Av. Muhittin Ertuğrul ERTÜRK yazdı…
Sağlık verilerine bakanlık personeli dahi olsa (hekim de dahil) ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceği ifade edilmiştir.
21.06.2019 tarih ve 30808 sayılı Resmi Gazete’de, Sağlık Bakanlığı tarafından “KİŞİSEL SAĞLIK VERİLERİ HAKKINDA YÖNETMELİK” yayımlanmış ve yürürlüğe girmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığı’nın merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla yayımlanan metnin önemli kısımları aşağıda özetlenmiştir. Akabinde ise bahse konu yönetmeliğin önem arz eden ana başlıklarını makalenin son kısmında göstermeyi uygun buluyorum. Ancak kamu kurumlarının bahse konu yönetmeliğe uygun davranmaması halinde bir müeyyidenin söz konusu olmadığını, kurul tarafından sadece tavsiye ve uyarı niteliğinde kararlar veriyor olduğunu hatırlatmak isterim.
-Özellikle maskeleme konusunun önem arz ettiğini düşünüyorum. Maskeleme; kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler olarak tarif edilmiştir. Özellikle fatura, rapor vs belgeler üzerinde kişi ile yapılan tedavi veya teşhisin ilişkisini kesecek şekilde kişi bilgilerinin perdelenmesi için bir adım olduğunu düşünüyorum. Nitekim Sosyal Güvenlik Kurumu’na teslim edilen faturalarda halen hasta ismi ve kullanılan malzeme arasında ilişki kurulabilmektedir. Bu noktada bakanlığın gerekli önlemleri alacağını ve firmalara da bu yönde telkinde bulunacağını düşünüyorum.
-Sağlık verilerine bakanlık personeli dahi olsa (hekim de dahil) ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceği ifade edilmiştir. Bunun uygulamada ve farklı branşlarda faaliyet gösteren hekimler arasında nasıl düzenleneceği ve kurala bağlanacağını ise ileride göreceğimizi düşünüyorum. Nitekim madde devamında kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar, kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla, hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar erişilebileceği ifade edilmiştir. Yine geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere, gizlilik tercihi e-Nabız üzerinden sunulacağı, bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebileceği ifade edilmiştir. Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenecek ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilecektir.
-Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, Hasta Hakları Yönetmeliğine uygun şekilde hareket edileceği ifade edilmiştir.
-Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemeyecekleri, bunun için vekâletnamelerinde özel bir yetki aranması gerekeceği ifade edilmiştir. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerektiği ifade edilmiştir.
-Kişisel Verilerin İmha Edilmesinde, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edileceği ifade edilmiştir.
-Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8’inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edileceği ifade edilmiştir. Yani kişisel sağlık verilerinin aktarımı konusunda tamamen Kişisel Verileri Koruma Kanununa atıf yapılmıştır. Burada önemli olan nokta; bir takım kişisel verilerin aktarımı konusundan, kamu kurum ve kuruluşlarına aktarılması için protokol düzenleneceğinin, düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verileceğinin ifade edilmiş olması ve verilerin aktarımı, teknik altyapının uygun olması hâlinde KamuNET üzerinden gerçekleştirilmesi gerekeceğinin ifade edilmiş olmasıdır. Bu madde hükmü ile Sağlık Bakanlığı verilerinin Sosyal Güvenlik Kurumu ile bir protokol dahilinde paylaşılabileceği, Sosyal Güvenlik Kurumu’nun, bakanlıktan veri almasının önünün açılacağı anlaşılmaktadır. Ayrıca anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabileceği ifade edildiğinden Sosyal Güvelik Kurumunun sağlık verileri üzerinde istatistikî bir takım çalışmalar yapabilmesinin de önü açılmıştır. Bu noktada, Sosyal Güvenlik Kurumu’nun değer bazlı geri ödeme sistemi ve sair alternatif geri ödeme ve tedarik yöntemleri için uygun ve sağlıklı bilimsel verilere ulaşması mümkün olabilecektir.
-Veri güvenliğine ilişkin yükümlülüklere riayet edileceği ve Teknik ve idari tedbirlerin alınmasında, Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınacağı ifade edilmiştir. Bu konuda epeydir bakanlık tarafından, sağlık hizmet sunucuları ve tıbbi cihaz tedarikçisi firmalar ile imzalanmak üzere, tip sözleşme ve protokoller hazırlanmakta ve hastaneler ile paylaşılmaktadır.
Yönetmelikte gösterilen Genel ilke ve esaslar
(1) Kişisel verilerin işlenmesinde Kanunun 4’üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.
(2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.
(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.
(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.
(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.
(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.
(7) Veri sorumlusuna başvuruda, Kanunun 13’üncü maddesi ile Kurum tarafından hazırlanarak 10/3/2018tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.
(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10’uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir.
Yönetmeliğe göre Sağlık personelinin verilere erişimi
(1) Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.
(2) e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz.
(3) e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6’ıncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;
- a) Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
- b) Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
- c) Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,
ç) Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar, erişilebilir.
(4) Üçüncü fıkrada yer alan erişim kuralları, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanunun 6’ncı maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebilir. Böyle bir durumda aydınlatma yükümlülüğü kapsamında gereklilikler sağlanır.
(5) Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.
(6) Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir.
Yönetmeliğe göre Bakanlık birimlerinin verilere erişimi
(1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.
(2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.
(3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir.