Sağlık Sektöründe KVKK: Hasta Verisi Koruma Yükümlülükleri Rehberi
Bir hastanın kan tahlili sonuçları, kronik rahatsızlık geçmişi veya kullandığı ilaçların listesi; bunların hepsi o kişiye ait en mahrem bilgilerdir. Sağlık sektöründe çalışan herkes —doktordan hemşireye, eczacıdan laboratuvar teknisyenine— bu verilere her gün dokunur. Peki, bu verilerin dijital ortamda nasıl korunması gerektiğini gerçekten biliyor muyuz?
6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu), sağlık verilerini “Özel Nitelikli Kişisel Veri” olarak sınıflandırır ve en üst düzey koruma gerektirir. Bu rehberde, hastaneler, klinikler, eczaneler ve laboratuvarlar için KVKK uyum sürecini, 2024 güncellemelerini ve pratik adımları samimi bir dille anlatacağız.
Neden Önemli? Sağlık verileri KVKK’da en yüksek koruma seviyesine sahip
veri kategorisidir. Bir ihlal durumunda 13.6 milyon TL’ye kadar idari para
cezası ve hapis cezası riski bulunmaktadır.
Kimi İlgilendiriyor? Hastaneler, klinikler, muayenehaneler, eczaneler,
laboratuvarlar, sağlık sigortası şirketleri ve sağlık teknolojisi firmaları.
Temel İlke: Sağlık verisi, sır saklama yükümlülüğü altındaki
kişiler tarafından işlenmelidir.
1. Özel Nitelikli Kişisel Veri: Sağlık Verisi Neden “Ayrıcalıklı”?
KVKK’nın 6. maddesi, bazı veri türlerini “özel nitelikli” olarak tanımlar. Bunlar; ırk, etnik köken, siyasi düşünce, din, dernek üyeliği, sağlık ve cinsel hayat verileri gibi kategorilerdir. Sağlık verileri bu listenin en hassas unsurlarından biridir.
Peki tam olarak hangi veriler “sağlık verisi” sayılır? Aslında düşündüğünüzden çok daha geniş bir tanımdır:
| Veri Türü | Örnekler |
|---|---|
| Tıbbi Geçmiş | Geçirilen ameliyatlar, kronik hastalıklar, aile sağlık hikayesi |
| Teşhis ve Tedavi | Laboratuvar sonuçları, röntgen/MR görüntüleri, reçeteler, tedavi planları |
| İlaç Bilgileri | Kullanılan ilaçlar, alerjiler, yan etki raporları |
| Biyometrik Veri | Parmak izi (HES kodu dahil), retina taraması, DNA profili |
| Psikolojik Veriler | Psikiyatri notları, psikolojik test sonuçları, terapi kayıtları |
2. Hasta Verisini Hangi Hukuki Sebeplerle İşleyebilirsiniz?
Sağlık alanında en büyük soru şudur: “Her hasta için tek tek açık rıza mı alacağız?” Cevap: Her zaman değil. KVKK, sağlık sektörüne özel istisnalar tanımıştır. Ancak bu istisnaları anlamadan kullanmak tehlikelidir.
Kural: Açık Rıza (m.6/2)
Özel nitelikli kişisel veriler kural olarak açık rıza olmadan işlenemez. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Örneğin, hastanın araştırma amaçlı verisinin kullanılması için mutlaka yazılı rıza alınmalıdır.
İstisna: Sır Saklama Yükümlülüğü Altında İşleme (m.6/3)
KVKK’nın 6. maddesinin 3. fıkrası, sağlık sektörü için hayati önem taşıyan bir istisnadır. Buna göre sağlık verileri, açık rıza alınmadan şu amaçlarla işlenebilir:
- Kamu Sağlığının Korunması: Salgın hastalık takibi, zorunlu bildirimler (örn: bulaşıcı hastalık bildirimi).
- Koruyucu Hekimlik: Aşı takip programları, tarama testleri.
- Tıbbi Teşhis, Tedavi ve Bakım: Hastanın muayenesi, ameliyat notları, tedavi süreci. Bu, en yaygın kullanılan istisnadır.
- Sağlık Hizmetlerinin Planlanması ve Yönetimi: Hastane kapasitesi planlama, SGK ile finansman süreçleri.
Gri Alan: Pazarlama ve Kampanyalar
Bir diş kliniğinin hastalarına “Diş beyazlatma kampanyamızdan yararlanın!” SMS’i göndermesi, tıbbi teşhis ve tedavi kapsamında değerlendirilemez. Bu tamamen pazarlama faaliyetidir ve mutlaka açık rıza gerektirir. Üstelik ETK (Ticari İleti) izni de ayrıca alınmalıdır.
3. Aydınlatma Yükümlülüğü: Hastayı Bilgilendirme
Açık rıza alsanız da almasanız da, hasta verisini işlediğiniz her durumda KVKK m.10 uyarınca aydınlatma yapmak zorundasınız. Aydınlatma, hastaya “Senin verini şu amaçla, şu şekilde işliyorum” demenin resmi yoludur.
Sağlık Kuruluşları İçin Aydınlatma Kontrol Listesi
- Veri Sorumlusu Kimliği: Hastanenin veya kliniğin tam ticari unvanı, adresi ve iletişim bilgileri.
- İşleme Amacı: “Tıbbi teşhis ve tedavi”, “fatura/SGK işlemleri”, “yasal arşiv yükümlülüğü” gibi amaçlar ayrı ayrı belirtilmeli.
- Aktarım Yapılacak Taraflar: SGK, Sağlık Bakanlığı, anlaşmalı laboratuvarlar, sigorta şirketleri gibi üçüncü taraflar açıkça yazılmalı.
- Toplanma Yöntemi ve Hukuki Sebep: “Muayene sırasında sözlü beyan ve klinik gözlemle, tıbbi teşhis hukuki sebebine dayanarak…”
- Hasta Hakları: Veriye erişim, düzeltme, silme talep etme ve itiraz hakları.
4. Teknik ve İdari Tedbirler: Veriyi Nasıl Koruyacaksınız?
KVKK’nın 12. maddesi, veri sorumlusunu hem teknik hem de idari tedbirler almakla yükümlü kılar. Sağlık sektöründe bu tedbirler, verinin hassasiyeti nedeniyle çok daha kritiktir.
Teknik Tedbirler
- Veri Şifreleme: Hasta kayıtları hem aktarım sırasında (TLS/SSL) hem de depolama sırasında (AES-256) şifrelenmelidir.
- Erişim Kontrolü: Her personelin sadece göreviyle ilgili verilere erişmesini sağlayan rol tabanlı yetkilendirme (RBAC) sistemi kurulmalı.
- Log Takibi: Hasta dosyasına kim, ne zaman erişti? Bu loglar değiştirilemez biçimde saklanmalı.
- Güvenlik Duvarı ve Antivirüs: Hastane bilgi sistemi (HBYS) sunucularına yetkisiz erişimi engelleyin.
- Yedekleme: Düzenli yedekleme yapın ve yedeklerin de şifreli olmasını sağlayın.
İdari Tedbirler
- Personel Eğitimi: Tüm sağlık personeli, yılda en az bir kez KVKK farkındalık eğitimi almalıdır.
- Gizlilik Sözleşmesi: Hasta verisine erişen herkes (taşeron dahil) gizlilik taahhütnamesi imzalamalı.
- Veri İşleme Envanteri: Hangi veriyi, neden, ne kadar süreyle işlediğinizi belgeleyen bir envanter oluşturun.
- İmha Politikası: Saklama süresi dolan verilerin güvenli silinmesi için yazılı prosedür belirleyin.
- İç Denetim: Yılda en az bir kez KVKK uyum denetimi yapın.
Saklama Süreleri: Ne Kadar Tutmalı?
| Veri Türü | Yasal Saklama Süresi | Dayanak |
|---|---|---|
| Hasta dosyaları | En az 20 yıl | Yataklı Tedavi Kurumları İşletme Yönetmeliği |
| Reçete kayıtları | 5 yıl | İlaç Takip Sistemi (İTS) Yönetmeliği |
| Radyolojik görüntüler | 10 yıl | Radyoloji Yönetmeliği |
| CCTV kayıtları (güvenlik) | En fazla 2 yıl | Kurul kararları |
5. Veri İhlali Durumunda Ne Yapmalı?
Bir siber saldırı, çalınan dizüstü bilgisayar veya yanlışlıkla gönderilen bir e-posta; sağlık verisinin sızdığı her durumda hızlı ve doğru hareket etmeniz gerekir.
- 72 Saat Kuralı: Veri ihlalini öğrendiğiniz andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na (KVKK Kurulu) bildirimde bulunmalısınız.
- İlgili Kişilere Bildirim: İhlalden etkilenen hastaları “en kısa sürede” bilgilendirmelisiniz. Bu bildirimde; hangi verilerin etkilendiği, ne tür riskler olduğu ve hastanın ne yapabileceği açıkça belirtilmelidir.
- Soruşturma ve Aksiyon: İhlalin kaynağını tespit edin, açığı kapatın ve tekrarını önlemek için gerekli teknik düzeltmeleri yapın. Tüm süreci belgelendirin.
6. 2024 Yılı KVKK Güncellemeleri: Sağlık Sektörünü Ne Etkiliyor?
1 Haziran 2024 tarihinde yürürlüğe giren KVKK değişiklikleri, sağlık sektörünü doğrudan etkileyen önemli düzenlemeler içermektedir:
Özel Nitelikli Veri İşleme Şartlarında Genişleme
Değişiklik öncesinde, özel nitelikli veriler için “kamu sağlığının korunması” gibi amaçlar zaten mevcuttu. 2024 düzenlemesiyle bu istisnalar korunmuş, ancak uygulama kapsamı Kurul kararlarıyla netleştirilmiştir. Özellikle tıbbi cihaz verileri ve e-Nabız sistemi üzerinden yapılan veri paylaşımlarının hukuki çerçevesi daha açık hale getirilmiştir.
Yurt Dışına Veri Aktarımı
Sağlık sektörü için kritik bir değişiklik: Eğer hasta verilerini yurt dışındaki bir bulut sunucusunda (örneğin AWS, Azure) saklıyorsanız veya yabancı bir teletıp platformu kullanıyorsanız, artık “açık rıza” tek başına yeterli değildir. Aktarım yapılacak ülkenin yeterli koruma düzeyine sahip olması veya standart sözleşmeler ile güvence sağlanması gerekmektedir.
Artan Ceza Miktarları
2024 güncellemesiyle birlikte idari para cezaları yeniden belirlenmiştir. Özel nitelikli verilerin hukuka aykırı işlenmesi veya yeterli güvenlik tedbirlerinin alınmaması durumunda 13.6 milyon TL’ye kadar para cezası uygulanabilir. Ayrıca TCK m.136 (Verileri Hukuka Aykırı Verme veya Ele Geçirme) kapsamında hapis cezası riski de bulunmaktadır.
7. Sık Sorulan Sorular (SSS)
Hasta yakınları hastanın tıbbi bilgilerini isteyebilir mi?
Hastanın kendisi 18 yaşından büyük ve bilinci açıksa, tıbbi bilgileri yalnızca hastanın kendisine verilir. Hastanın yazılı onayı olmadan yakınlarına veya üçüncü kişilere paylaşım yapılamaz. İstidna: Hastanın bilinci kapalıysa veya hayati tehlike varsa, yasal temsilcisi veya yakını bilgilendirilebilir.
Eczaneler de KVKK kapsamında mı?
Evet. Eczaneler, reçete bilgileri ve ilaç kullanım verileri üzerinden hasta sağlık verisi işlemektedir. Eczacı da sır saklama yükümlülüğü altındadır. Ancak pazarlama (örn: “İndirimli vitaminler” SMS’i) için mutlaka açık rıza ve ETK izni gerekir.
Hastane bilgi sistemi (HBYS) sağlayıcısı veri sorumlusu mu?
Hayır. HBYS sağlayıcısı “Veri İşleyen”dir. Asıl “Veri Sorumlusu” hastane veya kliniktir. Ancak HBYS firmasıyla mutlaka yazılı bir Veri İşleme Sözleşmesi imzalamalısınız. Bu sözleşmede güvenlik tedbirleri, erişim yetkileri ve ihlal bildirimi prosedürleri yer almalıdır.
Teletıp (Online Muayene) uygulamalarında KVKK durumu nedir?
Teletıp hizmeti sunarken görüntülü görüşme, ses kaydı ve paylaşılan tıbbi belgeler dahil tüm veriler özel nitelikli kişisel veri kapsamındadır. Platform seçerken uçtan uca şifreleme sağlayan ve verilerini Türkiye’deki sunucularda saklayan çözümleri tercih edin. Yurt dışı sunucu kullanıyorsanız, standart sözleşme veya yeterlilik kararı şarttır.
Araştırma amaçlı hasta verisi kullanılabilir mi?
Bilimsel araştırma için hasta verisi kullanmak mümkündür, ancak iki yol vardır: (1) Hastanın açık rızasını almak veya (2) Veriyi tamamen anonimleştirmek (kişiyle ilişkilendirilemez hale getirmek). Anonim veri, KVKK kapsamı dışındadır. Ancak “takma adlaştırma” (pseudonymization) yeterli değildir; verinin geri dönüşümsüz olarak anonimleştirilmesi gerekir.
Bu rehber bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Sağlık kuruluşunuza özel durumlar için mutlaka bir KVKK uzmanına veya sağlık hukukçusuna danışınız.
Nesil Teknoloji © 2024
