Sağlık Hizmetlerinde KVKK Uyum Kişisel Sağlık Verileri, Yönetmelik ve Uygulama Riskleri
Sağlık hizmetleri alanında kişisel sağlık verileri, 6698 sayılı Kanun kapsamında özel nitelikli kişisel veri olarak sınıflandırılır. Bu nedenle işleme, erişim, aktarım ve saklama süreçleri; sır saklama yükümlülüğü, yetkili kurum/kuruluş sınırları ve teknik-idari tedbirler açısından daha yüksek bir uyum standardı gerektirir.
Bu rehber; KVKK m.6 çerçevesindeki işleme şartlarını, Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamını ve Kurul’un 2018/10 sayılı kararı ile belirlenen yeterli tedbir yaklaşımını; sahadaki tipik senaryolar (112, işyeri hekimi/İK, COVID-19, bildirim yükümlülüğü) üzerinden uygulamaya dönük biçimde ele alır. İstanbul başta olmak üzere Türkiye genelinde faaliyet gösteren sağlık kuruluşları, işverenler ve hizmet sağlayıcılar için pratik bir çerçeve sunar.
Sağlık verisi: Özel nitelikli kişisel veridir; kural olarak açık rıza olmadan işlenemez.
İstisna: KVKK m.6/2 kapsamında, kamu sağlığı/koruyucu hekimlik/teşhis-tedavi/bakım ve sağlık finansmanı yönetimi için,
sır saklama yükümlülüğü altındakiler veya yetkili kurum/kuruluşlarca rıza aranmadan işlenebilir.
Yönetmelik: Erişim, gizlilik, düzeltme, imha, aktarım ve güvenlik usullerini düzenler.
2018/10: Özel nitelikli verilerde ek güvenlik tedbirleri ve süreç disiplinini zorunlu kılar.
Sağlık verilerinde uyum; yalnızca aydınlatma metni değil, uçtan uca rol-yetki, kayıt izleri, erişim kontrolü, aktarımı güvenceye alma ve imha mekanizmasıdır.
1. Sağlık Verisi Nedir? KVKK m.6 İşleme Şartları
KVKK’ya göre sağlık verileri (ve cinsel hayata ilişkin veriler) özel nitelikli kişisel veri kapsamında değerlendirilir. Özel nitelikli verilerin işlenmesi, kural olarak ilgili kişinin açık rızası olmaksızın yasaktır.
Bununla birlikte KVKK m.6 çerçevesinde sağlık ve cinsel hayata ilişkin kişisel veriler; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri ve finansmanının planlanması/yönetimi amaçlarıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, ilgili kişinin açık rızası aranmaksızın işlenebilir.
Kurumsal Uygulama Açısından Kritik Ayrım
Sağlık verisinin rıza aranmaksızın işlenebilmesi, her durumda serbest bir işleme yetkisi anlamına gelmez. Bu istisnanın uygulanabilmesi için:
- İşlemenin amaçla sınırlı olması (teşhis-tedavi/bakım ve planlama ile bağlantılı),
- İşlemenin yetkili aktör tarafından yapılması (sır saklama yükümlülüğü / yetkili kurum),
- Gizlilik ve veri güvenliği tedbirlerinin ölçülebilir şekilde işletilmesi,
- Erişimlerin kayıt altına alınması ve gerektiğinde denetlenebilir olması
gereklidir. Sağlık verisi işleme süreçlerinde “rol” ve “yetki” doğru kurgulanmadığında, iyi niyetli iş akışları dahi uyumsuzluk riski üretir.
2. Kişisel Sağlık Verileri Hakkında Yönetmelik: Kapsam ve İlkeler
Sağlık Bakanlığı merkez ve taşra teşkilatı birimleri ile sağlık hizmeti sunucularının kişisel sağlık verilerine erişimi ve bu verileri işlemesine ilişkin usul ve esaslar, Kişisel Sağlık Verileri Hakkında Yönetmelik ile düzenlenmiştir. Yönetmelik; verilerin işlenmesi, erişim, gizlilik, düzeltme, imha, aktarım, bilimsel amaçlarla kullanım ve veri güvenliği gibi temel başlıkları çerçeveler.
Yönetmelik Perspektifinden Kurumsal Sorumluluk Alanları
Yönetmelik yaklaşımı, sağlık verilerinin yaşam döngüsünü uçtan uca ele alır. Kurumların uygulamada netleştirmesi gereken başlıklar şunlardır:
- Erişim yönetimi: Hangi birimlerin hangi kayıtları hangi koşullarda görebileceği,
- Gizlilik ve kayıt izleri: Erişimlerin loglanması, anomali tespiti ve denetim izi,
- Düzeltme ve imha: Yanlış kayıtların düzeltilmesi, saklama süreleri ve imha prosedürleri,
- Aktarım yönetimi: Kurum içi/dışı aktarım kanalları, şifreleme ve yetkilendirme,
- Bilimsel amaçlı kullanım: Amaç sınırlılığı, veri minimizasyonu, anonimleştirme/pseudonimleştirme yaklaşımları.
3. Uygulamadaki Kritik Senaryolar ve Hukuki Çatışmalar
Mevzuat çerçevesi belirli olsa da, sağlık verilerinin işlenmesine ilişkin sahada bazı uygulama problemleri ortaya çıkabilmektedir. Bu durum çoğu zaman “aciliyet”, “iş sürekliliği” ve “yetkili aktör” unsurlarının aynı anda yönetilememesinden kaynaklanır.
Senaryo 1: 112 Acil Çağrı Merkezine Bildirim
Trafik kazasına tanık olan bir kişi, 112 ile iletişime geçtiğinde kazazedenin bilinci, kanama durumu veya hayati risk gibi sağlık bilgileri talep edilebilir. Ancak tanık kişi; sır saklama yükümlülüğü altında bulunan kişiler kapsamında değilse ve kazazede bilinci yerinde olmadığı için açık rıza alınamıyorsa, sahada “veri işleme yetkisi” açısından tereddütler doğabilmektedir.
Senaryo 2: COVID-19 ve İşverenin Önlem Alma Yükümlülüğü
Pandemi döneminde işverenlerin işyerinde gerekli önlemleri alması; 6331 sayılı İş Sağlığı ve Güvenliği Kanunu kapsamında sürekli güncellenen koşullara uyum, ayrıca TBK m.417 çerçevesinde işçinin korunması yükümlülüğü ile ilişkilidir. Buna karşın, çalışanların sağlık verilerinin açık rıza olmaksızın işveren veya yöneticiler tarafından işlenmesi, KVKK kapsamında risk doğurur.
KVKK perspektifinde çalışanların sağlık verileri; işyeri hekimi veya diğer sağlık çalışanları aracılığıyla, kamu sağlığının korunması ve koruyucu hekimlik amaçlarıyla belirli şartlarda işlenebilmektedir. Ancak her işyerinde sürekli işyeri hekimi bulunmaması veya verinin işveren birimlerine (ör. İK) aktarımı noktasında açık rıza tartışması, uygulamada zorluk yaratır.
Senaryo 3: İstirahat Raporu ve İK Süreçleri
İşyeri hekimi tarafından düzenlenen istirahat raporunun İK’ya iletilmesi halinde; rapor sağlık verisi içerdiğinden, İK’nın bu veriyi hangi kapsamda işleyebileceği netleştirilmelidir. Aksi halde “ücret/puantaj” gibi iş süreçleri ile “özel nitelikli veri” yönetimi çakışabilir.
Senaryo 4: Bulaşıcı Hastalık Bildirimi ve Sır Saklama Çatışması
1593 sayılı Umumi Hıfzıssıhha Kanunu kapsamında bulaşıcı ve salgın hastalıklarla mücadelede bildirim yükümlülükleri bulunur. Bu bildirim yükümlülüğü kapsamındaki bazı aktörlerin sır saklama yükümlülüğü olmaması, “bildirim sırasında sağlık verisi işlenmesi” riskini doğurabilir. Kurumlar; bildirim süreçlerinde veri minimizasyonu, kayıt izleri ve yetkili kanallar üzerinden aktarım mekanizmasını netleştirmelidir.
4. 2018/10 Yeterli Tedbirler: Politika, Süreç ve Güvenlik
KVKK m.6/4 kapsamında özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli tedbirlerin Kurul tarafından belirleneceği hüküm altına alınmıştır. Kurul’un 31.01.2018 tarihli 2018/10 sayılı kararı ile; sağlık verileri dahil özel nitelikli verilerde veri sorumlularınca alınması gereken tedbirler belirlenmiştir. Bu tedbirler, pratikte “ek güvenlik katmanı” ve “süreç disiplinini” zorunlu kılar.
Yeterli Tedbirler Kapsamında Öne Çıkan Başlıklar
- Politika ve prosedür: Özel nitelikli veriler için ayrı politika/işleyiş dokümantasyonu oluşturulması,
- Rol-yetki matrisi: Özel nitelikli veri işleyen personelin yetkilerinin sınırlandırılması ve düzenli gözden geçirilmesi,
- Erişim ve kimlik doğrulama: Güçlü kimlik doğrulama, yetki ayrıştırma, kritik erişimlerin kayıt altına alınması,
- Teknik güvenlik: Şifreleme, güvenli aktarım kanalları, yedekleme, loglama ve izleme mekanizmaları,
- İnsan faktörü: Özel nitelikli veri süreçlerinde görev alan personele düzenli eğitim ve gizlilik taahhüdü,
- Aktarım güvenliği: Verinin iletimi söz konusu ise kanal güvenliği, erişim kayıtları ve doğrulama adımları.
| Kontrol Alanı | Beklenen Uygulama | Operasyonel Çıktı |
|---|---|---|
| Yetkilendirme | Asgari yetki, görev bazlı erişim, düzenli yetki gözden geçirme | Erişim daraltma ve izlenebilirlik |
| Kayıt İzleri (Log) | Erişim logları, anomali uyarıları, saklama süreleri | Denetim izi ve olay müdahale kabiliyeti |
| Aktarım | Şifreli kanal, alıcı doğrulama, veri minimizasyonu | Yetkisiz ifşa riskinin azaltılması |
| İmha | Saklama süresi takibi, silme/yok etme/anonimleştirme kanıtı | Yaşam döngüsü uyumu |
| İnsan Faktörü | Eğitim, gizlilik taahhüdü, süreç bazlı farkındalık | Hata kaynaklı ihlallerin düşürülmesi |
5. Sağlık Kuruluşları ve İşverenler İçin Uyum Planı
Sağlık verilerinde uyum çalışması, mevzuat metinlerinin kopyalanması değil; kurumun fiili süreçlerine entegre edilen bir uyum mimarisidir. Aşağıdaki adımlar, sağlık hizmet sunucuları ve işverenler için uygulanabilir bir yol haritası sunar:
1. Veri Envanteri ve Rol-Yetki Haritası
Kişisel sağlık verilerinin hangi süreçte, hangi amaçla, kim tarafından, hangi sistemde işlendiği; veri kategorisi/kişi grubu bazında envanterlenmelidir. Erişimler rol bazlı tanımlanmalı, kritik erişimler için ek kontrol mekanizmaları uygulanmalıdır.
2. Hukuki Dayanak ve Aydınlatma Kurgusu
KVKK m.6 kapsamındaki istisna şartları süreç bazlı değerlendirilmelidir. Açık rıza gerektiren ve gerektirmeyen işleme faaliyetleri ayrıştırılmalı; aydınlatma metinleri ve gerekli hallerde açık rıza metinleri iş akışına entegre edilmelidir.
3. 2018/10 Tedbirleriyle Uyumlu Teknik ve İdari Kontroller
Özel nitelikli veriler için ayrı politika/prosedür seti oluşturulmalı; erişim kontrolü, loglama, güvenli aktarım, yedekleme ve imha mekanizmaları uygulanabilir ve denetlenebilir şekilde kurgulanmalıdır. Personel eğitimleri ve gizlilik taahhütleri süreklilik arz etmelidir.
4. İhlal ve Olay Müdahale Akışı
Sağlık verilerinde veri ihlali riski yüksek olduğundan; tespit, sınıflandırma, kanıt toplama, etki analizi ve bildirim adımları netleştirilmelidir. Hizmet alınan tedarikçiler (veri işleyenler) için bildirim süreleri ve sorumluluklar sözleşmelerde açıkça yazılmalıdır.
5. Aktarım ve Üçüncü Taraf Yönetimi
Laboratuvar, görüntüleme merkezi, bulut hizmeti, çağrı merkezi, yazılım sağlayıcı gibi üçüncü taraflarla çalışılıyorsa; veri işleyen sözleşmeleri, alt yüklenici yönetimi, aktarım kanalı güvenliği ve denetim hakları uçtan uca kurulmalıdır.
6. Sık Sorulan Sorular (SSS)
Sağlık verisi her durumda açık rıza ile mi işlenir?
Kural olarak evet; ancak KVKK m.6 kapsamındaki istisna şartları sağlanıyorsa (kamu sağlığı/koruyucu hekimlik/teşhis-tedavi/bakım ve finansman planlaması, sır saklama yükümlülüğü altındakiler veya yetkili kurum/kuruluşlar) açık rıza aranmadan işlenebilir.
İşyeri hekimi veriyi işleyebilir ama İK işleyemez mi?
Sağlık verisi “özel nitelikli” olduğu için İK’nın erişimi ve işleme kapsamı sınırlı değerlendirilmelidir. Uygulamada İK’ya “asgari bilgi” aktarımı, rol bazlı erişim ve gereksiz teşhis detaylarının paylaşılmaması uyum seviyesini artırır.
COVID-19 gibi salgın durumlarında işveren sağlık verisi işleyebilir mi?
İşverenin İSG yükümlülükleri bulunsa da, sağlık verisinin işlenmesi KVKK m.6 şartlarına tabidir. Süreç; işyeri hekimi/sağlık çalışanı üzerinden, amaçla sınırlı ve asgari veri yaklaşımıyla kurgulanmalı; işveren birimlerine aktarım gerektiren hallerde kapsam netleştirilmelidir.
2018/10 kararının pratikte karşılığı nedir?
Özel nitelikli veriler için ek politika/prosedür, daraltılmış yetkilendirme, güçlü kimlik doğrulama, loglama, güvenli aktarım, eğitim ve gizlilik taahhütleri gibi “yüksek güvenlik standardı” beklentisini ifade eder.
Sağlık verilerinde aktarım yaparken en kritik kontrol nedir?
Alıcı doğrulaması ve güvenli kanal (şifreleme), veri minimizasyonu, erişim kayıtları ve aktarımın amaçla sınırlılığı en kritik kontrollerdir. Aktarım süreçleri dokümante edilmeli ve denetlenebilir olmalıdır.
Sağlık kuruluşları uyuma nereden başlamalı?
Öncelikle veri envanteri çıkarılmalı, rol-yetki haritası oluşturulmalı, KVKK m.6 işleme şartları süreç bazlı ayrıştırılmalı, 2018/10 tedbirleriyle uyumlu teknik-idari kontrol seti kurulmalı ve ihlal/olay müdahale akışı tanımlanmalıdır.
