Anasayfa/ Makale/ Sağlık Verilerinin Toplanması, Saklanması ve...

Makale

Sağlık verilerinin toplanması, elektronik veya fiziksel ortamlarda saklanması ve aktarılması süreçleri, ilgili mevzuat kapsamında sıkı şekil şartlarına tabidir. Bu makalede, veri sorumluları için sağlık verisi yönetimi süreçlerindeki hukuki yükümlülükler ve idari tedbir uygulamaları hukuk ekseninde detaylıca incelenmektedir.

Sağlık Verilerinin Toplanması, Saklanması ve Aktarımı: KVKK

KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ

Günümüzde dijitalleşmenin ve sağlık teknolojilerinin hızla gelişmesiyle birlikte, kişisel sağlık verilerinin toplanması, saklanması ve aktarılması süreçleri hem hukuki hem de teknik açıdan büyük bir hassasiyet gerektirmektedir. Sağlık verileri, doğası gereği kişilerin mahremiyetini doğrudan ilgilendiren oldukça hassas verilerdir. Bu nedenle, hastaneler, klinikler ve ilgili diğer veri sorumlularının bu verileri idare ederken kanuni düzenlemelere sıkı sıkıya uyması bir yasal zorunluluktur. Bireylerin sağlık durumları, tıbbi geçmişleri ve tedavi süreçlerine dair oluşturulan elektronik sağlık kayıtları, yetkisiz erişimlere ve kötüye kullanıma karşı çok güçlü bir koruma altına alınmalıdır. Mevzuatımız, kişisel sağlık verisi döngüsünün her bir parçası olan veri toplama, fiziksel veya dijital depolama ve veri transferi adımlarını, genel verilerden daha katı ve ağır kurallara bağlamıştır. Bir sağlık kuruluşunun bu hukuki kuralları ihlal etmesi, idari yaptırımların yanı sıra telafisi imkansız itibar kayıplarına da yol açacaktır. Bu bağlamda, hukuka uygun bir veri yönetim sürecinin tasarlanması, kurumlar için hasta gizliliğinin sağlanmasının en temel teminatıdır.

Sağlık Verilerinin Toplanma Süreçleri ve Yükümlülükler

Kişisel sağlık verileri, hastalara sunulan tıbbi hizmetin veya tetkiklerin doğası gereği hem yazılı ve sözlü yollarla hem de elektronik ortamda toplanabilmektedir. Hastaneye girişte fiziki form doldurulması, hekime muayene esnasında verilen sözlü tıbbi beyanlar veya giyilebilir akıllı cihazlar ile toplanan anlık nabız gibi sensör bilgileri, veri toplanmasının çeşitli yöntemlerini oluşturur. Hangi yolla elde edilirse edilsin, yerine getirilmesi gereken temel hukuki adım, aydınlatma yükümlülüğünün veri toplama anından önce usulüne uygun şekilde yerine getirilmesidir. Veri sorumluları, ilgili kişiye veri toplama maksadını, verinin kimlere hangi kanuni hedeflerle aktarılabileceğini kapsamlı şekilde sunmak zorundadır. Elektronik mecralarda, cep telefonu uygulamalarında ve nesnelerin interneti konseptine dahil olan sistemlerde dahi, cihaz üreticilerinin kullanıcılara sağlık profillemesi gerçekleştirmeden önce yasal uyarıları açıkça sunması zorunludur.

Aydınlatma Kapsamında Yer Alması Gereken Unsurlar

Hukuka uygun bir veri toplama sürecinin temel şartı olan aydınlatma metinlerinde asgari düzeyde bulunması gereken zorunlu idari unsurlar mevcuttur. Her veri sorumlusu, tıbbi hizmet sunumundan veya veri toplamadan evvel ilgili kişileri yasal sınırlar dairesinde bilgilendirmelidir. İlgili kişilere sunulması gereken yasal bildirim kapsamı şunları ihtiva etmelidir:

  • Veri sorumlusunun veya varsa atanmış temsilcisinin tam kimliği,
  • Kişisel sağlık verilerinin kesin olarak hangi hukuki amaçla işleneceği,
  • Toplanan verilerin kimlere ve ne gibi kanuni hedeflerle aktarılabileceği,
  • Kişisel verilerin sistemlere hangi yasal şartlara dayanılarak dahil edildiği,
  • İlgili kişinin mevzuattan doğan ve talep edebileceği temel hukuki hakları.

Bu adımların hukuka ve dürüstlük kuralına uygun şekilde yerine getirilmemesi durumunda, kayıt altına alınan tüm sağlık bilgileri baştan itibaren kanuna aykırı şekilde elde edilmiş sayılır ve hukuki yükümlülük ihlali doğurur.

Sağlık Verilerinin Güvenli Saklanması ve İdari Tedbirler

Elde edilen sağlık verilerinin dürüstlük kuralına uyumlu bir şekilde toplanmasının ardından, bu verilerin hukuka uygun bir biçimde saklanması periyodu başlamaktadır. Gerek dış bulut bilişim sistemleri üzerinde dijital ortamda gerekse fiziki arşivlerde tutulan hasta dosyalarının güvenliği en üst yasal standartlarda sağlanmalıdır. Kurumsal yükümlülükler çerçevesinde, yetkisiz kişilerin tıbbi verilere erişimini engellemek adına; kriptografik şifreleme yöntemlerinin entegre edilmesi, erişim loglarının anlık olarak tutulması, güvenli yedekleme stratejilerinin geliştirilmesi ve fiziksel donanımların muhafaza edilmesi gibi teknik ve idari tedbirler mecburi kılınmıştır. Kanunlara ve yönetmeliklere göre veri saklama süreleri spesifik olarak ifade edilmiştir. Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi ile Özel Hastaneler Yönetmeliği hükümleri uyarınca, oluşturulan hasta dosyalarının arşivlerde en az yirmi yıl süreyle muhafaza edilmesi yasal bir şarttır. Hukuki saklama süresi dolan veriler, kurumun saklama ve imha politikası doğrultusunda silinmelidir.

Sağlık Verilerinin Yurtiçine ve Yurtdışına Aktarımı

Veri yönetim sürecinin son basamağı olan kişisel sağlık verilerinin aktarılması işlemi, kendi içerisinde ciddi hukuki riskler barındırmaktadır. Yurt içi veri aktarım pratiklerinde, ilgili tıbbi verilerin yetkili kamu kurumlarına veya tahlil amaçlı referans laboratuvarlarına iletilmesi standart bir uygulamadır. Mevzuat altyapımız, kamu kurum ve kuruluşlarına gerçekleştirilecek idari veri aktarımlarının KamuNET ağı üzerinden yapılmasını ve aktarım protokollerinin güvenli altyapılarla desteklenmesini önermektedir. Diğer yandan, toplanan verilerin yurtdışına aktarılması senaryosu oldukça dar yasal çerçevelere hapsedilmiştir. Spesifik hastane yazılımları veya sınır ötesi bulut sunucuları aracılığıyla veri transferi gerektiren durumlarda, aktarım yapılacak ülkenin uluslararası veri koruma standartlarının yeterli bulunması ya da Kurul onaylı güvenlik taahhütnamelerinin imza altına alınması yasal bir zorunluluktur. Yurtdışı aktarım adımlarında takma ad verme tekniklerinin benimsenmesi, olası siber sızıntılarda bireylerin mahremiyetinin ihlal edilme riskini hukuken en alt seviyeye çeken proaktif bir idari uygulamadır.

4 dk okuma Yayınlanma: Güncelleme: