Makale
Sağlık sektöründe yapay zekâ kullanımı hızla artarken, hastaların en hassas bilgileri olan sağlık verilerinin hukuka uygun şekilde işlenmesi büyük bir önem taşımaktadır. Bu makalede, KVKK kapsamında sağlık verilerinin yapay zekâ ile işlenme şartları, aranan açık rıza kriterleri ve genel veri işleme ilkeleri hukuki bir perspektifle incelenmektedir.
Sağlıkta Yapay Zekâ Uygulamaları ve Veri İşleme Şartları
Günümüzde dijitalleşmenin sağlık sektörüne yansımasıyla birlikte, yapay zekâ teknolojileri hastalıkların teşhisi, tedavisi ve sağlık hizmetlerinin yönetimi gibi alanlarda devrim yaratmıştır. Ancak bu yenilikçi sistemlerin temelinde devasa boyutlardaki veri yığınlarının işlenmesi yatmaktadır. İnsanların mahremiyetinin en derin parçasını oluşturan kişisel sağlık verileri, veri koruma hukuku kapsamında en sıkı kurallara tabi tutulan özel nitelikli kişisel veriler arasında yer almaktadır. Hastaların tahlil sonuçları, genetik profilleri, giyilebilir teknoloji cihazlarından elde edilen anlık ölçümler veya radyolojik görüntüleri gibi hassas bilgilerin yapay zekâ algoritmaları tarafından öğrenilmesi ve analiz edilmesi, büyük bir hukuki hassasiyet gerektirir. Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde, bu verilerin gelişmiş teknolojiler eliyle işlenmesi belirli hukuki sınırlara, katı ilkelere ve geçerli işlenme şartlarına tabi kılınmıştır. Bir uygulamanın veri toplama aşamasından karar verme sürecinin sonuna kadar hukuka uygun hareket edebilmesi, kişilerin temel hak ve özgürlüklerinin ihlal edilmemesi için vazgeçilmez bir zorunluluktur.
Yapay Zekâ ile Veri İşlemede Genel İlkeler
Yapay zekâ uygulamalarının sağlık verilerini işlerken kanunda düzenlenen genel ilkelere mutlak surette uyması gerekmektedir. Öncelikle, sistemin veri toplama ve analiz süreci hukuka ve dürüstlük kuralına uygun olmalıdır; yani hastanın haklı menfaatleri gözetilmeli ve şeffaflık sağlanmalıdır. Ayrıca işlenen verilerin doğru ve gerektiğinde güncel olması, yapay zekânın hatalı veya ayrımcı kararlar vermesini engellemek adına hayati bir şarttır. Eski veya yanlış bir verinin algoritmaya dahil edilmesi, hastaya yanlış bir tıbbi teşhis konulmasına neden olabileceği için veri sorumlusu sıfatını haiz sağlık kuruluşlarının ve geliştiricilerin aktif bir özen yükümlülüğü bulunmaktadır. Bunun yanı sıra, verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesi gereği, hastadan toplanan verilerin yalnızca önceden belirlenen sınırlar dahilinde kullanılması zorunludur. Yapay zekânın kara kutu yapısı gereği öngörülemeyen yeni veriler türetmesi, veri minimizasyonu ilkesini ihlal etme riski taşıdığından sürekli denetim elzemdir.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Sağlık verileri KVKK kapsamında özel nitelikli kişisel veriler statüsündedir ve kural olarak sıkı bir koruma rejimine tabidir. Mart 2024 tarihinde yapılan kanun değişikliği ile birlikte açık rıza artık tek geçerli dayanak olmaktan çıkmış, alternatif hukuka uygunluk sebepleri de düzenlenmiştir. Bu kapsamda, sır saklama yükümlülüğü altında bulunan hekimler veya yetkili kurumlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması amaçlarıyla sağlık verilerinin rızasız işlenmesi mümkündür. Yapay zekâ tabanlı bir teşhis destek sisteminin hastanede kullanılması bu istisna kapsamında değerlendirilebilir. Ancak ticari amaç güden, örneğin özel sağlık sigortası şirketlerinin veya mobil sağlık uygulamalarının veri işlemesi durumunda hastanın açık rızası mutlaka aranmaktadır. Rızanın geçerli olabilmesi için belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olması şarttır.
Dinamik Rıza ve Aydınlatma Yükümlülüğü
Yapay zekâ algoritmalarının kendi kendine öğrenen, değişen ve öngörülemez yapısı karşısında, klasik rıza mekanizmalarının yetersiz kalabildiği durumlar ortaya çıkmaktadır. Bu sistemler, makine öğrenmesi süreçleriyle sürekli yeni analizler ürettiği için hastaların verilerinin tam olarak nasıl kullanılacağını baştan öngörebilmesi oldukça güçtür. Bu noktada, hastaların zaman içinde verilerinin kullanımına ilişkin izinlerini güncelleyebildikleri dinamik rıza modelinin benimsenmesi, şeffaflığı ve hukuka uygunluğu destekleyen modern bir yaklaşım olarak öne çıkmaktadır. Öte yandan, rıza alınmasına gerek olmayan hallerde bile veri sorumlusunun aydınlatma yükümlülüğü her zaman devam etmektedir. Sağlık kuruluşları, hastaların verilerinin yapay zekâ tarafından analiz edileceği, bu analizlerin hangi amaçlarla ve kimlerle paylaşılabileceği konusunda anlaşılır, sade ve sınırları belirli bir bilgilendirme yapmak zorundadır. Hastanın kendi mahremiyeti üzerindeki kontrolünü yitirmemesi için bu aydınlatmanın eksiksiz yapılması temel hukuki bir mecburiyettir.
Sağlık Hizmetlerinde Otomatik Karar Alma ve Profilleme
Sağlık verilerinin yapay zekâya dayalı uzman sistemler veya yapay sinir ağları tarafından değerlendirilerek hastalar hakkında otomatik profiller oluşturulması, kanun uygulamasında dikkatle ele alınması gereken riskli bir konudur. Profilleme faaliyetleri, hastaların gelecekteki sağlık risklerini, hastalık eğilimlerini veya davranışsal alışkanlıklarını tahmin etmeyi mümkün kılsa da algoritmalarda bulunabilecek olası sapmalar nedeniyle adaletsiz sonuçlar doğurabilir. Hukukumuzda, münhasıran otomatik sistemlerle yapılan analizler neticesinde kişinin aleyhine bir sonucun ortaya çıkması halinde, kişinin bu sonuca itiraz etme hakkı açıkça bulunmaktadır. Özellikle tıbbi teşhis ve tedavi süreçlerinde, yalnızca yapay zekânın çıktısına dayanılarak tam otomatik karar alınması oldukça sakıncalıdır. Bu nedenle, hukuki güvencenin sağlanabilmesi adına, sistemin ürettiği kararların mutlaka bir uzman hekim tarafından denetlenmesi ve nihai olarak değerlendirilmesi gerekmektedir.
Yapay Zekâ Sağlık Verisi Uygulama Alanları ve Hukuki Dayanaklar
Sağlık verilerinin yapay zekâ algoritmaları eliyle işlendiği alanlar ve bu faaliyetlerin dayandığı hukuki gerekçeler çeşitlilik göstermektedir. Veri sorumlularının işleme şartlarını operasyon başlamadan önce doğru belirlemesi büyük önem taşır:
- Tıbbi Görüntüleme ve Radyoloji: Hastanelerin radyoloji görüntülerini analiz eden algoritmalar, sır saklama yükümlülüğü altındaki hekimler tarafından teşhis ve tedavi hizmetlerinin yürütülmesi istisnasına dayanılarak işletilebilir.
- Giyilebilir Teknolojiler ve Mobil Uygulamalar: Kalp ritmi veya uyku düzeni gibi hassas verileri toplayan ticari amaçlı akıllı saatler ve telefon uygulamaları, ancak kullanıcıların açık rızası ve şeffaf onay süreçleri ile hukuka uygun hale gelir.
- Bilimsel Araştırmalar ve İlaç Geliştirme: Genomik araştırmalarda devasa verilerin algoritmalar tarafından işlenmesi, kişisel verilerin mutlak surette anonimleştirilmesi koşuluyla istisnalar kapsamında değerlendirilebilir.
Bu bağlamda her bir yapay zekâ uygulamasının özellikleri ve veri işleme amacı dikkate alınarak, hangi hukuki şarta veya istisnaya başvurulacağının önceden tespit edilmesi hayati öneme sahiptir.