Single Blog Title

This is a single blog caption

Hastaneler ve Klinikler İçin KVKK Yükümlülükleri: Hasta Verilerinin Korunması

Giriş

Hastaneler, klinikler, muayenehaneler, diş klinikleri, estetik merkezleri, laboratuvarlar, görüntüleme merkezleri, psikolojik danışmanlık merkezleri, fizik tedavi merkezleri ve benzeri sağlık hizmeti sunucuları, kişisel verilerin en yoğun ve en hassas şekilde işlendiği kurumlardır. Bir hastanın ad-soyad, T.C. kimlik numarası, telefon numarası, adresi, randevu bilgisi, ödeme bilgisi, sigorta bilgisi, reçetesi, tahlil sonucu, radyoloji görüntüsü, teşhisi, ameliyat geçmişi, kullandığı ilaçlar, alerji bilgisi, psikiyatrik değerlendirme kaydı, gebelik bilgisi, genetik verisi veya biyometrik verisi sağlık kuruluşu tarafından işlenebilir.

Bu verilerin önemli bir bölümü yalnızca “kişisel veri” değil, aynı zamanda özel nitelikli kişisel veri niteliğindedir. Sağlık verileri, öğrenilmesi halinde kişinin ayrımcılığa uğramasına, sosyal çevresinde mağduriyet yaşamasına, iş hayatında zarar görmesine veya özel hayatının ihlal edilmesine neden olabileceği için KVKK kapsamında daha sıkı koruma altındadır. Kişisel Verileri Koruma Kurumu da özel nitelikli kişisel verilerin, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık veya mağduriyete neden olabilecek nitelikte olduğunu ve diğer kişisel verilere göre daha sıkı korunması gerektiğini belirtmektedir.

Bu nedenle hastaneler ve klinikler için KVKK uyumu, yalnızca internet sitesine bir “KVKK metni” eklemekten ibaret değildir. Hasta verilerinin hangi amaçla işlendiği, hangi hukuki sebebe dayanıldığı, hangi birimlerin bu verilere erişebildiği, verilerin Sağlık Bakanlığı sistemleriyle, laboratuvarlarla, sigorta şirketleriyle, hekimlerle, eczanelerle, tedarikçilerle veya yurt dışındaki hizmet sağlayıcılarla paylaşılıp paylaşılmadığı açık şekilde belirlenmelidir. Sağlık Bakanlığı tarafından yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik de Bakanlığın merkez ve taşra teşkilatı ile buna bağlı sağlık hizmeti sunucularında kişisel sağlık verilerine ilişkin süreçlerde uyulacak usul ve esasları düzenlemek üzere 21.06.2019 tarihli Resmî Gazete’de yayımlanmıştır.

Hasta Verisi Nedir?

Hasta verisi, sağlık hizmeti almak isteyen veya sağlık hizmetinden yararlanan kişiye ilişkin her türlü bilgiyi ifade eder. Bu kapsamda yalnızca hastalığa ilişkin kayıtlar değil, hastanın kimlik bilgileri, iletişim bilgileri, randevu kayıtları, hasta kabul belgeleri, onam formları, laboratuvar sonuçları, radyoloji görüntüleri, epikriz raporları, reçeteler, ödeme bilgileri, özel sağlık sigortası bilgileri, çağrı merkezi kayıtları ve kamera görüntüleri de hasta verisi olabilir.

Hasta verileri içinde en hassas grup, sağlık verileridir. Sağlık verisi; kişinin fiziksel veya ruhsal sağlığına ilişkin her türlü bilgidir. Tahlil sonuçları, kan grubu, kronik hastalık bilgisi, psikiyatrik tedavi geçmişi, ameliyat bilgisi, gebelik bilgisi, HIV testi, genetik hastalık riski, kanser tanısı, ilaç kullanımı, engellilik raporu ve tedavi planı bu kapsamdadır. Sağlık verileri, KVKK bakımından özel nitelikli kişisel veri sayılır. Kanunda özel nitelikli kişisel veriler sınırlı sayıda belirtilmiş olup, kişinin sağlığı, cinsel hayatı, biyometrik ve genetik verileri de bu kapsamda düzenlenmiştir.

Bu nedenle sağlık kuruluşlarının hasta verilerini işlerken sıradan ticari işletmelerden daha dikkatli hareket etmesi gerekir. Bir e-ticaret sitesinin müşteriye ait teslimat adresini işlemesi ile bir hastanenin hastaya ait onkoloji raporunu işlemesi aynı hassasiyette değildir. Hasta verisinin yanlış kişiye gönderilmesi, ilgisiz personele açılması, WhatsApp gruplarında paylaşılması, sosyal medyada kullanılması veya reklam amacıyla işlenmesi ağır hukuki sonuçlar doğurabilir.

Sağlık Verileri Hangi Hukuki Sebeple İşlenebilir?

Hastaneler ve klinikler sağlık verilerini çoğu zaman teşhis, tedavi, bakım, randevu, hasta kabul, laboratuvar, görüntüleme, ameliyat, reçete, faturalandırma ve sağlık hizmetinin planlanması amacıyla işler. Ancak her veri işleme faaliyeti için doğru hukuki sebep belirlenmelidir.

KVKK’da özel nitelikli kişisel verilerin işlenmesi için özel şartlar düzenlenmiştir. 7499 sayılı Kanun ile 6698 sayılı Kanun’un 6. maddesinde değişiklik yapılmış ve özel nitelikli kişisel verilerin işlenmesine ilişkin şartlar genişletilmiştir. Kişisel Verileri Koruma Kurumu, bu değişiklik sonrasında özel nitelikli kişisel veri işleyen veri sorumlularının doğru hukuki sebebe dayanması için “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” yayımlamıştır.

Sağlık verilerinin işlenmesinde açık rıza her zaman tek hukuki sebep değildir. KVKK kapsamında bazı hallerde sağlık verileri açık rıza olmadan da işlenebilir. Özellikle kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından sağlık verilerinin işlenmesi mümkün olabilir. KVKK Kurumu, sağlık verilerinin özel nitelikli kişisel veri olduğunu ve ancak Kanunda sayılan sınırlı hallerde işlenebileceğini açıkça belirtmektedir.

Ancak sağlık hizmeti sunumu için gerekli olan veri işleme ile reklam, pazarlama, sosyal medya paylaşımı, hasta yorumlarının kullanılması, klinik tanıtımı veya üçüncü kişilerle gereksiz paylaşım aynı şey değildir. Hastanın tedavisi için tahlil sonucunun hekime gösterilmesi hukuka uygun olabilirken, aynı tahlil sonucunun yanlışlıkla başka bir hastaya gönderilmesi veya ilgisiz kişilere açıklanması hukuka aykırı veri aktarımı oluşturabilir.

Açık Rıza Ne Zaman Gerekir?

Sağlık sektöründe en sık yapılan hatalardan biri, her işlem için hastadan genel bir açık rıza alınmasıyla tüm veri işleme faaliyetlerinin hukuka uygun hale geldiğinin düşünülmesidir. Oysa açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olmalıdır. “Sağlık verilerimin her türlü amaçla işlenmesine ve paylaşılmasına izin veriyorum” şeklindeki genel ifadeler hukuki risk taşır.

Açık rıza özellikle sağlık hizmetinin zorunlu unsuru olmayan veri işleme faaliyetlerinde gündeme gelebilir. Örneğin hastanın fotoğrafının sosyal medya hesabında “öncesi-sonrası” görseli olarak paylaşılması, tedavi sürecinin reklam amacıyla kullanılması, hasta yorumunun isim ve görselle yayımlanması, sağlık verilerinin bilimsel araştırma veya pazarlama amacıyla işlenmesi, hastaya kampanya mesajları gönderilmesi veya açık rıza dışında hukuki sebep bulunmayan bazı yurt dışı aktarım faaliyetleri açık rıza gerektirebilir.

Bununla birlikte açık rıza alınmış olsa bile veri işleme faaliyeti ölçülü olmalıdır. Hasta rıza verdi diye sağlık kuruluşu hastanın tüm sağlık geçmişini sınırsız süreyle saklayamaz, ilgisiz personelle paylaşamaz veya reklam amacıyla geniş şekilde kullanamaz. Açık rıza, KVKK’nın hukuka uygunluk, dürüstlük, belirli ve meşru amaç, ölçülülük ve gerekli süre kadar muhafaza ilkelerini ortadan kaldırmaz.

Hastane ve Klinik Aydınlatma Metni Nasıl Hazırlanmalıdır?

Hastane ve kliniklerin en temel yükümlülüklerinden biri aydınlatma yükümlülüğüdür. Aydınlatma metni, hastaya verilerinin kim tarafından, hangi amaçla, hangi hukuki sebebe dayanılarak, hangi yöntemlerle işlendiğini, kimlere aktarılabileceğini ve KVKK kapsamındaki haklarını açıklamalıdır. KVKK Kurumu’nun 08 Haziran 2026 tarihli kamuoyu duyurusunda, aydınlatma metinlerinde anlaşılır, açık ve sade dil kullanılması; genel, muğlak, eksik veya yanıltıcı bilgilere yer verilmemesi gerektiği belirtilmiştir. Aynı duyuruda “işleme amacı” ile “hukuki sebep”in ayrı unsurlar olduğu da özellikle vurgulanmıştır.

Sağlık kuruluşlarında tek bir genel aydınlatma metni çoğu zaman yeterli olmaz. Hasta kabul aydınlatması, çalışan aydınlatması, ziyaretçi/kamera aydınlatması, internet sitesi çerez aydınlatması, çağrı merkezi aydınlatması, iş başvurusu aydınlatması ve açık rıza gerektiren özel süreçler ayrı ayrı değerlendirilmelidir. Örneğin hasta kabul sırasında kimlik ve iletişim verileri, sağlık hizmetinin yürütülmesi amacıyla işlenir; kamera kayıtları güvenlik amacıyla işlenir; internet sitesindeki iletişim formu verileri randevu veya talep yönetimi amacıyla işlenir; sosyal medya tanıtımı için hasta görsellerinin kullanılması ise ayrı açık rıza gerektirebilir.

Aydınlatma metninde veri aktarım süreçleri de açıkça gösterilmelidir. Sağlık verileri; hekimler, laboratuvarlar, görüntüleme merkezleri, eczaneler, özel sigorta şirketleri, kamu kurumları, anlaşmalı hizmet sağlayıcılar, avukatlar veya mali müşavirler ile paylaşılabilir. Ancak her aktarımın amacı ve alıcı grubu açıkça belirtilmelidir. KVKK Kurumu, kişisel verilerin aktarımı söz konusu olduğunda aktarımın amacı ve alıcı gruplarına aydınlatmada ayrıca yer verilmesi gerektiğini açıklamaktadır.

Hasta Verilerinin Üçüncü Kişilerle Paylaşılması

Hasta verileri, yalnızca görev ve yetki gereği erişmesi gereken kişilerle paylaşılmalıdır. Hastanın sağlık verilerine doktor, hemşire, hasta kabul personeli, laboratuvar personeli, muhasebe veya sigorta birimi gibi farklı kişiler erişebilir; ancak bu erişim sınırsız olmamalıdır. Her personel yalnızca görevi için gerekli olan verilere erişebilmelidir.

Özellikle aile bireyleriyle bilgi paylaşımı dikkatli yürütülmelidir. Hastanın yakını, eşi, anne-babası veya çocuğu olması, otomatik olarak tüm sağlık verilerine erişim hakkı vermez. Hasta bilincini kaybetmişse, acil müdahale gerekiyorsa veya mevzuattan kaynaklanan bir zorunluluk varsa farklı değerlendirme yapılabilir; ancak normal şartlarda hastanın sağlık bilgisinin yakınlarına açıklanması için hukuki dayanak bulunmalıdır.

Kişisel Verileri Koruma Kurulu’nun 20.05.2020 tarihli ve 2020/407 sayılı kararında, hastaya ait tahlil sonuçlarının sağlıkla ilgili özel nitelikli kişisel veri olduğu ve hukuki dayanak olmadan üçüncü kişiye aktarılmasının KVKK’ya aykırılık oluşturduğu değerlendirilmiştir. Bu karar, tahlil sonucu, rapor, reçete, epikriz veya görüntüleme sonucunun yanlış kişiye gönderilmesinin dahi ciddi sorumluluk doğurabileceğini göstermektedir.

Bu nedenle hastaneler ve klinikler, SMS, e-posta, hasta portalı, WhatsApp, çağrı merkezi ve fiziksel evrak teslimi süreçlerinde kimlik doğrulama mekanizması kurmalıdır. Tahlil sonucu e-posta ile gönderiliyorsa adres doğrulaması yapılmalı, gerekiyorsa şifreleme kullanılmalı; hasta yakınına teslim yapılacaksa yetkilendirme kontrol edilmelidir.

WhatsApp, SMS ve E-Posta ile Hasta Bilgisi Paylaşımı

Sağlık kuruluşlarında pratiklik nedeniyle WhatsApp üzerinden randevu, tahlil sonucu, fotoğraf, reçete veya ödeme bilgisi paylaşılabildiği görülmektedir. Ancak sağlık verilerinin WhatsApp veya benzeri uygulamalar üzerinden kontrolsüz paylaşılması ciddi risk taşır. Bu platformların yurt dışı bağlantısı, uçtan uca şifreleme yapısı, cihaz güvenliği, ekran görüntüsü riski, yanlış kişiye gönderim ihtimali ve veri saklama politikaları ayrıca değerlendirilmelidir.

E-posta ile sağlık verisi gönderilecekse, özel nitelikli kişisel verilerin aktarımı için Kurul’un 2018/10 sayılı kararında belirtilen yeterli önlemler dikkate alınmalıdır. Bu karara göre özel nitelikli kişisel verilerin e-posta ile aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılması; taşınabilir bellek, CD veya DVD gibi ortamlarla aktarımda kriptografik yöntemlerle şifreleme yapılması; farklı sunucular arasında aktarımda VPN veya sFTP gibi yöntemlerin kullanılması gerekir.

SMS ile gönderilen bilgilendirmelerde de dikkatli olunmalıdır. Randevu hatırlatma mesajı ile teşhis, test sonucu veya tedavi ayrıntısı içeren mesaj aynı değildir. Randevu hatırlatma için sınırlı bilgi gönderilebilirken, “onkoloji test sonucunuz çıktı” gibi bir mesajın telefon başkasının elindeyken görünmesi mahremiyet ihlaline yol açabilir. Bu nedenle sağlık kuruluşları mesaj içeriklerini veri minimizasyonu ilkesine uygun düzenlemelidir.

Sağlık Kuruluşlarında Kamera Kaydı ve Ziyaretçi Verileri

Hastaneler ve klinikler güvenlik amacıyla kamera kaydı alabilir. Ancak kamera kayıtları da kişisel veri niteliğindedir. Ayrıca sağlık kuruluşları bakımından kamera görüntüleri daha hassas hale gelebilir; çünkü bir kişinin belirli bir kliniğe, psikiyatri merkezine, tüp bebek merkezine, onkoloji servisine veya estetik kliniğine girdiğinin görülmesi dahi sağlık durumu hakkında dolaylı bilgi verebilir.

Bu nedenle kamera sistemi ölçülü kurulmalıdır. Giriş, koridor, bekleme alanı ve güvenlik riski bulunan yerlerde kamera kullanımı gerekçelendirilebilir; ancak muayene odası, işlem odası, hasta odası, emzirme odası, tuvalet, soyunma alanı veya mahremiyet beklentisinin yüksek olduğu yerlerde kamera kullanımı ciddi hukuki risk doğurur.

Kamera bulunan alanlarda katmanlı aydınlatma yapılmalıdır. Görünür uyarı levhalarında veri sorumlusu, kayıt amacı ve ayrıntılı aydınlatma metnine erişim bilgisi bulunmalı; kamera kayıtlarının ne kadar süre saklandığı ve kimlerin erişebileceği ayrıca düzenlenmelidir. KVKK Kurumu, aydınlatmanın kolay erişilebilir ve fark edilebilir olması gerektiğini, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemlerden kaçınılması gerektiğini belirtmektedir.

Özel Nitelikli Veriler İçin Alınması Gereken Teknik ve İdari Tedbirler

Sağlık verileri özel nitelikli kişisel veri olduğu için hastaneler ve klinikler daha yüksek güvenlik standardı uygulamalıdır. KVKK Kurulu’nun 2018/10 sayılı kararında özel nitelikli kişisel veriler için ayrı politika ve prosedür oluşturulması, bu verilerle çalışan personele düzenli eğitim verilmesi, gizlilik sözleşmeleri yapılması, erişim yetkilerinin net tanımlanması, periyodik yetki kontrolleri yapılması ve görev değişikliği ya da işten ayrılma halinde yetkilerin derhal kaldırılması gerektiği belirtilmiştir.

Elektronik ortamda tutulan sağlık verileri için kriptografik yöntemler, güvenli loglama, güvenlik güncellemeleri, düzenli testler, kullanıcı yetkilendirmesi ve uzaktan erişimde en az iki kademeli kimlik doğrulama gibi tedbirler önemlidir. Fiziksel ortamda tutulan hasta dosyaları için ise arşiv güvenliği, yangın, su baskını, hırsızlık, yetkisiz giriş-çıkış ve gizlilik dereceli evrak gönderimi gibi önlemler alınmalıdır.

Kliniklerde en sık karşılaşılan risklerden biri, hasta dosyalarına gereğinden fazla personelin erişebilmesidir. Resepsiyon personelinin yalnızca randevu ve iletişim bilgilerine erişmesi yeterliyken tüm tahlil sonuçlarını görebilmesi ölçüsüz olabilir. Muhasebe personelinin ödeme ve fatura bilgisine erişmesi gerekebilir; ancak hastanın ayrıntılı teşhis kayıtlarına erişmesi çoğu durumda gerekli değildir. Bu nedenle görev bazlı erişim yetkilendirmesi yapılmalıdır.

Hasta Verilerinin Saklanması ve İmha Süreci

Hasta verileri süresiz şekilde saklanamaz. Ancak sağlık hizmetlerinin niteliği gereği bazı kayıtların uzun süre muhafaza edilmesi gerekebilir. Saklama süresi belirlenirken sağlık mevzuatı, tıbbi kayıt yükümlülükleri, zamanaşımı süreleri, olası malpraktis iddiaları, fatura ve muhasebe kayıtları, sigorta süreçleri ve kamu kurumlarına bildirim yükümlülükleri birlikte değerlendirilmelidir.

Hastane veya klinik, her veri kategorisi için saklama süresi belirlemelidir. Randevu kayıtları, hasta dosyaları, aydınlatılmış onam formları, tahlil sonuçları, radyoloji görüntüleri, ödeme kayıtları, çağrı merkezi kayıtları, kamera kayıtları ve pazarlama izinleri aynı süreyle saklanmak zorunda değildir. Kamera kayıtlarının uzun süre tutulması çoğu durumda ölçüsüz olabilirken, tıbbi kayıtların daha uzun süre saklanması gerekebilir.

Saklama süresi sona eren veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. “Belki lazım olur” düşüncesiyle tüm hasta verilerini sınırsız süre saklamak KVKK’ya aykırı sonuç doğurabilir. İmha işlemleri kayıt altına alınmalı, elektronik ve fiziki arşivler düzenli kontrol edilmelidir.

Veri İhlali Halinde Hastane ve Klinik Ne Yapmalıdır?

Sağlık kuruluşlarında veri ihlali çok ağır sonuçlar doğurabilir. Hasta dosyalarının çalınması, hastane bilgi yönetim sistemine siber saldırı yapılması, laboratuvar sonuçlarının yanlış kişiye gönderilmesi, hekimin kişisel telefonunda bulunan hasta fotoğraflarının ele geçirilmesi, e-posta hesabının hacklenmesi veya hasta kayıtlarının internette yayımlanması veri ihlali niteliği taşıyabilir.

KVKK’ya göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmek zorundadır. KVKK Kurumu, Kurul’un 24.01.2019 tarihli ve 2019/10 sayılı kararı gereğince veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirim yapması gerektiğini açıklamaktadır.

Sağlık verisi içeren ihlallerde bildirim süreci daha hassas yürütülmelidir. İhlalden etkilenen kişi sayısı, veri kategorileri, ihlalin ne zaman başladığı ve tespit edildiği, alınan önlemler ve ilgili kişilerin hangi kanaldan bilgi alabileceği açıklanmalıdır. KVKK Kurumu’nun 2026 tarihli bir veri ihlali duyurusunda, tıbbi cihaz şikâyetlerinde yer alan hastalara ait verilerin ihlale konu olduğu ve etkilenen veri kategorileri arasında sağlık bilgilerinin de bulunduğu açıklanmıştır.

Bu nedenle hastane ve kliniklerin veri ihlali müdahale planı olmalıdır. Bilgi işlem, hukuk, kalite, hasta ilişkileri, yönetim ve ilgili tıbbi birimler kriz anında birlikte hareket etmelidir. İhlal saklanmamalı, deliller korunmalı, teknik analiz yapılmalı, Kurul ve ilgili kişilere bildirim değerlendirilmelidir.

Sağlık Verilerinin Reklam ve Sosyal Medyada Kullanılması

Klinikler, özellikle estetik, diş, saç ekimi, dermatoloji ve obezite cerrahisi gibi alanlarda hasta fotoğraflarını tanıtım amacıyla kullanmak isteyebilir. Ancak hastanın “öncesi-sonrası” görüntüsü, tedavi sonucu, yüz fotoğrafı veya işlem videosu sağlık verisiyle bağlantılı olabilir. Bu tür paylaşımlar ciddi KVKK ve hasta mahremiyeti riski taşır.

Hastanın fotoğrafının yüzü kapatılmış olsa bile, dövme, iz, ses, klinik tarihi, işlem türü veya başka ayırt edici bilgilerle kişi belirlenebilir hale gelebilir. Bu nedenle sosyal medya paylaşımı için açık, ayrı, belirli ve ispatlanabilir rıza alınmalıdır. Hasta, hangi görselin hangi platformda, hangi amaçla, ne kadar süreyle yayımlanacağını bilmelidir. Rıza vermemesi halinde sağlık hizmetinden mahrum bırakılmamalıdır.

Ayrıca sağlık kuruluşları hasta yorumlarını ve başarı hikâyelerini kullanırken de dikkatli olmalıdır. “X hastamızın kanser tedavisi başarıyla tamamlandı” veya “Y hastamız burun estetiğinden sonra…” gibi paylaşımlar, kişinin kimliğini açık etmese bile sağlık bilgisi içerdiği için risk doğurabilir. Reklam ve tanıtım faaliyetleri KVKK yanında sağlık mevzuatı ve meslek kuralları bakımından da ayrıca değerlendirilmelidir.

Çalışan Verileri ve Sağlık Kuruluşları

Hastaneler ve klinikler yalnızca hasta verisi değil, çalışan verisi de işler. Hekimler, hemşireler, teknisyenler, hasta kabul personeli, temizlik personeli, güvenlik görevlileri ve idari personel hakkında kimlik, iletişim, bordro, özlük dosyası, sağlık raporu, mesleki yeterlilik, diploma, sertifika, vardiya, performans ve disiplin kayıtları tutulabilir.

Sağlık kuruluşlarında çalışanların da sağlık verileri veya özel nitelikli verileri işlenebilir. İşe giriş sağlık raporları, periyodik muayene kayıtları, aşı bilgileri, iş kazası kayıtları ve mesleki risk değerlendirmeleri buna örnektir. Bu veriler, çalışan aydınlatma metninde ayrıca açıklanmalı ve yalnızca iş sağlığı-güvenliği veya istihdam yükümlülükleri için gerekli olduğu ölçüde işlenmelidir.

Çalışanların hasta verilerine erişimi de ayrıca kontrol edilmelidir. Her çalışan tüm hasta verilerini görememelidir. Özellikle eski çalışanların HBYS, laboratuvar sistemi, e-posta ve arşiv erişimleri derhal kapatılmalıdır. KVKK Kurulu’nun özel nitelikli verilere ilişkin 2018/10 sayılı kararında, görev değişikliği olan veya işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması gerektiği açıkça belirtilmiştir.

Yurt Dışına Veri Aktarımı ve Bulut Sistemleri

Sağlık kuruluşları hasta takip yazılımı, bulut yedekleme, tele-tıp altyapısı, çağrı merkezi sistemi, randevu yazılımı, e-posta servisi, görüntüleme arşivi veya yapay zekâ destekli analiz araçları kullanıyorsa yurt dışına veri aktarımı ihtimali ayrıca incelenmelidir. Sağlık verilerinin yurt dışına aktarımı, özel nitelikli veri niteliği nedeniyle daha sıkı değerlendirilmelidir.

KVKK Kurumu, bulut hizmet sağlayıcılar aracılığıyla kullanılan platformlarda veri merkezlerinin çoğunlukla yurt dışında bulunabileceğini ve bu durumda KVKK’nın yurt dışına aktarım hükümlerine uygun hareket edilmesi gerektiğini daha önce duyurularında vurgulamıştır.

Bu nedenle kliniklerin “programı dışarıdan aldık, verinin nerede tutulduğunu bilmiyoruz” demesi yeterli değildir. Kullanılan yazılımın sunucusu nerede, alt hizmet sağlayıcıları kimler, destek ekibi hangi ülkeden erişiyor, veriler şifreli mi, yedekler nerede tutuluyor, yurt dışı aktarım için hangi mekanizma kullanılıyor, bunlar sözleşmeyle düzenlenmelidir.

Hastaneler ve Kliniklerin En Sık Yaptığı KVKK Hataları

Sağlık kuruluşlarında en sık yapılan ilk hata, hastaya genel bir form imzalatılarak tüm veri işleme süreçlerinin hukuka uygun hale geldiğinin düşünülmesidir. Oysa aydınlatma, açık rıza ve tıbbi onam farklı hukuki işlemlerdir.

İkinci hata, hasta verilerine gereğinden fazla personelin erişebilmesidir. Hasta kabul personeli, muhasebe, hekim, hemşire ve laboratuvar personeli farklı erişim seviyelerine sahip olmalıdır.

Üçüncü hata, tahlil sonuçlarının, raporların veya fotoğrafların WhatsApp ve kişisel e-posta üzerinden kontrolsüz paylaşılmasıdır. Özel nitelikli veriler için güvenli aktarım yöntemleri kullanılmalıdır.

Dördüncü hata, sosyal medya tanıtımı için hasta görsellerinin yetersiz rızayla kullanılmasıdır. Hasta fotoğrafı, tedavi süreci veya işlem sonucu açık rıza olmadan reklam malzemesi yapılamaz.

Beşinci hata, veri saklama sürelerinin belirlenmemesidir. Kamera kaydı, çağrı kaydı, randevu kaydı, hasta dosyası ve ödeme kaydı aynı süreyle saklanmamalıdır.

Altıncı hata, veri ihlali planı olmamasıdır. Sağlık verisi ihlalinde hızlı bildirim ve kriz yönetimi hayati önem taşır.

Yedinci hata, yurt dışı sunucu veya bulut yazılım kullanımının KVKK m.9 bakımından analiz edilmemesidir. Özellikle sağlık verisi içeren sistemlerde bu konu ayrıca risklidir.

Sonuç

Hastaneler ve klinikler için KVKK uyumu, hasta mahremiyetinin ve sağlık hizmetine duyulan güvenin temel şartlarından biridir. Sağlık verileri özel nitelikli kişisel veri olduğu için, bu verilerin işlenmesi, saklanması, aktarılması ve imha edilmesi sıradan kişisel verilere göre daha sıkı kurallara tabidir. Sağlık kuruluşları, hasta verilerini yalnızca belirli, açık ve meşru amaçlarla; doğru hukuki sebebe dayanarak; ölçülü ve güvenli şekilde işlemelidir.

Aydınlatma metinleri açık ve anlaşılır hazırlanmalı, açık rıza gereken durumlar ayrıca belirlenmeli, tıbbi onam ile KVKK açık rızası karıştırılmamalıdır. Tahlil sonuçları, sağlık raporları, reçeteler, görüntüleme kayıtları ve hasta fotoğrafları üçüncü kişilerle paylaşılırken çok dikkatli olunmalıdır. Kurul’un tahlil sonuçlarının hukuka aykırı aktarımına ilişkin 2020/407 sayılı kararı, sağlık verilerinin yanlış kişiye veya hukuki dayanak olmadan üçüncü kişiye gönderilmesinin ciddi sorumluluk doğurabileceğini göstermektedir.

Sağlık kuruluşları ayrıca özel nitelikli veriler için Kurul’un 2018/10 sayılı kararında belirtilen teknik ve idari tedbirleri uygulamalı; erişim yetkilerini sınırlandırmalı, personel eğitimleri vermeli, gizlilik taahhütleri almalı, verileri şifreli ve güvenli ortamlarda saklamalı, veri aktarımını güvenli yöntemlerle gerçekleştirmeli ve veri ihlali halinde 72 saatlik Kurul bildirimi süresini dikkate almalıdır.

Sonuç olarak, hastaneler ve klinikler için KVKK uyum süreci yalnızca yasal yaptırımlardan korunmak için değil; hasta güvenini korumak, sağlık hizmetinin mahremiyetini sağlamak ve kurum itibarını güçlendirmek için de zorunludur. Doğru kurulmuş bir KVKK sistemi; hasta kabulden tahlil sonucuna, kamera kaydından sosyal medya paylaşımına, çalışan erişiminden veri ihlali yönetimine kadar tüm sağlık hizmeti süreçlerini güvenli, şeffaf ve hukuka uygun hale getirir.

Leave a Reply

Call Now Button