Özel Nitelikli Sağlık Verilerinin Korunması: KVKK ve Sağlıkta Güvenlik Rehberi

Dijitalleşen sağlık ekosisteminde; bir bireyin sağlık verisi, kimlik numarasından daha hassas, finansal veriden daha kritik konumda. Bu nedenle KVKK; sağlık verisini özel nitelikli kişisel veri olarak konumlandırıyor ve veri sorumlularına çok daha sıkı yükümlülükler yüklüyor.

Bu rehberde; sağlık verisinin kapsamını, KVKK m.6’daki işleme şartlarını, Kurul’un 2018/10 sayılı kararı ile çerçevesi çizilen teknik ve idari tedbirleri, veri ihlali ve yurt dışına aktarım senaryolarını uygulanabilir adımlar üzerinden ele alıyoruz. Amaç; teorik bilgi vermek kadar, sağlık kurumlarının sahada kullanabileceği bir referans çerçeve sunmak.

I. Kişisel Sağlık Verisinin Hukuki Niteliği ve Kapsamı

Sağlık verileri; öğrenilmesi halinde bireyin hayatında ayrımcılığa, dışlanmaya, sigorta ve istihdam alanında dezavantaja veya ciddi itibar kaybına yol açma potansiyeli nedeniyle, KVKK tarafından özel nitelikli kişisel veri olarak sınıflandırılır. Bu özel statü, sağlık verisinin hem hukuken hem de teknik açıdan en üst düzeyde korunmasını zorunlu kılar.

A. Tanım ve Kapsamın Derinleştirilmesi

Kişisel sağlık verisi; bireyin fiziksel ve ruhsal sağlığına ilişkin geçmiş, mevcut ve gelecekteki durumu hakkında bilgi veren ve belirli veya belirlenebilir bir kişiye ait olan her türlü veriyi kapsar. Bu kapsam, yalnızca teşhis ve tedavi notları ile sınırlı değildir:

• Klinik veriler: Tanı ve epikrizler, ameliyat notları, konsültasyon raporları, laboratuvar sonuçları, görüntüleme raporları (MR, BT, röntgen), yoğun bakım kayıtları.
• İdari ve operasyonel veriler: Randevu kayıtları, hasta kabul formları, yatış–taburculuk bilgileri, ilaç kullanım geçmişi, sevk ve reçete bilgileri, provizyon ve faturalama süreçleri.
• Genetik veriler: Genetik test sonuçları, kalıtsal hastalık risk analizleri ve moleküler düzeyde biyolojik örneklerden elde edilen analiz çıktıları.
• Biyometrik veriler: Avuç içi, parmak izi, yüz tanıma, iris taraması vb. sağlık hizmeti bağlamında kimlik doğrulamada kullanılan biyometrik veriler.
• Cinsel hayata ilişkin veriler: Cinsel sağlık, üreme sağlığı, cinsel yönelim gibi bilgiler de özel nitelikli kişisel veri kapsamında en hassas grupta yer alır.

Sağlık verisinin önemi, yalnızca teknik sistemlerdeki değerinden değil, bireyin mahremiyet alanı ve insan onuru ile kurduğu doğrudan ilişkiden kaynaklanır.

II. KVKK Madde 6 ve İşleme Şartlarındaki Sıkı Denetim

KVKK m.6; özel nitelikli kişisel verilerin işlenmesini diğer veri kategorilerinden ayırır ve çok daha sıkı şartlara bağlar. Sağlık verisi bağlamında bu maddeyi doğru okumak, hem günlük operasyonlarda hem de denetim süreçlerinde kritik önemdedir.

1. Açık Rıza ile İşleme

Sağlık verilerinin işlenmesinde genel kural açık rızadır. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır. Örneğin:

• Hastanın tedavi sürecinin anonimleştirilmeden bilimsel yayında kullanılması,
• Sağlık verilerinin pazarlama, kampanya, kişiye özel teklif, memnuniyet anketi gibi amaçlarla işlenmesi,
• Sağlık verilerinin zorunlu olmayan analitik ve profilleme amaçlarıyla üçüncü taraflara aktarılması.

Bu senaryolarda, tedavi veya hizmetin koşulu haline getirilmeyen, geri alınabilir ve ispatlanabilir bir açık rıza mekanizması kurulmalıdır.

2. Açık Rıza Olmaksızın İşleme: Gizlilik Yükümlülüğü Çerçevesi

Sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetilmesi amaçlarıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, açık rıza olmaksızın da işlenebilir.

Hekim, diş hekimi, hemşire, eczacı, psikolog, diyetisyen, sağlık memuru, hastane yönetimi ve ilgili sağlık profesyonelleri; meslek mevzuatları ve etik kuralları gereği sır saklama yükümlülüğü altındadır.

Bir hastanenin; tedavi hizmetini yürütmek, ameliyatı planlamak, yoğun bakım süreçlerini yönetmek veya SGK provizyonu almak için hastanın sağlık verisini işlemesi, KVKK m.6 kapsamındaki istisna dayanağı ile mümkündür ve bu durumda ayrıca açık rıza aranmaz.

3. Amaçla Sınırlılık ve Veri Minimasyonu

Sağlık verisinin işlenmesinde en kritik prensip; amaçla sınırlılık ve veri minimizasyonudur. Veri sorumlusu;

• Belirlenen hukuki amaç dışında veri işleme faaliyetine girişmemeli,
• İhtiyaç duyduğundan daha fazla veri toplamamalı,
• Veriyi, mevzuat veya meşru amaçla ihtiyaç duyulan süre kadar muhafaza etmeli,
• Süre dolduğunda veriyi güvenli şekilde imha etmeli veya anonimleştirmelidir.

III. Veri Sorumlularının Zorunlu Teknik Tedbirleri

Kişisel Verileri Koruma Kurulu’nun 2018/10 sayılı kararı; özel nitelikli kişisel veri işleyen tüm kurumlar için asgari teknik ve idari önlemleri çerçevelendirir. Sağlık kuruluşları, bu çerçeveyi baz alarak kendi risk profiline uygun ek kontroller de tasarlamalıdır.

A. Yetkilendirme, Kimlik Doğrulama ve Log Yönetimi

• Yetki matrisi: HBYS, LIS, RIS, PACS, eczane, çağrı merkezi ve benzeri tüm sistemler için detaylı yetki matrisi oluşturulmalı; her kullanıcı rolü yalnızca görev tanımı kadar erişim hakkına sahip olmalıdır.
• Kişiye özel hesaplar: Ortak kullanıcı adı veya şifre kullanımı engellenmeli; her kullanıcıya özgü, devredilemez hesaplar tanımlanmalıdır.
• Güçlü parola ve MFA: Parolalar karmaşık olmalı, belirli aralıklarla yenilenmeli ve kritik erişimlerde çok faktörlü kimlik doğrulama uygulanmalıdır.
• Loglama ve iz kayıtları: Özel nitelikli sağlık verisine ilişkin tüm görüntüleme, değiştirme, silme, aktarma işlemleri ayrıntılı olarak loglanmalı ve logların bütünlüğü korunmalıdır.

B. Şifreleme, Ağ Güvenliği ve Yedekleme

• Veri şifreleme: Sağlık verileri hem veri tabanlarında (at rest) hem de sistemler arasında taşınırken (in transit) güncel kriptografik algoritmalar ile şifrelenmelidir.
• Ağ segmentasyonu: Hasta verisinin işlendiği ağlar, ziyaretçi veya genel internet trafiğinden ayrıştırılmalı; DMZ ve iç ağ kurgusu güvenlik duvarları ile desteklenmelidir.
• IDS/IPS ve EDR çözümleri: Saldırı tespit ve önleme sistemleri, uç nokta tespit ve müdahale çözümleri aktif şekilde devrede olmalı, olaylar merkezi bir güvenlik platformunda korele edilmelidir.
• Yedekleme ve felaket senaryoları: Yedekler şifreli, izole ve erişimi sınırlı ortamlarda saklanmalı; düzenli test restorasyonları ile felaket senaryoları denenmelidir.
• Güncel yazılım ve yama yönetimi: İşletim sistemleri, HBYS ve diğer uygulamalar güvenlik yamalarıyla güncel tutulmalı; yama yönetimi süreçleri dokümante edilmelidir.

C. Fiziksel Güvenlik ve Ortam Kontrolleri

• Sunucu odaları yalnızca yetkili personele açık olmalı, kartlı geçiş, kamera ve çevresel sensörlerle izlenmelidir.
• Kağıt ortamda tutulan dosyalar kilitli dolaplarda saklanmalı, yetkisiz erişim engellenmelidir.
• Atık kağıtlar, standart çöp yerine, imha protokolüne uygun şekilde shredder veya profesyonel imha hizmetiyle yok edilmelidir.

IV. Veri Sorumlularının Zorunlu İdari Tedbirleri

Teknik tedbirler kadar; politika, prosedür, organizasyon ve insan kaynağı tarafındaki idari uygulamalar da özel nitelikli sağlık verisinin korunmasında belirleyici rol oynar.

A. Dokümantasyon ve Politika Yönetimi

• Kişisel Veri Envanteri ve VERBİS kaydı: Tüm işleme faaliyetleri; veri kategorileri, amaçlar, saklama süreleri ve alıcı grupları ile birlikte envantere işlenmeli ve VERBİS’e yansıtılmalıdır.
• Kişisel Veri İşleme, Saklama ve İmha Politikası: Özel nitelikli veriler için saklama süreleri, maskeleme ve anonimleştirme yöntemleri açıkça tanımlanmalıdır.
• Bilgi güvenliği politikası: Parola, erişim, yedekleme, mobil cihaz kullanımı, evden çalışma, uzak erişim gibi başlıklar net kurallarla belirlenmelidir.

B. İnsan Kaynağı, Eğitim ve Farkındalık

• Gizlilik taahhütnameleri: Sağlık verisine erişen tüm çalışanlar, stajyerler ve dış hizmet sağlayıcılar ile gizlilik taahhütnamesi imzalanmalı, taahhüdün yaptırımsal boyutu netleştirilmelidir.
• Düzenli eğitimler: Hedef kitleye özel hazırlanmış KVKK, özel nitelikli veri güvenliği, sosyal mühendislik ve siber hijyen eğitimleri periyodik olarak verilmelidir.
• Görev değişikliği ve işten ayrılma süreçleri: Personel görev değişikliğinde veya işten ayrıldığında tüm erişim yetkileri aynı gün içerisinde kaldırılmalı, zimmetli cihaz ve evraklar teslim alınmalıdır.

C. Süreç Denetimi ve İç Kontrol Mekanizmaları

• Hasta yolculuğundaki tüm temas noktaları (kabul, muayene, tetkik, yatış, taburcu, faturalama) KVKK uyumu açısından periyodik denetime tabi tutulmalıdır.
• Örneklem esaslı log incelemeleri ile olağan dışı erişimler tespit edilmelidir.
• İhlal vakaları ve “neredeyse ihlal” sayılabilecek olaylar kayıt altına alınmalı, kök neden analiziyle tekrar etmesi engellenmelidir.

V. Özel Nitelikli Sağlık Verilerinde Veri İhlali Yönetimi

Özel nitelikli sağlık verilerine ilişkin ihlaller; yalnızca idari para cezası riskini değil, kuruma duyulan güvenin sarsılmasını ve ciddi hukuki süreçleri de beraberinde getirir. Bu nedenle veri ihlali yönetimi, önceden tasarlanmış ve test edilmiş bir süreç olarak ele alınmalıdır.

A. Tespit, Sınırlama ve Delil Koruma

• İhlalin fark edilmesiyle birlikte; etkilenen sistemler izole edilmeli, yetkisiz erişim kanalları kapatılmalı ve ek veri kaybı önlenmelidir.
• Sistem logları, güvenlik cihazı kayıtları ve ilgili diğer deliller; müdahaleyi engellemeyecek şekilde korunmalı ve kopyalanmalıdır.

B. KVKK ve İlgili Kişilere Bildirim

• Veri sorumlusu; ihlali öğrendiği andan itibaren en kısa sürede ve Kurul’un beklentilerine uygun olarak, ihlale ilişkin temel bilgileri içeren bildirimi Kurum’a iletmelidir.
• Etkilenen ilgili kişilere; ihlalin niteliği, muhtemel sonuçları ve alınan önlemler hakkında uygun iletişim kanalları üzerinden bilgilendirme yapılmalıdır.

C. Kök Neden Analizi ve İyileştirme

• İhlal veya girişim sonrası kök neden analizi yapılarak, kontrol boşlukları belirlenmelidir.
• Politika, prosedür, teknik tedbir ve eğitim planları; bu analiz sonuçlarına göre güncellenmelidir.

VI. Özel Nitelikli Sağlık Verilerinin Yurt Dışına Aktarımı

Sağlık verilerinin; uluslararası konsültasyonlar, yurtdışı tedavi süreçleri, global klinik araştırmalar veya bulut tabanlı sağlık bilgi sistemleri nedeniyle yurt dışına aktarılması gündeme gelebilir. Bu senaryolarda, KVKK’nın yurt dışına aktarım hükümleri ve varsa GDPR başta olmak üzere yabancı veri koruma mevzuatı birlikte değerlendirilmelidir.

A. Açık Rıza ve Diğer Hukuki Mekanizmalar

• En yalın yol; ilgili kişinin, aktarım yapılacak ülke, kurum, amaç ve kapsam hakkında bilgilendirilerek açık rızasının alınmasıdır.
• Açık rıza alınamadığı veya uygun olmadığı durumlarda; Kurul onaylı taahhütnameler, bağlayıcı şirket kuralları veya güvenli ülke listeleri gibi mekanizmalar gündeme gelir.

B. Sözleşmesel ve Teknik Güvence Katmanları

• Yurt dışındaki veri alıcısı ile yapılan sözleşmelerde; amaç sınırlaması, tekrar aktarma yasağı, güvenlik tedbirleri, denetim ve ihlal bildirimi hükümleri açıkça yer almalıdır.
• Aktarım sırasında uçtan uca şifreleme, güvenli protokoller ve güçlü kimlik doğrulama mekanizmaları uygulanmalıdır.

VII. Güvenlik Kültürü ve Sürekli Uyum

Özel nitelikli sağlık verilerinin korunması; kampanya mantığında ele alınacak geçici bir proje değil, yaşayan bir uyum programıdır. Sağlık kuruluşları ve dijital sağlık şirketleri için en güçlü savunma; teknik tedbirleri, idari süreçleri ve çalışan farkındalığını aynı çatı altında bütünleştiren bir güvenlik kültürü oluşturmaktır.

Nesil Teknoloji olarak; hastane, klinik, tıp merkezi, laboratuvar, eczane ve sağlık teknolojisi firmalarına yönelik, özel nitelikli veri odaklı KVKK uyum projeleri, risk analizleri, politika–prosedür tasarımı, eğitim ve denetim hizmetleri sunuyoruz. Kurumunuzun olgunluk seviyesine göre ölçeklenebilir, sürdürülebilir ve denetime hazır bir uyum mimarisi inşa etmek mümkün.

Özetle; özel nitelikli sağlık verisini korumak, sadece kanuna uyum değil, hastaya ve topluma karşı verilen etik bir söztür.