Bilindiği üzere sağlık verileri KVKK çerçevesinde özel nitelikli veridir. Sağlık verileri gibi özel nitelikli veriler işlenirken belirli yükümlülükler yerine getirilmeli ve veri güvenliğine ilişkin önlemler alınmalıdır. Bu yazımızda; Sağlık Bakanlığı’na bağlı olarak sağlık hizmeti sunan ve böylece sağlık verisi işleyen tüm özel hukuk gerçek ve tüzel kişiliklerinin uyması ve takip etmesi gereken Kişisel Sağlık Verileri Hakkında Yönetmelik ele alınacaktır.
Sağlık hizmeti sunucusu, bu hizmeti sağlayan veya üreten herhangi organizasyondur. Yani büyük hastanelerden, klinik, eczane gibi farklı büyüklükteki tüm kuruluşları kapsar.
Öncelikle; hiç kimse sağlık hizmeti sunumu için gerekli haller dışında sağlık verilerini paylaşmaya zorlanamaz. Sonuçta, sağlık verilerine izinsiz erişim, bir kişinin hayatını olumsuz etkileyebilecek sonuçlar doğurabilir. Sağlık hizmeti sunarken; banko veya gişe gibi bölümlerde, yetkisiz olarak başka birinin göremeyeceği şekilde ve yakında hizmet alan kimselerden fiziki olarak veya gerekli tüm idari ve teknik tedbirler alınarak korunmalıdır. Aynı zamanda, sağlık verileri içeren çıktıların sağlanmasında, gerekli anonimleştirme, karartma ve kimliksizleştirme teknikleri uygulanmalıdır.
E-Nabız kayıtlarına erişim için de belirli kurallar vardır. Kişinin E-Nabız bilgilerine erişim sadece; kişinin aile hekimi veya randevu aldığı hekim tarafından randevu günü ile sınırlı olmak kaydıyla, sağlık hizmeti tedavi işlemi yapılan sağlık sunucusundaki hekimler tarafından işlem sonlanana kadar 24 saat boyunca, hastaneye yatış işlemi gerçekleştiyse hasta taburcu olana kadar erişim sağlanabilmelidir. Görüldüğü üzere erişim, sadece amaçla bağlantılı ve sınırlı süre ile olmalıdır.
Belki de sağlık hizmetinin en kritik bölümlerinden biri de hasta yakını bilgilendirmesidir. Hasta Hakları Yönetmeliği’nin 18.maddesinin 3.fıkrasında; “Hastanın kendisinin bilgilendirilmesi esastır. Hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talep kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verilir.” şeklinde belirtilmiştir. Bu nedenle hasta yakınları ile kesinlikle hastadan izinsiz veri paylaşılmamalıdır.
Avukatlar da müvekkillerinin sağlık verilerini genel vekâletname ile talep edemezler, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunan vekaletname ile talep edebilirler. Ölen kişilerin verileri sadece yasal mirasçıları tarafından talep edilebilir. Sağlık verilerinin, kanun kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenmesi gerekmektedir. Düzenlenen protokolde hangi verilerin aktarılacağı düzenlenir ve aktarım talepleri ilgili birimin bağlı olduğu Bakanlık tarafından değerlendirilir.
Sağlık verilerine ilişkin izinsiz veri paylaşımı, hukuka aykırı olarak ele geçirme ve yok etme gibi hususlarda; sağlık hizmeti sağlayan kurum için idari para cezası, ihlali gerçekleştiren kişi için de hapis cezası ve para cezası uygulanabilir.
Konuyla ilgili bir veri ihlali kararında Kurul, söz konusu hastaneye 600.000 TL idari para cezası uygulayarak veri sorumlusunun bilgilendirilmesini karar vermiştir.
Söz konusu olayda hastanede çalışan doktorun hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleşmiştir. Yapılan araştırma sonucunda;
- Hasta dosyalarını hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesiyle tam olarak tespit edildiği,
- İhlalden; 789 hastanın etkilendiği,
- İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği tespit edilmiştir.
Olaya istinaden Kurul tarafından;
- İhlalden 789 etkilendiği ancak karakol tutanağına göre 54 hastanın dosyası geri alınmıştır. Ama geri kalan dosyaların kaybolma durumu engellenememiştir. Bu durum da dosyaların kaybolmasına yönelik risklerin azaltılmasına dair yeterli idari ve teknik tedbirlerin alınmadığını gösterdiği,
- İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olmasının kişileri doğrudan olumsuz etkileyebileceği,
- İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlendiğine bakılarak; doktor tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı,
- Eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı düşünüldüğünde, hastane tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediği,
- İhlal şüphesini düşündüren olaylara rağmen; ihlalin 17 gün sonra tespit edilmesinin hastane tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca güvenlik önlemlerinin etkili kullanılamadığının göstergesi olduğu,
- İhlali gerçekleştiren ve diğer çalışanların Başhekimliğin izni ve onayı bulunmaksızın, eski çalışanın ve aynı yerde yer alan bir şirket çalışanının arşiv odasına girebildiği ve hasta dosyalarını dışarı çıkarabildiği,
- Ayrıca söz konusu durumun kamera kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği kanunun… Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi…gerekir.” ifadesine aykırı olarak kamera kayıtlarının kontrolünün ve arşiv odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin alınmadığını gösterdiği,
- İhlalin gerçekleşmesinden önce, Kişisel Verileri Koruma ve Bilgi Güvenliği Kurulu oluşturulmasına, Veri İhlali Müdahale Planı hazırlanmasına ve KVKK kapsamında ilgili kişilerden veya kurumlardan gelecek talepleri karşılamak üzere algoritma oluşturulmasına rağmen; yedieminliğe teslim edilen hasta dosyalarının hastane arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra tespit edildiği,
- Kişisel Veri Güvenliği Rehberi”nin veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı,
İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen bilinmemesinin veya kaybolmasının risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği tespit edilmiştir.
Olaya istinaden Kurul tarafından;
- Bildirim yükümlülüğünü yerine getirmeyen hastane hakkında kabahatin haksızlık içeriği, hastanenin kusuru ve ekonomik durumu da göz önünde bulundurularak toplamda 600.000 TL idari para cezası uygulanmasına,
- İlgili kişilere bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda hastanenin bilgilendirilmesine
karar verilmiştir.
Toygun Baysal