Makale
E-sağlık hizmetlerinde hastaların mahremiyeti ve kişisel verilerinin güvenliği, hem KVKK hem de GDPR kapsamında sıkı kurallara tabidir. Uzaktan sağlık hizmeti sunan sağlık tesisleri ve hekimler, kimlik doğrulama, veri saklama ve siber güvenlik önlemlerini hukuka uygun şekilde almakla yükümlüdür.
E-Sağlık Uygulamalarında Veri Gizliliği ve Siber Güvenlik Hukuku
Günümüzde teknolojinin hızla gelişmesiyle birlikte uzaktan sağlık hizmetleri hayatımızın ayrılmaz bir parçası haline gelmiştir. Ancak bu yenilikçi hizmet modeli, kişisel sağlık verilerinin korunması ve siber güvenlik gibi kritik hukuki meseleleri de beraberinde getirmektedir. Bir bilişim hukuku uzmanı perspektifiyle değerlendirildiğinde, e-sağlık uygulamaları üzerinden sunulan tanı, teşhis ve tedavi hizmetlerinin, hastaların mahremiyet hakkı ihlal edilmeden yürütülmesi yasal bir zorunluluktur. Uzaktan Sağlık Hizmetlerinin Sunumu Hakkında Yönetmelik ve Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumlusu sıfatını taşıyan sağlık tesisleri ile hizmeti sunan sağlık meslek mensupları, bilgi ve iletişim teknolojileri sistemlerinin güvenliğini sağlamak zorundadır. Aksi takdirde, hem hukuki hem de idari yaptırımlarla karşılaşılması kaçınılmazdır. Bu makalede, e-sağlık sistemlerinde hastaların veri gizliliği, kimlik doğrulama süreçleri ve hekimlerin siber güvenlik yükümlülükleri hukuki bir zeminde incelenmektedir.
E-Sağlık Sistemlerinde Kimlik Doğrulama ve Hukuki Boyutu
Uzaktan sağlık hizmetlerinde ilk ve en önemli güvenlik adımı kimlik doğrulama sürecidir. İlgili Yönetmelik uyarınca, sağlık tesisi, hizmet alan kişinin kimliğini doğrulamaya yönelik gerekli tüm idari ve teknik tedbirleri almakla yükümlüdür. Bu doğrultuda, ikincil kimlik doğrulama altyapısı kullanılabilir. Ayrıca, hekimin şüphe duyması halinde hastadan resmi kimlik belgesini kamera üzerinden göstermesini talep etme yetkisi bulunmaktadır. Eğer bu talep yerine getirilmezse, hekim hizmet vermeyi reddedebilir veya başlatılmış bir görüşmeyi derhal sonlandırabilir. Bu katı kuralların temel amacı, başkasına ait kimlik bilgilerinin kullanılması suretiyle işlenebilecek kimlik hırsızlığı ve dolandırıcılık suçlarının önüne geçmektir. Aynı zamanda, kişinin haberi dahi olmadan hassas nitelikli verilerine ulaşılmasını engellemek, kişilik haklarının korunması bakımından elzemdir.
Kişisel Sağlık Verilerinin Kaydedilmesi ve Saklanması
E-sağlık platformlarında gerçekleştirilen muayenelerin görüntülü veya sesli olarak kayıt altına alınması, kural olarak yasaktır. Mevzuata göre, ancak her iki tarafın açık rızası bulunması halinde ilgili sağlık hizmetine ilişkin kayıt alınabilmektedir. Rıza alınarak oluşturulan bu kişisel sağlık verileri, Sağlık Bakanlığı'nın izin verdiği güvenli veri merkezlerinde saklanmak zorundadır. Alınan kayıtlar yasal olarak en fazla on iki ay boyunca saklanabilir ve bu sürenin dolmasıyla birlikte herhangi bir bildirime gerek duyulmaksızın sistemden kalıcı olarak silinmesi şarttır. Sağlık verilerinin izinsiz veya orantısız olarak işlenmesi, hem KVKK hükümlerinin hem de Avrupa Birliği Genel Veri Koruma Tüzüğü kurallarının açık bir ihlalidir. Bu bağlamda, toplanan sağlık verilerinin yalnızca sunulan uzaktan sağlık hizmeti amacı ile sınırlı tutulması hukuki bir zorunluluktur.
Hekimlerin Siber Güvenlik ve Mahremiyet Yükümlülükleri
Uzaktan sağlık hizmeti sunan hekimlerin, siber güvenlik konusunda doğrudan ve kişisel hukuki sorumlulukları bulunmaktadır. İlgili yasal düzenlemeler uyarınca, hekim, sisteme giriş için kendisine tahsis edilen kullanıcı adı ve parolaların güvenliğini bizzat sağlamakla mükelleftir. Hekimin, sistemini açık bırakarak odadan ayrılması ve bu sayede üçüncü kişilerin yetkisiz erişimine imkân tanıması, hastanın mahremiyetini ve veri güvenliğini tehlikeye atan ağır bir özen yükümlülüğü ihlali olarak kabul edilmektedir. Bu tür bir siber zafiyet sonucunda verilerin açığa çıkması, hekime ve kuruma yönelik ciddi idari ve hukuki yaptırımlar doğurur.
Uzaktan Görüşmelerde Mahremiyetin Sağlanması İçin Gerekenler
Sağlık hizmetinin doğası gereği hastanın en özel ve mahrem bilgilerinin paylaşıldığı e-sağlık süreçlerinde, fiziki ortam güvenliği de dijital siber güvenlik kadar değerlidir. Bir bilişim hukuku avukatı olarak vurgulamak gerekir ki, görüşme esnasında hekimin veya hastanın bulunduğu odada, iletişimi duyabilecek veya görebilecek üçüncü bir kişinin bulunması halinde bu durum derhal karşı tarafa bildirilmelidir. Bilgilendirme yükümlülüğünün ihlali, hastanın özel hayatının gizliliği hakkının ve hekimin sır saklama yükümlülüğünün doğrudan ihlali niteliğindedir. Ayrıca sistemin hukuka uygun işlemesi adına bazı temel kurallara riayet edilmelidir:
- Kullanılan uzaktan iletişim araçlarının, Bakanlık tarafından tescil edilmiş güvenli bir yazılım olması zaruridir.
- Aydınlatmanın hastanın anlayabileceği şekilde doğrudan hekim tarafından yapılması şarttır.
- Verilerin işlenmesine dair hastadan elektronik form aracılığıyla imza alınması gerekmektedir. Bu kurallar çerçevesinde, e-sağlık sistemlerinin yasal altyapısı, hastaların bilgi güvenliği prosedürleri ile tam uyum içerisinde korunmasını hedeflemekte, böylece muhtemel hak kayıplarının önüne geçilmektedir.