Özel sağlık hizmeti sunucuları kişisel verilerimizi yeterince koruyor mu?

ÖZEL HABER : KIVANÇ TERZİOĞLU

KVKK Uzmanı Avukat Arif Güngörür, “Kişisel Verilerin Korunması Kanunu” ile ilgili ayrıntıları anlattı. Güngörür şöyle konuştu:

Kişisel sağlık verisi özel nitelikli kişisel verilerin başında gelmektedir. Özel nitelikli kişisel verilerin işlenme şartları 2016 tarihli Kişisel Verilerin Korunması Kanunu’nda düzenlenmiş olsa da kişisel sağlık verileri 2019 tarihli Kişisel Sağlık Verileri Hakkındaki Yönetmelik ile detaylı olarak hukuki zemine kavuşmuştur.

Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verisidir. 

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin yani veri sahibinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Bu sebeple özel nitelikli olarak kabul edilen kişisel sağlık verileri tüm idari ve teknik tedbirler alınarak korunmalıdır.

Kişisel Sağlık Verileri Hakkındaki Yönetmeliğe göre hastaneler, diyaliz merkezleri, tıp merkezleri, diş klinikleri, estetik merkezleri ve küçük ölçekli muayenehaneler başta olmak tüm sağlık hizmeti sunucularının veri sorumlusu olarak dikkat etmesi gereken hususların bazıları şunlardır;

- Banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer alması önlenmeli ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını ve görmelerini engelleyecek nitelikte gerekli fiziki önlemler alınmalıdır.

-Tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirleri uygulanarak söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştırılmalıdır.

Kişisel Verileri Koruma Kurulunun 2018/10 sayılı  kararına istinaden de veri sorumlusu sağlık hizmeti sunucularının alması gereken tedbirler vardır ;

Kişisel sağlık verileri elektronik ortamda muhafaza ediliyorsa;

-Veriler kriptografik yöntemler kullanılarak muhafaza edilmelidir.

-Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları saklanmalıdır.

-Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmeli, gerekli güvenlik testleri düzenli olarak yaptırılmalı ve test sonuçları kayıt altına alınmalıdır.

Kişisel sağlık verileri fiziksel ortamda muhafaza ediliyorsa;

-Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmalıdır.

- Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmelidir.

Kişisel sağlık verileri aktarılacaksa

-Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalıdır.

-Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmelidir.

Kanun başta olmak üzere yazılı mevzuat kapsamında alınması gereken diğer önemli idari ve teknik tedbirler ;

-İdari tedbirler kapsamında veri sorumlusunun işleyişine göre aydınlatma metinleri , politikalar, gizlilik sözleşmeleri vb. dokümanlar özel olarak hazırlanmalı ve tüm personele düzenli olarak farkındalık eğitimleri verilip periyodik olarak denetlenmelidir. 

-Teknik tedbirler kapsamında ise veri ihlaline karşı risk analizi yaptırılmalı ve bu analiz doğrultusunda güncel anti virüs programları, erişim loglarının düzenli olarak tutulması, yedekleme, veri maskeleme, yetki matrisi,  sabit ip, güvenlik duvarı, ağ güvenliği, anahtar yönetimi, sızma testi, saldırı tespit ve önleme gibi sistemler kullanılmalıdır. 

Kişisel Sağlık Verilerinin İmha Edilmesi

Kanunun 7. maddesine göre kişisel sağlık verileri, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu imha sürecinde  Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilmelidir.

VERBİS Kayıt Yükümlülüğü

Bilgi kirliliğinden dolayı maalesef KVKK yükümlülüklerinin VERBİS kaydından ibaret olduğu şeklinde yanlış bir düşünce vardır. VERBİS kaydı, yükümlülüklerden sadece biridir. VERBİS dışında alınması gereken birçok tedbir bulunmaktadır.  

Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının VERBİS kayıt yükümlülüğü vardır.  Bu veri sorumlularının başında ise hastaneler, diyaliz merkezleri, tıp merkezleri, diş klinikleri, estetik merkezleri ve küçük ölçekli muayenehaneler gelmektedir.

Kişisel Verileri Koruma Kurulu herhangi bir ihbar veya şikayete ihtiyaç duymadan vergi daireleri ve SGK ile entegre sistem üzerinden resen inceleme yaptığı için VERBİS kayıt yükümlülerini rahatlıkla tespit edebilmektedir. Diğer yükümlülüklere kıyasla ihlali en kolay tespit edilebilen yükümlülük VERBİS kaydıdır. Veri sorumlusunun fiziki olarak denetlenmesine gerek kalmadan elektronik ortamda kısa sürede kontrol edilmektedir.

VERBİS kaydından ziyade kaydı doğru yapmak daha önemlidir. KVKK ve sağlık mevzuatına hakim biri ancak bu kaydı doğru yapabilmektedir. VERBİS sicilini incelediğimizde kayıt olan sağlık hizmeti sunucularının ne yazık ki neredeyse hepsinin hatalı kayıt yaptığı görülmüştür. Bu fahiş hatalar da idari para cezalarına davetiye çıkarmaktadır.

Veri İhlali

-Hasta dosyalarının ortalık yerde bırakılması,

-Molaya çıkarken hasta kayıt ekranının açık kalması,

-Kişisel sağlık verilerinin Whatsapp ,Gmail, Hotmail vb. platformlar  üzerinden paylaşılması,

-Telefonda kişisel veri talep edenlere bilgi verilmesi,

-Bilgisayarlarda güçlü  olmayan güvensiz şifreler kullanılması,

-Hastanın fotoğraflarının sosyal medyada paylaşılması,

-Hastanın iletişim bilgilerinin reklam amaçlı kullanılması, 

-Menfaat karşılığında hasta bilgilerinin ilgisiz kişilerle paylaşılması,

Bu ve benzeri ihmali veya kasıtlı davranışlar neticesinde oluşan ihlalleri önlemek için sağlık personeline düzenli olarak eğitim verilerek farkındalıklarının artırılması sağlanmalıdır.

Yaptırımlar

Bir veri ihlali meydana geldiğinde 3 ayrı müeyyideyle karşılaşılmaktadır.

1-) İhlal konusu davranış Türk Ceza Kanunu kapsamında aşağıdaki suçlardan birini oluşturursa ihlaldeki kusurlu kişi hapis cezası alabilir.

-Kişisel verileri hukuka aykırı olarak kaydedenlere bir yıldan üç yıla kadar hapis cezası verilir.(TCK 135)

-Kişisel verileri hukuka aykırı olarak başkasına vermek, yaymak veya ele geçirmenin cezası ise iki yıldan dört yıla kadar hapis cezası verilir.(TCK 137)

-Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde  bir yıldan iki yıla kadar hapis cezası verilir.(TCK 138)

2-) Verisi ihlal edilen kişiler sağlık hizmeti sunucusundan maddi ve manevi tazminat talep edebilir.

3-) Sağlık hizmeti sunucusuna Kanunun 18. Maddesine göre idari para cezası uygulanabilir. Kurulun uygulamış olduğu cezaların bazıları internet sitesinde yayınlanmaktadır. 

Cezalardan Korunmanın Yolu Nitelik ve Süreklilik

Kurulun son yıllarda uygulamış olduğu idari para cezalarının medyaya yansımasıyla toplumumuz kişisel veriler konusunda duyarlılık kazanmış olup Kurula yapılan şikayet ve ihbarlar gün geçtikçe artmaktadır. Bu sebeple sağlık sektörü yöneticileri ‘Ceza alan kimseyi duymadık bize de bir şey olmaz.’ düşüncesine kapılmadan en kısa sürede işyerlerini doğru ve eksiksiz bir şekilde KVKK ile uyumlu hale getirmelidir. 

Uyum sürecini tamamladığını düşünenler de mutlaka sağlık mevzuatına ve işleyişine hakim KVKK uzmanı hukukçulara kontrollerini yaptırmalıdır.Veri sorumlularının KVKK alanında uzmanlığı olmayan yada sağlık mevzuatına hakim olmayan avukatlardan veya danışmanlık firmalarından hizmet alması sebebiyle VERBİS kaydındaki hatalar başta olmak üzere uyum süreci yanlış ve eksik tamamlanabilmektedir. Veri sorumlusu sağlık hizmeti sunucuları da kusurlu hizmet aldığını ancak cezalarla karşılaştığında fark edebilmektedir. Bu sebeple bu alanda uzmanlığı olmayan avukatlar veya hukuk nosyonundan yoksun danışmalık firmaları yerine sağlık mevzuatına ve işleyişine hakim KVKK uzmanı avukatlardan hizmet alınmasında fayda vardır. 

Sağlık hizmeti sunucularının dinamik yapısından dolayı veri işleme süreçlerinin değişebilmesi sebebiyle ve güncel Kurul kararlarının takip edilip uygulanması için uyum çalışmaları düzenli olarak revize edilmelidir. Ayrıca personelin periyodik eğitimlerle dikkat ve özen yükümlülükleri konusunda bilinçlerinin taze tutulması gerekmektedir. Sonuç olarak veri sorumlusu sağlık hizmeti sunucularının, cezalardan korunabilmek için tek seferlik danışmanlık hizmeti yerine sağlık ve KVKK alanlarında nitelikli hukukçuların rehberliğine sürekli ihtiyacı vardır.