“Bir Hastanenin Veri İhlal Bildirimi” Hakkında Karar Özeti
Karara konu olayda, veri ihlali hastanede çalışan doktorun hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleşmiştir. Yapılan araştırma sonucunda;
- Hasta dosyalarını hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesiyle tam olarak tespit edildiği,
- İhlalden; 789 hastanın etkilendiği,
- İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği tespit edilmiştir.
Olaya istinaden Kurul tarafından;
- İhlalden 789 etkilendiği ancak karakol tutanağına göre 54 hastanın dosyası geri alınmıştır. Ama geri kalan dosyaların kaybolma durumu engellenememiştir. Bu durum da dosyaların kaybolmasına yönelik risklerin azaltılmasına dair yeterli idari ve teknik tedbirlerin alınmadığını gösterdiği,
- İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olmasının kişileri doğrudan olumsuz etkileyebileceği,
- İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlendiğine bakılarak; doktor tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı,
- Eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı düşünüldüğünde, hastane tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediği,
- İhlal şüphesini düşündüren olaylara rağmen; ihlalin 17 gün sonra tespit edilmesinin hastane tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca güvenlik önlemlerinin etkili kullanılamadığının göstergesi olduğu,
- İhlali gerçekleştiren ve diğer çalışanların Başhekimliğin izni ve onayı bulunmaksızın, eski çalışanın ve aynı yerde yer alan bir şirket çalışanının arşiv odasına girebildiği ve hasta dosyalarını dışarı çıkarabildiği,
- Ayrıca söz konusu durumun kamera kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği kanunun“… Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi…gerekir.” ifadesine aykırı olarak kamera kayıtlarının kontrolünün ve arşiv odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin alınmadığını gösterdiği,
- İhlalin gerçekleşmesinden önce, Kişisel Verileri Koruma ve Bilgi Güvenliği Kurulu oluşturulmasına, Veri İhlali Müdahale Planı hazırlanmasına ve KVKK kapsamında ilgili kişilerden veya kurumlardan gelecek talepleri karşılamak üzere algoritma oluşturulmasına rağmen; yedieminliğe teslim edilen hasta dosyalarının hastane arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra tespit edildiği,
- Kişisel Veri Güvenliği Rehberi”nin veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı,
- İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen bilinmemesinin veya kaybolmasının risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği tespit edilmiştir.
Olaya istinaden Kurul tarafından;
- Bildirim yükümlülüğünü yerine getirmeyen hastane hakkında kabahatin haksızlık içeriği, hastanenin kusuru ve ekonomik durumu da göz önünde bulundurularak toplamda 600.000 TL idari para cezası uygulanmasına,
- İlgili kişilere bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda hastanenin bilgilendirilmesine
karar verilmiştir.
Toygun Baysal