Anasayfa/ Makale/ Sağlık Verilerinin Toplanması, Saklanması ve Aktarımı: KVKK

Sağlık Verilerinin Toplanması, Saklanması ve Aktarımı: KVKK

Sağlık verilerinin toplanması, elektronik veya fiziksel ortamlarda saklanması ve aktarılması süreçleri, ilgili mevzuat kapsamında sıkı şekil şartlarına tabidir. Bu makalede, veri sorumluları için sağlık verisi yönetimi süreçlerindeki hukuki yükümlülükler ve idari tedbir uygulamaları hukuk ekseninde detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ

Günümüzde dijitalleşmenin ve sağlık teknolojilerinin hızla gelişmesiyle birlikte, kişisel sağlık verilerinin toplanması, saklanması ve aktarılması süreçleri hem hukuki hem de teknik açıdan büyük bir hassasiyet gerektirmektedir. Sağlık verileri, doğası gereği kişilerin mahremiyetini doğrudan ilgilendiren oldukça hassas verilerdir. Bu nedenle, hastaneler, klinikler ve ilgili diğer veri sorumlularının bu verileri idare ederken kanuni düzenlemelere sıkı sıkıya uyması bir yasal zorunluluktur. Bireylerin sağlık durumları, tıbbi geçmişleri ve tedavi süreçlerine dair oluşturulan elektronik sağlık kayıtları, yetkisiz erişimlere ve kötüye kullanıma karşı çok güçlü bir koruma altına alınmalıdır. Mevzuatımız, kişisel sağlık verisi döngüsünün her bir parçası olan veri toplama, fiziksel veya dijital depolama ve veri transferi adımlarını, genel verilerden daha katı ve ağır kurallara bağlamıştır. Bir sağlık kuruluşunun bu hukuki kuralları ihlal etmesi, idari yaptırımların yanı sıra telafisi imkansız itibar kayıplarına da yol açacaktır. Bu bağlamda, hukuka uygun bir veri yönetim sürecinin tasarlanması, kurumlar için hasta gizliliğinin sağlanmasının en temel teminatıdır.

Sağlık Verilerinin Toplanma Süreçleri ve Yükümlülükler

Kişisel sağlık verileri, hastalara sunulan tıbbi hizmetin veya tetkiklerin doğası gereği hem yazılı ve sözlü yollarla hem de elektronik ortamda toplanabilmektedir. Hastaneye girişte fiziki form doldurulması, hekime muayene esnasında verilen sözlü tıbbi beyanlar veya giyilebilir akıllı cihazlar ile toplanan anlık nabız gibi sensör bilgileri, veri toplanmasının çeşitli yöntemlerini oluşturur. Hangi yolla elde edilirse edilsin, yerine getirilmesi gereken temel hukuki adım, aydınlatma yükümlülüğünün veri toplama anından önce usulüne uygun şekilde yerine getirilmesidir. Veri sorumluları, ilgili kişiye veri toplama maksadını, verinin kimlere hangi kanuni hedeflerle aktarılabileceğini kapsamlı şekilde sunmak zorundadır. Elektronik mecralarda, cep telefonu uygulamalarında ve nesnelerin interneti konseptine dahil olan sistemlerde dahi, cihaz üreticilerinin kullanıcılara sağlık profillemesi gerçekleştirmeden önce yasal uyarıları açıkça sunması zorunludur.

Aydınlatma Kapsamında Yer Alması Gereken Unsurlar

Hukuka uygun bir veri toplama sürecinin temel şartı olan aydınlatma metinlerinde asgari düzeyde bulunması gereken zorunlu idari unsurlar mevcuttur. Her veri sorumlusu, tıbbi hizmet sunumundan veya veri toplamadan evvel ilgili kişileri yasal sınırlar dairesinde bilgilendirmelidir. İlgili kişilere sunulması gereken yasal bildirim kapsamı şunları ihtiva etmelidir:

  • Veri sorumlusunun veya varsa atanmış temsilcisinin tam kimliği,
  • Kişisel sağlık verilerinin kesin olarak hangi hukuki amaçla işleneceği,
  • Toplanan verilerin kimlere ve ne gibi kanuni hedeflerle aktarılabileceği,
  • Kişisel verilerin sistemlere hangi yasal şartlara dayanılarak dahil edildiği,
  • İlgili kişinin mevzuattan doğan ve talep edebileceği temel hukuki hakları.

Bu adımların hukuka ve dürüstlük kuralına uygun şekilde yerine getirilmemesi durumunda, kayıt altına alınan tüm sağlık bilgileri baştan itibaren kanuna aykırı şekilde elde edilmiş sayılır ve hukuki yükümlülük ihlali doğurur.

Sağlık Verilerinin Güvenli Saklanması ve İdari Tedbirler

Elde edilen sağlık verilerinin dürüstlük kuralına uyumlu bir şekilde toplanmasının ardından, bu verilerin hukuka uygun bir biçimde saklanması periyodu başlamaktadır. Gerek dış bulut bilişim sistemleri üzerinde dijital ortamda gerekse fiziki arşivlerde tutulan hasta dosyalarının güvenliği en üst yasal standartlarda sağlanmalıdır. Kurumsal yükümlülükler çerçevesinde, yetkisiz kişilerin tıbbi verilere erişimini engellemek adına; kriptografik şifreleme yöntemlerinin entegre edilmesi, erişim loglarının anlık olarak tutulması, güvenli yedekleme stratejilerinin geliştirilmesi ve fiziksel donanımların muhafaza edilmesi gibi teknik ve idari tedbirler mecburi kılınmıştır. Kanunlara ve yönetmeliklere göre veri saklama süreleri spesifik olarak ifade edilmiştir. Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi ile Özel Hastaneler Yönetmeliği hükümleri uyarınca, oluşturulan hasta dosyalarının arşivlerde en az yirmi yıl süreyle muhafaza edilmesi yasal bir şarttır. Hukuki saklama süresi dolan veriler, kurumun saklama ve imha politikası doğrultusunda silinmelidir.

Sağlık Verilerinin Yurtiçine ve Yurtdışına Aktarımı

Veri yönetim sürecinin son basamağı olan kişisel sağlık verilerinin aktarılması işlemi, kendi içerisinde ciddi hukuki riskler barındırmaktadır. Yurt içi veri aktarım pratiklerinde, ilgili tıbbi verilerin yetkili kamu kurumlarına veya tahlil amaçlı referans laboratuvarlarına iletilmesi standart bir uygulamadır. Mevzuat altyapımız, kamu kurum ve kuruluşlarına gerçekleştirilecek idari veri aktarımlarının KamuNET ağı üzerinden yapılmasını ve aktarım protokollerinin güvenli altyapılarla desteklenmesini önermektedir. Diğer yandan, toplanan verilerin yurtdışına aktarılması senaryosu oldukça dar yasal çerçevelere hapsedilmiştir. Spesifik hastane yazılımları veya sınır ötesi bulut sunucuları aracılığıyla veri transferi gerektiren durumlarda, aktarım yapılacak ülkenin uluslararası veri koruma standartlarının yeterli bulunması ya da Kurul onaylı güvenlik taahhütnamelerinin imza altına alınması yasal bir zorunluluktur. Yurtdışı aktarım adımlarında takma ad verme tekniklerinin benimsenmesi, olası siber sızıntılarda bireylerin mahremiyetinin ihlal edilme riskini hukuken en alt seviyeye çeken proaktif bir idari uygulamadır.

Hastaneye gidince hemen form doldurtuyorlar, bunu neden yaptıklarını bana söylemek zorunda değiller mi? expand_more
Hukuki düzenlemelere göre, hastanelerin ve veri sorumlusu konumundaki diğer kurumların, sizden veri toplamadan evvel aydınlatma yükümlülüğünü yerine getirmesi mecburi bir yasal şarttır. Veri sorumlusu; kimliğini, sağlık verilerinizi hangi hukuki amaçla işleyeceğini, bu verileri kimlere aktarabileceğini ve kanundan doğan temel haklarınızı size kapsamlı bir şekilde sunmakla mükelleftir. Şayet bu adımlar hukuka ve dürüstlük kuralına uygun olarak yerine getirilmezse, kayıt altına alınan söz konusu sağlık bilgileri kanuna aykırı elde edilmiş sayılır ve ilgili kurum için hukuki yükümlülük ihlali doğurur.
Hastanedeki tahlillerim ve dosyalarım ne kadar süre saklanıyor, başkasının eline geçmez mi? expand_more
İlgili yönetmelik hükümleri uyarınca, oluşturulan hasta dosyalarının ve tıbbi kayıtların kurum arşivlerinde en az yirmi yıl süreyle muhafaza edilmesi yasal bir zorunluluktur. Bu uzun saklama süreci boyunca yetkisiz kişilerin tıbbi verilerinize erişimini engellemek adına kurumların kriptografik şifreleme, erişim loglarının anlık tutulması ve güvenli yedekleme gibi teknik ve idari tedbirleri alması mecburi kılınmıştır. Hukuken belirlenen bu yirmi yıllık saklama süresi dolduğunda ise verileriniz, kurumun saklama ve imha politikası doğrultusunda geri döndürülemeyecek şekilde silinmelidir.
Kullandığım nabız ölçen akıllı saat uygulaması verilerimi yurtdışına gönderiyor, bu yasal mı? expand_more
Giyilebilir akıllı cihazlar, sensörler veya cep telefonu uygulamalarıyla toplanan sağlık verilerinin yurtdışına aktarılması mevzuatımızda oldukça dar yasal çerçevelere hapsedilmiştir. Bu aktarımın hukuka uygun addedilebilmesi için, verinin gönderileceği ülkenin uluslararası veri koruma standartlarının yeterli bulunması ya da Kurul onaylı güvenlik taahhütnamelerinin mutlaka imza altına alınmış olması gereklidir. Buna ek olarak, cihaz üreticilerinin sizin verilerinizi toplayıp sağlık profillemesi gerçekleştirmeden önce yasal uyarıları ve aydınlatma metnini açıkça tarafınıza sunması emredici bir yasal kuraldır.
Özel hastanedeki sağlık verilerimi devlete veya başka laboratuvara gönderirken nasıl koruyorlar? expand_more
Yurt içi veri aktarım süreçlerinde, elde edilen tıbbi verilerin referans laboratuvarlarına veya yetkili kamu kurumlarına aktarılması mevzuatımızda standart bir uygulama olarak kabul edilmektedir. Bu aktarım esnasında hasta mahremiyetini korumak maksadıyla, kamu kurumlarına yapılacak veri transferlerinin güvenli KamuNET ağı üzerinden gerçekleştirilmesi ve aktarım protokollerinin güvenli altyapılarla desteklenmesi gerekmektedir. Kurumların bu aktarım esnasında hukuki kurallara ve güvenlik standartlarına uymaması, idari yaptırımların yanında telafisi imkansız itibar kayıplarına sebebiyet verecek bir ihlal niteliği taşır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir