Makale
Özel sağlık kurumları kapsamında kişisel sağlık verilerinin işlenmesi ve aktarımı, mevzuatın katı kurallarına tabidir. Kural olarak hastanın açık rızası aranırken, tıbbi teşhis ve tedavi gibi istisnai hallerde sır saklama yükümlülüğü altındaki kişilerce rızasız işleme yapılabilir. Aktarım süreçleri ise Merkezi Sağlık Veri Sistemi ve Medula'yı kapsar.
Sağlık Verilerinin İşlenmesi ve Aktarımının Hukuki Şartları
Bilişim sistemlerinin sağlık sektörüne entegrasyonu, özel sağlık kurumları tarafından yürütülen faaliyetlerde kişisel sağlık verilerinin işlenmesi ve üçüncü kişilere aktarılmasını yasal prosedürlerin merkezine yerleştirmiştir. Bir kimsenin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetine dair detaylar özel nitelikli kişisel veri statüsündedir. Bu verilerin yetkisiz kişilerin eline geçmesi, ilgili bireyin sosyal, ailevi veya iş yaşamında telafisi güç zararlara ve ayrımcılığa uğramasına yol açabileceği için mevzuatımızda standart verilere kıyasla çok daha sıkı bir koruma rejimi öngörülmüştür. İlgili yasa kapsamında verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi ve aktarılması gibi her türlü müdahale veri işleme faaliyeti olarak kabul edilir. Bu işleme süreçlerinin mutlak suretle hukuka ve dürüstlük kuralına uygun, doğru, güncel ve meşru amaçlarla bağlantılı, sınırlı ve ölçülü bir perspektifle yürütülmesi temel hukuk kuralıdır.
Kişisel Sağlık Verilerinin İşlenme Şartları
İlgili kanunun 6. maddesi uyarınca özel nitelikli kişisel verilerin işlenmesinde ana kural, veri sahibinin yani ilgili kişinin açık rızasının alınması mecburiyetidir. Açık rıza; belirli bir konuya ilişkin, detaylı bilgilendirilmeye dayanan ve kişinin tamamen özgür iradesiyle açıklanan onayı ifade etmektedir. Hastaneye kabul süreçlerinde veya herhangi bir tıbbi müdahale öncesinde hastanın süreç hakkında aydınlatılması gerekir. Ancak aynı hukuki çerçevede, sağlık ve cinsel hayata ilişkin kişisel verilerin açık rıza aranmaksızın işlenebileceği sınırlı ve spesifik istisnalar da tanımlanmıştır. Bu veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin ve bu hizmetlere ait finansmanın planlanması amaçlarıyla işlenebilmektedir. Belirtilen bu istisnai işlemlerin yapılabilmesi için süreci yürütecek olan profesyonellerin kanunen sır saklama yükümlülüğü altında bulunması veya yetkili kurum statüsü taşıması yasal bir zorunluluktur.
Sır Saklama Yükümlülüğü ve Yeterli Önlemlerin Alınması
İstisnai işleme kuralları çerçevesinde bahsedilen sır saklama yükümlülüğü, hekimler, hemşireler ve diğer sağlık personellerinin mesleki faaliyetleri gereği elde ettikleri bilgileri üçüncü kişilerle kesinlikle paylaşmamasını ifade eder. Bu yükümlülük, hastanın özel hayatının gizliliğinin ve güven ilişkisinin en temel yasal teminatıdır. Yasal düzenlemeler ışığında, açık rızanın gerekli olup olmadığına bakılmaksızın her türlü sağlık verisi işleme sürecinde Kişisel Verileri Koruma Kurulu tarafından belirlenmiş olan idari ve teknik yeterli önlemlerin alınması mecburidir. Hastaneler, verilerin elektronik veya fiziksel ortamlarda güvenliğini tesis etmek için sıkı yetkilendirme sınırları koymalı, siber güvenlik altyapılarını güncel tutmalı ve veri işleme sürecindeki ifa yardımcısı statüsündeki tüm personeli ile gizlilik sözleşmeleri akdetmelidir. Bu standartların sağlanmaması, veri sorumlularının doğrudan yaptırımlarla karşılaşmasına sebep olur.
Kişisel Sağlık Verilerinin Aktarımı ve Kurumsal Entegrasyon
Özel sağlık kurumları tarafından toplanan hassas verilerin yurt içindeki üçüncü kişilere aktarılması, ana kural olarak yine ilgilinin mutlak suretle açık rızasına tabidir. Ancak, Kurulca belirlenen önlemlerin kusursuzca alınması ve tıbbi teşhis, tedavi veya sağlık finansmanının planlanması gibi istisnai hukuki şartların fiilen mevcudiyeti halinde açık rıza olmaksızın da yasal aktarım işlemi yapılabilir. Eğer ilgili aktarım işlemi yurt dışındaki üçüncü kişilere gerçekleştirilecekse kural yine açık rızadır; istisnai hallerde ise ek olarak verinin aktarılacağı hedef ülkede yeterli korumanın bulunması veya veri sorumlularının Türkiye'deki ve hedef ülkedeki veri koruma şartlarını yazılı taahhütname ile güvence altına alarak Kurul'dan onay almaları aranır. Hastanelerin veya sağlık profesyonellerinin ilgili veri sahibinin izni olmaksızın standart tedavi prosedürleri dışına çıkarak araştırma firmalarıyla veya sigorta şirketleriyle ticari amaçlı veri transferi yapması hukuka kesin olarak aykırıdır.
Merkezi Sağlık Veri Sistemi ve Medula'ya Veri Aktarımı
Kamu otoriteleri tarafından kurulan ve yönetilen devasa elektronik veri tabanları, sağlık kurumlarının günlük operasyonlarında yasal olarak sağlık verisi aktardığı en önemli altyapılardır. Bu entegre sistemlerin ve veri iletiminin hukuki temelleri, kişisel sağlık verilerini düzenleyen yönetmeliklerle belirlenmiştir. Yasal otomasyonu oluşturan temel bilgi aktarım platformları şu şekildedir:
- Merkezi Sağlık Veri Sistemi ve e-Nabız: Sağlık hizmeti sunucularına müracaat eden bireylere ait kişisel sağlık verileri, kamu sağlığının korunması ile hizmet planlaması ve politikaların belirlenmesi amacıyla düzenli olarak Sağlık Bakanlığı'na aktarılır.
- Medula Sistemi: Sosyal Güvenlik Kurumu ile özel sağlık kuruluşları arasında kurulan finansal süreçleri yönetmek amacıyla faaliyettedir. Hastaneler sundukları hizmetin bedelini tahsil edebilmek maksadıyla yasal istisnalar kapsamında olan sağlık finansmanının planlanması ve yönetimi doğrultusunda hasta fatura ve detaylı tedavi içeriklerini Medula aracılığıyla doğrudan SGK sistemlerine aktarırlar.