Son dönemde sıkça duyduğumuz kişisel verilerin korunması kavramı ile gerçek kişiler olarak bizler, artık herhangi bir verimiz alınmadan önce aydınlatılmamız gerektiğini, yetkili sağlık kurumu veya sır saklama yükümlülüğü altında olan kişiler dışında bir yer tarafından sağlık verimiz işlenecekse bu verilerin işlenmesinin açık rızamıza bağlı olduğunu biliyoruz.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, veri işleyen her gerçek ve tüzel kişinin verisini işlediği kişilere karşı bir takım yükümlülükleri var. Türkiye’de yer alan şirketlerin çoğu, kişisel verilerin korunması konusunda uyumluluk çalışmalarını tamamladı. Veri işleyenlerin söz konusu uyumluluk çalışmaları dışında bir de VERBİS sistemine bildirim yükümlülükleri var.
Bildirim yükümlülüğü ana faaliyet konusu sağlık verisi işlemek olan sağlık hizmet sunucularını da kapsıyor. Kayıt yükümlülüğü bakımından son tarih 31.03.2021. Bildirim yükümlülüğünün yanında kişisel sağlık verisi işleyen kurumların da diğer tüzel kişiler gibi, hastalarını aydınlatmak, gerekli hallerde açık rızalarını almak, gerekli teknik ve idari tedbirleri almak, KVKK politikaları geliştirmek, gizlilik taahhütnameleri yapmak gibi yükümlülükleri var.
2019 da yayınlanan Kişisel Sağlık Verileri Hakkında Yönetmelik, kişisel sağlık verilerini “kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” olarak tanımlıyor. Hastane, eczane ve tıp merkezi gibi sağlık hizmeti sunan kurumların işlediği kişisel sağlık verilerini, bu yönetmelik kapsamında işlenmesi gerekiyor.
Hastane ve diğer sağlık merkezlerinin neredeyse tüm departmanlarında hastalara ilişkin sağlık verisi işleniyor. Bu kurumların hastalarına ilişkin hangi kişisel verileri, hangi faaliyet kapsamında ve hukuki sebeple işlendiğine ilişkin bir veri envanteri hazırlaması şart. Hazırlanan bu envanterin veri minimizasyonu ilkesi gereğince sağlık hizmet sunucusunun kendi içinde oluşturduğu KVKK Kurulu tarafından denetlenmesi gerekiyor. Ortaya çıkan veri envanteri ışığında her hastanın aydınlatılması için gerekli aydınlatma mekanizmalarının iyi belirlenmesinde fayda var.
Günümüzde teknolojinin gelişmesi ile hastaneler içerisinde veriler elektronik ortamlar üzerinden kayıt altına alınıyor ve bazı hallerde hasta verileri elektronik ortamlar üzerinden aktarılıyor. Örneğin hastanın test sonuçları gibi hassas verilerinin e-posta üzerinden hastaya iletilmesi sıkça rastlanılan bir durum. Hastane ve diğer sağlık hizmet sunucularının söz konusu durumda oluşabilecek ihlal riskleri bakımından gerekli teknik tedbirleri belirleyip, aktarım sırasında oluşabilecek ihlallere karşı sıkı koruma mekanizmaları geliştirmesi gerekiyor.
Yönetmelikte duruma ilişkin “Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.” maddesi yer alıyor. Maddeden anlaşılacağı üzere hastalara ilişkin veri barındıran evrakların başkaları tarafından ele geçirilmesi halinde evrakın kime ait olduğunun anlaşılmasını zorlaştıracak bazı düzenlemelerin yapılıp, hastanede kullanılan dökümantasyonlarının bu tedbirler ışığında güncellenmesi gerekiyor.
Hastanelerin ve diğer sağlık hizmeti verilen yerlerin, barındırdığı en büyük risklerden birisi de birden fazla hastanın bir arada sağlık hizmeti almayı beklediği bekleme salonları. Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirlerin alınmasına özen gösterilmeli. Bunun yanında hastane içerisinde yer alan çalışanların KVKK konusunda eğitim almaları oldukça önemli ve gerekli. Çalışanın, hastanın verilerini ihlal etmesi halinde, doğacak hukuki yaptırımlarla veri sorumlusu sıfatıyla öncelikle sağlık hizmeti sunucunun karşı karşıya kalacağı unutulmamalı. Kanunda yer alan idari para cezaları 2021 güncellemesi ile 1.966.826 TL’ye kadar çıkabiliyor.
Türkiye’de yer alan ve belki de kişiye ait en mahrem veriler olan sağlık verilerini işleyen sağlık hizmet sunucularının, bir an önce Kişisel Verilerin Korunması Kanunu kapsamında uyumluluk çalışmalarını tamamlaması ve söz konusu cezalar bakımından risklerini en aza indirmesi için gerekli önlemleri alması gerekiyor.