Türkiye Cumhuriyeti vatandaşlarının verileri Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında korunmaktadır. Bu kapsamda kişisel sağlık verilerin işlenmesi, saklanması ve depolanması için sağlık sektöründe hizmet veren kişi veya kuruluşların yerine getirmesi gereken kurallar vardır.
Kişisel Sağlık Verisi Nedir?
Sağlık verisi, hastaların fiziksel veya zihinsel sağlığına ve aldığı tıbbi tedaviye ilişkin bilgileri içerir. Bu veriler, sağlık hizmeti sağlayıcılarından gelebileceği gibi hastanın kendisi tarafından girilen bilgileri de içerir.
Sağlık verileri kliniklerde, hastanelerde veya diğer sağlık kuruluşlarında toplanır ve saklanır. Aynı zamanda halk sağlığı makamlarına polis veya mahkeme gibi diğer kamu makamlarına iletilebilir.
Sağlığınızla ilgili veriler tıp bilimindeki araştırmalarda da kullanılabilir. Ancak bu durumda katı uygunlukların karşılanması ve genel bir kural olarak kişinin rızasının alınması gerekmektedir.
Elektronik Sağlık Verisi Nedir?
Elektronik Sağlık Verisi, hastaların sağlık bilgilerini özel, güvenli ve gizli bir ortamda tutabilecekleri ve yönetebilecekleri elektronik bir uygulamadır. Sağlık kuruluşlarında yaptığınız işlemler Elektronik Sağlık Verisi olarak kaydedilir.
- Muayene Hakkında Özet Bilgi
- Alerjiler
- Genetik Hastalıklar
- Durum ve Hastalık Bilgisi
- Alınan İlaçlar
- Hastane Kayıtları
- Uygulanan Ameliyat ve Prosedürler
- Acil Durumda Aranacak Numaralar
- Test Sonuçları, Raporlar ve Aşılar
- Kişinin Boy, Kilo ve Kan Grubu
Sağlık Verisi Nasıl Saklanır?
Sağlık verisinin ayırt edici özelliklerinden biri, teslim edildiği platformdur. Bunlar Dosya, Elektronik ve Web olarak üç kategoriye ayrılır.
- Dosya
Kişisel sağlık bilgileri kâğıt formatında kaydedilir ve saklanır. Basılı laboratuvar raporları, reçeteler vb. dokümanlar bu kategori içerisine alınır. Bu yöntem, düşük maliyetli, güvenilirdir.
Dosya tabanlı sağlık verisi, bulmak, güncellemek ve başkalarıyla paylaşmak zor olabilir. Doğal afet sırasında meydana gelebilecek gibi, fiziksel kayıp yaşanabilir
- Elektronik
Sağlık bilgileri, hastane kaynaklarından yedekleme, veri yazdırma, şifreleme ve içeri aktarma yeteneğine sahip olabilecek kişisel bilgisayar tabanlı yazılımda kaydedilir. Bu şekilde sağlık verisi yazdırılabilir, kopyalanabilir ve paylaşılabilir.
Sağlık kayıtlarının CD-ROM, DVD veya USB flash sürücü gibi bir toplu depolama aygıtına kopyalanmasına izin verir.
- Web Tabanlı
Web tabanlı çözümler diğer servislerle kolayca uyumlu olma avantajına sahiptir. Kullanıcıların teşhis, ilaçlar, laboratuvar testleri, aşılar ve sağlıklarıyla ilgili diğer veriler gibi bilgilerini doğrudan girmelerine olanak tanır.
Sağlık Verisi Paylaşımı Nedir?
Sağlık verisi, özel nitelikli kişisel veri olduğundan Kanunun 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir. Ayrıca verileri elinde bulunduran kamu daireleri ve tüzel kişiler verilerin gizliliği ve güvenliğinden sorumludur.
Kişisel sağlık verileri;
- Bireyin kendisinin onayı ile gerçek kişiler ve kurumlarla,
- Mahkeme kararı sonucunda, erişim izni verilmiş kişilerle,
- Kişisel sağlık verilerini talep edebileceğini belirtmiş olan ve vekâletnamesi bulunan avukat ile paylaşabilir.
KVKK Kapsamında Sağlık Sektörünün Yapması Gerekenler Nelerdir?
Kişisel Verilerin Korunması Kanunu 2016 yılında kabul edilmiş ve aynı yıl yürürlüğe girmiştir. Bununla birlikte 2019 yılında Kişisel Sağlık Verileri Hakkında Yönetmelik yürürlüğe girmiştir.
Kanun ve yönetmelikte, bünyesinde kişisel veri işleyen kişi ve kurumların uyması gereken kurallar ile birlikte, bu standartların uygulanmasını denetlemek üzere Kişisel Verileri Koruma Kurumu kurulmuştur.
Kişisel veri işleyen gerçek veya tüzel kişi, verilerin sorumlusu olarak kabul edilmektedir. İlgili kanun ve yönetmeliklerin hükümlerine uyulmaması halinde ciddi idari yaptırımlar uygulanmaktadır.
Kişisel veri işleyen kişi ve kuruluşların ne şekilde işlediklerinin kaydının tutulabilmesi için Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) oluşturulmuştur.
KVKK kapsamında sağlık sektörünün yapması gerekenler:
- Kişisel sağlık verisi içeren ortamların güvenliğinin sağlanması
- Sağlık verilerinin yedeklenmesi
- Kanunun öngördüğü dokümanların hazırlanması ve duyurulması,
- Aydınlatma metinlerinin hazırlanması ve sürecin yürütülmesi,
- Sağlık verileri ile ilgili 3. Kişilerle yapılan sözleşmelerinin gözden geçirilmesine,
- Kurum içerisinde KVKK süreçlerinin etkili olarak yürütülmesi için ekip oluşturulması ve bu ekibin eğitimi,
- Gizlilik politikaları oluşturulması,
- Kurum içinde gizlilik, siber güvenlik, çerez politikalarının oluşturulması için bilişim teknolojileri departmanından yardım alınması,
- Ağ güvenliği, bilgisayar güvenliği, kullanıcı güvenliğinin sağlanması,
- Kuruma ait web sitesi ve sosyal hesapların yasalara uygun şekilde güncellenmesi,
- VERBİS sistemine kayıt için kişisel veri envanterinin çıkarılması,
Kimler KVKK Kapsamına Uymakla Yükümlüdür?
Kişisel sağlık verileri işleyen veya talep eden kişi veya kuruluşlar KVKK kapsamına uyum sağlamalıdır. Ayrıca bu kişi veya kuruluşların VERBİS kaydını gerçekleştirmesi gerekmektedir. Çünkü sağlık verisi işleyen sağlık kuruluşları, organizasyonun büyüklüğüne bakılmaksızın VERBİS kaydını yaptırmakla sorumludur.
KVKK kapsamına giren sağlık kuruluşlarından bazıları şu şekildedir;
- Sağlık Hizmeti Sunan Kurumlar,
- Özel Hastaneler
- Poliklinikler
- Klinikler
- Özel Muayeneler
- Güzellik Merkezleri
- Sağlık Merkezleri
- Alternatif Tıp Merkezleri
- Sağlık Turizm İşletmeleri
Kapsam dâhilinde olup kanunen öngörülen yükümlülüklerini yerine getirmeyen kuruluşlar yüksek oranlarda idari, cezai ve hukuki yaptırımlarla karşı karşıya kalacaktır.
KVKK Kapsamında Uyum Süreci Nedir?
Kişisel sağlık verisi işleyen kişi veya kuruluşların, KVKK kapsamında yapması gereken bazı yükümlülükleri şunlardır;
- Aydınlatma Metinleri
- Gizlilik Politikaları
- Açık Rıza Metinleri
- Kişisel Veri İşleme, Saklama, Aktarma ve Silme İşlemine ilişkin politikalar
Ayrıca kurum tarafından belirlenen sürede VERBİS sistemine kayıt olunması gerekir. Uyum süreci hukuki ve teknik anlamda doğru yapılandırılması gerekir.
KVKK Kapsamına Aykırılık Halinde Yaptırımlar Nelerdir?
VERBİS kaydını tamamlamayan sorumlular, 36.000 TL ile 2.000.000 TL arasında bir ceza ile karşılaşabilir.
Kişisel verileri kanuna aykırı saklayan, işleyen, kaydeden, güvenlik önlemi almayan kişiler, veri ihlali gerekçesi ile cezaya çarptırırlar.
Kişinin rızası olmadan ve KVKK kapsamı dışında olan işlemlerde kişiler maddi ve manevi tazminat talebinde bulunabilir. Kişinin maddi bir anlamda zarara uğraması durumunda tazminat davasında bulunabilir. Manevi anlamda oluşacak itibar kaybı, kişinin haklarının zarar görmesi durumunda ise manevi tazminat talebinde bulunabilirler.