-
Mail[email protected]
-
Telefon0 505 918 21 49
- Avukata Sor
Kartal Avukat
Dijitalleşme sağlık alanında büyük kolaylıklar sağlamış olsa da, beraberinde önemli hukuki riskleri de getirmiştir. Artık hastaneler, klinikler ve sigorta şirketleri milyonlarca hastanın dijital sağlık kayıtlarını saklamaktadır. Bu veriler yalnızca kişisel değil, aynı zamanda özel nitelikli kişisel veri olarak kabul edilir.
Bu nedenle, dijital sağlık kayıtlarının hukuki korunması günümüzde hem sağlık kurumları hem de hastalar açısından hayati öneme sahiptir. Bu makalede, dijital sağlık verilerinin korunmasına ilişkin yasal düzenlemeleri, veri ihlali durumunda izlenmesi gereken adımları ve hastaların sahip olduğu hakları detaylı biçimde inceleyeceğiz.
Dijital sağlık kayıtları; hastaların kimlik bilgileri, teşhis, tedavi süreci, laboratuvar sonuçları, ilaç kullanımı, röntgen ve görüntüleme verileri gibi tüm tıbbi bilgilerin elektronik ortamda saklandığı sistemlerdir.
Bu kayıtlar hem kamu hem de özel sağlık kuruluşlarında tutulur ve genellikle Sağlık Bakanlığı’nın e-Nabız altyapısı veya hastane bilgi yönetim sistemleri aracılığıyla erişilebilir.
Ancak bu kayıtların elektronik ortamda saklanması, yetkisiz erişim, veri sızıntısı, sistem açıkları gibi güvenlik risklerini de beraberinde getirir.
Türkiye’de dijital sağlık verilerinin korunması öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında güvence altına alınmıştır.
Kanunun 6. maddesine göre sağlık verileri, “özel nitelikli kişisel veri” kategorisindedir.
Bu da şu anlama gelir:
Kişinin açık rızası olmadan işlenemez.
Veri güvenliği en üst düzeyde sağlanmalıdır.
Veri ihlali durumunda Kişisel Verileri Koruma Kurumu’na (KVKK) ve ilgili kişiye bildirim yapılmalıdır.
Ayrıca Türk Ceza Kanunu’nun 135-140. maddeleri, kişisel verilerin hukuka aykırı olarak kaydedilmesi, paylaşılması veya imha edilmemesi durumunda cezai yaptırımlar öngörür.
Hastaneler, özel klinikler ve laboratuvarlar, dijital sağlık verilerini işlerken şu yükümlülüklere sahiptir:
Aydınlatma yükümlülüğü: Veri sahiplerini, hangi verilerin ne amaçla işlendiği konusunda bilgilendirmek.
Açık rıza alma: Sağlık verileri ancak açık rıza ile işlenebilir.
Veri güvenliği tedbirleri: Yetkisiz erişim ve siber saldırılara karşı gerekli teknik ve idari önlemleri almak.
Veri ihlali bildirim yükümlülüğü: Veri ihlali yaşanırsa, derhal Kişisel Verileri Koruma Kurumu’na ve ilgili kişiye bilgi verilmelidir.
Bu yükümlülüklerin ihlali hâlinde kurumlar hem idari para cezalarıyla hem de tazminat sorumluluğuyla karşılaşabilir.
Veri ihlali, kişisel verilerin yetkisiz kişilerce erişilmesi, paylaşılması, değiştirilmesi veya yok edilmesi durumudur.
Örnek veri ihlalleri:
Sağlık çalışanının izinsiz hasta bilgisine erişmesi
E-posta ile yanlış kişiye sağlık raporu gönderilmesi
Sunucu sistemine siber saldırı sonucu hasta verilerinin çalınması
Bu durumlarda veri sorumlusu, 72 saat içinde KVKK’ya bildirim yapmak ve olayı belgelemek zorundadır.
Eğer bir hasta verilerinin izinsiz paylaşıldığını veya sızdırıldığını fark ederse:
Öncelikle veri sorumlusuna başvurmalıdır.
Cevap alınamazsa veya tatmin edici olmazsa KVKK’ya şikayette bulunabilir.
Gerektiğinde manevi tazminat davası açabilir.
Mahkemeler, kişisel verilerin izinsiz paylaşımı nedeniyle kişilik hakları ihlali oluştuğunda manevi tazminat kararı verebilir.
Personel yetkilerinin net tanımlanmaması
Veri şifrelemesinin yetersiz olması
Yedekleme dosyalarının korumasız bırakılması
Açık rıza metinlerinin eksik veya yanlış hazırlanması
Sağlık verilerinin üçüncü taraflarla paylaşılması
Bu hatalar, hem idari para cezası hem de itibar kaybı açısından sağlık kurumları için büyük risk oluşturur.
Türk yargı kararlarında dijital sağlık verilerinin korunmasına ilişkin birçok örnek bulunmaktadır.
Örneğin, hasta bilgilerini yetkisiz şekilde paylaşan özel hastane çalışanı hakkında verilen kararda, hem işten çıkarma hem de TCK 136. madde kapsamında hapis cezası verilmiştir.
Ayrıca, veri ihlali sonrası hastaya ait laboratuvar sonuçlarının internette yayılması nedeniyle, hastane manevi tazminat ödemeye mahkûm edilmiştir.
Bu kararlar, sağlık verilerinin korunmasının artık yalnızca teknik değil, hukuki bir sorumluluk haline geldiğini göstermektedir.
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile KVKK arasında büyük paralellikler bulunmaktadır.
Her iki sistem de:
Açık rıza esasına dayanır.
Veri sahibine bilgi edinme ve silme hakkı tanır.
İhlallerde bildirim zorunluluğu getirir.
Ancak Türkiye’de bazı teknik uyumsuzluklar halen mevcuttur. Özellikle bulut tabanlı veri işleme ve yurt dışına veri aktarımı konuları hâlâ gri alan olarak kabul edilmektedir.
Güçlü şifreleme ve iki faktörlü kimlik doğrulama kullanmak
Sağlık personeline düzenli veri koruma eğitimi vermek
Düzenli sızma testleri (penetration test) yaptırmak
Erişim loglarını kayıt altında tutmak
Bulut hizmeti sağlayıcılarıyla KVKK uyumlu sözleşme yapmak
Bu önlemler, hem veri ihlali riskini azaltır hem de olası yargı süreçlerinde kurumun sorumluluğunu hafifletir.
1. Dijital sağlık verileri hangi kanunla korunur?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında korunur.
2. Sağlık verileri özel nitelikli veri midir?
Evet. KVKK madde 6’ya göre sağlık verileri özel nitelikli kişisel veri sınıfındadır.
3. Veri ihlali yaşandığında kim sorumludur?
Veri sorumlusu olan kurum (örneğin hastane veya laboratuvar) hukuken sorumludur.
4. Veri ihlali bildirimi ne kadar sürede yapılmalıdır?
En geç 72 saat içinde KVKK’ya bildirim yapılmalıdır.
5. Hastalar manevi tazminat davası açabilir mi?
Evet. Veri sızıntısı veya gizlilik ihlali halinde manevi tazminat talep edilebilir.
6. Doktorun hasta bilgilerini paylaşması suç mu?
Evet. TCK 136’ya göre kişisel verilerin hukuka aykırı paylaşılması suçtur.
7. e-Nabız verilerim sızarsa ne yapmalıyım?
Önce Sağlık Bakanlığı ve KVKK’ya başvurmalı, ardından gerekirse yargı yoluna gitmelisiniz.
8. Sağlık kurumları veri güvenliği testlerini yapmak zorunda mı?
Evet. KVKK uyarınca gerekli teknik ve idari önlemleri almak zorundadırlar.
9. Hastane personeli verileri izinsiz görüntülerse ceza alır mı?
Evet. TCK 137 kapsamında kamu görevlisi sıfatıyla bu fiil işlenirse ceza artırılır.
10. Verilerim yanlış kişiye gönderildiyse ne yapabilirim?
Durumu derhal veri sorumlusuna ve KVKK’ya bildirmelisiniz. Gerekirse veri ihlali şikayeti yapılabilir.
Dijital sağlık verilerinin korunması, yalnızca teknik bir konu değil, aynı zamanda hukuki bir zorunluluktur.
Hastalar, verilerinin izinsiz paylaşılması veya ihlal edilmesi halinde KVKK, TCK ve yargı yollarını kullanarak haklarını arayabilir.
Sağlık kurumları ise hem veri güvenliği altyapılarını güçlendirmeli hem de personelini bu konuda eğitmelidir.
Eğer dijital sağlık kayıtlarınızın hukuka aykırı şekilde paylaşıldığını düşünüyorsanız, Kartal Avukat olarak İstanbul ve Anadolu Yakası genelinde veri ihlalleri ve tazminat davalarında profesyonel hukuki destek sağlıyoruz.
Ofis
Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.
Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri tavsiye edilir. Avukatkartal.com.tr
Kartal Sağlık Avukatı 
