Makale
Teletıp uygulamalarının yaygınlaşmasıyla birlikte kişisel sağlık verilerinin dijital ortamlarda işlenmesi, siber saldırı ve yetkisiz erişim gibi ciddi veri güvenliği risklerini beraberinde getirmektedir. Bu makale, teletıpta karşılaşılan siber tehditleri ve veri ihlallerini KVKK ve sağlık hukuku perspektifinden detaylıca incelemektedir.
Teletıp Uygulamalarında Veri Güvenliği ve Siber Riskler
Sağlık hizmetlerinin dijitalleşmesi ve teletıp uygulamalarının hayatımızın ayrılmaz bir parçası haline gelmesi, beraberinde büyük hukuki sorumluluklar ve etik tartışmalar getirmektedir. Özellikle kişisel sağlık verilerinin dijital ortamda toplanması ve aktarılması, bu verilerin siber saldırılara ve yetkisiz erişimlere karşı korunmasını zorunlu kılmaktadır. Bir KVKK uzmanı avukat perspektifiyle yaklaştığımızda, hassas kişisel veri statüsünde olan bu bilgilerin, tıp hukuku ve veri koruma mevzuatı çerçevesinde titizlikle muhafaza edilmesi gerektiği açıktır. Ancak, teknolojik alandaki gelişmeler verilerin güvenliği noktasında yeni önlemler üretirken, aynı zamanda bu verilerin ihlali için de yeni kapılar aralamaktadır. Sağlık verilerinin yüksek maddi ve stratejik değeri, bu sektörü bilgisayar korsanları için cazip bir hedef haline getirmektedir. Dolayısıyla, veri güvenliğinin ihlali, yalnızca özel hayatın gizliliğine yönelik bir saldırı olmakla kalmayıp, hastaların yaşam hakkını tehlikeye atabilecek kadar ağır sonuçlar doğurabilmektedir.
Teletıpta Karşılaşılan Başlıca Siber Riskler
Teletıp uygulamalarında, dijital ortamda varlık gösteren ve mutlak surette korunması gereken kişisel sağlık verileri, kötü niyetli kişiler tarafından sıkça hedef alınmaktadır. Yapılan istatistiksel araştırmalara göre, sağlık sektöründe gerçekleşen veri ihlalleri, diğer sektörlere kıyasla çok daha yüksek oranlardadır. Bunun en temel nedeni, tıbbi verilerin ve hastaların iletişim bilgilerinin son derece değerli kabul edilmesidir. Bilgisayar korsanlığı ve fidye yazılımı saldırıları, sağlık hizmeti sunucularının altyapılarını kilitleyerek acil tıbbi müdahaleleri engelleyebilmekte ve telafisi imkânsız zararlara yol açabilmektedir. Ayrıca siber saldırılar neticesinde elde edilen sağlık verileri, kişilerin toplum içinde haksız ayrımcılığa uğramasına neden olabilir. Bu tür siber tehditler karşısında veri sorumlusu konumundaki sağlık tesislerinin ve hekimlerin, veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbiri alması ertelenemez hukuki bir zorunluluktur.
Yetkisiz Personel Erişimi ve Beden Mahremiyetinin İhlali
Teletıp uygulamalarında siber saldırıların yanı sıra, verilere yetkisiz personelin erişimi de büyük bir hukuki problem teşkil etmektedir. Kişisel Verileri Koruma Kurulu kararlarına yansıyan bazı örneklerde görüldüğü üzere, sisteme giriş yetkisi bulunan bir hekimin şifrelerinin asistanı veya sekreteri tarafından yetkisiz şekilde kullanılarak hastaların muayene ve tetkik sonuçlarına usulsüzce erişilmesi, açık bir veri ihlali sayılmaktadır. Bu gibi durumlarda, veri sorumlusu olan hekim veya kurum, idari yaptırımlarla karşı karşıya kalmaktadır. Veri ihlallerinin sadece bilgi sızıntısı ile sınırlı kalmadığı; aynı zamanda online muayeneler sırasında yetkisiz kişilerin yasa dışı yollarla dijital bağlantıya sızıp, görüşmeyi izlemesi ve kaydetmesi yoluyla hastanın beden mahremiyetini de ihlal edebileceği unutulmamalıdır. Sağlık hizmeti sağlayıcılarının, hasta ile yapılan görüşmelerin mahremiyetini korumak için güvenli altyapılar kullanması hukuki sorumluluklarının bir parçasıdır.
Verilerin Değiştirilmesi ve Hastaların Güven Kaybı
Sağlık verilerinin güvenliğinin sağlanamaması durumunda karşılaşılabilecek bir diğer hayati risk, sisteme sızan yetkisiz kişilerin veriler üzerinde manipülasyon yapmasıdır. Hastaların test sonuçları, kan grubu bilgileri veya radyolojik görüntüleme raporları üzerinde yapılan yasa dışı değişiklikler, hekimleri yanlış teşhis ve tedaviye yönlendirebileceği için çok ciddi tıbbi uygulama hatalarına (malpraktis) sebebiyet verebilir. Bu siber riskler, hastaların teletıp sistemlerine olan güvenini derinden sarsmaktadır. Bilimsel çalışmalar, hastaların önemli bir kısmının sistemdeki bilgilerinin yanlış olabileceğine, üçüncü kişilerle usulsüz paylaşıldığına, verilerinin çalınabileceğine veya kazara silinebileceğine inandıklarını göstermektedir. Ortaya çıkan bu güven kaybı, hastaların dijital sağlık hizmetlerinden etkin bir şekilde faydalanmasını engellemektedir. Tıp hukuku bağlamında, sağlık kurumları sadece veriyi depolamakla değil, aynı zamanda verinin bütünlüğünü ve değişmezliğini garanti altına almakla da doğrudan yükümlüdür.
Literatür ve Uygulamada Görülen Veri İhlali Örnekleri
Teletıpta veri güvenliği ihlallerinin ne kadar yıkıcı sonuçlar doğurabileceğini hukuki bir çerçevede daha iyi anlayabilmek için, güncel siber krizleri ve yargıya yansıyan olayları incelemek faydalı olacaktır. Sağlık verilerinin işlenmesinde teknik güvenlik tedbirlerinin önemini gözler önüne seren başlıca veri ihlali örnekleri şunlardır:
- Almanya'da fidye yazılımı nedeniyle bir hastanenin sisteminin çökmesi sonucunda acil müdahale edilemeyen bir hastanın hayatını kaybetmesi, veri güvenliği açığının ölümcül sonuçlarını kanıtlamıştır.
- Fransa'da sağlık sigortası şirketlerine yönelik gerçekleştirilen siber saldırılarda, otuz üç milyondan fazla kişinin doğum tarihi, medeni durumu ve sosyal güvenlik numarası gibi hassas verilerinin çalınması büyük bir ihlal teşkil etmiştir.
- Ülkemizde sağlık bilgi sistemleri üzerinden yetkisi olmayan bir personelin, hastanın rızası dışında tıbbi kayıtlara usulsüz erişmesi sonucunda KVKK yaptırımları doğrudan veri sorumlusu hekime uygulanmıştır.