Yürürlük: 14.05.2026 — KVKK + GDPR ortak çerçeve

Gizlilik Politikası

Bu Politika; xklinik'in işlediği kişisel veriler, güvenlik önlemleri ve sağlık verisine ilişkin özel rejim hakkında bilgi verir. KVKK ve gerektiğinde AB Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu çalışırız.

1. Roller

xklinik, hizmetlerini sunarken çoğu durumda veri işleyen sıfatıyla hareket eder. Kliniğiniz, kendi hastalarının verisi bakımından veri sorumlusudur. Aramızdaki ilişki yazılı bir Veri İşleyen Sözleşmesi (DPA) ile çerçevelenir.

Yalnızca xklinik'in kendi pazarlama, satış ve müşteri ilişkileri süreçlerinde xklinik veri sorumlusu sıfatıyla hareket eder. Bu kapsamda yapılan işlemeler ayrı Aydınlatma Metni'mizde açıklanmıştır.

2. Sağlık Verisi İlkeleri

  • Sağlık verisi yalnızca klinik müşterinin amacına yönelik işlenir; xklinik bunu pazarlama, profilleme ya da ikincil analiz için kullanmaz.
  • Sağlık verisine yalnızca en az ayrıcalık (least privilege) ilkesine uygun olarak yetkilendirilmiş klinik kullanıcıları erişir.
  • xklinik personeli, müşteri talebi veya zorunlu destek halleri dışında üretim verisine erişmez; her erişim loglanır ve klinik dashboard'undan görüntülenebilir.
  • 18 yaş altı hastalar için kayıt akışı ebeveyn rıza adımı içerir.

3. Teknik & İdari Tedbirler

  • Beklemede şifreleme: AES-256.
  • Aktarımda şifreleme: TLS 1.3 (HSTS + Perfect Forward Secrecy).
  • Anahtar yönetimi: HSM destekli, her müşteri için izole şifreleme anahtarı.
  • Yedekleme: Şifreli, coğrafi olarak ayrı iki Türkiye veri merkezi.
  • Erişim: RBAC + 2FA varsayılan, kurumsal pakette SSO + IP kısıtlama.
  • Periyodik güvenlik testi: Yılda 2 kez bağımsız sızma testi.
  • Olay müdahale: 7/24 SOC, ihlal halinde 72 saat içinde KVK Kurulu bildirimi.

4. Veri Aktarımı

Detaylı liste için lütfen KVKK Aydınlatma Metni m.5'i inceleyin. Yurt dışı aktarım yalnızca açık rıza veya KVK Kurulu onaylı uygun güvenceler kapsamında yapılır.

5. Çocuk Verileri

xklinik'in kendi web sitesi 18 yaşından küçükleri hedef almaz. Müşteri kliniklerimizin pediatri/diş hekimliği gibi branşlarda işlediği çocuk verileri için ebeveyn rıza akışı varsayılan olarak sağlanır.

6. Saklama Süreleri

Mevzuat ve sözleşme süresinden kaynaklanan saklama yükümlülükleri sona erdiğinde veriler silinir, yok edilir veya anonimleştirilir. Saklama süreleri için Veri İşleyen Sözleşmesi'ndeki Ek-A'yı inceleyebilirsiniz.

7. Haklarınız & İletişim

KVKK m.11 ve GDPR md.15-22 kapsamındaki haklarınızı Veri Sahibi Başvuru Formu aracılığıyla kullanabilirsiniz. İletişim: kvkk@xklinik.co · KEP: xklinik@hs01.kep.tr

8. Güncelleme

Bu Politika ihtiyaç halinde güncellenebilir. Önemli değişiklikler en az 30 gün önce e-posta ve panel üzerinden duyurulur.