Türkiye Cumhuriyeti vatandaşlarının verileri Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında korunmaktadır. Kişisel sağlık verileri, özel nitelikli kişisel veriler olarak kabul edilmekte olup KVKK kapsamında yer almaktadır.
Kişisel Sağlık Verisi Nedir?
Kişisel sağlık verisi, kişiye ait her türlü sağlık verisini ifade etmektedir. Tahlil sonuçları, geçirilen hastalıklar, kullanılan ilaçlar gibi veriler kişisel sağlık verileri olarak yer almaktadır.
Kişisel Sağlık Verileri Hangi Durumlarda Açık Rıza Olmadan İşlenebilir?
Kişisel sağlık verileri, ilgili kişinin açık rızası olmaksızın ancak aşağıdaki durumlardan en az birinin bulunması halinde işlenebilmektedir.
- Koruyucu hekimlik,
- Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- Kamu sağlığının korunması,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi.
Bu durumların dışında sağlık verilerinin işlenebilmesi için açık rıza alınmalıdır. Özetle, verisi işlenecek kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi hâlinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir ve aktarılabilir.
Kanun Kapsamında Faaliyet Gösteren Hastane, Poliklinik, Doktor, Diş Hekimleri ve Eczanelerin Yapması Gereken İşlemler Nelerdir?
- İşlenecek Verilerin Analiz Edilmesi
Kişisel veriler ile veri işlemedeki amaçlar belirlenerek, açık rıza alınması gerekip gerekmediği tespit edilmelidir. Eğer gerekiyorsa açık rızanın içeriği hazırlanmalı ve veri sahiplerinden rıza alınmasına yönelik çalışmaları yapılmalıdır.
- Sözleşmelerin Kontrol Edilmesi
Taraf olunan sözleşmeler; kişisel verilerin ait olduğu kişiler, verilerin aktarıldığı kişiler veya verilere erişimi olan diğer üçüncü kişiler ile icra edilen sözleşmeler, kontrol edilerek gerekli değişiklikler yapılmalı ve gerekirse gizlilik anlaşmaları imzalanmalıdır.
- Kişisel Veri Envanterinin Hazırlanması
İşlenen kişisel veriler, işlenme amaçları, alıcı grupları, veri konu grupları ve süreleri, yabancı ülkelere aktarılması durumu, veri güvenliğine ilişkin alınan tedbirlerin neler olduğu belirlenerek KVKK kapsamında “kişisel veri envanteri” oluşturulmalıdır.
- VERBİS’e Kayıt Yapılması
KVKK’ya göre hastane, poliklinik, doktor, diş hekimleri, eczaneler, tıbbi laboratuvarlar ve diğer sağlık kuruluşlarının Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) 31.12.2021 tarihine kadar kayıt olması gerekmektedir. Tüm sağlık kuruluşları, özel nitelikte kişisel veri kapsamında değerlendirilen sağlık verileri işlemeleri nedeniyle organizasyonun büyüklüklerine bakmaksızın VERBİS’e kayıt yükümlüsüdürler.
- KVKK Aydınlatma Metinlerinin Oluşturulması
Kanunen veri sorumlusu olarak kabul edilen sağlık kuruluşları; kişisel veri toplama yöntemleri, bu verilerin işlenme amaçları, verilerin aktarıldığı üçüncü kişiler ve veri sahipleri için KVKK kapsamında düzenlenen hakları içeren aydınlatma bildirimleri hazırlamalıdır.
- Kişisel Veri Saklama ve İmha Politikasının Hazırlanması
Kişisel veriler, hukuken işlenme nedenlerinin ortadan kalkması veya ilgili kişinin talebi ile imha edilmesi gerekmektedir. Silme ve imha süreçleri için organizasyon içerisinde kurumsal bir imha politikası oluşturulmalıdır.
- Gerekli Güvenlik Önlemlerinin Alınması
Veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve saklanan verilerin hukuka aykırı erişimini önlemek için gerekli güvenlik düzeyini sağlamalıdır.
Kanun Kapsamında Faaliyet Gösteren Hastane, Poliklinik, Doktor, Diş Hekimleri ve Eczanelerin Alması Gereken Ek Tedbirler Nelerdir?
Kişisel verilerin işlenmesi sürecinde yer alan veya yer alacak çalışanlara yönelik farkındalık oluşturmak için, veri güvenliği ve siber güvenlik konularında düzenli olarak eğitimler verilmesi gerekmektedir.
Verilere erişim yetkisine sahip kullanıcılar ile gizlilik sözleşmelerinin yapılması, yetki kapsamlarının ve sürelerinin net olarak tanımlanması ve periyodik olarak yetki kontrollerinin gerçekleştirilmesi gerekmektedir.
Bunun yanı sıra işten ayrılan çalışanların (görev değişikliği olan çalışanlarda dâhil olmak üzere) bu alandaki yetkilerinin derhal kaldırılması önem arz etmektedir.
Özel nitelikli kişisel verilerin saklandığı ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin (sızma testi) düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması ve verilere uzaktan erişim gerekiyorsa birden fazla kademeli kimlik doğrulama sisteminin sağlanması gibi teknik ve idari tedbirler de dikkate alınmalıdır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlarına karşı) alındığından emin olunması ve bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi sağlanmalıdır.