KVKK Kapsamında Sağlık Verilerinin İşlenmesi 

KVKK Kapsamında Sağlık Verilerinin İşlenmesi 

Günümüzde kişisel verilerin korunması, bireylerin temel hakları arasında önemli bir yer tutuyor. Özellikle sağlık verileri, en hassas kişisel veri türlerinden biri olduğu için daha da titiz bir koruma gerektiriyor. Türkiye’de bu alandaki temel yasal düzenleme, 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK). 

Bu yazımızda, KVKK sağlık verileri kapsamındaki düzenlemeleri, sağlık verilerinin işlenme şartlarını, veri sorumlularının yükümlülüklerini ve alınması gereken önlemleri detaylıca ele alacağız. Ayrıca, sıkça merak edilen soruları da yazının sonunda cevaplayacağız. 

 

KVKK Sağlık Verileri Nedir? 

Sağlık verileri, bir kişinin fiziksel ya da ruhsal sağlık durumu hakkında elde edilen tüm bilgileri içerir. Hastalık geçmişi, tedavi süreçleri, laboratuvar sonuçları, reçete edilen ilaçlar gibi geniş bir yelpazede değerlendirilir. Bu tür veriler, bireyin özel hayatına dair çok önemli bilgiler taşıdığı için “özel nitelikli kişisel veriler” kategorisinde yer alır. 

KVKK’nın 6. maddesi ve Avrupa Birliği’nin GDPR (Genel Veri Koruma Yönetmeliği) düzenlemeleri doğrultusunda, bu tür verilerin işlenmesi için çok daha sıkı kurallar uygulanır. Çünkü sağlık verilerinin kötü niyetli kişiler tarafından ele geçirilmesi, kişilerin mahremiyetini ve hatta sağlığını doğrudan tehdit edebilir. 

Veri Güvenliği Önlemleri
Veri Güvenliği Önlemleri

KVKK Sağlık Verilerinin İşlenme Şartları 

Kişisel sağlık verilerinin işlenebilmesi için KVKK açık rızanın alınmasını şart koşar. Açık rıza, veri sahibinin bilgilendirilerek özgür iradesiyle verdiği onaydır. Ancak, bazı istisnai durumlarda açık rıza olmadan da sağlık verileri işlenebilir. 

Açık Rıza Nedir ve Neden Önemlidir? 

Açık rıza, kişinin hangi verisinin, ne amaçla ve ne kadar süreyle işleneceğini bilerek ve özgür iradesiyle onay vermesidir. Rıza; 

  • Belirgin olmalı: İşlenecek veriler ve amaçlar net olmalı, belirsiz ifadelerden kaçınılmalı. 
  • Bilgilendirici olmalı: Veri sahibine işlenen veriler, süreç ve hakları hakkında açıklama yapılmalı. 
  • Özgür olmalı: Rıza baskı ya da yanıltma olmadan alınmalı. 
  • Amaçlarla sınırlı olmalı: Rıza, sadece belirtilen amaçlar için geçerli. 
  • Geri alınabilir olmalı: Kişi istediği zaman rızasını geri çekebilir. 

Image fx 36Açık Rıza Olmadan İşlenebilen Durumlar 

KVKK’nın 5/2 maddesi uyarınca, bazı özel durumlarda sağlık verileri açık rıza olmadan işlenebilir. Örneğin: 

  • Kanunlarda açıkça öngörülmüşse, 
  • Acil tıbbi durumlarda (örneğin hasta rıza veremiyorsa), 
  • Sözleşmenin kurulması veya ifası için zorunluysa, 
  • Hukuki yükümlülüklerin yerine getirilmesi gerekiyorsa, 
  • Veriler kamuya açık hale getirilmişse, 
  • Bir hakkın korunması veya kullanılması söz konusuysa, 
  • Veri sorumlusunun meşru menfaatleri için gerekli ise. 

Bu hallerin her biri çok sıkı denetim ve hukuki kurallarla çevrilidir, yanlış yorumlanması ya da kötüye kullanılması cezai yaptırımlara yol açar. 

 

KVKK Sorumlulukları Nelerdir? 

Sağlık verilerini işleyen kişi ve kurumlar, KVKK kapsamında ciddi sorumluluklar taşır. Çünkü bu verilerin yanlış yönetilmesi, hem bireylerin haklarını ihlal eder hem de yasal yaptırımlara sebep olur. 

Veri Sorumlusunun Yükümlülükleri 

  • Veri işleme amaçlarını belirlemek ve sadece o amaçlarla sınırlı kalmak, 
  • Veri sahibini açık ve anlaşılır şekilde bilgilendirmek, 
  • Gerekli teknik ve idari tedbirleri almak, 
  • Veri güvenliği ihlallerini zamanında tespit edip gerekli müdahaleyi yapmak, 
  • Veri işleme faaliyetlerini kayıt altında tutmak, 
  • Çalışanları KVKK ve veri koruma konusunda düzenli olarak eğitmek, 
  • Veri sahibinin haklarına saygı göstermek ve taleplerini zamanında yerine getirmek, 
  • Açık rıza mekanizmasını doğru şekilde kurmak ve gerektiğinde rızayı geri çekmeye olanak tanımak. 

Sağlık Kuruluşlarının Özellikle Dikkat Etmesi Gerekenler 

  • Sağlık personelinin sadece görev tanımları kapsamında verilere erişmesi, 
  • e-Nabız gibi elektronik sağlık kayıt sistemlerinin KVKK ve ilgili yönetmeliklere uygun işletilmesi, 
  • Fiziksel ve dijital ortamda verilerin korunması, 
  • Hastalara ait sağlık verilerinin kimliksizleştirilmesi ve maskeleme işlemlerinin yapılması, 
  • Veri ihlali durumlarında yasal mercilere ve kişilere bildirim yapılması. 

 

Sağlık Verilerinin İşlenmesi İçin Alınması Gereken Önlemler 

Kişisel sağlık verilerinin korunması için teknik ve idari tedbirlerin bir arada uygulanması gerekir. Bu iki boyut, veri güvenliğinin temellerini oluşturur. 

Teknik Tedbirler 

  • Veri Şifreleme: Sağlık verileri hem depolama hem de iletişim sırasında şifrelenmelidir. 
  • Erişim Kontrolleri: Verilere sadece yetkili kişilerin ulaşması sağlanmalı, rol bazlı erişim modelleri oluşturulmalı. 
  • Güvenlik Duvarları ve Antivirüs Yazılımları: Siber saldırılara karşı koruma sağlanmalıdır. 
  • Ağ Güvenliği: SSL, TLS gibi güvenli iletişim protokolleri kullanılmalıdır. 
  • Fiziksel Güvenlik: Sunucular ve veri merkezleri yetkisiz erişimlere karşı korunmalıdır. 
  • İzleme ve Müdahale Sistemleri: Veri ihlali durumunda erken uyarı ve hızlı müdahale mekanizmaları kurulmalıdır. 

İdari Tedbirler 

  • Veri Koruma Politikaları Oluşturmak: Kurum içinde veri işleme kuralları net olarak belirlenmeli. 
  • Çalışan Eğitimleri: KVKK ve veri güvenliği konusunda sürekli eğitim verilmelidir. 
  • Risk Değerlendirmesi: Veri işleme süreçleri düzenli olarak risk analizine tabi tutulmalıdır. 
  • Veri İşleme Kayıtları: Tüm veri hareketleri şeffaf ve kayıt altına alınmalıdır. 
  • İç Denetimler: Düzenli kontrollerle süreçlerin uygunluğu sağlanmalıdır. 

 

Kişisel Sağlık Verileri Hakkında Yönetmelik ve Önemi 

2019 yılında yürürlüğe giren “Kişisel Sağlık Verileri Hakkında Yönetmelik”, sağlık verilerinin işlenmesinde özel şartlar getirir. Bu yönetmelik; 

  • Sağlık personelinin erişim sınırlarını belirler, 
  • e-Nabız sisteminde gizlilik tercihlerini düzenler, 
  • Kimliksizleştirme ve maskeleme işlemlerini zorunlu kılar, 
  • Sağlık Bakanlığı’nın sağlık verilerine ilişkin özel düzenlemelerini içerir. 

Yönetmelik, sağlık verilerinin sadece tıbbi teşhis, tedavi ve bakım amaçlarıyla işlenmesine izin verir. Reklam veya pazarlama gibi amaçlar kesinlikle yasaktır. 

Sağlık verilerinin korunmasında yaşanacak herhangi bir ihlal, hem hasta güvenini sarsar hem de ciddi yasal yaptırımlara sebep olur. 

 

Sağlık Verilerinin İşlenmesinde Dikkat Edilmesi Gereken Hususlar 

  • Veri sahibi her zaman bilgilendirilmelidir. 
  • Veri işleme faaliyetleri sadece amaçla sınırlı kalmalıdır. 
  • Veri sahibi rızasını istediği zaman geri çekebilmelidir. 
  • Verilerin üçüncü taraflarla paylaşımı kontrollü ve izlenebilir olmalıdır. 
  • Veri ihlalleri anında bildirilmeli ve müdahale edilmelidir. 

 

KVKK kapsamındaki sağlık verilerinin işlenmesi, sadece bir yasal zorunluluk değil, aynı zamanda hasta haklarına saygı ve sağlık hizmetlerinin kalitesini artıran önemli bir sorumluluktur. Açık rıza mekanizmasının doğru işletilmesi, teknik ve idari tedbirlerin eksiksiz uygulanması, sağlık çalışanlarının eğitilmesi ve güncel mevzuata uyum sağlanması, veri güvenliğinin temel taşlarını oluşturur. 

Sağlık sektöründe faaliyet gösteren tüm kişi ve kurumların, bu hassas verileri koruma yükümlülüğünü ciddiyetle ele alması, hem yasal uyumluluk hem de hasta memnuniyeti açısından kritik önem taşır. 

 

Sık Sorulan Sorular (SSS) 

KVKK sağlık verileri nedir?
Kişisel sağlık verileri, bireyin fiziksel ve ruhsal sağlık durumuna ilişkin bilgileri içerir ve KVKK kapsamında özel nitelikli kişisel veri olarak korunur. 

Sağlık verilerinin işlenmesi için açık rıza şart mı?
Evet, sağlık verileri için öncelikle açık rıza gerekir. Ancak KVKK’da belirtilen bazı özel durumlarda rıza olmadan da işlenebilir. 

Açık rıza nasıl alınmalıdır?
Rıza, bilgilendirilmiş, özgür ve belirli amaçlarla alınmalı, veri sahibi istediğinde geri çekebilmelidir. 

Sağlık verileri nasıl korunur?
Hem teknik (şifreleme, erişim kontrolü) hem de idari (politikalar, eğitim, denetim) tedbirlerle korunur. 

Sağlık çalışanlarının veri erişimi sınırlı mı?
Evet, sadece görevleri gereği ve gerekli olduğu kadar erişim hakkına sahiptirler. 

Veri ihlali durumunda ne yapılmalı?
İhlal hızlıca tespit edilmeli, ilgili kurumlar ve veri sahipleri bilgilendirilmeli ve gerekli müdahale yapılmalıdır. 

e-Nabız sistemi KVKK’ya uygun mu?
Evet, e-Nabız sistemi KVKK ve ilgili yönetmelikler kapsamında düzenlenmiş ve kullanıcıların gizlilik tercihleri dikkate alınmıştır. 

Sağlık verileri pazarlama amacıyla kullanılabilir mi?
Hayır, bu tür amaçlar KVKK ve sağlık verileri yönetmeliği ile kesinlikle yasaklanmıştır. 

Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin

admin

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir