cihaz entegrasyonlarında (PACS, monitör, pompa vb.) güvenlik kontrolleri.

Yedekleme ve İmha

Şifreli, offline veya immutable yedekleme stratejileri,
Yedeklerin düzenli test edilmesi ve geri dönüş planlarının oluşturulması,
İmha politikalarının tanımlanması; silme, yok etme ve anonimleştirme yöntemleri,
HBYS dışı fiziksel arşiv ve medikal görüntü arşivleri için ayrı imha prosedürleri.

4.b İdari Tedbirler

Teknik tedbirler, idari çerçeve ile desteklenmediğinde sürdürülebilir olmaz. Sağlık kuruluşlarında politika, prosedür, sözleşme ve denetim mekanizmaları; KVKK uyum programının iskeletini oluşturur.

Politika ve Prosedürler

Saklama-imha politikası ve periyodik imha planları,
Veri ihlal yönetimi prosedürü ve iletişim planı,
Ziyaretçi, refakatçi ve kamera politikaları,
Özel nitelikli veri güvenliği rehberi (oda/alan erişimi, kayıt güvenliği, çıktı yönetimi).

Periyodik Denetim

Uygulanan teknik ve idari tedbirlerin, çalışan davranışlarının ve tedarikçi uygulamalarının düzenli olarak denetlenmesi gerekir. Denetim sonuçları için:

Bulgu listesi ve kritikiyet skorlaması,
İyileştirme planı ve sorumlu atamaları,
Gerçekleşme takibi ve raporlama mekanizması

tanımlanmalıdır. Böylece KVKK programı, canlı ve sürekli gelişen bir yapıya kavuşur.

İyi Uygulama: Veri işleyen tüm tedarikçiler (laboratuvar, arşiv, bulut, çağrı merkezi, HBYS firmaları vb.) ile yapılan sözleşmelerde KVKK hükümlerini ve alt-yüklenici zinciri sorumluluklarını açıkça düzenleyin; denetim hakkınızı sözleşmeye yazılı olarak ekleyin.

5. VERBİS Kaydı

İstisna kapsamında olmayan sağlık kuruluşlarının Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü bulunmaktadır. VERBİS kaydı; işleme amaçları, veri kategorileri, alıcı grupları, saklama süreleri ve güvenlik tedbirleri açısından şeffaflık sağlar.

Kurumlar, çalışan sayısı, bilanço büyüklüğü ve temel faaliyet kapsamında özel nitelikli veri işleme durumuna göre kayıt zorunluluğunu kontrol etmeli ve KVKK Kurumu’nun güncel duyurularını takip etmelidir.

Örnek not: Çalışan sayısı ve bilanço eşikleri ile ana faaliyet kapsamında özel nitelikli veri işleme durumuna göre kayıt zorunluluğunu kontrol ediniz; süreleri kaçırmamak için iç takvim oluşturunuz.

6. Nesil Teknoloji ile Danışmanlık Evreleri

Nesil Teknoloji, sağlık sektöründe KVKK uyumunu hukuk ve bilişim uzmanlarından oluşan ekibiyle entegre biçimde yürütür. Çalışma modeli genellikle aşağıdaki evrelerden oluşur:

6.1. Farkındalık Eğitimleri

KVKK, ikincil mevzuat ve özel nitelikli veri güvenliği eğitimleri,
Role özgü müfredat (hekim, hemşire, kayıt personeli, çağrı merkezi, BT ekibi vb.),
Olay bildirimi, sosyal mühendislik ve günlük pratiklerde dikkat edilmesi gereken noktalar.

6.2. Veri Analizleri

Hasta, ziyaretçi, personel ve tedarikçi verilerinin süreç bazlı analizi,
Kamera ve ses kayıtlarının mevzuata uygunluğunun gözden geçirilmesi,
Sağlık raporları, işyeri hekimi kayıtları ve medikal arşiv süreçlerinin uyumlandırılması.

6.3. Hukuki Dokümantasyon

Gizlilik sözleşmeleri ve taahhütnameler,
Aydınlatma metinleri ve açık rıza metinlerinin hazırlanması veya revizyonu,
Kurum içi politika, prosedür ve talimat setlerinin oluşturulması.

6.4. VERBİS Bildirimi

Envanter verilerinin kategorik bazda beyanı,
Sistemsel kayıt işlemleri ve sonrasında güncelleme süreçlerinin planlanması.

6.5. Periyodik Denetim ve Danışmanlık

Uygulama kontrollerinin sürekliliğinin sağlanması,
Kurul kararları ve rehberlerle uyumun güncel tutulması,
Bulgu yönetimi, aksiyon takibi ve düzenli raporlama.

6.6. Teknik Tedbirlerin Tesisi

Yetki matrisi ve erişim kontrol sistemlerinin tasarlanması,
Ağ güvenliği, IDS/IPS, log/SIEM ve DLP çözümlerinin devreye alınması,
Antivirüs, yama yönetimi, silme-yok etme-anonimleştirme politikalarının uygulanması.

7. Faydalı Bağlantılar

KVKK Kurumu Resmî İnternet Sitesi
KVKK Uyum Rehberimiz (Nesil Teknoloji)
KVKK Danışmanlık Teklif Formu

Not: Bağlantı adreslerini kendi kurum URL’lerinizle güncelleyebilirsiniz.

8. Sık Sorulan Sorular: KVKK ve Sağlık Kuruluşları

Sağlık verileri KVKK’ya göre neden özel nitelikli sayılır?

Sağlık verileri, bireyin fiziksel ve ruhsal durumuna ilişkin bilgi içerdiği için ayrımcılık, stigmatizasyon ve mağduriyet riski taşır. Bu nedenle KVKK; sağlık, biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlar ve bu kategorideki veriler için daha sıkı işleme şartları ve güvenlik tedbirleri öngörür.

Sadece VERBİS kaydı yaptırmak uyum için yeterli midir?

Hayır. VERBİS, uyum sürecinin yalnızca kayıt ve bildirim boyutudur. Gerçek uyum için; veri envanteri, sözleşmeler, politika ve prosedürler, teknik ve idari tedbirler ile eğitim ve denetim süreçlerinin tamamlanmış ve işletiliyor olması gerekir.

Sağlık kuruluşunda hangi teknik tedbirler öncelikli olmalı?

Erişim ve yetki yönetimi, şifreleme, ağ segmentasyonu, log/SIEM, yedekleme ve imha süreçleri, HBYS ve portal uygulamaları için güvenli yazılım geliştirme kontrolleri öncelikli alanlardır. Bu tedbirler, hasta mahremiyeti ve hizmet sürekliliği açısından kritik rol oynar.

Açık rıza nerelerde zorunludur?

Sağlık hizmetinin sunulması için zorunlu işleme faaliyetleri çoğunlukla kanuni sebeplere dayanır. Ancak pazarlama, memnuniyet aramaları, sadakat programları ve benzeri ikincil amaçlarda açık rıza alınması gereklidir. Rıza; özgür iradeye dayalı, bilgilendirilmiş ve kolayca geri alınabilir olmalıdır.

KVKK uyum süreci ne kadar sürer?

Uyum süresini; kurumun büyüklüğü, şube sayısı, süreç çeşitliliği ve mevcut olgunluk seviyesi belirler. Küçük ölçekli bir sağlık kuruluşunda bu süreç birkaç ay sürebilirken, büyük ölçekli hastaneler ve grup yapılarında daha uzun ve aşamalı bir planlama gerekebilir.

KVKK Sağlık Kuruluşları Özel Nitelikli Sağlık Verisi Sağlık Sektörü KVKK Uyum VERBİS Sağlık Rehberi Teknik ve İdari Tedbirler