Sağlık verilerimiz güvende mi?

Geçtiğimiz haftaki bültenimizde yaklaşık 4 milyon kaydın etkilendiği, 3 farklı sağlık kuruluşu bünyesinde gerçekleşen ve Kişisel Verileri Koruma Kurumu’na yapılan ihlal bildiriminden bahsetmiştik. Kişisel veri ihlali dendiğinde çoğumuzun aklına belki de internet ortamında, sosyal medya hesaplarımızda, çevrimiçi alışveriş platformlarında paylaştığımız bilgilerin hacklenerek üçüncü kişilerin eline geçmesi geliyor. Belki de pek azımız sağlık verilerimizin mahremiyetinin ihlal edilebileceğini aklımızın ucundan bile geçirmiyoruz. Ancak geçen haftaki 3 adet veri ihlal bildiriminden de gördüğümüz üzere son birkaç yılda dünya çapında sağlık kurumlarına yönelik siber saldırılar daha yaygın hale geldi. Bunun en önemli etkeni şüphesiz ki sağlık sektöründeki teknolojik gelişmelere yetişemeyen veri güvenliği tedbirleri!
Muayenehanler, hastaneler, tıp merkezleri gibi sağlık kuruluşlarının birçoğunda eski bilgi teknolojileri sistemleri, Windows XP gibi 10 yıllık işletim sistemleri, güncel olmayan (belki de hiç olmayan!) antivirüs yazılımları, olmayan güvenlik duvarları görmek mümkün. Tüm bunlar işin teknik tedbir boyutuyken bir de idari tedbir olarak adlandırılan kurum bünyesindeki bilinçlendirme çalışmalarının ve kurum içi kişisel veri koruma eğitimlerinin eksiklikleri ile kişisel verilere erişen, bunları işleyen kişilerin konunun önemini kavrayamaması gibi farkındalık eksiklikleri işin diğer bir önemli boyutunu oluşturuyor.
Peki yasal düzenlemeler ne diyor?
KVKK’ya göre sağlık verileri, özel nitelikli kişisel veri olarak tanımlanıyor ve bu tür veriler, kimlik bilgileri, iletişim bilgileri gibi diğer kişisel veri türlerine göre daha sıkı bir koruma rejimiyle düzenleniyor. KVKK’ya göre sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebiliyor. Bunun dışında kanunlarda açık bir hüküm bulunsa bile hiçbir veri sorumlusu bizlerin açık rızası olmadan sağlık verilerimizi işleyemiyor.
Bu denli sıkı bir koruma rejiminin öngörülmesinin sebebi de şüphesiz ki sağlık verilerine yasa koyucunun verdiği önem.
Hatta Kişisel Verileri Koruma Kurulu bundan tam 5 yıl önce, 2018 yılının Ocak ayında sağlık verilerini de kapsayacak şekilde özel nitelikli kişisel verilerimizin korunmasıyla ilgili olarak ekstra güvenlik tedbirlerinin alınması ve veri sorumlularının bu konuda neler yapması gerektiğine dair bir karar aldı ve bu karar Resmi Gazete’de yayımlanarak tüm Türkiye’ye duyuruldu.
Peki Kurul ne diyor?
- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür oluşturulmalı,
- Özel nitelikli kişisel veri işleyen çalışanlara gerek mevzuat gerekse özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmeli, bu kişilerle gizlilik sözleşmeleri yapılmalı, bu kişilerin özel nitelikli kişisel verilere erişimlerindeki yetki sınırları ve süreleri net bir şekilde tanımlanmalı, kurum içinde periyodik şekilde yetki kontrolleri yapılmalı, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmalı,
- Elektronik ortamda tutulan özel nitelikli kişisel veriler kriptografik yöntemler kullanılarak saklanmalı, bu kriptografik anahtarlar ise güvenli ve farklı ortamlarda tutulmalı,
- Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm işlemlerin (veriye erişme, veriyi transfer etme, veriyi okuma, veriyi yazdırma, veriyi silme vb.) log kayıtları tutulmalı,
- Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli biçimde takip edilmeli, gerekli güvenlik testleri düzenli olarak yapılmalı ve test sonuçları kayıt altına alınmalı,
- Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmalı, bu yazılımların güvenlik testleri düzenli olarak yapılmalı ve test sonuçları kayıt altına alınmalı,
- Özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama uygulanmalı,
- Özel nitelikli kişisel verilerin bulunduğu fiziksel ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmalı ve bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmeli,
- Özel nitelikli kişisel veriler e-posta yoluyla transfer edilirken şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı,
- Özel nitelikli kişisel verilerin taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla transfer edilecekse kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtar farklı ortamda tutulmalı,
- Özel nitelikli kişisel veriler farklı fiziksel ortamlardaki sunucular arasında transfer edilecekse bu kez sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmeli,
- Özel nitelikli kişisel veriler fiziki kağıt vasıtasıyla transfer edilecekse evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizlilik dereceli belgeler” formatında gönderilmeli.
Aslında Kurul, veri sorumlularına asgari olarak alınması gereken teknik ve idari tedbirleri çok sade ve net bir şekilde 5 yıl önce ilan etmiş.
Peki ilgili kişiler olarak bizler ne yapmalıyız?
Her şeyden önce sağlık bilgilerimizi bizden isteyen kişi ister bir muayenehanede çalışan doktor olsun ister gittiğimiz diş hekimi olsun ister zincir bir özel hastane grubu olsun ister kamu kurumu niteliğindeki hastaneler olsun isterse de bir sigorta firması olsun öncelikle veri sorumlusunun KVKK’dan doğan aydınlatma yükümlülüğünü yerine getirip getirmediğine bakmalıyız. Aydınlatma, veri sorumluları açısından bir yükümlülük olduğu kadar “aydınlatılmayı isteme” bizlerin hem Anayasa’dan hem de KVKK’dan doğan temel bir hakkı.
Bu yüzden sağlık bilgilerimizi paylaşmadan önce mutlaka karşı tarafın hazırladığı aydınlatma metinlerini okuyup bizden hangi sağlık bilgilerimizi alacaklarına, bunları kimlerle paylaşacaklarına, bunları hangi amaçla kullanacaklarına ve paylaşacaklarına kısaca bir göz atalım. İçimize sinmezse, eğer tıbbi olarak acil bir durumunuz yoksa, o kuruluştan hizmet almamayı tercih edebilirsiniz. Eğer o kuruluştan hizmet almak dışında tercih edebileceğiniz bir alternatif yoksa da mutlaka içinize sinmeyen aydınlatma metninin bir kopyasını alıp KVKK’dan doğan haklarınızı kullanmalısınız. Bizler haklarımızı kullandıkça verilerimizi işleyen kişi ve kurumlar da bizlerin bilinçli taleplerine hukuka uygun yanıtlar verebilmek için kendi içinde veri mahremiyetine gereken önemi vereceklerdir.
Sağlıkla ve farkındalıkla kalın :)
Kaydet
Okuma listesine ekle
Paylaş
İLGİLİ BAŞLIKLAR
NEREDE YAYIMLANDI?
ABAD artık kararlarında mahlaslama (pseudonymisation) yapacak, Çin'den deepfake regülasyonu, TikTok'a 5 milyon € ceza, FBI, Google Adwords reklamlarına karşı uyardı, 2022'de Türkiye'de 1 milyondan fazla siber saldırı gerçekleşti...
16 Oca 2023

YAZARLAR

Veri Koruma ve Mahremiyet Gündemi
Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.
İLGİLİ OKUMALAR


