Sigorta Şirketinde Sağlık Verisi İhlali KVKK 2020/935 (08.12.2020) Karar Özeti
Bu içerik, Kişisel Verileri Koruma Kurulu’nun 08/12/2020 tarihli ve 2020/935 sayılı karar özetindeki olay akışını; ihlal türü (sehven paylaşım), etkilenen veri kategorileri (sağlık dahil), tespit yöntemi (DLP) ve bildirim/aksiyon yükümlülükleri çerçevesinde kurumsal bir rehber formatında açıklar.
Karara konu olay, bir müşterinin sağlık poliçesi yenileme talebi sırasında, çağrı merkezi tarafından sehven başka bir müşteriye ait poliçe muafiyet bildiriminin iletilmesiyle gerçekleşmiştir. Bu iletimle, konunun tarafı olmayan kişiye özel nitelikli kişisel veri niteliği taşıyabilecek sağlık bilgisi aktarılmıştır.
İhlal tipi: Çağrı merkezi kaynaklı sehven iletim (yanlış kişiye gönderim).
Tespit: DLP (Veri Kaybı Önleme) düzenli kontrolleri sırasında fark edildi.
Etkilenen kişi: 1 kişi (müşteri).
Etkilenen veri: Kimlik, iletişim ve sağlık kategorileri; poliçe muafiyet bilgisinde sağlık bilgisi/şüphesi yer aldı.
Sonuç: 72 saat içinde bildirim yükümlülüğü yerine getirildiği için bu aşamada yaptırım uygulanmadı; ancak bildirim ve silme/temizleme adımları için tevsik istenerek talimat verildi.
1. Olay Özeti ve Zaman Çizelgesi
Karara konu olayda, sağlık yenileme talebinde bulunan bir müşteriye ilişkin süreçte, Müşteri İletişim Merkezi (Çağrı Merkezi) tarafından sehven başka bir müşteriye ait poliçe muafiyet bildirimi iletilmiştir. Böylece, konunun tarafı olmayan bir kişiye sağlık içeriği barındıran bilgi aktarılmıştır.
| Adım | Açıklama | Operasyonel Not |
|---|---|---|
| İhlalin oluşması | Çağrı merkezi tarafından yanlış müşteriye poliçe muafiyet bildirimi iletildi. | Tipik kök neden: yanlış kişi seçimi, yanlış dosya/şablon, kopyala-yapıştır veya kontrol eksikliği. |
| Tespit | DLP düzenli kontrollerinde görevli tarafından ihlal fark edilerek ilgili birimlere iletildi. | DLP/izleme mekanizması, “sehven paylaşım” olaylarında kritik erken uyarı sağlar. |
| Bildirim süreci | Veri sorumlusu, 72 saat içinde Kuruma bildirim yükümlülüğünü yerine getirdi. | Bildirim, olayı yönetmek kadar “kayıt altına alma ve ispat” açısından da önemlidir. |
| İlgili kişiye bildirim & temizlik | İlgili kişiye bildirim yapılması ve yanlış alıcı nezdinde silme/temizleme adımlarının tevsiki istendi. | “Silindi” beyanı yerine, mümkünse kanıt (log, yazılı teyit, ekran görüntüsü vb.) gerekir. |
2. Etkilenen Veri Kategorileri ve Risk Seviyesi
Kurul özetine göre ihlalden etkilenen kişisel veriler; kimlik, iletişim ve sağlık kategorilerindedir. Sehven iletilen poliçe muafiyet bildiriminde, ilgili kişinin poliçe kapsamında olmayan rahatsızlıklarına dair bilgi yer almakta; bu nedenle olay sağlık verisi işlenmesini içermektedir.
| Veri Kategorisi | Bu Olaydaki Karşılığı | Risk Notu |
|---|---|---|
| Kimlik | Müşteriyi tanımlamaya yarayan bilgiler (ör. ad-soyad vb.) | Yanlış kişiye iletimde “doğrudan ifşa” riski. |
| İletişim | İletim kanalı nedeniyle ortaya çıkabilecek iletişim bilgileri | Hatalı alıcıya tekrar erişim/iletişim riski. |
| Sağlık | P oliçe muafiyetinde yer alan rahatsızlık/şüphe bilgisi | Özel nitelikli veri; mahremiyet, ayrımcılık ve itibar riski doğurabilir. |
2.1. Etkilenen Kişi Sayısı
İhlalden etkilenen kişi sayısı 1’dir. Ancak sayı düşük olsa da, veri kategorisinin hassas olması nedeniyle olayın etkisi yönetimsel açıdan önemlidir.
3. Hukuki Çerçeve: KVKK m.12 ve Bildirim Yükümlülüğü
KVKK’nın 12. maddesi, veri sorumlusunun kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü düzenler. Veri ihlali gerçekleştiğinde ise, ilgili düzenlemeler ve Kurul uygulaması çerçevesinde en kısa sürede bildirim ve risk azaltma adımları beklenir.
- Önleme: Çağrı merkezi süreçlerinde yanlış kişiye gönderimi engelleyecek kontroller (doğrulama, çift kontrol, otomatik maskeleme).
- Tespit: DLP, log analizi, örnekleme denetimleri, kalite izleme kayıtları.
- Müdahale: Yanlış alıcıya ulaşma, silme/geri çağırma, erişimi kesme, olay kaydı oluşturma, bildirim metinleri.
- İspat: Yapılan işlemlerin tevsiki (tarih/saat, kim yaptı, hangi aksiyon alındı, sonuç).
4. Kurul Değerlendirmesi: Neden Yaptırım Uygulanmadı?
Kurul özetinde; ihlalden 1 kişinin etkilendiği, etkilenen verilerin kimlik, iletişim ve sağlık olduğu, veri sorumlusunun ise 72 saat içinde Kuruma bildirim yükümlülüğünü yerine getirdiği dikkate alınarak bu aşamada veri sorumlusu hakkında KVKK m.12 kapsamında yapılacak bir işlem bulunmadığına karar verildiği ifade edilmiştir.
4.1. Buna Rağmen Talimatlandırılan Hususlar
Kararda ayrıca, veri sorumlusunun:
- İlgili kişiye bildirim yapılması,
- Sehven gönderilen müşteri nezdinde verilerin silindiğine dair,
- Bu işlemlerin yapıldığını gösteren tevsik edici belgelerin Kuruma iletilmesi
hususlarında talimatlandırıldığı belirtilmiştir.
5. Uyum, Riskler ve En İyi Uygulamalar
Bu karar, “teknik siber saldırı” değil; operasyonel hata / insan hatası kaynaklı bir ihlal örneğidir. Bu nedenle uyum yaklaşımı, yalnızca siber güvenlik kontrolleriyle sınırlı kalmamalı; süreç tasarımı ve kalite kontrol katmanlarıyla güçlendirilmelidir.
5.1. Başlıca Riskler
- Mahremiyet ihlali: Sağlık verisinin yanlış kişiye aktarımı.
- İtibar riski: Müşteri güveninin zedelenmesi.
- Ayrımcılık/etik risk: Sağlık bilgisi üzerinden olumsuz kanaat oluşması.
- Tekrar riski: Aynı hata sınıfının (yanlış kişiye gönderim) tekrarı.
5.2. Uygulanabilir Kontrol Listesi
| Kontrol | Önerilen Uygulama | Hedeflenen Etki |
|---|---|---|
| İki adımlı doğrulama | Gönderim öncesi müşteri kimliği + iletişim kanalı (telefon/e-posta) çapraz kontrolü | Yanlış kişiye gönderimi azaltır |
| Şablon/ek kontrolü | Poliçe muafiyet gibi hassas dokümanlarda “doğru ek/doğru kişi” uyarısı + otomatik eşleştirme | Sehven ek/şablon hatasını azaltır |
| Maskeleme | Çağrı merkezi ekranlarında gereksiz alanları kapatma, hassas sağlık alanlarını rol bazlı sınırlama | Gereksiz ifşayı azaltır |
| DLP + uyarı kuralı | Sağlık terimleri/anahtar kelimeler içeren içeriklerin dışa çıkışında uyarı/karantina | Erken tespit + önleme |
| Eğitim & senaryo tatbikatı | Çağrı merkezi için düzenli KVKK + “yanlış alıcı” tatbikatı (playbook) | Hata farkındalığı + hızlı müdahale |
| Tevsik paketi | Olay kayıt formu, zaman çizelgesi, ilgili kişi bildirimi, yanlış alıcı silme teyidi | Denetimde ispat kolaylığı |
6. Sık Sorulan Sorular
Sehven yanlış kişiye gönderim “veri ihlali” sayılır mı?
Evet. Kişisel verinin, konunun tarafı olmayan bir kişiye aktarılması “yetkisiz paylaşım” niteliği taşıyabilir. Özellikle sağlık verisi gibi hassas kategorilerde ihlal olarak ele alınmalı ve olay müdahale süreci işletilmelidir.
Etkilenen kişi sayısı 1 ise bildirim yapmak yine de gerekir mi?
Sayı tek başına belirleyici değildir. Veri türü, risk ve olası sonuçlar dikkate alınır. Bu kararda da özel nitelikli olabilecek sağlık verisi söz konusu olduğundan bildirim ve tevsik süreçleri önem kazanmıştır.
“Verileri sildik” demek yeterli mi?
Genellikle hayır. Kurumsal pratikte “silme/temizleme” adımı kanıtlanabilir olmalıdır. Yazılı teyit, log kaydı, ekran görüntüsü veya sistemsel rapor gibi tevsik edici belgeler saklanmalıdır.
Çağrı merkezi süreçlerinde en kritik önlem nedir?
“Yanlış kişiye gönderim” riskini azaltan doğrulama adımı (çift kontrol) ve hassas dokümanlarda otomatik eşleştirme/uyarı mekanizmaları genellikle en hızlı etkiyi sağlar.
Kaynak (Kurul kararı özeti): https://www.kvkk.gov.tr/Icerik/7019/2020-935
İncelemek isterseniz: https://www.nesilteknoloji.com/veri-ihlalinden-sonra-kimliginizi-nasil-koruyabilirsiniz/
