Sağlık Verilerinin Korunması ve Bilişim Hukuku Açısından Önemi
Giriş
Sağlık verileri, kişisel veriler içinde en hassas ve en güçlü korunması gereken veri gruplarından biridir. Bir kişinin hastalığı, teşhisi, tedavi geçmişi, kullandığı ilaçlar, laboratuvar sonuçları, genetik özellikleri, psikiyatrik durumu, ameliyat bilgileri, gebelik durumu, cinsel sağlığı, engellilik bilgisi, kan grubu, radyolojik görüntüleri ve sağlık raporları yalnızca teknik bilgi değildir; kişinin özel hayatı, sosyal konumu, iş ilişkileri, aile hayatı, sigorta durumu ve kişilik hakları üzerinde doğrudan etki doğurabilecek nitelikte bilgilerdir.
Bu nedenle sağlık verilerinin korunması, sadece KVKK uyumu meselesi değildir. Aynı zamanda hasta mahremiyeti, özel hayatın gizliliği, tıbbi sır, hekimlik meslek etiği, hasta hakları, hastane yönetimi, siber güvenlik, bilişim suçları ve tazminat hukuku ile doğrudan bağlantılıdır. Sağlık verilerinin hukuka aykırı şekilde ele geçirilmesi, paylaşılması veya sızdırılması hâlinde mağdurun yalnızca mahremiyeti ihlal edilmez; kişi sosyal damgalanma, iş kaybı, sigorta sorunu, aile içi sorunlar, psikolojik zarar ve maddi kayıplarla da karşılaşabilir.
Türkiye’de sağlık verilerinin korunması bakımından temel düzenlemelerden biri 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. KVKK m.6’ya göre kişilerin sağlık verileri özel nitelikli kişisel veri kapsamındadır. Özel nitelikli kişisel veriler, hukuka aykırı işlendiğinde ilgili kişi bakımından ayrımcılık veya ciddi mağduriyet doğurabilecek veri kategorileridir. Sağlık verileri de bu nedenle sıradan iletişim veya kimlik bilgilerinden çok daha yüksek koruma gerektirir. KVKK m.6’da sağlık, cinsel hayat, biyometrik ve genetik veriler gibi bilgiler özel nitelikli kişisel veri olarak sayılmıştır.
Sağlık Verisi Nedir?
Sağlık verisi, bir kişinin fiziksel veya ruhsal sağlığına ilişkin her türlü bilgidir. Bu kapsam oldukça geniştir. Hastane kayıtları, muayene bilgileri, teşhis ve tedavi kayıtları, tahlil sonuçları, radyoloji görüntüleri, ameliyat notları, epikriz raporları, reçeteler, ilaç kullanım bilgileri, kan tahlilleri, genetik test sonuçları, psikolojik değerlendirme kayıtları, sağlık kurulu raporları, iş göremezlik raporları, engellilik oranı, aşı kayıtları ve kronik hastalık bilgileri sağlık verisi niteliği taşıyabilir.
Sağlık verisi yalnızca hastanelerde tutulan resmi dosyalardan ibaret değildir. Mobil sağlık uygulamalarında tutulan nabız, uyku, adım, kalori, tansiyon, kan şekeri, regl döngüsü, gebelik takibi, ruh hâli ve spor performansı verileri de somut olaya göre sağlık verisi niteliği kazanabilir. Akıllı saatler, giyilebilir teknolojiler, tele-tıp uygulamaları, online psikolojik danışmanlık platformları ve dijital randevu sistemleri de kişisel sağlık verisi işleyebilir.
Bu nedenle sağlık verilerinin korunması, yalnızca hastane ve doktorların sorunu değildir. Özel hastaneler, klinikler, diş hekimleri, psikologlar, laboratuvarlar, eczaneler, sağlık turizmi şirketleri, sigorta şirketleri, işverenler, dijital sağlık uygulamaları, yazılım firmaları, bulut hizmet sağlayıcıları ve çağrı merkezleri de sağlık verisi işleyebilir. Bu kişiler ve kuruluşlar, sağlık verilerini işlerken KVKK, özel mevzuat, hasta hakları ve bilişim hukuku kurallarına uygun davranmak zorundadır.
Sağlık Verileri Neden Özel Nitelikli Kişisel Veridir?
Sağlık verilerinin özel nitelikli kişisel veri olarak kabul edilmesinin nedeni, bu verilerin ifşası hâlinde kişinin ciddi zararlara uğrayabilecek olmasıdır. Örneğin bir kişinin psikiyatrik tedavi gördüğünün, HIV pozitif olduğunun, kanser tedavisi aldığının, gebelik sonlandırma işlemi yaptırdığının, genetik hastalık taşıdığının veya bağımlılık tedavisi gördüğünün üçüncü kişiler tarafından öğrenilmesi, kişinin sosyal, mesleki ve aile hayatını doğrudan etkileyebilir.
Bu nedenle sağlık verilerinin işlenmesinde basit bir açık rıza metni veya genel bir gizlilik politikası yeterli değildir. Sağlık verileri bakımından veri işleme şartı, aydınlatma yükümlülüğü, erişim yetkisi, veri güvenliği, saklama süresi, yurt dışına aktarım, veri ihlali bildirimi ve imha süreçleri daha hassas şekilde yönetilmelidir.
KVKK m.6’nın güncel sistematiğinde özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır; ancak kanunda sayılan istisnai hallerde işlenebilir. Sağlık verileri bakımından özellikle kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme yapılabilmesi önem taşır.
Sağlık Verilerinin İşlenmesinde Temel İlkeler
Sağlık verileri işlenirken KVKK’nın genel ilkelerine uyulması gerekir. Bu ilkeler; hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olma ve gerekli süre kadar muhafaza edilmedir.
Örneğin bir hastane, hastanın teşhis ve tedavisi için gerekli bilgileri işleyebilir. Ancak tedaviyle ilgisi olmayan gereksiz bilgileri istemesi, sağlık verilerini pazarlama amacıyla kullanması, hasta listesini üçüncü kişilerle paylaşması veya çalışanların tüm hasta dosyalarına sınırsız erişmesine izin vermesi hukuki risk doğurur.
Sağlık verilerinde ölçülülük ilkesi özellikle önemlidir. Bir klinik, randevu almak isteyen kişiden ad, soyad, telefon ve randevu sebebi alabilir. Ancak basit bir ön görüşme formunda ayrıntılı hastalık geçmişi, tüm ilaç listesi, aile hastalıkları ve gereksiz özel bilgiler isteniyorsa bu veri minimizasyonu ilkesi bakımından sorun yaratabilir. Sağlık kuruluşu yalnızca hizmet için gerekli olan veriyi istemeli ve bu veriyi belirlenen amaç dışında kullanmamalıdır.
Kişisel Sağlık Verileri Hakkında Yönetmelik
Türkiye’de sağlık verileri alanında özel düzenlemelerden biri Kişisel Sağlık Verileri Hakkında Yönetmelik’tir. Sağlık Bakanlığı’nın açıklamasına göre Yönetmelik, 21.06.2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Yönetmelik, Bakanlığın merkez ve taşra teşkilatı ile bağlı sağlık hizmeti sunucuları ve ilgili kuruluşlarının süreçlerinde uyulacak usul ve esasları düzenlemek amacıyla hazırlanmıştır.
Bu yönetmeliğin önemi, sağlık verilerinin yalnızca KVKK’nın genel hükümleriyle değil, sağlık hizmetlerinin özel niteliği dikkate alınarak ayrıca düzenlenmesidir. Sağlık hizmeti, süreklilik, erişilebilirlik ve doğru bilgiye hızlı ulaşım gerektirir. Ancak bu ihtiyaç, hastanın mahremiyetini ortadan kaldırmaz. Sağlık hizmeti sunucuları; tahlil, tetkik, teşhis, tedavi, rapor, görüntüleme ve hasta dosyası gibi tüm sağlık verilerinin mahremiyetini korumak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Sağlık Bakanlığı, Yönetmelik ile sağlık hizmeti sunumu için zorunlu olan durumlar dışında hiç kimsenin sağlık verilerini paylaşmaya zorlanamayacağını ve sağlık tesislerinin hastaya ait tüm verilerin mahremiyetini korumak için gerekli tedbirleri almakla yükümlü kılındığını açıklamıştır.
e-Nabız ve Sağlık Verilerinin Dijitalleşmesi
Sağlık verilerinin korunması bakımından en önemli dijital sistemlerden biri e-Nabızdır. Sağlık Bakanlığı’nın açıklamasına göre e-Nabız, kişilerin kendilerine ait sağlık bilgilerine tek bir portal üzerinden erişmesine imkân sağlayan bir internet sitesidir. e-Nabız’ın amacı, vatandaşların ve vatandaşlar tarafından yetkilendirilmiş hekimlerin kişisel sağlık verilerine bilgi ve iletişim teknolojileriyle etkin ve verimli şekilde erişmesini sağlamaktır.
e-Nabız sistemi, sağlık hizmetlerinde büyük kolaylık sağlamaktadır. Hastalar geçmiş tahlillerini, reçetelerini, radyoloji görüntülerini, raporlarını ve muayene kayıtlarını görebilmekte; hekimler de tedavi sürecinde hastanın geçmiş sağlık bilgilerine ulaşabilmektedir. Bu durum tedavinin kalitesini artırabilir, gereksiz tetkikleri azaltabilir ve acil durumlarda hızlı karar alınmasını sağlayabilir.
Ancak dijital erişim kolaylığı, veri güvenliği sorumluluğunu da artırır. e-Nabız gibi merkezi sağlık kayıt sistemlerinde işlenen verilerin güvenliği, yalnızca bireysel mahremiyet bakımından değil, kamu sağlığı ve sağlık hizmetlerinin güvenilirliği bakımından da kritik önemdedir. Sağlık Bakanlığı’nın e-Nabız kişisel sağlık kaydı sistemine ilişkin aydınlatma sayfasında, e-Nabız’da işlenen kişisel veriler bakımından veri sorumlusunun T.C. Sağlık Bakanlığı olduğu belirtilmektedir.
Sağlık Kuruluşlarının KVKK Kapsamındaki Sorumluluğu
Hastaneler, klinikler, muayenehaneler, laboratuvarlar, tıp merkezleri, diş klinikleri, psikolojik danışmanlık merkezleri ve sağlık turizmi şirketleri, kişisel sağlık verilerini işlerken çoğu durumda veri sorumlusu sıfatına sahiptir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen kişidir. Sağlık kuruluşu; hangi hasta verilerinin alınacağına, hangi sistemde saklanacağına, hangi personelin erişeceğine, hangi laboratuvar veya sigorta şirketiyle paylaşılacağına karar veriyorsa veri sorumlusu olarak değerlendirilir.
Bu kapsamda sağlık kuruluşları; hastaları aydınlatmalı, gereksiz veri toplamamalı, sağlık verilerine erişimi sınırlamalı, çalışanlarına gizlilik yükümlülüğü getirmeli, veri işleyenlerle sözleşme yapmalı, dijital sistemlerini güvenli hâle getirmeli, veri ihlali hâlinde Kurula ve ilgili kişilere bildirim yapmalı ve saklama-imha süreçlerini işletmelidir.
KVKK’ya göre veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almak zorundadır. Kurum, alınacak tedbirlerin her veri sorumlusunun yapısına, faaliyetlerine ve risklerine göre belirlenmesi gerektiğini; şirketin büyüklüğü yanında işlenen kişisel verinin niteliğinin de önemli olduğunu belirtmektedir. Sağlık verileri özel nitelikli olduğundan, sağlık kuruluşlarında tedbir seviyesi daha yüksek olmalıdır.
Hasta Aydınlatma Metni ve Açık Rıza
Sağlık kuruluşları, hastalara kişisel verilerinin nasıl işlendiğini açık ve anlaşılır şekilde anlatmalıdır. Hasta aydınlatma metninde veri sorumlusunun kimliği, işlenen veri kategorileri, veri işleme amaçları, hukuki sebepler, aktarım yapılabilecek kişi ve kurumlar, veri toplama yöntemleri ve hastanın KVKK kapsamındaki hakları yer almalıdır.
Burada önemli nokta şudur: Sağlık hizmetinin yürütülmesi için zorunlu olan her işlem bakımından açık rıza şart değildir. Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, kamu sağlığının korunması, sağlık hizmetleri ve finansmanının planlanması gibi kanuni şartlar oluşuyorsa sağlık verileri belirli durumlarda açık rıza aranmaksızın işlenebilir. Ancak sağlık verilerinin pazarlama amacıyla kullanılması, üçüncü kişilere reklam amacıyla aktarılması, gereksiz profilleme yapılması veya sağlık hizmetiyle ilgisi bulunmayan amaçlarla işlenmesi bakımından ayrıca hukuki değerlendirme yapılmalıdır.
Hastadan alınan açık rızanın da geçerli olması gerekir. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır. Sağlık hizmetinden yararlanmanın zorunlu şartı hâline getirilen geniş ve belirsiz rıza metinleri hukuken tartışmalı olabilir. Örneğin “tüm sağlık verilerimin her türlü amaçla işlenmesini kabul ediyorum” şeklindeki genel ifadeler, sağlık verileri gibi hassas bir veri kategorisinde ciddi risk taşır.
Hastane Bilgi Yönetim Sistemleri ve Bilişim Hukuku
Sağlık verilerinin büyük bölümü artık dijital sistemlerde tutulmaktadır. Hastane Bilgi Yönetim Sistemleri, laboratuvar bilgi sistemleri, PACS/radyoloji görüntüleme sistemleri, e-reçete altyapıları, hasta portalı, online randevu sistemleri, tele-tıp uygulamaları ve mobil sağlık uygulamaları sağlık bilişim hukukunun merkezinde yer alır.
Bu sistemlerin hukuka uygun işletilmesi için yalnızca tıbbi kayıtların doğru tutulması yeterli değildir. Sisteme kimlerin eriştiği, erişimlerin loglanıp loglanmadığı, eski çalışanların yetkilerinin kapatılıp kapatılmadığı, hekim ve yardımcı personel erişim yetkilerinin görevle sınırlı olup olmadığı, hasta verilerinin şifrelenip şifrelenmediği, yedeklerin güvenli tutulup tutulmadığı ve veri ihlali durumunda olay müdahale planının bulunup bulunmadığı büyük önem taşır.
Sağlık verilerinde yetkisiz erişim, bilişim hukuku açısından ciddi bir ihlal oluşturur. Örneğin bir hastane çalışanının merak nedeniyle tanıdığı bir kişinin tahlil sonucuna bakması, hekimin tedavi ilişkisi bulunmayan bir hastanın kayıtlarına erişmesi, eski çalışanın sisteme girmeye devam etmesi veya sağlık verilerinin USB belleğe kopyalanması hem KVKK hem de ceza hukuku bakımından sorumluluk doğurabilir.
Sağlık Verilerinin Siber Güvenlik Boyutu
Sağlık sektörü, siber saldırılar açısından yüksek riskli alanlardan biridir. Hastaneler ve sağlık kuruluşları hem çok sayıda hassas veri işler hem de kesintisiz hizmet vermek zorundadır. Bu nedenle fidye yazılımı saldırıları, veri sızıntıları, yetkisiz erişim, kimlik avı saldırıları, zayıf parola kullanımı, eski yazılım açıkları ve tedarikçi kaynaklı güvenlik açıkları sağlık sektörü için ciddi risk oluşturur.
Bir hastanenin hasta veri tabanının şifrelenmesi, yalnızca veri gizliliği ihlali değildir; aynı zamanda sağlık hizmetinin aksamasına da neden olabilir. Acil servis, ameliyathane, laboratuvar ve yoğun bakım gibi kritik birimlerde bilgi sistemlerinin çalışmaması hasta güvenliğini doğrudan etkileyebilir. Bu nedenle sağlık verilerinin korunması, bilişim hukuku bakımından sadece mahremiyet değil, aynı zamanda hizmet sürekliliği ve hasta güvenliği meselesidir.
Sağlık kuruluşlarının güçlü parola politikası, çok faktörlü kimlik doğrulama, erişim yetkisi sınırlandırması, log yönetimi, düzenli sızma testi, yedekleme, şifreleme, güvenlik duvarı, antivirüs, kullanıcı eğitimi, veri maskeleme, tedarikçi güvenliği ve olay müdahale planı gibi tedbirleri uygulaması gerekir. Özellikle özel nitelikli sağlık verilerinin işlendiği sistemlerde “herkes her dosyaya erişebilir” anlayışı kabul edilemez.
Sağlık Verisi İhlali ve 72 Saat Bildirimi
Sağlık verilerinin kanuni olmayan yollarla başkaları tarafından elde edilmesi, veri ihlali oluşturur. Örneğin hasta listesinin internete sızması, laboratuvar sonuçlarının yanlış kişiye gönderilmesi, e-Nabız dışı sistemlerde yetkisiz erişim oluşması, hastane çalışanının hasta verilerini üçüncü kişilere vermesi, sağlık turizmi şirketinin hasta fotoğraflarını izinsiz paylaşması veya klinik bilgisayarının fidye yazılımıyla ele geçirilmesi veri ihlali olarak değerlendirilebilir.
KVKK Kurulunun 24.01.2019 tarihli ve 2019/10 sayılı kararına göre, veri sorumlusu ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapmalıdır. Veri ihlalinden etkilenen kişiler belirlendikten sonra ilgili kişilere de makul olan en kısa süre içinde doğrudan veya uygun yöntemlerle bildirim yapılmalıdır. 72 saat içinde bildirim yapılamazsa gecikmenin nedenlerinin Kurula açıklanması gerekir.
Sağlık verisi ihlallerinde bildirim özellikle önemlidir. Çünkü ilgili kişi, verisinin sızdığını öğrenirse şifrelerini değiştirebilir, dolandırıcılık riskine karşı önlem alabilir, sosyal veya mesleki zararlara karşı tedbir alabilir ve gerekirse hukuki başvuru yapabilir. Sağlık verisi ihlalinin gizlenmesi, sonradan ortaya çıktığında veri sorumlusu açısından çok daha ağır idari ve hukuki sonuçlar doğurabilir. KVKK’nın güncel duyurularında da veri ihlali bildiriminin 72 saat içinde yapılması gerektiği vurgulanmaktadır.
Sağlık Verilerinde Erişim Yetkisi ve Log Kayıtları
Sağlık verilerinin korunmasında en önemli konulardan biri erişim yetkisidir. Sağlık kuruluşlarında hekimler, hemşireler, teknisyenler, hasta kabul personeli, laboratuvar çalışanları, faturalama birimi, arşiv personeli, çağrı merkezi çalışanları ve bilgi işlem personeli farklı düzeylerde verilere erişebilir. Ancak herkesin tüm hasta verilerine erişmesi ölçüsüzdür.
Erişim yetkisi görevle sınırlı olmalıdır. Tedavi süreciyle ilgisi olmayan bir personelin hastanın psikiyatri kaydına, genetik test sonucuna veya özel raporuna erişmesi hukuka aykırılık doğurabilir. Aynı şekilde faturalama biriminin tıbbi detaylara gereğinden fazla erişmesi, çağrı merkezi çalışanının sağlık geçmişini görebilmesi veya bilgi işlem personelinin içerik verilerine sınırsız ulaşabilmesi risklidir.
Bu nedenle sağlık bilgi sistemlerinde rol bazlı yetkilendirme yapılmalı, erişimler loglanmalı, log kayıtları düzenli incelenmeli ve olağan dışı erişimler denetlenmelidir. “Kim, hangi hastanın hangi verisine, hangi tarihte, hangi amaçla erişti?” sorusuna cevap verilebilmelidir. Log kayıtları, hem iç denetim hem veri ihlali soruşturması hem de ceza yargılaması bakımından önem taşır.
Sağlık Verilerinin Üçüncü Kişilere Aktarılması
Sağlık verileri bazı durumlarda üçüncü kişilerle paylaşılabilir. Örneğin laboratuvar hizmeti, radyoloji hizmeti, sevk süreci, sigorta provizyonu, SGK işlemleri, mahkeme veya savcılık talepleri, iş sağlığı ve güvenliği süreçleri, faturalama, sağlık turizmi koordinasyonu veya tıbbi danışmanlık gibi hallerde veri aktarımı gündeme gelebilir.
Ancak her aktarımın hukuki sebebi, amacı ve kapsamı bulunmalıdır. Hasta verileri gereksiz şekilde üçüncü kişilerle paylaşılmamalıdır. Örneğin hastanın tüm tıbbi geçmişinin sigorta şirketine gönderilmesi, yalnızca belirli provizyon işlemi için gerekli bilgiler yeterliyken ölçüsüz olabilir. Sağlık turizmi şirketinin hastanın öncesi-sonrası fotoğraflarını reklam amacıyla paylaşması için açık, belirli ve geçerli rıza gereklidir.
Sağlık verilerinin yurt dışına aktarılması da ayrıca dikkat gerektirir. Yurt dışındaki doktor, sigorta şirketi, sağlık turizmi aracısı, bulut sağlayıcı, CRM sistemi veya yabancı laboratuvarla sağlık verisi paylaşılıyorsa KVKK m.9 kapsamında yurt dışına veri aktarımı şartları da değerlendirilmelidir.
Sağlık Turizmi ve Dijital Pazarlama Süreçleri
Sağlık turizmi sektöründe sağlık verilerinin korunması özel önem taşır. Saç ekimi, estetik cerrahi, diş tedavisi, tüp bebek, obezite cerrahisi, göz tedavisi ve benzeri alanlarda hastaların fotoğrafları, tedavi sonuçları, raporları ve kimlik bilgileri dijital ortamda yoğun şekilde işlenmektedir.
Sağlık turizmi şirketleri çoğu zaman WhatsApp, sosyal medya, CRM, yabancı çağrı merkezi, online reklam ve bulut sistemleri kullanır. Bu süreçlerde hastaların fotoğrafları, tıbbi geçmişleri, pasaport bilgileri, konaklama bilgileri ve tedavi planları işlenebilir. Bu veriler sağlık verisi veya özel nitelikli kişisel veri niteliğinde olabilir.
Özellikle “öncesi-sonrası” fotoğraflarının reklam amacıyla paylaşılması çok hassas bir konudur. Hastanın tedavi için fotoğraf göndermesi, bu fotoğrafın sosyal medya reklamında kullanılmasına rıza verdiği anlamına gelmez. Rıza; belirli, açık, bilgilendirilmiş ve özgür iradeyle verilmiş olmalıdır. Fotoğrafın hangi mecrada, hangi amaçla, ne kadar süreyle kullanılacağı açıkça belirtilmelidir.
İşverenlerin Sağlık Verisi İşlemesi
İşverenler de çalışanlara ait sağlık verisi işleyebilir. İşe giriş sağlık raporu, periyodik muayene, iş kazası kayıtları, iş göremezlik raporu, engellilik bilgisi, gebelik bilgisi, meslek hastalığı kayıtları ve iş sağlığı-güvenliği belgeleri bu kapsamda olabilir.
Ancak işverenin sağlık verisi işleme yetkisi sınırsız değildir. İşveren yalnızca iş ilişkisi, iş sağlığı ve güvenliği, sosyal güvenlik, bordro, izin ve kanuni yükümlülükler kapsamında gerekli verileri işleyebilir. Çalışanın hastalık tanısı, ilaç kullanımı veya özel tıbbi bilgileri tüm yöneticilerle paylaşılamaz. Sağlık raporu, insan kaynakları veya işyeri hekimi tarafından gerekli ölçüde işlenmeli; çalışanların sağlık bilgileri işyerinde dedikodu konusu hâline getirilmemelidir.
Örneğin bir çalışanın psikiyatrik tedavi gördüğünün ekip yöneticileriyle gereksiz şekilde paylaşılması, özel nitelikli kişisel veri ihlali doğurabilir. Benzer şekilde iş kazası raporlarının, engellilik bilgilerinin veya gebelik bilgilerinin yetkisiz kişilerce görüntülenebilmesi hukuki sorumluluk yaratır.
Sağlık Verilerinin Ceza Hukuku Boyutu
Sağlık verilerinin hukuka aykırı şekilde ele geçirilmesi, kaydedilmesi veya yayılması ceza hukuku bakımından da sonuç doğurabilir. Türk Ceza Kanunu’nda kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi, yayılması veya ele geçirilmesi ayrı suç tipleri olarak düzenlenmiştir. Sağlık verileri özel nitelikli olduğundan, fiilin ağırlığı somut olayda daha ciddi değerlendirilir.
Örneğin hastane çalışanının hastanın sağlık raporunu üçüncü kişiye göndermesi, hekimin tedavi ilişkisi bulunmayan kişinin kayıtlarına bakması, klinik çalışanının hasta fotoğraflarını sosyal medyada paylaşması, psikolojik danışmanlık kayıtlarının ifşa edilmesi veya laboratuvar sonuçlarının izinsiz yayımlanması TCK kapsamında kişisel verilere karşı suçları ve bazı durumlarda özel hayatın gizliliğini ihlal suçunu gündeme getirebilir.
Sağlık verileri bazen tehdit veya şantaj aracı olarak da kullanılabilir. “Hastalığını ailene söylerim”, “raporunu işyerine gönderirim”, “tedavi fotoğraflarını paylaşırım” gibi ifadeler somut olaya göre tehdit, şantaj, kişisel verilerin hukuka aykırı yayılması ve özel hayatın gizliliğini ihlal suçlarını birlikte gündeme getirebilir.
Hastanın Hakları
Sağlık verisi işlenen kişi, KVKK kapsamında birçok hakka sahiptir. Kişi, verilerinin işlenip işlenmediğini öğrenebilir, işlenmişse buna ilişkin bilgi talep edebilir, işleme amacını öğrenebilir, verilerin amaca uygun kullanılıp kullanılmadığını sorabilir, verilerin aktarıldığı üçüncü kişileri öğrenebilir, eksik veya yanlış işlenen verilerin düzeltilmesini isteyebilir, şartları varsa silinmesini veya yok edilmesini talep edebilir ve hukuka aykırı işleme nedeniyle zarara uğramışsa zararın giderilmesini isteyebilir.
Sağlık hizmetlerinde bu haklar hasta haklarıyla da birleşir. Hasta, kendi sağlık kayıtlarına erişmek isteyebilir, yanlış tıbbi kaydın düzeltilmesini talep edebilir, hangi kurumlarla veri paylaşıldığını öğrenmek isteyebilir veya sağlık verisinin izinsiz paylaşıldığını düşünüyorsa veri sorumlusuna başvurabilir. Veri sorumlusu başvuruya süresinde ve gerekçeli şekilde cevap vermelidir.
Ancak sağlık verilerinde silme talepleri her zaman doğrudan yerine getirilemeyebilir. Sağlık kuruluşlarının tıbbi kayıtları belirli süre saklama yükümlülükleri bulunabilir. Bu durumda veri sorumlusu, hangi veriyi hangi mevzuat ve hukuki sebep nedeniyle saklamaya devam ettiğini açıklamalıdır.
Sağlık Verisi İhlalinde Tazminat Sorumluluğu
Sağlık verilerinin hukuka aykırı işlenmesi veya ifşa edilmesi, maddi ve manevi tazminat sorumluluğu doğurabilir. Sağlık verisi, kişinin en mahrem bilgilerinden olduğu için ihlal durumunda manevi zarar ihtimali yüksektir. Örneğin bir hastanın HIV, psikiyatrik tedavi, gebelik, bağımlılık, kanser veya genetik hastalık bilgisinin izinsiz açıklanması, ciddi manevi zarar doğurabilir.
Maddi zarar da gündeme gelebilir. Sağlık verisi nedeniyle iş kaybı, sigorta sorunu, tedavi sürecinde aksama, dolandırıcılık riski veya ekonomik kayıp oluşmuşsa maddi tazminat talep edilebilir. Sağlık kuruluşunun gerekli teknik ve idari tedbirleri almadığı, çalışan erişimlerini denetlemediği, veri ihlalini geç bildirdiği veya hastanın açık rızası olmadan verileri paylaştığı ispatlanırsa sorumluluğu ağırlaşabilir.
Sağlık Kuruluşları İçin Uyum Kontrol Listesi
Sağlık verisi işleyen kuruluşlar öncelikle veri envanteri çıkarmalıdır. Hangi hasta verileri alınıyor, hangi amaçla işleniyor, kimler erişiyor, hangi sistemlerde saklanıyor, kimlere aktarılıyor, yurt dışına aktarım var mı, ne kadar süre saklanıyor ve hangi güvenlik tedbirleri uygulanıyor belirlenmelidir.
İkinci olarak hasta aydınlatma metinleri hazırlanmalı ve anlaşılır şekilde sunulmalıdır. Online randevu, çağrı merkezi, muayene, laboratuvar, sağlık turizmi, görüntüleme, psikolojik danışmanlık ve dijital sağlık uygulaması gibi farklı süreçler için ayrı veya katmanlı aydınlatma gerekebilir.
Üçüncü olarak erişim yetkileri sınırlandırılmalıdır. Her personel yalnızca görevi için gerekli verilere erişebilmelidir. Eski çalışanların hesapları kapatılmalı, erişimler loglanmalı ve olağan dışı erişimler denetlenmelidir.
Dördüncü olarak teknik güvenlik sağlanmalıdır. Şifreleme, yedekleme, çok faktörlü kimlik doğrulama, log yönetimi, güvenlik duvarı, sızma testi, veri maskeleme, antivirüs, rol bazlı erişim ve güvenli bulut kullanımı gibi tedbirler uygulanmalıdır.
Beşinci olarak veri ihlali müdahale planı hazırlanmalıdır. İhlal olduğunda kimin ne yapacağı, teknik delillerin nasıl korunacağı, Kurula 72 saat içinde bildirimin nasıl yapılacağı, hastalara hangi yöntemle bilgi verileceği ve savcılığa suç duyurusu gerekip gerekmediği önceden belirlenmelidir.
Sonuç
Sağlık verilerinin korunması, dijital çağda bilişim hukuku ve kişisel verilerin korunması hukukunun en kritik alanlarından biridir. Sağlık verileri özel nitelikli kişisel veri niteliğinde olup, kişinin özel hayatı, beden bütünlüğü, psikolojik durumu, sosyal itibarı ve ekonomik geleceği üzerinde doğrudan etkili olabilir. Bu nedenle sağlık verilerinin işlenmesi, saklanması, aktarılması ve korunması yüksek dikkat ve güçlü güvenlik tedbirleri gerektirir.
Hastaneler, klinikler, laboratuvarlar, diş hekimleri, psikologlar, sağlık turizmi şirketleri, sigorta şirketleri, işverenler ve dijital sağlık uygulamaları sağlık verilerini işlerken KVKK, Kişisel Sağlık Verileri Hakkında Yönetmelik, hasta hakları, mesleki sır saklama yükümlülüğü ve bilişim hukuku kurallarına uygun davranmalıdır. Sağlık Bakanlığı’nın Kişisel Sağlık Verileri Hakkında Yönetmeliği ve e-Nabız sistemi, sağlık verilerinin dijital ortamda işlenmesi ve erişimi bakımından önemli hukuki ve teknik çerçeveler sunmaktadır.
Sağlık verilerinin korunmasında asıl mesele yalnızca belge hazırlamak değil; güvenli sistem, sınırlı erişim, doğru aydınlatma, ölçülü veri işleme, düzenli denetim ve etkili veri ihlali yönetimi kurmaktır. Veri ihlali meydana geldiğinde veri sorumlusu, ihlali öğrendiği tarihten itibaren en geç 72 saat içinde Kurula bildirim yapmalı ve etkilenen kişileri makul olan en kısa sürede bilgilendirmelidir.
Sonuç olarak sağlık verilerinin korunması, basit bir KVKK uyum metni meselesi değil; hasta güvenliği, özel hayatın gizliliği, sağlık hizmetinin kalitesi, kurum itibarı, siber güvenlik ve hukuki sorumluluğu birlikte ilgilendiren stratejik bir alandır. Sağlık verisi işleyen tüm kurumların bu süreci profesyonel şekilde yönetmesi, hem hastaların temel haklarının korunması hem de idari para cezası, tazminat, ceza soruşturması ve itibar kaybı risklerinin önlenmesi açısından büyük önem taşır.