İçeriğe geçmek için "Enter"a basın

Kişisel Sağlık Verileri Hakkında Yönetmelik Neler Getiriyor

21/06/2019 tarih ve 30808 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik, sağlık verilerinin işlenmesi ve depolanması başta olmak üzere sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda  neler getiriyor?

Gelin önce, eski yönetmelik ile yeni yönetmeliğin tanımlar bölümlerine göz atalım

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK (20/10/2016)

Tanımlar
MADDE 4 – (Değişik:RG-24/11/2017-30250)
(1) Bu Yönetmelikte geçen;
a) Anonim hale getirme: Kişisel sağlık verilerinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
b) Bakanlık: Sağlık Bakanlığını,
c) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü,
ç) İlgili kişi: Kişisel sağlık verisi işlenen gerçek kişiyi,
d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
e) Kişisel sağlık kaydı sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-devlet uygulamalarına uygun olarak kurulan sistemi,
f) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
g) Kişisel sağlık verilerinin işlenmesi: Kişisel sağlık verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi,
ğ) Kurul: Kişisel Verileri Koruma Kurulunu,
h) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,
ı) Sağlık hizmeti sunucusu: Ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesislerini,
i) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
j) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.



KİŞİSEL SAĞLIK VERİLERİ HAKKINDA YÖNETMELİK (21/06/2019)


Tanımlar
MADDE 4 –
 (1) Bu Yönetmelikte geçen;
a) Açık veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,
b) Açık sağlık verisi: Açık veri haline getirilen sağlık verisini,
c) Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
ç) Bakanlık: Sağlık Bakanlığını,
d) e-Nabız: İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi,
e) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü,
f) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
g) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
ğ) KamuNET: Kamu kurum ve kuruluşları arasındaki veri iletişiminin sağlanması, bu veri iletişiminin internete kapalı, fiziksel ve siber saldırılara karşı daha güvenli sanal bir ağ üzerinden yapılması, siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi amaçlarıyla Ulaştırma ve Altyapı Bakanlığı tarafından geliştirilen projeyi,
h) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ı) Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini,
i) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
j) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
k) Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
l) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi,
m) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
n) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
o) Kurul: Kişisel Verileri Koruma Kurulunu,
ö) Kurum: Kişisel Verileri Koruma Kurumunu,
p) Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
r) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,
s) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,
ş) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar ile Kurum tarafından yapılan ikincil düzenlemelerde yer verilen tanımlar geçerlidir.

Aile Hekimleri açısından Yönetmeliği incelemeye devam edersek;

Genel ilke ve esaslar
MADDE 5 

(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan 
kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.

Aile Sağlığı Merkezlerinde, hasta kabul veya poliklinik odalarının kapılarının üzerinde bulunan monitörlerde hastaların isim ve soy isimlerinin, gebelik gibi özel sağlık durumlarının açık bir şekilde yer almaması için gerekli düzenlemeler yapılmalıdır.

(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.

Hastalara kağıt ortamda verilen tahlil ve tetkik sonuçlarında da hastaların isimlerinin ve T.C Kimlik Numaralarının tamamının yer almaması için AHBS firmaları tarafından gerekli düzenlemeler yapılmalıdır.

Sağlık personelinin verilere erişimi
MADDE 6 

(3)
 e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;
a) Kişinin 
kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
… erişilebilir.
(5) Geçmiş sağlık verilerinin 
herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.

Bu madde ile, Aile Hekimlerine, kayıtlı kişilerin sağlık verilerine herhangi bir süre sınırı olmaksızın erişim hakkı getirilmektedir. Eğer kişi, sağlık verilerinin erişimini aile hekimine de kapatmış ise, aile hekiminin sistem üzerinden yapacağı talep üzerine, kişinin kayıtlı cep telefonuna sistem üzerinden bir kod gönderilerek bu kodu aile hekimi ile paylaşması öngörülmektedir. Bu kod ile aile hekimi, kişinin sağlık verilerine erişebilecektir.

(6) Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir.

Sağlık Bakanlığı tarafından, bir süre önce E-Nabız hesaplarında Psikiatri ile ilgili tanılara erişim engellenmiştir. Söz konusu verilere, kişinin kayıtlı olduğu aile hekimi veya diğer sağlık kurumlarında başvuruda bulunduğu hekimler tarafından da erişimin mümkün olmaması, kişiye sunulması gereken sağlık hizmetini olumsuz etkileyeceği aşikardır. Söz konusu maddenin Genelge ile açıklığa kavuşturulması gerektiğine inanmaktayım.

Bakanlık birimlerinin verilere erişimi
MADDE 7 –
 (1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.

Söz konusu maddede, Bakanlığa gönderilecek sağlık verilerinin sağlık hizmeti sunucuları tarafından önceden kimliksizleştirilmesi gerektiği anlaşılmaktadır. Öte yandan, bugüne kadar olan uygulamada, 81 il sağlık müdürlüğü tarafından Aile Hekimlerinden, Aylık Çalışma Formu adı altında kağıt ortamda istatistiki veriler talep edilirken bu verilerin arasında bazı özel sağlık hizmetlerinin sunulduğu kişilerin isim, soyisim ve iletişim bilgileri gibi birçok kişisel bilgileri de talep edilmekte idi. Son Yönetmelik değişikliği sonrası yeni uygulamanın nasıl şekilleneceği merak konusudur.

Kişisel sağlık verilerinin gizlenmesi
MADDE 12 –
 (1) Hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereği il sağlık müdürlüğü tarafından yerine getirilir. İl sağlık müdürlüğü tarafından tesis edilen işlem doğrudan Kimlik Paylaşım Sistemine de yansır. Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır.

Bugüne kadar, bir ildeki mahkemeden hakkında gizlilik kararı çıkan kişinin bilgilerinin gizlenmesi amacıyla 81 il sağlık müdürlüğüne yazı yazılıyor idi. Değişiklik sonrası, birinci derece mahkemenin bulunduğu ildeki sağlık müdürlüğü tarafından veriler gizlenecektir.

Kişisel sağlık verilerinin düzeltilmesi
MADDE 13 –
 (1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.

Hatalı olduğuna inanılan verilerin düzeltilmesi için, kişi tarafından hatalı veriyi giren sağlık kurumunun bulunduğu ildeki il sağlık müdürlüğüne başvuruda bulunulması, müdürlük tarafından ilgili sağlık kurumunda araştırma yapılması, hata tespiti halinde ise Genel Müdürlüğe bildirilmesi öngörülmektedir. Söz konusu uygulamada, kişinin hatalı veriyi, sağlık hizmeti aldığı ilden ayrıldıktan sonra fark etmesi halinde, ayrıldığı il sağlık müdürlüğüne bizzat mı yoksa internet üzerinden mi başvuracağı hususu yayımlanacak bir Genelge ile açıklığa kavuşturulmalıdır.

KİŞİSEL SAĞLIK VERİLERİ HAKKINDA YÖNETMELİK (21/06/2019)

İlk yorum yapan siz olun

Bir cevap yazın

Or

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.