KVKK ve Sağlık Verileri: Hastalar, Sağlık Kuruluşları ve Veri Sahipliği
KVKK sağlık verileri açısından özel bir önem taşır. Sağlık verileri; kişinin geçmiş ve güncel hastalıkları, tedavi süreçleri, laboratuvar sonuçları, görüntüleme kayıtları, reçeteleri, hatta üzerinde taşıdığı giyilebilir cihazlardan üretilen bilgiler de dâhil olmak üzere son derece hassas içerikler barındırır. Bu nedenle KVKK, sağlık verilerini özel nitelikli kişisel veri olarak tanımlar ve daha sıkı koruma şartlarına bağlar.
Sağlık bilimlerinde veri; hekimlerin, sağlık işletmelerinin, sigorta şirketlerinin ve sağlık politikacıları dahil tüm paydaşların karar alma süreçlerinin merkezinde yer alır. Bir hastanın daha önce geçirdiği tetkikler, bir şehirde belirli bir enfeksiyonun yaygınlığı, bir pandemide günlük vaka sayıları… Bunların tamamı, doğru toplanmış ve korunmuş sağlık verisi ile anlam kazanır. Ancak bu veriler büyüklük, hassasiyet ve tekrar kullanımı açısından etik, hukuki ve teknik pek çok soruyu da beraberinde getirir.
KVKK ve sağlık verileri: Sağlık verileri, KVKK’ya göre
özel nitelikli kişisel veri sayılır ve yüksek güvenlik tedbirleri gerektirir.
Verinin kaynağı: Muayene, tetkik, cihaz ve sensörler üzerinden üretilse de
verinin kaynağı insandır; hastadır.
Veri sahipliği: Verinin üretim bedelini nihai olarak hasta öder; bu açıdan bakıldığında
verinin nihai sahibi de hastadır tartışması önem kazanır.
Kurumların rolü: Sağlık kuruluşları ve firmalar, bu verileri güvenli ve hukuka uygun
şekilde işlemekle yükümlü veri sorumlularıdır; veriyi “kullanan” değil, “emanet alan”
aktörlerdir.
1. Hukuki Çerçeve: KVKK, Özel Nitelikli Sağlık Verileri ve Yükümlülükler
KVKK’ya göre sağlık verileri, “özel nitelikli kişisel veri” grubuna girer. Bu veriler; öğrenilmeleri hâlinde ilgili kişinin ayrımcılığa uğramasına veya mağduriyet yaşamasına yol açabilecek niteliktedir. Örneğin:
- Geçmiş hastalıkları, kronik rahatsızlıkları,
- Tetkik ve laboratuvar sonuçları,
- Görüntüleme kayıtları (MR, tomografi, röntgen vb.),
- Reçeteler, ilaç kullanımı,
- Engellilik durumu, genetik veriler ve biyometrik sağlık göstergeleri
tamamı, özel nitelikli sağlık verisi olarak değerlendirilir ve KVKK kapsamında daha sıkı güvenlik tedbirlerine tabi tutulur.
1.1. KVKK Sağlık Verileri İşleyen Kurumlar için Neden Zorunludur?
Sağlık verilerini işleyen her hastane, tıp merkezi, aile hekimliği birimi, klinik, laboratuvar, eczane, sigorta şirketi ve sağlık verisi işleyen diğer gerçek/tüzel kişiler, KVKK’ya uymakla yükümlüdür. Çünkü:
- Sağlık verileri işlenirken özel hayatın gizliliği ve kişinin temel hak ve özgürlükleri korunmalıdır.
- Veri sorumluları, bu verilerin rastgele, ölçüsüz ve denetimsiz kullanımını engellemekle yükümlüdür.
- Veri işleme süreçlerinde aydınlatma, açık rıza (veya istisnaî hukuki sebepler), veri minimizasyonu, amaçla sınırlılık ve saklama süresi ilkesine uyulmalıdır.
1.2. Özel Nitelikli Sağlık Verileri İçin Ek Koruma
Sağlık verilerinin işlenmesi, saklanması ve aktarılması bakımından; KVKK ve ikincil düzenlemeler, yüksek seviyede teknik ve idari tedbirler alınmasını zorunlu kılar. Bunlar arasında:
- Şifreleme ve erişim kontrolü,
- Yetki matrisi ve görevler ayrılığı,
- Loglama, iz kayıtları ve denetim,
- Düzenli sızma testleri ve zafiyet yönetimi,
- Personel gizlilik taahhütnameleri ve KVKK eğitimleri
gibi unsurlar yer alır. Sağlık verilerinde yaşanacak bir ihlal, yalnızca idari para cezası değil, kurumsal itibar ve hasta güveni kaybına da yol açabilir.
2. Neden Sağlık Verisine İhtiyacımız Var? Klinik ve Politik Kararlar
Sağlık verisi, hem bireysel tedavi kararlarında hem de halk sağlığı politikalarında kritik bir referans noktasıdır. “Niçin veriye ihtiyacımız var?” sorusunu birkaç basit örnekle düşünebiliriz:
2.1. Klinik Karar Destek Örnekleri
- İlk kez gördüğünüz bir hastanın geçmişine ait onlarca tetkik ve klinik karar zaten alınmış olabilir. Örneğin hasta size baş ağrısı ile başvuruyor. Tüm tetkikleri sıfırdan mı yapmalısınız, yoksa önceki sağlık verilerine erişerek gereksiz tetkik ve maliyetleri mi azaltmalısınız?
- Geçtiğimiz ay içerisinde İstanbul’da idrar yolu enfeksiyonu tedavisinde en başarılı antibiyotik hangisiydi? Bu sorunun cevabı; reçete, laboratuvar ve klinik sonuçların bir araya getirildiği analitik sağlık veri setlerinde saklıdır.
2.2. Halk Sağlığı ve Politika Örnekleri
- Kaç COVID-19 hastamız var? Hangi yaş gruplarında yoğunlaşma var? Hangi bölgelerde vaka artışı daha yüksek? Bu sorular, kriz dönemlerinde sağlık politikası yapıcıları için hayati veri göstergeleridir.
- Belirli bir il veya ilçede bir hastalığın normalden fazla görülmesinin sebebi nedir? Çevresel faktörler, sosyoekonomik koşullar, yaşam tarzı veya başka bir etken mi? Sağlıklı, güvenilir ve doğru anonimleştirilmiş veri olmadan bu sorular yanıtlanamaz.
2.3. Verinin Hacmi ve Karmaşıklığı
Bir CD içindeki tekil görüntü veya rapor, eskiden yalnızca hastayı ve bakımından sorumlu ekibi ilgilendirir gibi görünürdü. Ancak bugün:
- Elektronik sağlık kayıtları,
- PACS sistemleri, laboratuvar bilgi sistemleri,
- Giyilebilir cihazlar ve uzaktan izleme çözümleri
sayesinde sağlık verileri çok kısa sürede devasa boyutlara ulaşmaktadır. Bu verilerin tümü üzerinde tam görünürlüğe, ne hasta, ne hekim, ne de hastane veya araştırmacılar sahiptir. İşte bu nedenle, veri güvenliği ve KVKK uyumu, “tek sistemlik” değil, ağ ölçeğinde ve ekosistem ölçeğinde ele alınmalıdır.
3. Sağlıkta Veri Sahipliği: Verinin Kaynağı ve Nihai Sahibi Kim?
Sağlık verisi söz konusu olduğunda en temel sorulardan biri şudur: “Verinin gerçek sahibi kimdir?” Bu soruyu yanıtlayabilmek için önce verinin kaynağına ve maliyetine bakmak gerekir.
3.1. Verinin Kaynağı: Hasta
Sağlıkta verinin kaynağı hastanın kendisidir. Veriler:
- Muayene ve fizik muayene bulgularından,
- Monitörlerden ve tıbbi cihazlardan,
- Laboratuvar ve görüntüleme sistemlerinden,
- Bireyin üzerinde taşıdığı giyilebilir cihaz ve sensörlerden
elde edilmiş olsun, bu verinin
3.2. Verinin Bedelini Kim Öder?
Sağlık verisinin oluşturulma maliyetini nihai olarak hasta üstlenir. Bu ödeme:
- Nakit,
- Özel sağlık sigortası primi,
- Genel sağlık sigortası (SGK) primi
gibi yollarla yapılmış olabilir. Bu açıdan bakıldığında; parayı ödeyen hasta ve verinin kaynağı da hasta olduğuna göre, sağlık verilerinin nihai sahibi de hastadır değerlendirmesi güç kazanır.
3.3. Kurum ve Hekimlerin Rolü: Veri Sorumlusu ve Emanet İlişkisi
Hastaneler, klinikler, hekimler ve sigorta şirketleri; KVKK bakımından veri sorumlusu veya veri işleyen sıfatına sahiptir. Yani:
- Veriyi “sahiplenen” değil, hukuki ve teknik olarak korumakla yükümlü olan aktörlerdir,
- Veriyi sadece belirli, açık ve meşru amaçlarla işleyebilirler,
- Bu amaç ortadan kalktığında veriyi silme, yok etme veya anonim hâle getirme yükümlülükleri vardır.
KVKK perspektifinde sağlıklı yaklaşım, sağlık verisini kurumun mülkü değil, hastadan emanet alınmış bir değer olarak görmek ve tüm süreçleri bu ilkeye göre tasarlamaktır.
4. Sağlık Verilerinde KVKK’ya Uyum: Teknik ve İdari Tedbirler
KVKK sağlık verileri için yalnızca hukuki metinlere uyumu değil, aynı zamanda bilgi sistemlerinin teknik güvenliğini de zorunlu kılar. Sağlık verisinin işlenmesi; fiziksel, teknik ve idari tedbirlerin birlikte kurgulandığı entegre bir güvenlik mimarisi gerektirir.
4.1. Teknik Tedbirler
- Şifreleme: Sağlık verilerinin sunucularda, yedekleme ortamlarında, taşınabilir medyalarda ve gerektiğinde istemci cihazlarda güçlü algoritmalarla şifrelenmesi; yetkisiz erişim gerçekleşse bile verinin okunamaz kalmasını sağlar.
- Erişim Kontrolü ve Yetki Matrisi: Hangi rolün hangi veriye hangi kapsamda erişebileceği açıkça tanımlanmalı; hem sistemsel hem de fiziksel erişim için “en az ayrıcalık” prensibi uygulanmalıdır.
- Loglama ve Denetim: Kritik sistemlere erişim, kayıt görüntüleme, değiştirme veya silme gibi işlemler detaylı loglarla kayıt altına alınmalı; gerekli durumlarda geriye dönük iz sürülebilmelidir.
- Yedekleme ve İş Sürekliliği: Hastane bilgi sistemi, PACS, laboratuvar ve diğer kritik sistemlerin yedekleri güvenli ve test edilmiş bir yapı ile tutulmalı; fidye yazılımlarına karşı ağ dışında veya değiştirilemez (immutable) ortamlarda kopyalar bulundurulmalıdır.
4.2. İdari Tedbirler
- Politika ve Prosedürler: Sağlık verisinin işlenmesine yönelik KVKK politikaları, veri saklama–imha, ihlal yönetimi ve erişim yönetimi prosedürleri yazılı hâle getirilmelidir.
- Personel Eğitimi ve Gizlilik Taahhütnamesi: Hekim, hemşire, idari personel ve teknik ekipler, KVKK ve sağlık verisi güvenliği konusunda düzenli eğitime tabi tutulmalı; ayrıca yazılı gizlilik taahhütnameleri alınmalıdır.
- Sözleşmesel Güvenceler: Dış hizmet alınan firmalar (BT destek, bulut sağlayıcı, yazılım evi vb.) ile yapılan sözleşmelerde; KVKK’ya uyum, veri işleyen yükümlülükleri ve denetim hakkı açıkça düzenlenmelidir.
5. Sağlıkta Büyük Veri, Araştırma ve Etik Denge
Sağlık verileri; tıp araştırmaları, klinik çalışmalar, yapay zekâ destekli karar sistemleri ve sağlık politikalarının şekillendirilmesi için büyük fırsatlar sunar. Ancak bu fırsatlar, bireyin mahremiyeti ve veri koruma hakkıyla dikkatle dengelenmelidir.
5.1. Büyük Veri ve Araştırma İhtiyacı
- Yeni ilaç ve tedavi yöntemlerinin geliştirilmesinde, geniş ölçekli ve uzun dönemli sağlık verisi setlerine ihtiyaç vardır.
- Bölgesel hastalık kümelenmeleri, çevresel etki analizleri ve kronik hastalık yönetimi gibi alanlarda anonimleştirilmiş veya yeterince gizlenmiş verilerden yararlanılır.
5.2. KVKK’ya Göre Sağlık Verisinde Etik ve Hukuki Sınırlar
- Veriler, mümkün olduğunca anonimleştirilmiş ve kimliği belirli/belirlenebilir kişiyle ilişkilendirilemeyecek şekilde kullanılmalıdır.
- Araştırma kapsamında kişisel veri kullanımı gerektiğinde; hukuki dayanak, etik kurul onayı ve uygun aydınlatma/ açık rıza mekanizmaları kurulmalıdır.
- Verilerin yeniden kullanımı, ilk toplama amacıyla uyumlu olacak şekilde ve amaçla sınırlılık ilkesi gözetilerek yapılmalıdır.
Sonuç olarak; insanlık tarihi açısından sağlık verisi, eşi görülmemiş bir bilgi zenginliği sunmaktadır. Ancak bu zenginlik, ancak KVKK ve etik ilkelerle uyumlu, şeffaf ve güvenli süreçlerle yönetildiğinde toplumsal faydaya dönüşebilir.
6. Sık Sorulan Sorular
KVKK sağlık verileri için neden bu kadar önemlidir?
Sağlık verileri, KVKK’ya göre özel nitelikli kişisel veri sayılır ve kişinin ayrımcılığa uğrama veya mağduriyet yaşama riskini artırabilecek niteliktedir. Bu nedenle hastaneler, klinikler, laboratuvarlar, eczaneler ve sigorta şirketleri için sağlık verilerinin güvenli, ölçülü ve hukuka uygun işlenmesi kritik önemdedir.
Sağlık verilerinin kaynağı kimdir?
Sağlık verisinin kaynağı hastanın kendisidir. Veriler; muayene bulguları, laboratuvar sonuçları, tıbbi cihaz ölçümleri veya giyilebilir teknolojilerden geliyor olsa da, bu veriyi üreten beden ve yaşam, hastaya aittir. Cihazlar ve sağlık profesyonelleri, bu veriyi kayda dönüştüren araç ve uzmanlıktır.
Verinin gerçek sahibi kimdir?
Sağlık verisinin oluşum maliyetini nihai olarak hasta üstlenir; ister nakit, ister özel sağlık sigortası, ister genel sağlık sigortası yoluyla olsun. Verinin kaynağı da beden ve yaşam olarak hastaya ait olduğuna göre, verinin nihai sahibinin hasta olduğu görüşü güçlü bir argümandır. Kurumlar ise bu veriyi KVKK’ya uygun şekilde işlemeye yetkili veri sorumluları olarak görev yapar.
Hastane ve klinikler sağlık verilerini nasıl korumalıdır?
Sağlık kuruluşları; güçlü şifreleme, erişim kontrolü, loglama, yedekleme, düzenli sızma testleri, yazılı politikalar, personel eğitimi ve gizlilik taahhütnameleri gibi teknik ve idari tedbirleri birlikte uygulamalıdır. Ayrıca KVKK’ya uygun aydınlatma, açık rıza yönetimi ve saklama–imha süreçleri tasarlanmalıdır.
Sağlık verileri araştırma için kullanılabilir mi?
Evet, ancak KVKK ve etik kurallar çerçevesinde. Mümkün olan hâllerde veriler anonimleştirilerek kullanılmalı; kişisel veri kullanımı gerektiğinde ise hukuki dayanak, etik kurul onayı, uygun aydınlatma ve gerekirse açık rıza süreçleri işletilmelidir. Amaçla sınırlılık ve ölçülülük ilkeleri her zaman korunmalıdır.
