Sağlık verisi nasıl saklanmalı? Klinikler için pratik KVKK rehberi.

Bu yazı; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.5, m.6 ve KVK Kurulu rehberleri çerçevesinde özel klinikler için pratik bir özet niteliğindedir. Hukuki tavsiye değildir; özel durumunuz için avukatınıza danışın.

Sağlık verisi neden “özel nitelikli” sayılır?

KVKK m.6 kapsamında sağlık ve cinsel hayata ilişkin veriler “özel nitelikli kişisel veri” olarak ayrı bir koruma rejimine tabi tutulur. Bu, normal kişisel veriden farklı olarak, açık rıza olmadan işlenmesinin çok daha dar bir çerçevede mümkün olduğu anlamına gelir.

Pratikte: hasta dosyası açma, anamnez, alerji, ilaç geçmişi, tahlil sonucu, görüntü (röntgen, MR, USG), tedavi planı — hepsi özel nitelikli veridir. Klinik olarak bu verileri işlemenizin hukuki dayanağı çoğunlukla “sır saklama yükümlülüğü altındaki kişiler (hekim) tarafından, sağlık hizmetinin yürütülmesi amacıyla işlenmesi”dir (m.6/3).

xklinik'in rolü nedir?

Bulut yazılım kullandığınız anda iki taraf devreye girer:

• Veri sorumlusu (kliniğiniz): Verinin ne amaçla, hangi yöntemle işleneceğini belirler.
• Veri işleyen (xklinik): Sorumlu adına, sözleşme çerçevesinde veriyi saklar ve işler.

İki taraf arasındaki ilişki Veri İşleyen Sözleşmesi (DPA) ile yazılı hale getirilmelidir — xklinik tüm müşterileriyle bu sözleşmeyi imzalar.

Pratik kontrol listesi

1. Resepsiyonda görünür bir Aydınlatma Metni bulundurun.
2. İlk başvuruda Açık Rıza Metni imzalatın (pazarlama, foto kullanımı vb. opsiyonel onaylar ayrı).
3. Çalışanlarınız için gizlilik taahhüdü imzalatın.
4. Bilgi sistemine erişim için RBAC + 2FA kullanın. xklinik bunu varsayılan olarak sağlar.
5. Yedekleri şifreli ve Türkiye'de saklayın.
6. VBYS uyumlu periyodik imha politikası kurun: 6 ayda bir.
7. Veri ihlali halinde 72 saat içindeKVK Kurulu'na bildirim yapın.

Açık rıza tuzakları

Açık rıza, KVKK'da en sık yanlış uygulanan kavramlardan biridir. Üç şart kümülatiftir:

• Belirli bir konuya ilişkin olması
• Bilgilendirmeye dayanması
• Özgür iradeyle açıklanması

Yani “tedavi alabilmek için pazarlama iletisi onayı zorunludur” türünde bir dayatma geçersiz bir açık rızadır. Pazarlama opsiyonel olmalı, default olarak kapalı bırakılmalı, istediği zaman çekilebilmeli.

İhlal anında ne yapılır?

Veri ihlali (sızıntı, yanlış hekime gönderim, kayıp cihaz vb.) tespit edildiğinde sırasıyla:

1. İhlali sınırla, erişimi durdur.
2. İç hukuk müşaviri ya da KVKK temsilcinizi bilgilendir.
3. 72 saat içinde KVK Kurulu'na bildir.
4. Etkilenen veri sahiplerini en uygun yöntemle haberdar et.
5. Olay sonrası kök neden analizi yap ve önlem güncelle.

Özet

Sağlık verisi koruması bir uyum projesi değil, kliniğinizin günlük operasyonunun parçasıdır. Doğru altyapı + doğru süreç + iyi belgeleme = sürdürülebilir uyum. xklinik bu üç sütunu varsayılan olarak sunar; geri kalan, sizin politikanız ve disiplininizdir.