Sağlık Hizmetlerinde Kişisel Verilerin Korunması

Bildiğimiz gibi sağlık verileri KVKK çerçevesinde özel nitelikli veridir. Sağlık verileri gibi özel nitelikli veriler işlenirken belirli yükümlülükler yerine getirilmeli ve veri güvenliğine ilişkin önlemler alınmalıdır. Bu yazımızda; Sağlık Bakanlığı’na bağlı olarak sağlık hizmeti sunan ve böylece sağlık verisi işleyen tüm özel hukuk gerçek ve tüzel kişiliklerinin uyması ve takip etmesi gereken Kişisel Sağlık Verileri Hakkında Yönetmelik ele alınacaktır.

Sağlık hizmeti sunucusu, bu hizmeti sağlayan veya üreten herhangi organizasyondur. Yani büyük hastanelerden, klinik, eczane gibi farklı büyüklükteki tüm kuruluşları kapsar.

Öncelikle; hiç kimse sağlık hizmeti sunumu için gerekli haller dışında sağlık verilerini paylaşmaya zorlanamaz. Sonuçta, sağlık verilerine izinsiz erişim, bir kişinin hayatını olumsuz etkileyebilecek sonuçlar doğurabilir. Sağlık hizmeti sunarken; banko veya gişe gibi bölümlerde, yetkisiz olarak başka birinin göremeyeceği şekilde ve yakında hizmet alan kimselerden fiziki olarak veya gerekli tüm idari ve teknik tedbirler alınarak korunmalıdır. Aynı zamanda, sağlık verileri içeren çıktıların sağlanmasında, gerekli anonimleştirme, karartma ve kimliksizleştirme teknikleri uygulanmalıdır.

E-Nabız kayıtlarına erişim için de belirli kurallar vardır. Kişinin E-Nabız bilgilerine erişim sadece; kişinin aile hekimi veya randevu aldığı hekim tarafından randevu günü ile sınırlı olmak kaydıyla,  sağlık hizmeti tedavi işlemi yapılan sağlık sunucusundaki hekimler tarafından işlem sonlanana kadar 24 saat boyunca, hastaneye yatış işlemi gerçekleştiyse hasta taburcu olana kadar erişim sağlanabilmelidir. Görüldüğü üzere erişim, sadece amaçla bağlantılı ve sınırlı süre ile olmalıdır.

Belki de sağlık hizmetinin en kritik bölümlerinden biri de hasta yakını bilgilendirmesidir. Hasta Hakları Yönetmeliği’nin 18.maddesinin 3.fıkrasında; “Hastanın kendisinin bilgilendirilmesi esastır. Hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talep kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verilir.” şeklinde belirtilmiştir. Bu nedenle hasta yakınları ile kesinlikle hastadan izinsiz veri paylaşılmamalıdır.

Avukatlar da, müvekkillerinin sağlık verilerini genel vekâletname ile talep edemezler, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunan vekaletname ile talep edebilirler. Ölen kişilerin verileri sadece yasal mirasçıları tarafından talep edilebilir. Sağlık verilerinin, kanun kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenmesi gerekmektedir. Düzenlenen protokolde hangi verilerin aktarılacağı düzenlenir ve aktarım talepleri ilgili birimin bağlı olduğu Bakanlık tarafından değerlendirilir.

Sağlık verilerine ilişkin izinsiz veri paylaşımı, hukuka aykırı olarak ele geçirme ve yok etme gibi hususlarda; sağlık hizmeti sağlayan kurum için idari para cezası, ihlali gerçekleştiren kişi için de hapis cezası ve para cezası uygulanabilir.

Toygun Baysal