Sağlık Hizmetlerinde Kişisel Veri Toplanması, Korunması Ve Değerlendirilmesi

“Bilgi güçtür.” Francis BACON

Sağlık hizmetinin tüm aşamalarında hasta ve tedavi verilerinin-bilgilerinin kayıt altına alınması birçok açıdan gereklilik içermektedir. Bu güne dek bu bilgiler tedavinin sürekliliğinin yanı sıra bilimsel ve istatistiksel değerlendirmeler için de önemli kaynak işlevi görmüş, toplum sağlığına önemli katkılarda bulunmuştur. Ayrıca kayıtlı bilgiler hukuksal durumlarda belge işlevi özelliğini de üstlenmiştir.

Hasta verileri yazılı olarak kayıt altına alınırken genelde o zaman sürecinin teknolojik olanakları kullanılmıştır. Elektronik teknik gelişmeler öncesinde hasta ve tedavi bilgilerinin uygun ve düzenli tutulması, saklanması ve paylaşılmasında önemli sorunlar yaşanırken elektronik teknik gelişmeler bu sorunların çözümünün yanı sıra yeni olanaklarda yaratmıştır. Ancak bu yeni gelişmeler ve olanaklar ne yazık ki beraberinde önemli yeni sorunları da ortaya çıkarmıştır.

Dijital ortamda artık hasta ve tedavi çerçevesindeki bilgiler artık tozlu raflardan çıkarak Dünya’nın her noktasından herkesin kolayca ulaşabileceği (!) hale gelmiştir. Yine teknolojik gelişmeye bağlı basit, bireysel bilgilerden çok kapsamlı yeni bilgiler oluşturma olanakları da söz konusudur.

Basit kayıt sisteminden teknolojik kayıt sistemine geçişte yaşanan bu hızlı gelişme ve olanaklar konusunda (olumlu-olumsuz) gelecek açısından fikir yürütmek ise oldukça zor gözükmektedir.

Bugün milyonlarca kaynaktan gelen veri kitleleri için kullanılan “büyük veri” tanımı içerisinde veri işleme öncesi hedeflenmeyen ve erişilebilir olduğu akla dahi gelmeyen bilgilere de ulaşmak mümkündür.

Bilginin her zaman sahip olan adına bir “güç” oluşturması, bu gücün kullanımı ve elektronik bilgi sisteminin bu güce olan katkısı özellikle kişisel sağlık verileri, tıbbı kayıtları açısından bu konunun yeniden, yeniden tartışılmasını zorunlu kılmaktadır.

ETK (Elektronik Tıbbi Kayıtları) ve ESK (Elektronik Sağlık Kayıtları)sağlık hizmetlerinde;

1.Kalite ve verimin artması, iş akışının otomize olması

2.Hasta tedavi ve bakımının iyileştirilmesi

3.Acil durumlarda hasta bilgilerine hızlı ulaşım

4.Uygun çalışma alanlarının belirlenmesinde

5.Tetkiklerin tekrarından kaçınma (ekonomik) ve zamandan kazanma

6.Daha iyi dokümantasyon ve gelişmiş denetim yeteneği

7.Dokümanlara çok sayıda kişi ve kolay ulaşım

8.Arşivleme ve belge dolaşımında fiziksel yararlar

9.Yasal bilgi ve belge oluşturmada kolaylık

10.Sağlık hizmetinin daha iyi planlanabilmesini

sağlayarak olumlu gelişmelere yol açmaktadır.

 

Yukarıda sayılan yararların yanı sıra sistemin yol açtığı olumsuzluklarda önem taşımaktadır. Bu olumsuzluklar;

1.Hasta mahremiyetinin ortadan kalkması ve kişilerin maddi, manevi ve sosyal yönden zarar görmesi

a.Kişilerin sigortacılık, sağlık, ticaret ve iş hayatında haksız işlemlere tabi tutulabilmesi

b.Kişilere ait özel bilgilerin kişilerin izni olmadan çeşitli ortamlarda ifşa edilebilmesi

c.Bilgilerde başkaları tarafından istenmeyen izinsiz değişimlerin yapılabilmesi

d.Sisteme güven duygusunda ki azalmaya bağlı hastanın bilgilerini saklaması ve tedavinin bu durumdan etkilenmesi

2.Toplanan verilerin metalaştırılarak alınıp, satılabilir hale gelmesi ve de amaç dışı kullanım başlıkları altında sayılabilir.

 

Görüldüğü gibi gelişmelerin olumlu yanlarının yanı sıra olumsuzlukları da bir o kadar önem taşır durumdadır. Burada teknolojinin sağladığı olanaklarının (yarar-zarar) gerek hasta açısından gerekse de hekimlik mesleği açısından birlikte düşünülmeli ve teknolojinin kullanımı tıp etiği ilkleri ile örtüşebildiği oranda olmalıdır.

 

Bu nedenle sistemin hukuksal zeminde kurallara bağlanması, güvenliğinin sağlanması ve denetlenme olanaklarının yaratılması konusunda yasal ve teknolojik düzenlemelerin yapılması zorunluluğu ortaya çıkmaktadır. Ancak yaşanan bazı olaylar alınan tüm tedbirlere rağmen olumsuzlukların tümüyle ortadan kalkmasının mümkün olmadığı gerçeğini de ortaya koymuştur.

 

Sağlık hizmetinin özelleştirilmesi ve bunun yaygınlık kazanmasına bağlı olarak bugün kişisel sağlık verilerine özel sağlık sektörü de en az %35 (Sosyal Güvenlik Kurumu’na hizmet sunumu) oranında sahip bulunmaktadır. Ulusal özel sağlık sektörünün SDP’na bağlı olarak uluslararası sermaye ile ortaklıklarının gittikçe artmasına ve de yönetimlerinin uluslararası sermaye lehine değişmesi sonucu bu bilgiler tümü ile uluslararası sermayenin de kontrol ve kullanımına geçmiş bulunmaktadır.

 

Kişisel bilgiler için var olan tüm olumsuzluklar kişinin sağlık verileri açısından daha da bir önem kazanarak öne çıkmakta ve sorunun çözümünü acil ve zorunlu kılmaktadır.

 

Tüm bunların yanı sıra toplumsal olarak önemli bir sorun da toplumun ve bireylerinin ESK konusunda yeterince farkındalığının bulunmamasıdır.

 

Kişisel sağlık verileri açısından mevcut durum ne olursa olsun evrensel ilke her zaman kişinin hak ve özgürlüklerinin korunmasının ön planda olmasının gerektiğidir.

 

Kişisel veriler ve Anayasal haklar

Anayasa’nın 20/3 maddesine göre, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

 

Hüküm, kişisel verilerin ancak kanunla öngörülen durumlar ve kanuna dayalı düzenlemelerle işlenebileceğini ve kişisel verilerin mutlak korunmasını öngörmektedir. Yine hükümde, kişisel verilerin ancak bireyin açık rızası (onam) ile işlenebileceği, kişisel verilerin nasıl korunacağına ilişkin esas ve usullerin kanunla düzenleneceği ifade edilmiştir. 

 

İnsan Hakları Avrupa Sözleşmesi’nin “özel ve aile hayatına saygı hakkı” başlıklı 8. maddesinin 1. fıkrasına göre, “Herkes, özel ve aile hayatına, konutuna ve yazışmalarına saygı gösterilmesi hakkına sahiptir”. Bu hükümde geçen “özel hayata saygı hakkı”, beraberinde kişisel verileri de kapsamaktadır. Maddenin 2. fıkrasında, sınırlama sebepleri ile bunların kişisel verilerin gizliliği ve korunması hakkı yönünden nasıl uygulanacağı tanımlanmıştır.

 

Kişinin yaşadığı sağlık sorunları, hekimi ile arasındaki ilişkisi, hastalığının ne olduğu, kullandığı ilaçlar, kendisine uygulanan tedavi, vücut özellikleri, tahlil ve görüntüleme sonuçları, onun özel hayatının gizliliği ve korunması hakkı kapsamına girer. Bu alan prensip olarak mutlak dokunulmaz olup, hem İnsan Hakları Avrupa Sözleşmesi’nin 8. maddesi ve hem de Anayasa’nın 20. maddesinin koruması altındadır. Hatta Anayasa’nın 20. maddesine, 12.09.2010 tarihinde yürürlüğe giren 5982 sayılı Kanunun 2. maddesi ile eklenen 3. fıkra ile "kişisel veriler" net bir şekilde özel hayatın gizliliği ve korunması hakkının kapsamına alınmış, daha da önemlisi kişisel verilerin gizliliği ve korunması hakkının varlığı tanınmıştır.

 

Kişisel sağlık verileri kişinin aşağıda sayılan hakları ile de doğrudan bağlantılıdır:

Özel yaşama ve aile yaşamına saygı hakkı

Sağlık hizmeti alma hakkı

Özgürlük ve güvenlik hakkı

Yaşam hakkı (Sağlık ve güvenlik hakları ile bağlantılı olarak)

Cezaların yasallığı hakkı

İfade özgürlüğü

Düşünce vicdan ve din özgürlüğü

Evlenme hakkı

Ayrımcılığa maruz kalmama hakkı

Adil yargılanma hakkı

Hakların kötüye kullanılmasının yasaklanması hakkı-devletler, topluluklar, kişiler

Hakların kısıtlanmasının sınırlanması hakkı

 

Yine Dünya Hekimler Birliği 2005 Santiago Hasta Hakları Bildirgesinin giriş bölümünde “Sağlık hizmeti veren hekimlerle öteki kişi veya kurumların bu hakları tanıma ve destekleme konusunda ortak sorumlulukları bulunmaktadır. Yasama, hükümetlerin eylemleri veya herhangi başka bir yönetim veya kurum, hastaları bu haklarından yoksun bıraktığında, hekimler bu hakların güvenceye alınması ya da yeniden sağlanması için uygun yollara başvurmalıdırlar” düşüncesini açık olarak belirtmiştir.

 

Ayrıca Avrupa Birliği Hasta Haklarına İlişkin Avrupa Statüsü (Ana Sözleşmesi - Roma, Kasım 2002) Temel Dokümanında yer alan 14 maddelik hasta haklarının 6. Maddesinde Özel ve Gizlilik Hakkını; “Her birey kişisel bilgilerinin; sağlık durumu, yapılan teşhis ve tedavi konularında bilginin yanı sıra teşhis ve tedavi yapılırken veya özel ziyaretlerinin gizliliğinin muhafazası hususunda, gizli tutulmasını talep etme hakkına sahiptir.

 

Bir bireyin sağlık durumuna veya ona uygulanan tıbbi/cerrahi tedaviye ilişkin bilgi ve veriler gizli olmalı ve öyle muhafaza (korunmalıdır) edilmelidir. Tıbbi/cerrahi müdahale sırasında bile kişisel gizliliğe saygı gösterilmeli, yani uygun ortamda yapılmalı ve gerçekten orada bulunması gerekli olan kişiler (hastanın onayı veya özel bir talebi olması durumları hariç) nezdinde yapılmalıdır.” şeklinde tanımlanmıştır.

 

 

Kişisel Veri

1995 yılında yayınlanmış̧ olan Directive 95/46/EC numaralı Avrupa Birliği direktifi kişisel verinin (personel data) tanımını şu şekilde yapmaktadır:  “Kişisel Veri: Kim olduğu belli veya belirlenebilen bir gerçek kişiye ait tüm bilgilerdir.”  

 

Kişisel veri bir kişinin, bireysel olarak belirlenmesini sağlayan her türlü bilgidir.  Bu tek bir bilgi olabileceği gibi, birbiriyle ilişkili çok sayıda bilgi de olabilir.  Kişinin adı, adresi, kimlik numarası, doğum tarihi, fotoğrafı, varsa aracının tescil numarası, kredi kartı numaraları, parmak izleri, IP adresi, sağlık raporları kişisel verilere verilebilecek örneklerdir.

 

Belirlenebilen kişi doğrudan veya dolaylı olarak bir kimlik numarası referansından veya kişiye ait fiziksel, psikolojik, ekonomik, kültürel veya sosyal bilgilerden yola çıkarak tespit edilebilen kişidir.

 

2002’de Washington’da yapılan Dünya Hekimler Birliği (DHB) Genel Kurulu’nda kabul edilen bildirgede “Kişisel sağlık bilgileri, kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş tüm bilgilerdir” olarak tanımlanmıştır.

 

Kişisel veri olarak kişinin kimlik ve sağlık bilgileri yanı sıra onun bedenine ilişkin biyolojik-genetik bilgileri de (hücre, uzuv, kan ve DNA) oldukça önem arz etmektedir. Dünya standartlarında kişisel sağlık verileri, kişisel veri kategorisi içinde “hassas” veya “özel niteliği olan” veriler kategorisinde yer almaktadır. 

 

Healthcare Information and Management Systems Society (HIMSS); “Elektronik Sağlık Kaydı (ESK),  hasta sağlık bilgilerinin herhangi bir sağlık kuruluşunda bir veya birden çok kuruluş tarafından oluşturulmuş boylamsal (dikey) elektronik kayıtlardır. Bu bilgiler kapsamında hastanın cinsiyeti, progres notları, sorunlar, tedaviler, yaşam belirtileri (hayati bulgular, uyarılar), tıbbi özgeçmiş, bağışıklamalar, laboratuar verileri ve radyoloji raporları girmektedir” tanımını yapmaktadır.

 

Burada esas olarak her türlü kayıtta olduğu gibi elektronik sağlık kaydında da (ESK) kişisel sağlık verilerinin gerçek sahibi kişidir. Kişinin sağlık hizmeti aldığı kurumlar açısından sağlık hizmetini veren kurum ya da kişi (hekim) olma durumu kişisel sağlık verilerinin üzerinde “sahip olma” hakkını oluşturmaz. Çünkü sağlık hizmeti gerek kişinin doğrudan kendi ödemesi sonucu gerekse de vergilendirme yöntemi ile sunulmuş olsun her iki durumda da kurumsal haklar kişisel hakların önüne geçemez, aksine kurumlar ya da doğrudan sağlık hizmeti sunan hekimler bu bilgilerin korunması yönünde kişinin hakları açısından birinci derecede sorumludurlar.

 

Yine Dünya Hekimler Birliği 2005 Santiago Hasta Hakları Bildirgesinin gizlilikle ilgili 8. Maddesi “Hastanın sağlık durumu, tıbbi durumu, tanısı, prognozu, tedavisi ve kişiye özel diğer tüm bilgiler ölümden sonra bile gizli olarak korunmalıdır. Ayrıcalıklı olarak hasta yakınlarının kendileri ilgili sağlık risklerini öğrenmeleri açısından bu bilgilere ulaşabilme hakkı olabilir.” Görüşünü dile getirmektedir.

 

ABD ve Avrupa ülkeleri gibi gelişmiş ülkelerde, bilgisayar kullanımına erken geçilmiş̧ olması nedeniyle son 25 yılda, kişisel verilerin güvenliğine ilişkin tehditler anlaşılmış̧ ve bu konuda hukuksal düzenlemeler yapılmıştır.  Ciddi yaptırımları içeren mahremiyet düzenlemeleri nedeniyle, kişisel bilgiler kritik (kurumsal) veriler arasında en önemli bilgiler olarak kabul edilir hale gelmiştir.  Bu nedenle kişisel verilere sahip olan kurumlar, kritik kurumsal verilerinin güvenliğine ilişkin bir program yürütmek zorunda kalmışlardır.

 

Kişisel verilere sahip herhangi bir kurumun, faaliyet alanı ve faaliyet gösterdiği ortama göre kurumsal verilerin kritiklik derecesi değişebilmekle birlikte stratejik planlar, mali bilgiler, personel bilgisi, kritik sistem, prosedür ve erişim bilgilerinin yanı sıra müşteri bilgileri içerisinde özellikle sağlık bilgileri “son derece hassas” olarak tanımlanmaktadır.

 

Kişisel veriler acısından sağlık sektöründe uygulanan prensipler genel prensiplere paraleldir. “European Guidance for Healthcare Proffessionals on Confidentiality and Privacy in Healthcare” rehberinde ve diğer uygulamalarda kişisel verilerle ilgili aşağıdaki hususlara dikkat çekilmiştir. 

 

Hastanın bilgilendirilmesi: Veriler sadece belli bir amaç için toplanabilir.  Bu amaç ayrıntılı bir şekilde tanımlanmalı ve verisi işlenecek olan kişiye açık biçimde bildirilmelidir. 

 

Rıza, onam alınması: Hasta bilgisinin tedavi dışında ikincil amaçlar için (işlenmesi) kullanılabilmesi ve olası sonuçları için hasta veya hukuki temsilcisinden onay alınmalıdır. Kişiler verilerinin işlenmesine izin verirken özgür iradeleriyle kararlarını vermelidir. Herhangi bir hizmetin alınması sırasında, hizmeti alan kişinin başka bir seçeneğinin olmaması durumunda, başka ifadeyle tek hizmet sunucu varsa özgür irade ile karar verilmesinden söz edilemez.

 

Seçim hakkı: Kişiler, kişisel verilerinin toplanması veya toplanmaması ve üçüncü kişilerle paylaşılması veya paylaşılmaması konularında seçim hakkına sahip olmalıdır.

 

Hasta kimliğinin gizlenmesi ve anonimleştirme: Hasta bilgisi sadece kullanım amacı hasta kimliğiyle eşleştirme gerektirdiği durumlarda kimlik bilgisini içermelidir. Bunun dışındaki durumlarda hasta kimlik bilgisinin korunması için gerekli önlemler alınmalıdır. 

 

Bilgi açıklamasını gerektiren durumlar: Sağlık çalışanları bilginin açıklanması gerekleri (ki bu gerekler hasta’nın sağlığının iyileştirilmesi ile de ilgili olabilir) ile hasta hakları arasındaki dengeyi değerlendirebilmek için ulusal düzenleme ve hukuki gerekler hakkında bilgi sahibi olmalıdır. 

 

Güvenlik: Toplanan verilere yönelik güvenlik tehditlerine karşı en gelişmiş güvenlik önlemleri alınmalı ve uygulanmalıdır. Güvenlik açısından gizlilik önemli olup sağlık çalışanları gerekli politika ve protokolleri uygulayarak hasta bilgilerinin gizliliğini sağlamalıdır. Ayrıca sağlık çalışanı telefon, e-posta ve faks gibi kanallarla hasta bilgilerini hastalara, onların refakatçilerine ve hukuki temsilcilerine, meslektaşlarına hasta bilgisi aktarırken güvenliğin diğer önemli bir unsuru olan mahremiyeti de göz önünde bulundurarak dikkatli hareket etmelidir. Üçüncü kişilerle verilerin paylaşımı, ancak iletilen tarafın da uygun veri koruma prensiplerini uygulaması durumunda söz konusu olmalıdır.

 

Erişim ve düzeltme: Kişiler kendileriyle ilgili bilgilere erişme, eğer bu bilgileri düzeltme ve silme (bloke etme) hakkına sahip olmalıdır. 

 

Kişisel veri ve kullanımı

Veri miktarı inanılmaz şekilde artmaktadır.  Vatandaşları hakkında daha çok bilgiye sahip olmak isteyen devletler ve kar etme mantığı ile hareket eden işletmeler vb, kişisel bilgileri toplamakta, işlemekte, amacı dışında kullanmaktadır.

 

Kaynak israfının önlenmesi ve politikaların geliştirilmesinde yararlı olabileceği iddiası ile kişisel veriler kamu ve özel kuruluşlarca kaydedilmekte, metaların pazarlanmasında hedef kitleye ulaşmada kullanılmakta, bu amaçla kurumlar arasında satış yoluyla paylaşılmakta ve böylece bu veriler de bir meta haline gelmektedir. 

 

Bu konudaki en önemli eksiklik olan yasal düzenlemelerin ve etik ilkelerin olmayışının yanı sıra toplumda genel farkındalığın olmaması da önem taşımaktadır.

 

Kişisel veriler kişilerin gözetim altında tutulmasında da kullanılmakta ve böylece en temel kişisel haklar da ihlal edilebilmektedir.

 

Ayrıca verilerin uzun süreli kaydedileceği düşünüldüğünde kişinin gelecekteki kariyeri bu bilgilerden etkilenme riskini de içermektedir.

 

İçinde bulunduğumuz zamanda kişisel verilerin amacı dışında kötüye kullanımında yaşanmış olan örnekler verilerin toplanması, korunması ve paylaşılmasına yönelik kişisel ve toplumsal güven duygusunu sarsmış bulunmaktadır.

 

Bu nedenle verinin ilk kaynağından itibaren anonimleştirilmesi düşüncesi ön plana çıkmıştır. Bir kişinin doğrudan veya dolaylı olarak belirlenmesini sağlayacak elektronik izlerden ilgili bilginin kaldırılması veya karartılmasına genel olarak anonimleştirme denmektedir.

 

Anonimleştirme ile gizlilik kaygısıyla yapılamayan birçok araştırma yapılabilir hale gelmekte, toplumun tıbbi kayıtları ile hastalık takipleri kolaylaşmakta, sağlık politikaları belirlenmektedir.  

 

Ancak anonimleştirmenin de olası sorunları tümüyle çözebileceğinin mümkün olmadığı gösterilmiştir.  Teknik olarak bugün sadece doğum tarihi ve posta kodu bilgilerinin bilindiği tıbbi kayıtlarla dahi kişiler tek tek saptanabilmektedir. 

Tüm bu nedenlere bağlı olarak bilginin özellikle de kişisel sağlık bilgilerinin güvenliği açısından dünyada uygulanan standartlar (ISO 27000, ISO 27799) düzeyinde gerekli önlemlerin alınması zorunlu hale gelmektedir. 

 

Kişisel sağlık verileri açısından uygulanacak tüm yöntemler mutlaka meslek kuralları, etik ilkeler, iyi uygulama örneklerini de göz önünde tutmalıdır.

 

 

Uygulanan sağlık veri sistemleri

Aralık 2003 tarihinde uygulamaya konulan Sağlıkta Dönüşüm Programına bağlı Mayıs 2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu sonucu Sosyal Güvenlik Kurumu (SGK) MEDULA sistemi ile ödeme kapsamı içindeki bireylerin sağlık bilgilerini elektronik ortamda kayıt altına almaktadır. Kayıt sistemine henüz dahil olmayan az da olsa sağlık hizmet birimleri (kurum hekimlikleri, işyeri hekimlikler vd) bulunmaktadır.

 

“Medula, GSS ile sağlık tesisleri arasında, sağlık tesislerinin iç süreçlerine müdahale etmeksizin fatura bilgisini elektronik olarak toplamak ve hizmetlerin ödemesini gerçekleştirmek için oluşturulmuş bütünleşik sistemdir” şeklinde tanımlanmış olsa da kapsadığı bilgiler açısından inanılmaz verilere sahip durumdadır.

 

Sosyal Güvenlik Kurumunun yanı sıra Sağlık Bakanlığı da kendine bağlı ya da denetiminde bulunan sağlık kurumlarından birçok form ile hastaların kişisel bilgileri ile birlikte sağlık verilerini toplamaktadır.

 

Bunlar arasında;

GEBLİZ (Gebe, Lohusa İzleme)

AşıNet (Yenidoğan ve aşılama)

Kalıtsal Kan Hastalıkları Bildirim

15 – 49 Yaş Kadın İzleme

Acil Servis Ünitesi İntihar Girişimleri Kayıtları

MORBİD Obez hasta bilgi formu gibi formlar sayılabilir.

 

Ayrıca kamu ve özel sağlık kuruluşlarından da ilgili yönetmelikler gereğince tutulan bilgiler Bakanlığa gönderilmektedir.

 

Yukarıda sayılan sistemler ve başka kurumlar tarafından da tutulan kişisel sağlık verileri çerçevesinde bilgiler aşağıdaki kişi ya da kurumlar tarafından kolaylıkla izlenebilmektedir:

Hekimler, dişhekimleri

Konsültanlar

Diğer sağlık çalışanları

Sağlık hizmet kurumları idari personel ve yöneticileri

Laboratuarlar ve çalışanları

Eczaneler

Sağlık Bakanlığı

SGK

Maliye Bakanlığı

Adli makamlar ve görevlileri (adli süreçte)

Hasta yakınları

 

Kişilere sağlık alanında hizmet sunan Türkiye Sigortalar Birliği de (Türkiye Sigorta, Reasünas ve Emeklilik Şirketleri Birliği) SAGMER (Sağlık Sigortaları Bilgi ve Gözetim Merkezi) ve HAYMER (Hayat Sigortası Bilgi ve Gözetim Merkezi) sistemleri ile kişilerin sağlık verileri toplamaktadır.

 

Muayenehanelerde hekimler kişisel olarak hasta kayıt ve verilerini kendi olanakları ölçüsünde tutmakta ve bu bilgiler kendisinde kalmaktadır.

 

Tüm bunların yanı sıra sağlık hizmetinin çeşitliliğinin ve yaygınlaşmasının artması sonucu farklı alanlarda da;

Kordon kanı bankacılığı, 

Kan ve kan ürünlerinin sağlanması, 

Üreme sağlığı merkezleri, 

Engelli bakım merkezleri 

Genetik tanı merkezleri vd. kişisel sağlık verileri toplanmakta ve bu bilgiler süreç içerisinde elektronik ortamda merkezileşmektedir.

 

 

Kişisel veri ve Sağlık Bakanlığı

Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün açıklamalarına göre; “Ulusal Sağlık Bilgi Sistemi”, Sağlıkta Dönüşüm Programı’nın temel bileşenlerinden ve “sağlıkta dönüşüm projesi kapsamında uygulamaya koyulan reformların en önemli aşamalarından biri”dir. 

 

Sözü edilen belgelerde USBS şöyle tanımlanmaktadır; “tüm vatandaşları kapsayan, bireyin doğumundan önce başlayıp tüm yaşamı boyunca sağlığıyla ilgili verilerden oluşan işlevsel bir veri tabanının, yüksek bant genişlikli ve tüm ülkeyi kapsayan bir iletişim omurgasında paylaşılması ve tele-tıp uygulamalarına varan teknolojilerin mesleki pratikte kullanılmasını temel alan elektronik kayıt sistemidir.”

 

Bu sistem ayrıca sağlık hizmeti sunan tüm kurum ve kuruluşların insan gücü, taşınır, taşınmaz, idari ve mali verilerini de kayıt altına alacak şekilde tasarlanmıştır.

 

Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü, Saglik.NET’i; “Sağlık kurumlarında elektronik ortamda üretilen verileri, doğrudan üretildikleri yerden, standartlara uygun şekilde toplamayı, toplanan verilerden tüm paydaşlar için uygun bilgiler üreterek birinci, ikinci ve üçüncü basamak sağlık hizmetlerinde verim ve kaliteyi arttırmayı hedefleyen, entegre, güvenli, hızlı ve genişleyebilen bir bilgi ve iletişim platformu” olarak tanımlamaktadır.

 

Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün ifadesiyle; sağlık verilerinin, standartlara göre toplandığı Aile Hekimliği Bilgi Sistemi (AHBS) ve Sağlık Net sistemlerinin, “Sağlık.NET 2” çatısı altında birleştirilmesidir. Daha açık ifadesiyle Sağlık.NET veri sistemi, SGK ile sözleşmesi olmayan özel sağlık kuruluşlarını, muayenehaneleri, cezaevi hekimliklerini, aile hekimliği birimlerini de kapsayacak şekilde genişletilmiş ve Sağlık.NET 2 ismini almıştır. 

 

Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün 17.11.2012 tarih ve “Sağlık. Net 2 veri gönderimi” konulu yazısında da açıkça belirtildiği gibi; “Sağlık.NET 2 veri sistemi ile birlikte, kamu-özel ayrımı olmaksızın, sağlık hizmeti veren tüm sağlık kurum ve kuruluşlarının USVS 2.0 kapsamında yer alan verileri, Sağlık.NET 2 sistemine göndermesi” istenmektedir. Görüldüğü üzere bu “bilgi ve iletişim platformu” sağlık hizmeti sunan tüm yerleri kapsamına alma çabasındadır.

 

Sağlık Bilgi Sistemleri Genel Müdürlüğü bu veri setinin; Elektronik Sağlık Kaydı veri tabanına toplanacak verilerin kişisel sağlık kaydı hâlinde saklanmasını sağlamak amacı ile hazırlandığını belirtmektedir ve 14 Mart 2012 tarihinde güncellenen son sürüm, “USVS 2.0” adıyla anılmakta, 531 sayfadan oluşmaktadır.

 

Ulusal Sağlık Veri Seti’nin 531 sayfalık son versiyonunda ne tür bilgilerinin toplanacağı ayrıntılı olarak yer alırken toplam 65 adet veri seti bulunmaktadır. Her veri setinin kapsamı ve amacı ayrı ayrı belirtilmiştir.

 

Söz konusu olan “intihar girişimi ve kriz izlem”den, “obezite”ye, “kadına yönelik şiddet”ten, “kronik hastalıklar”a, “HIV tespit”ten, “gebe izlem”e, “15-49 yaş kadın izlem”den, hasta “özlük bilgileri”ne kadar onlarca veri seti ve binlerce kişisel/özel bilginin kayıt altına alınmasıdır.

 

Kamu ve özel bütün sağlık kuruluşlarının, toplayıp merkezi sisteme göndermekle yükümlü tutulduğu bilgiler, yalnızca bildirimi zorunlu hastalıklara ilişkin değildir. Bunların yanı sıra istenen bilgiler içinde;

Kimlik,

Adres, 

İletişim bilgileri, 

Hamilelik testleri, 

Sağlık geçmişi, 

Özürlülük durumu,

Medeni hal, 

Alkol-madde-sigara kullanımı, 

İş, meslek, 

Öğrenim durumu,

Eğitim kurumuna devam etme durumu, 

Gelir durumu, 

Ailesinde intihar girişimi,

Cinsel partner bilgileri,

Kişisel bakım,

kişisel hijyen,

Mahkumiyet/tutukluluk durumu

Hastalık şikayetleri, 

Hastanın öyküsü (anemnezi), 

Bütün tetkik sonuçları, 

Tetkik istenen kurumlar,

15-49 yaş arası kadınların, doğum, düşük türü ve sayıları, 

Kadın sağlığı işlemleri, 

Kullanılan aile planlaması yöntemi, 

Gebelik tespiti sonuçları, 

Son adet tarihi, 

Babanın kan grubu, 

Gebe olduğu tespit edilmiş olsun ya da olmasın, doğum ya da düşükle sonuçlanan tüm gebelikler,

Ağız ve diş sağlığı ile ilgili tüm koruyucu hekimlik, teşhis ve tedavi işlemleri ve daha pek çok bilgi yer almaktadır.

 

Her veri seti için hedef ve amaç ayrı ayrı belirtilmiştir.

 

Örneğin 5 numaralı veri seti olan “Hasta Özlük Bilgileri”nin amacı; “Kişisel sağlık kayıtlarının oluşturulmasında, kişiye ait yaşam tarzı, öğrenim durumu, sosyo kültürel durum ve benzer karakteristikler oldukça önemli bilgiler vermektedir. Dolayısıyla bu veri seti ile toplanan bilgiler, demografik analizlerde, epidemiyolojik çalışmalarda ve sağlık hizmetlerinin planlanmasında kullanılır.” denmekteyken,

 

7 numaralı “Muayene” veri seti ise; “En temel sağlık hizmetleri arasında yer alan muayene işlemine ait verilerin toplanması amacı ile kullanılır. Toplanan verilerin tanı, ilaç, yer, sebep-sonuç ilişkisi, tetkik ve demografik göstergeler açısından analiz edilmesi ve sağlık hizmetlerinin planlanmasında kullanılması oldukça önemlidir.” denmektedir.

 

Anlaşıldığı kadarıyla; kişisel sağlık verileri toplanacak, kişilere ait kişisel sağlık veri kaydı oluşturulacak, bu bilgiler kişisel bilgilerden arındırılarak analiz edilecek sonuçlar; sağlık hizmetinin, kurumlar arası ve kurum içi sevklerin analizinde sağlık hizmetlerinin planlanmasında ve sağlık politikalarının oluşturulmasında kullanılacaktır. 

 

Sağlık Bakanlığı tarafından gönderilmesi istenen; hastanın kimliğine ve sağlık durumuna ilişkin kayıtlar, korunması gereken kişisel verilerin başında yer almaktadır.

 

Oysa kişinin kimlik bilgileri, adresi, telefon numarası, süregen hastalığı ya da geçirdiği bir ameliyat kişinin özel bilgileri dahilinde ele alınmalıdır ve bu tıbbi bilgi ve kayıtların güvenliğinin ihlali özel hayatın gizliliğinin ihlali anlamına gelir.

 

"Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması"na ilişkin 108 sayılı Sözleşme, 28 Ocak 1981 tarihinde imzaya açılmış ve aynı tarihte diğer Konsey üyeleriyle birlikte Türkiye tarafından da imzalanmıştır. (Ancak henüz kabul edilme kanunu yayımlanmamıştır.)

 

Avrupa İnsan Hakları Sözleşmesi'nin (1 Kasım 1988) 8. maddesinde, "Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir" şeklinde ifade edilmiş ve özel hayatın gizliliğinin kaldırılması ancak şu koşullar altında mümkün kılınmıştır:

Ulusal güvenlik

Kamu emniyeti

Sağlığın korunması

Yasayla düzenlenmiş olma zorunluluğu


 

Türkiye yönünden iç hukukta beklenen düzenleme “Kişisel Verilerin Korunması Hakkında Kanun Tasarısı” ismiyle hazırlanmış ve 2008 yılında TBMM Başkanlığı’na gönderilmiştir. (Halen sırasını beklemektedir!) Veri korumasında genel kabul gören temel uluslararası metinlere paralel hazırlanan Kanun tasarısında kişisel veri; “Bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik,  sosyal ve sair özelliklerine ilişkin verilerdir.” şeklinde tanımlanmaktadır. 

 

Kişisel bilgilerin merkezi olarak, süresiz bir şekilde saklanmasına ilişkin düzenleme, 2 Kasım 2011 tarihinde yürürlüğe giren, 663 sayılı Sağlık Bakanlığı Ve Bağlı Kuruluşlarının Teşkilat Ve Görevleri Hakkında Kanun Hükmünde Kararnamenin  “Bilgi toplama, işleme ve paylaşma yetkisi” başlıklı 47. Maddesi’ne dayandırılmaktadır!

 

“Bilgi toplama, işleme ve paylaşma yetkisi:

Madde 47 – 

(1) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için, bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkilidir.

 

(5) Bu maddenin uygulanmasına ilişkin hususlar Bakanlıkça çıkarılacak yönetmelikle düzenlenir.”

 

Görüldüğü gibi, konuya ilişkin özel hükümler içermeyen genel bir düzenlemeye dayanılarak, ülkedeki bütün insanların “özel hayatının gizliliğine” müdahale edilmektedir!!!

 

Üstelik 47. maddenin son fıkrasında işaret edilen Yönetmelik de çıkarılmamıştır. Kısacası mevcut durum öncelikle 47. maddeyi ihlal etmektedir.

 

Anayasa’nın 20. maddesinin ve uluslararası sözleşmelerin işaret ettiği Kanun, “663 sayılı KHK” değildir. 663 sayılı KHK’nın 47. maddesi genel bir düzenlemedir. Hukuken “özel hayatın gizliliği” hakkına müdahale için aradığı özel ve öznel koruma ve önlemleri içermemektedir. Kaldı ki 47. maddenin (sonraki maddelerde söz edilecek olan) hukuken “yeterli” olduğunun bir an için kabulü halinde dahi; Anayasanın 91. maddesi gereği, özel hayatın gizliliği hakkı ve/veya bu hakka müdahale, KHK ile değil, olsa olsa Kanunla düzenlenebileceğinden, yine hukuka aykırılık/hukuki dayanaktan yoksunluk söz konusudur.

 

Anayasa Mahkemesi 14/02/3013 tarihinde bu maddenin ilgili fıkralarını iptal etmiştir. Bunun üzerine Sağlık Bakanlığı, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. Madde f fıkrasına uyarınca sağlıknet 2 uygulamasını zorunlu kılmaya çalışmaktadır. Bu maddede "Herkesin sağlık durumunu takip edebilmek için gerekli kayıt ve bildirim sistemi kurulur" denmektedir.

 

Temmuz 2013 tarihinde TBMM tarafından kabul edilerek Cumhurbaşkanı'nın onayına sunulan torba yasada, 47. Madde aynen yer almıştır.

 

Avrupa İnsan Hakları Mahkemesi, kişisel mahiyetteki verilerin Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde düzenlenen “özel hayatın gizliliği” kapsamında değerlendirilmesi gerektiğini söylemektedir.  Dolayısıyla bu kayıtların tutulması, “özel hayatın gizliğinin”/bu hakkın sınırlandırılması anlamına gelmektedir. 

 

Nitekim Anayasa hukuku yönünden de, elektronik sağlık kayıtlarının durumu, özel hayatın gizliliği ve hasta mahremiyeti bakımından ele alınmaktadır.

 

Anayasa sistematiğinde 20. maddede düzenlenen “özel hayatın gizliliği”; “kişinin dokunulmazlığı, maddi ve manevi varlığı” başlıklı 17. madde ve “kişi güvenliği” başlıklı 19. madde ile de doğrudan ilgilidir.

 

Burada kural; özel hayatın gizliliği ve dokunulmazlığıdır. İstisna ise bu hakkın sınırlandırılmasıdır.

 

Sağlık.NET 2 sistemi ile bu hakkı yapılan müdahalenin, ancak ve ancak istisnai olabileceği açıktır. Ancak Sağlık.NET 2 ile yapılan müdahale, bir Kanun’a dayanmamaktadır, yani bir “istisnai” değil, açıkça hakkın özüne yönelik bir müdahale söz konusudur.

 

Biyoloji ve Tıbbın Uygulanması Bakımından İnsan Hakları ve İnsan Haysiyetinin Korunması Sözleşmesi, 9 Aralık 2003 tarihinde 25311 sayılı Resmi Gazete'de yayınlanarak yürürlüğe girmiş ve iç hukuk düzenlemesi haline gelmiştir. Bu sözleşmenin 10.maddesine göre:

1.Herkes, kendi sağlığıyla ilgili bilgiler bakımından, özel yaşamına saygı gösterilmesini isteme hakkına sahiptir.

2.Herkes, kendi sağlığı hakkında toplanmış herhangi bir bilgiyi öğrenme hakkına sahiptir. Bununla beraber, bireylerin bilgilendirilmeme istekleri de gözetilecektir.

3.İstisnai durumlarda, ikinci paragrafta belirtilen hakların kullanılmasında hastanın yararları bakımından kanun tarafından kısıtlamalar öngörülebilir. 


 

Kişilerin sağlık bilgilerinin mahremiyetinin korunması "Hasta Hakları Yönetmeliği’nde" çok açık düzenlenmiştir.

 

“Mahremiyete Saygı Gösterilmesi Madde 21- Hastanın, mahremiyetine saygı gösterilmesi esastır.

“…Ölüm olayı, mahremiyetin bozulması hakkını vermez.”

 

Keza “Bilgilerin Gizli Tutulması” başlıklı 23. madde de;

 

Bilgilerin Gizli Tutulması Madde 23- Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz. 

 

Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.”

 

Biyoloji ve Tıbbın Uygulanması Bakımından İnsan Hakları ve İnsan Haysiyetinin Korunması Sözleşmesi (BİYOTIP Sözleşmesi)’nin ‘Özel Yaşam ve Bilgi Edinme Hakkı’ başlıklı 10. maddesinde kişisel bilgilerin korunması ilkesine, “Herkes, kendi sağlığı hususundaki bilgilerle ilgili olarak, özel yaşamına saygı gösterilmesi hakkına sahiptir.” ifadesiyle yer verilmiştir.

 

Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme’nin 6. maddesinde de; özellikli veri kategorileri İç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dini veya diğer inançları ortaya koyan kişisel nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkumiyetleri, otomatik bilgi işlemine tâbi tutulamazlar.” düzenlemesi yer almaktadır.

 

Oysa ne dayanak hüküm(!) olarak gösterilen 663 sayılı KHK’da, ne bilgi ve iletişim platformu olarak tanımlanan “sağlık.NET 2” sisteminde, ne Yönetmelik taslağında, ne 3359 sayılı Sağlık Hizmetleri Temel Kanunu 3f maddesinde ne de en son meclisten geçirilen Torba Yasada, kişisel bilgilerin korunmasına ilişkin tek bir düzenleme, gerekli tedbir ve yaptırımların getirildiğini gösterir tek bir hüküm yoktur. 

 

Sağlık Bakanlığı kişisel sağlık verilerinin toplanması için toplum sağlığının düzenlenmesi, iyileştirilmesi ve kişilerin daha iyi sağlık hizmeti alabilmesi gibi gerekçeler öne sürerken bu verilerin bakanlık bünyesinde işlenmesi yanında özel sektörle (SGK’nun DATA MED’e bilgi satışı) paylaşılıp paylaşılmayacağı ve paylaşılması durumunda özel (ulusal-uluslararası) sektörün hangi amaçlarla bu bilgileri kullanacağı ise belirsizliğini korumaktadır.

 

Haldeki durumun hasta mahremiyeti ve elde edilen kişisel verilerin güvenliği yönünden, ulusal-uluslararası düzenlemelere aykırı olduğu tartışılmaz açıklıktadır. 

 

Dolayısıyla hekimin, mesleğini icra ederken hasta ve hasta yakınları hakkında öğrendiği her türlü bilgiyi saklaması esastır. Hekim bu nedenle Mahkemede tanık olarak dinlenmek veya bilirkişi olarak görevlendirilmekten çekilme hakkına dahi sahiptir. 

 

Tüm bunların yanı sıra kişisel hak ve özgürlükler, özel hayatın korunması devletin sorumluluğunda ve güvencesinde olmasına rağmen yapılacak olan eksik ve yanlış uygulamalar sonucu devlet bizzat bu kuralı bozan, kişisel hak ve özgürlükleri ortadan kaldıran konumunda olacaktır.

 

Kişisel veri açısından hekim hasta ilişkisi

Hekimin doğru bir teşhis koyabilmesi için, hastanın herhangi bir çekince hissetmeden, yaşadıklarını, gördüklerini, bildiklerini, hekime açıklaması gerekir. Hastanın bu açıklamayı rahatça yapabilmesi için de hekimin açıklanan bilgi ve olayları “sır” kapsamında saklayacağına inanması-güvenmesi gerekir.

 

Sır saklama yükümlüğü hastanın hekime rahat başvurabilmesi, herhangi bir çekince, endişe, korku duymadan sağlık hizmetinden yararlanabilmesi için getirilmiştir. Bu nedenle hekim mesleğin icrası dolayısıyla öğrendiği ve gizli tutulmasında hastanın çıkarı olan, açıklanması halinde hastayı nesnel veya manevi olarak zarara uğratacak sırları saklamakla yükümlüdür.

 

Tıbbi Deontoloji Tüzüğü’nün 4. maddesinde; hekimin sır saklama yükümlülüğü açıkça düzenlenmiştir.

 

“Tabip ve diş tabibi, meslek ve sanatının icrası vesilesiyle muttali olduğu sırları, kanuni mecburiyet olmadıkça, ifşa edemez.”

 

“Tıbbi toplantılarda takdim edilen veya yayınlarda bahis konusu olan vakalarda, hastanın hüviyeti açıklanamaz.”

 

Keza Hekimlik Meslek Etiği Kurallarının 9. maddesinde de;

“Sır Saklama Yükümlülüğü

Madde 9- Hekim, hastasından mesleğini uygularken öğrendiği sırları açıklayamaz. Hastanın ölmesi ya da o hekimle ilişkisinin sona ermesi, hekimin bu yükümlülüğünü ortadan kaldırmaz.”

düzenlemesi yer almaktadır. 

 

Hekimin sır saklama yükümlülüğünü yerine getirmemesi durumunda cezai yaptırımlar bulunmaktadır.

 

Ayrıca Ceza Muhakemesi Kanunu’nun 46. maddesinde “tanıklıktan çekinme” düzenlenmektedir. 

 

Buna göre; 

“Meslek Ve Sürekli Uğraşıları Sebebiyle Tanıklıktan Çekinme

…

b) Hekimler, diş hekimleri, eczacılar, ebeler ve bunların yardımcıları ve diğer bütün tıp meslek veya sanatları mensuplarının, bu sıfatları dolayısıyla hastaları ve bunların yakınları hakkında öğrendikleri bilgiler” nedeniyle, tanıklıktan çekilmeyi düzenlenmiştir. Keza aynı Kanun’un 70. maddesinde, tanıklıktan çekinmeyi gerektirecek sebeplerin bilirkişiler hakkında da geçerli olduğu belirtilmiştir.

 

Türk Ceza Kanunu’nun 239. maddesinde; sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu sırrı, yetkisiz kişilere veren veya ifşa eden kişinin bir yıldan üç yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılacağı düzenlenmiştir.

 

Türk Ceza Kanunu; kişilerin özel hayatının gizliliği, kişisel verilerin hukuka aykırı olarak kaydedilmesi, bu kayıtların başkasına verilmesi, yayılması hallerini suç olarak düzenlemiştir.

 

TCK’nin 134. maddesinde; “Kişilerin özel hayatının gizliliğini ihlal eden kimsenin, bir yıldan üç yıla kadar hapis cezası ile cezalandırılacağı” açıkça düzenlenmiştir.

 

Ayrıca;

Madde 135 - 

(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.

(2) Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.

 

Madde 136 - 

(1)Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

 

Üstelik 137. madde de bu suçların;

a.Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,

b.Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

işlenmesi halinde, verilecek cezanın yarı oranında artırılacağı belirtilmiştir.

 

TCK'nın "Özel Hayatın Gizliliğini İhlal" başlıklı 134.maddesine göre;

1.Kişilerin özel hayatının gizliliğini ihlal eden kimse, altı aydan iki yıla kadar hapis veya adli para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, cezanın alt sınırı bir yıldan az olamaz.

2.Kişilerin özel hayatına ilişkin görüntü veya sesleri ifşa eden kimse, bir yıldan üç yıla hapis cezası ile cezalandırılır. Fiilin basın veya yayın yoluyla işlenmesi halinde, ceza yarı oranda artırılır. 

 

TCK'nın "Kişisel Verilerin Kaydedilmesi" başlıklı 135. Maddesine göre:

1.Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.

2.Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır. 

 

TCK'nın "Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme" başlıklı 136. Maddesine göre: Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

 

TCK'nın 137. Maddesinde; özel hayatın gizliliğini ihlal ve kişisel verileri hukuka aykırı olarak kaydetme, verme, yayma, ele geçirme suçlarının, kamu görevinin veya sağlık mesleğinin sağladığı kolaylıktan yararlanarak işlenmesi halinde daha ağır cezalandırılması gerektiği belirtilmiştir.

 

TCK'nın "Verileri Yok Etmeme" başlıklı 138. Maddesinde; Kanunların belirlediği sürelerin geçilmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir; denmiştir.

 

Özel hastanelere, yukarıda bahsedilen konularda ihlal yapılması durumunda, eşya müsaderesi,  kazanç müsaderesi, faaliyet izninin iptali gibi cezalar verilebilir.

 

Türk Medeni Kanunu'nun 24.maddesi: "Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hakimden, saldırıda bulunanlara karşı korunmasını isteyebilir."

 

"Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır."

 

Medeni Kanunu'nun 25.maddesinde hukuka aykırı olarak özel hayatın gizliliği ihlal edilen ya da kişisel bilgileri hukuka aykırı olarak kaydedilen, yayılan, saklanan kişinin hukuk mahkemesi hakiminden isteyebilecekleri şu şekilde belirtilmiştir: "Davacı, hakimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini isteyebilir. Davacı bunlarla birlikte, düzeltmenin veya kararın üçüncü kişilere bildirilmesi ya da yayımlanması isteminde de bulunabilir. Davacının, maddi ve manevi tazminat istemleri ile hukuka aykırı saldırı dolayısıyla elde edilmiş olan kazancın vekaletsiz iş görme hükümlerine göre kendisine verilmesine ilişkin istemde bulunma hakkı saklıdır."

 

Buradan da anlaşıldığı üzere, hekimin hastasına ait bilgileri paylaşması suçtur ve ciddi cezai müeyyideleri bulunmaktadır.

 

Kişisel tıbbi verilerin kayıt altına alınması

Tıbbi kayıtlar belirli koşullarda kayıt altına alınabilir.

 

Anayasa’nın 20. maddesinde; “… Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir….” düzenlemesi yer almaktadır.

 

Anayasanın ‘Temel Hak Ve Hürriyetlerin Sınırlanması’ başlıklı 13. Maddesi uyarınca da, kişisel verilerin korunmasının istisnalarının kanunla düzenlenmesi zorunludur. 

 

Avrupa İnsan Hakları Mahkemesi ise, özel hayatın gizliliğine ve kişisel haklara yönelik bu müdahalenin hukuk tarafından kabul edilebilmesi için, “kanunda düzenlenmiş” olmasını” yeterli bulmamaktadır.

 

Bu müdahalenin çerçevesini, süresini, amacını, kapsamını vb unsurları içeren-içermesi gereken Kanuni bir dayanağın yanı sıra, müdahale “amacın meşru” olması ve müdahalenin “demokratik bir toplumda gerekli olması” ölçütlerine uygunluk aramaktadır.

 

“Demokratik bir toplumda gereklilik” unsurunun alt başlıklarından biri olan “müdahalenin amaçla orantılı olması”, yani ölçülülük ilkesi son derece önemlidir.

 

Öncelikle söz konusu tedbir, ulaşılmak istenen amaç bakımından uygun ve etkili olmalı, yani “elverişli” olmalıdır. İkinci olarak, seçeneksiz bir biçimde “gerekli” olmalıdır; yani Devletin söz konusu özgürlüğü daha az sınırlandıran bir araç kullanması mümkün olmamalıdır. Son olarak da söz konusu tedbirin yol açacağı zararlar, ondan beklenen faydaları aşmamalıdır.

 

Oysa Sağlık Bakanlığı tarafından ileri sürülen amaç (sağlık hizmetinin, kurumlar arası ve kurum içi sevklerin analizinde sağlık hizmetlerinin planlanmasında ve sağlık politikalarının oluşturulmasında kullanılacaktır!!!) için tek yol kişilerin kimlikleri anlaşılabilecek biçimde, bütün sağlık bilgilerinin toplanması değildir. Bilgi içeriklerinin sınırlandırılması, azaltılması ve ayıklanmasının yanı sıra, ad ve soyadın kodlanması, sadece hasta ve hekimin göreceği şekilde şifrelenmesi gibi pek çok araç kullanılarak, “sağlık politikalarını belirleyecek” ölçüde sağlık kaydına ulaşmak mümkündür.

 

Mevcut durumda bu bilgilerin kayıt altına alınmasının, demokratik bir toplumda gerekli bir müdahale olarak kabul edilmesi mümkün değildir.

 

Muayenehaneler ile tüm sağlık kuruluşlarına, USVS 2.0 kapsamında yer alan verileri Sağlık Bakanlığı sistemine göndermek için entegre yazılım temin etmeleri gerektiği bildirilmektedir. Oysa bu bilgilerin-verilerin nereye aktarılacağı, kimler tarafından görünüp, izlenip, kopyalanabileceği, kötü niyetli kullanımlara ilişkin nasıl önlemler alınacağı, hangi yaptırımların uygulanacağı belli değildir.

 

Avrupa İnsan Hakları Mahkemesi’nin Klass-Almanya ve Leander-İsveç kararlarında da belirttiği gibi, devlet tarafından “özel hayatın gizliliği”ne müdahalede bulunulurken, müdahalenin-alınan önlemlerin keyfiliğini, suistimalini veya kötüye kullanılmasını engelleyecek her türlü tedbirin alınması da zorunludur. Bu tedbirlerin alınmaması hem müdahalenin ölçüsüz olduğunu göstermekte, hem de “özel hayatın gizliliği” ilkesini ihlal etmektedir.

 

Oysa var olan Yönetmelik taslağı; kişisel verilerin korunmasından ziyade, toplanması, kayıt altına alınması ve sonrasında da istenildiği şekilde kullanılmasını, hatta paylaşılmasını kolaylaştıracak şekilde kaleme alınmıştır. 

 

Sağlık.NET 2 sisteminin bu yönüyle de hukuka uygun olmadığı açıktır ve Sağlık Bakanlığı tarafından Anayasa 20. maddede belirtilen yükümlülükler yerine getirilmeden ve gerekli düzenlemeler yapılmadan özel hayata yönelik bir müdahale yapılmakta, hekimler ve sağlık kuruluşları buna aracı olmaya zorlanmaktadır.

 

Gerekli önlemler alınmadan, keza hastalara erişim, kontrol, denetleme vb haklar verilmeden, sağlık.NET 2 sistemine geçiş; sağlık hakkının kullanımını da sınırlayacaktır.

 

Çünkü kişiler, bilgilerinin kamusal olarak kaydedilmesinden endişelenerek, bazı temel hak ve hürriyetlerini kullanmaktan kaçınabilecek, sağlık verilerinin gizliliğinin gereği gibi sağlanmadığından (güven duymama) hareketle sağlık hizmeti almakta tereddüt duyabileceklerdir. Oysa Anayasa’nın 56. maddesi ile devlete; “herkesin hayatını, beden ve ruh sağlığı içinde sürdürmesini sağlamak” görevi verilmiştir.

 

Yine güven eksikliğine bağlı olarak kişinin sağlık hizmeti alamamasının yanı sıra kişinin sağlık durumunu (hastalığını) toplum sağlığı açısından önem taşıdığı hallerde gizlemesi toplum sağlığını da olumsuz etkileyecektir.

 

Sağlık.NET 2 sistemine geçiş, vatandaşların bu hizmete erişiminde fiili bir engel yaratacak ve sadece tek tek başvurucuların sağlığına değil, kamu sağlığına da aykırı sonuçlar doğuracaktır.

 

“… Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” sadece Anayasa’nın 20. maddesinde değil, Tıbbi Deontoloji Tüzüğü’nde, Hasta Hakları Yönetmeliğinde de, “rıza”dan söz edilmektedir. 

 

Ancak mevcut durumda, hem ilgili ulusal-uluslararası mevzuata, hem de deontolojik değerlere uygun kanuni bir düzenleme bulunmadığı için, sadece hastanın rızası, hekimi sorumluluktan kurtarmaya yetmeyecektir. 

 

Bir başka ifadeyle kişisel verilerin korunmasına ilişkin bir kanun yürürlükte olmadığından, bireyin onayı olsa dahi, kişisel verilerinin işlenmesi hukuka aykırı olacaktır. (Kişinin yazılı rızasının alınması, o kayıtların istendiği gibi kullanabileceği veya ifşa edebileceği anlamına gelmez.)

 

Buna karşın her durumda (hukuka uygun bir düzenleme ile karşı karşıya kalındığında da, şimdiki gibi tümüyle hukuksuz bir dayatmayla karşılaşıldığında da) hastaların yazılı onamını almak ve saklamak, hem deontoloji, hem sağlık mevzuatı, hem de ispat yönünden son derece gerekli bir alışkanlıktır, son derece önemli bir meslek kuralıdır.

 

Ayrıca 06/06/2007 tarihli ve 5228 sayılı makam onayı ile yürürlüğe giren "Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesinde Değişiklik Yapılmasına Dair Yönerge" nin, "Kişisel Sağlık Kayıtlarının Güvenliği" başlıklı ekinde (Ek 5.7) dahi sağlık kayıtlarının güvenliği, korunması konusunda kurumlara düşen yükümlülükler şöyle belirtilmiştir: Kişisel sağlık kaydı kapsamına, hasta ile ilgili sözlü bilgi, yazılı bilgi, tıbbi müdahaleler, ön tanı, teşhisler, grafik imajları, fatura gibi konular girmektedir. Kişisel sağlık kayıtlarının güvenliğinin sağlanması amacıyla; Bakanlığımıza bağlı bütün kurum ve kuruluşlarda hasta sağlık bilgisinin mahremiyeti hususunda uyulması gereken temel kurallar şunlardır:

Veri güvenliği konusunda üç temel prensibin göz önüne alınması gerekmektedir. Bunlar; "gizlilik, bütünlük ve erişilebilirlik"tir. 

Kurumda kimin hangi yetkilerle, hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. 

Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. 

Hasta taburcu olmuş ise hiçbir kurum çalışanı hastanın sağlık kayıtlarına erişemez. 

Hastanın rızası olmadan hiçbir çalışan sözle de olsa hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. 

Hasta sağlık bilgileri ticari amaçlı olarak da üçüncü şahıslara iletilemez. Hastanın kullandığı ilaçlar, diyet programları vs buna dahildir. 

Hasta dosyasının bir kopyası hastaya teslim edilmelidir. İlgili mevzuat hükümleri saklı kalmak kaydıyla hiçbir hasta kaydı, elektronik veya kağıt ortamında üçüncü kişi ve kurumlara verilmemelidir. 

Hastanın dosyasının izlenmemesi için gerekli tedbirler alınmalıdır. Hasta dosyalarının gelişi güzel ortada bırakılamaması, bilgisayar ekranının başkalarınca okunabilecek şekilde bırakılmaması gibi. 

Telefon ile konuşurken hasta ile ilgili mahrem bilgilerin üçüncü şahısların eline geçmemesine azami özen gösterilmelidir. 

Bütün hasta, sağlık kayıtları fiziksel olarak korunmuş mekanlarda saklanmalıdır. 

Elektronik hasta kayıtlarına internet ortamından erişim mümkün olmamalıdır.

 

Hasta sağlık bilgileri bilginin üretildiği kurum tarafından veya Bakanlığın Bilgi Yönetim sistemleri tarafından araştırma, istatistik ve Karar Destek Sistemleri için kullanılabilir. Bu durumda hasta sağlık bilgisi hasta tanımlayıcısı ile ilişkilendirilemez.

 

“Kişisel Sağlık Verilerinin İstenmesi ve Veri Mahremiyetinin Sağlanması Hakkında Yönetmelik” taslağı 2007 yılında çıkarılan yataklı kurumlar arşiv yönergesinden çok daha geridir ve içerik olarak da tatmin edici değildir. 

 

SONUÇ

 

Kişisel sağlık bilgilerinin kayıt altına alınması, elektronik ortamda depolanması, işlenmesi ve paylaşımı konusunda;

1.Amaç toplum yararı temelinde açık olarak belirlenmiş olmalıdır.

2.Amaç doğrultusunda kişisel hak ve özgürlükler korunarak sistemle ilgili hukuksal ve teknik düzenlemeler yapılmalı. Bu düzenlemelerde verinin gerçek sahibinin sağlık hizmeti sunanların değil, kişi olduğu vurgulanmalıdır.

3.Amaç dışı kullanımlar açısından yaşanmış olaylar ve de olası tehlikeler ve riskler de göz önünde tutularak her türlü hukuksal ve güvenlik önlemleri alınmış olmalıdır.

4.Gerek uygulama gerekse de güvenlik konusunda başta devlet olmak üzere sağlık hizmetinin uygulanmasında yer alan kişi ya da kurumların yetki ve sorumlulukları açık olarak belirtilmelidir.

5.Tüm uygulamaların düzenlenmesinde kişisel sağlık verilerinin kendine özgü özelliklerinin yanı sıra hekimlik mesleğinin uygulanmasında ki mesleki kavramlar, etik değerler ve yine mesleğe özgü düzenlemeler göz önünde tutlmalıdır.

6.Toplum kişisel sağlık verilerinin kullanımında amaç ve paylaşım konusunda (kesin olarak olumlu ve olumsuz yönleri ile birlikte) yaygın ve sürekli olarak bilgilendirilmelidir.

7.Toplumsal bilgilendirmenin yanı sıra verilerin alınması sırasında da kişi doğrudan sağlık çalışanı tarafından bilgilendirilmeli (olumlu-olumsuz) ve kişinin yazılı onamını almalıdır. Onam sırasında kişinin özgürlükleri kısıtlanmamalı ve akıl sağlığının yerinde olması değerlendirilmelidir. Ayrıca kişi onam vermiş olsa dahi bilgilerini denetleyebilmeli, istediğinde silme (bloke) işlemi yapabilmeli.

8.Sağlık hizmeti sunumunda kişisel sağlık veri girişi yapacak ve işleyişte yer alacak tüm sağlık çalışanları kullanma, sorumluluk ve yükümlülük konusunda bilgilendirilmeli ve yetkilendirilmelidir. Bilgilendirme ve yetkilendirme de mutlaka mesleki etik değerler de kavratılmalıdır. Bilgilendirme özellikle mesleki eğitimler sırasında yapılmalıdır.

9.Veri sistemin işlerliği ve güvenliği konusunda şeffaflık ilkesi çerçevesinde kurum dışı, yürütmeden bağımsız denetim kurulları oluşturulmalıdır. Oluşturulacak olan kurulun çalışma ilkeleri ve biçimi belirlenmelidir.

10.Amaçta toplum yararı göz önünde tutulmuş olsa dahi kişinin doğrudan kendi olanakları ile sağlık hizmeti alması durumunda gerek kişiye gerekse de hekime “dışarıda kalma hakkı” tanınmalıdır.

11.Kişi ve kurumlarca bugüne dek toplanmış tüm kişisel sağlık bilgilerinin acilen güvenliği sağlanarak koruma altına alınmalı ve herhangi bir neden ya da amaçla başka kişi ya da kurumlarla paylaşımı engellenmeli bu konuda acil yaptırımlar oluşturulmalıdır.

 

KİŞİSEL SAĞLIK VERİLERİ ÇALIŞMA GRUBU

 

SQLSTATE[HY000] [1045] Access denied for user 'root'@'10.0.5.4' (using password: YES)