25 Ağustos 2022 Tarihli ve 31934 Sayılı Resmi Gazete de Sağlık bilgi yönetim sistemi hizmeti sağlayıcılarının uyacakları kurallara, sağlık bilgi yönetim sistemlerinin alım süreçlerine, standartlarına ve tescil işlemlerinin belirlenmesine ilişkin usul ve esasları düzenlemek ve sağlık bilgi yönetim sistemi hizmeti sağlayıcıları ile bu hizmetten yararlanan sağlık bilgi yönetim sistemi hizmet alıcılarının uymaları gereken kurallara belirlemek amacıyla SAĞLIK BİLGİ YÖNETİM SİSTEMLERİ HAKKINDA YÖNETMELİK yayımlanmıştır. Bahse konu yönetmeliğin önem arz eden kısımları aşağıda alıntılanmıştır;
Tanımlar ve kısaltmalar; AHBS: Aile Hekimliği Bilgi Sistemini, CMMI: Yetenek Olgunluk Model Entegrasyonunu (Capability Maturity Model Integration), DICOM: Tıbbi görüntüleme cihazlarından alınan iki ve üç boyutlu bilimsel verilerin depolanması, görüntülenmesi ve analizinde kullanılmak maksadıyla geliştirilmiş olan dijital veri formatını (Digital Imaging and Communications in Medicine), Entegrasyon: Herhangi bir SBYS ya da cihazın, yüksek kalitede ve etkinlikte sağlık hizmeti üretebilmek için, diğer SBYS ya da cihazlarla ihtiyacı karşılayacak yeterlilikte karşılıklı veri alışverişi yapılması işini, Görüntü: VTYS terminolojisinde VIEW olarak da bilinen, gerektiğinde birden çok VTYS tablosunu kendi aralarındaki ilişkileri kullanarak birleştirebilen, genellikle başkaları tarafından verinin daha anlamlı şekilde görülebilmesini sağlayan VTYS nesnesini, İdare: SBYS hizmetini alan kamu kurumları ile kamu sağlık tesisi yönetimlerini, KTS: Kayıt Tescil Sistemini, KTS Yetki Belgesi: SBYS hizmeti sağlayıcısının KTS’de kayıtlı olduğunu ve aktif listede yer aldığını doğrulayan belgeyi, PACS: Görüntü Arşivleme ve İletişim Sistemlerini (Picture Archiving and Communication Systems),Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini, SAMİLOG: SBYS veri tabanında bulunan kayıtlarla ilgili yapılan değişikliklerin olay ve iz kayıtlarını tutmak amacı ile Genel Müdürlük tarafından hazırlanarak internet sitesinde yayımlanan Sağlıkta Minimum Loglama Standardını, SBYS: Sağlık hizmeti sunucuları tarafından klinik, idari ya da yönetimsel amaçlarla kullanılan, gerektiğinde diğer bilgi yönetim sistemleri ile veri alışverişi yapabilen ve Sağlık Bilgi Yönetim Sistemleri olarak adlandırılan yazılımları, SBYS hizmeti alıcısı: SBYS hizmetini alan idareleri ve sağlık hizmeti sunucularını, SBYS hizmeti sağlayıcısı: SBYS hizmeti sunmak üzere Kayıt Tescil Sisteminde kayıt edilerek yetkilendirilmiş olan gerçek veya tüzel kişiyi, SBYS yetkilisi: SBYS hizmeti sağlayıcısının imzaya yetkili temsilcisini, SPICE: Yazılım süreç geliştirme yetenek düzeyini (Software Process Improvement and Capability Determination), TSE: Türk Standardları Enstitüsünü, ÜTS: Ürün Takip Sistemini, VEM: Sağlık hizmeti sunucularının yerel veri tabanlarında tutmuş oldukları verilere ait tablo ve alanların ulusal standartlara uyumunu sağlamak, veri kayıplarını asgari düzeyde tutmak, adaptasyonu hızlandırarak vatandaşların geçmiş verilerine erişimini kolaylaştırmak ve sürecin kesintisiz ilerlemesini temin etmek amacı ile Genel Müdürlük tarafından geliştirilen ve SBYS hizmeti alıcılarının SBYS değişiklikleri ile diğer veri aktarımı süreçlerinde kullanılan Minimum Veri Modelini, VEM Görüntüsü: SBYS hizmeti sağlayıcısı tarafından VEM’e uygun olarak hazırlanan ve güncellenen, SBYS’nin minimum içeriğini tanımlayan Minimum Veri Modeli görüntüsünü (view), Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, VTYS: İlişkisel Veri Tabanı Yönetim Sistemini (RDBMS-Relational Database Management System),
Genel kurallar; SBYS hizmeti sağlayıcıları, aşağıdaki kurallara uymak zorundadır: SBYS’nin; Bakanlık tarafından belirlenen veri tanımlarına, iş kurallarına, yayımlanan yazılım sürüm notlarına, yayımlanan sağlık bilişim standartlarına ve veri gönderimi servislerine uyumlu olmasını sağlamak. Sağlık hizmeti sunucularında faaliyet gösterebilmek için KTS’de kayıtlı olmak. Veri gönderimi servislerini SBYS hizmeti sağlayıcısına ait olmayan donanımlardan kaynaklanan arızalar dışında kesintisiz çalıştırmak; verilerin oluştuğu anda doğru bir şekilde gönderilmesi ile gönderilen verilerin tam ve doğru olmasını sağlamak için teknik gereklilikleri yerine getirmek. SBYS hizmeti alımı ve değişikliği süreçlerinde, SBYS hizmeti alıcısı tarafından belirlenen zaman aralığındaki VEM görüntülerinin herhangi bir gerekçe ile başka bir sisteme aktarılmak üzere istenmesi durumunda ilgili görüntüleri SBYS hizmeti alıcısına teslim etmek. SBYS hizmet süresinin sonunda sistemin kapatılmasını takiben yedekleri eksiksiz olarak almak ve güncel VEM sürümü görüntüleri ile birlikte SBYS hizmeti alıcısına teslim etmek. İdarenin uygun ortamı sağlaması hâlinde SBYS’yi, sözleşmenin sona erdiği tarihten itibaren iki ay süre ile tüm raporlama özellikleri çalışır durumda ve herhangi bir değişiklik yapılmasına izin vermeyecek şekilde açık tutmak.
Sisteme kayıt ve aktif liste; SBYS hizmeti sağlayıcılarının kayıt süreçleri, Genel Müdürlük tarafından geliştirilen Kayıt Tescil Sistemi üzerinden yürütülür. KTS’ye kayıt için gerekli olan belgeler Genel Müdürlüğün internet sitesinde yayımlanır.
Pasif liste; Aktif listede yer alan SBYS hizmeti sağlayıcıları denetlenir. Denetim sonucunda herhangi bir eksikliğin tespit edilmesi halinde SBYS hizmeti sağlayıcısı uyarılır ve bu eksikliklerin belirlenen süre içerisinde giderilmesi istenir.
Sistemden silinme; Pasif listeye alınmasını takip eden üç ay içinde aktif listeye geçemeyen SBYS hizmeti sağlayıcısı ile son bir yıl içerisinde üç defa pasif listeye alınan SBYS hizmeti sağlayıcısı KTS’den silinir.
KTS yetki belgesi; Aktif listede yer alan SBYS hizmeti sağlayıcısının isteği üzerine KTS yetki belgesi düzenlenir. Üzerinde geçerlilik süresi bulunmayan veya doğrulanabilir nitelikte olmayan KTS yetki belgesi geçersiz sayılır. SBYS hizmeti sağlayıcısı olmayıp, herhangi bir SBYS hizmeti sağlayıcısının izni ile SBYS’yi ticari faaliyetlerine konu eden gerçek ve tüzel kişilere KTS yetki belgesi verilmez.
SBYS hizmeti alımı süreçleri; İdare, SBYS hizmeti alımı süreçlerini Genel Müdürlük tarafından internet sitesinde yayımlanan Sağlık Bilgi Yönetim Sistemi Alım Kılavuzuna göre yürütür. İdareler, bu kılavuz ile çelişmeyen hükümleri şartnamelere veya yöntem beyanı dokümanına ekleyebilir. İdare tarafından SBYS hizmeti alımı süreçlerinde kullanılacak teknik şartnameler veya teknik dokümanlar, Genel Müdürlükçe Sağlık Bilgi Yönetim Sistemi Alım Kılavuzuna göre oluşturulan Alım Kılavuzu Sihirbazı üzerinden hazırlanır.
Kamu hastaneleri bilişim süreçleri; Kamu hastanelerinde, birimlerin talepleri doğrultusunda SBYS’lerde yapılacak iyileştirme, güncelleme ve ek geliştirmelerin tıbbi, idari ve teknik açılardan değerlendirilmesi için hastanelerde, yazılım geliştirme süreçlerini SBYS hizmeti sağlayıcısı ile birlikte yönetmek üzere Talep Değerlendirme Komisyonu oluşturulur. Talep Değerlendirme Komisyonunda; gelen talepleri tıbbi açıdan değerlendirmek üzere başhekim veya yardımcısı, idari açıdan değerlendirmek üzere hastane müdürü veya yardımcısı, bakım hizmetleri müdürü veya yardımcısı, bilgi işlem sorumlusu ile İdare tarafından belirlenen diğer çalışanlar yer alır. Komisyona ilgili SBYS hizmeti sağlayıcısından da katılım sağlanır ve geliştirme süreçleri birlikte değerlendirilir.
Görüntüleme; Doğru hastaya doğru çekimin yapılabilmesi amacıyla PACS sistemlerinde DICOM çalışma listesi kullanılır ve tıbbi görüntü ile bu görüntüye ait istem bilgilerinin eşleştirilmesi sağlanır. SBYS hizmeti alıcısı, bu sistem kullanılmadan yapılacak hasta girişlerinin önüne geçmek amacıyla gerekli tedbirleri alır. Radyoloji ve patoloji raporlarının hekim tarafından onaylandıktan sonra değiştirilmesi gerekirse bu değişiklikler yeni bir ek rapor ile sisteme kaydedilir. Onaylanmış raporlar üzerinde değişikliğe izin verilmeyecek şekilde gerekli düzenlemeler yapılır. PACS sistemi kullanan sağlık hizmeti sunucularının Teletıp Sistemine entegre olmaları sağlanır. Entegrasyon takvimi ve ayrıntılı entegrasyon dokümanları Genel Müdürlük tarafından yayımlanır.
Veri yedekleme ve arşivleme; SBYS hizmeti sağlayıcısı, SBYS’ye ait veri tabanı yedeklerini düzenli olarak alır ve bu yedekleri; SBYS hizmeti alıcısının ortamlarına veya Bakanlığın belirlediği ortamlara ya da her ikisine kaydeder. Bu yedekler içerisinde VEM’e uygun oluşturulan görüntüler de yer alır. SBYS hizmeti alıcısı, yedeklerin düzenli olarak alındığını kontrol eder. AHBS yazılımları için veri tabanı yedeği, Bakanlık tarafından herhangi bir barındırma hizmeti sunulana kadar AHBS yazılımı aracılığı ile aile hekimi tarafından günlük olarak alınır ve veri güvenliği yine aile hekimi tarafından sağlanır.
Gizlilik; Sağlık hizmeti sunumu kapsamında işlenen kişisel veriler bakımından SBYS hizmeti sağlayıcısı veri işleyen sıfatını haiz olup, kişisel veri koruma mevzuatında öngörülen ilgili yükümlülükleri yerine getirir. Sağlık hizmeti sunumu ve ilgili süreçler kapsamında elde edilen veriler; sağlık hizmeti sunucularının veri kayıt ortamları, Bakanlığın merkezi sağlık veri sistemleri veya Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde hiçbir yere kaydedilemez ve aktarılamaz. Kişisel sağlık verilerinin muhafaza edileceği veri ortamları, talep üzerine Genel Müdürlük tarafından kurulan bir komisyon marifeti ile uzaktan ya da yerinde denetlenir ve onaylanır. Veriler yalnızca yurt içinde ve güvenli bir şekilde muhafaza edilir. Ülke dışında hizmet veren sağlık kuruluşlarında ise hizmet verilen yerdeki düzenlemeler çerçevesinde işlem tesis edilir. Kişisel veriler, ancak SBYS hizmeti alıcısı tarafından anonim hale getirilebilir. SBYS hizmeti alıcısı veya Bakanlığın izni olmaksızın kişisel veriler, SBYS hizmeti sağlayıcısı tarafından anonim hale getirilemez.
Olay ve iz kayıtları; SBYS hizmeti sağlayıcısı, herhangi bir bilgi güvenliği ihlal olayı oluştuğunda geriye dönük inceleme yapılmasını sağlamak üzere SBYS’lerde, SBYS verilerinin saklandığı veri tabanı ortamlarında ve SBYS’lerin sözleşme kapsamında sunulan hizmetlere ilişkin sorumluluk alanında bulunan yazılım ve donanım bileşenlerinde üretilen olay ve iz kayıtlarını saklamak üzere gerekli tedbirleri alır. SBYS hizmeti alıcısı, SAMİLOG kayıtlarını en az beş yıl, diğer kayıtları ise en az iki yıl süre ile kendi sunucularında saklar. AHBS’lerin SAMİLOG kayıtları ise AHBS üzerinden değiştirilemez şekilde veri tabanında saklanır.