Sağlık Kurumları İçin Kapsamlı KVKK Uyum Rehberi: Yükümlülükler, Stratejiler ve Uygulama Esasları

Bölüm 1: Sağlık Sektöründe Kişisel Verilerin Korunmasının Temelleri

Sağlık sektörü, doğası gereği bireylerin en mahrem ve hassas bilgilerini işleyen bir alandır. Bu durum, sektörü 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) karşısında özel bir konuma yerleştirmekte ve diğer sektörlere kıyasla çok daha ağır yükümlülükler getirmektedir. KVKK uyum süreci, sağlık kurumları için yalnızca yasal bir zorunluluk değil, aynı zamanda hasta güveni, mahremiyet hakkı ve kurumsal itibarın korunması için temel bir gerekliliktir.1 Bu rehber, sağlık kurumlarının KVKK’yı doğru anlamaları, yükümlülüklerini eksiksiz yerine getirmeleri ve potansiyel riskleri yönetmeleri için kapsamlı bir yol haritası sunmaktadır.

1.1. Kişisel Veri ve Sağlık Verisi Ayrımı: Temel Tanımlar

KVKK uyumunun ilk adımı, korunması gereken varlığın, yani “kişisel verinin” ne olduğunu doğru tanımlamaktır. Kanun’un 3. maddesi, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamaktadır.2 Bu tanımın kapsamı son derece geniştir ve sadece ad, soyad, T.C. kimlik numarası gibi doğrudan kimlik belirten bilgileri değil, aynı zamanda bir kişiyi dolaylı yoldan işaret edebilecek her türlü veriyi içerir. Örneğin, “A hastanesinin onkoloji bölümünde yatan mavi saçlı kadın hasta” ifadesi, eğer bu özelliklere sahip tek bir kişi varsa, o kişiyi belirlenebilir kıldığı için kişisel veri sayılır.3

Sağlık kurumları açısından bu tanım, hasta kayıtlarındaki demografik bilgilerden 2, telefon numarası, e-posta adresi gibi iletişim bilgilerine 4, yapılan ödemelere ilişkin fatura detaylarından 1 kurum içerisindeki güvenlik kamerası kayıtlarına 4 kadar uzanan geniş bir yelpazeyi kapsar. Sağlık kurumları genellikle yalnızca tıbbi verileri korumaya odaklanma eğilimindedir; ancak bu yaklaşım hatalıdır. KVKK, hasta yakınlarının acil durumda aranmak üzere alınan iletişim bilgilerini 4, kuruma iş başvurusunda bulunan bir hemşire adayının özgeçmişini 4 veya poliklinik bekleme salonunda bulunan bir ziyaretçinin konum verisini 4 de aynı titizlikle korunması gereken kişisel veriler olarak kabul eder. Bu durum, uyum stratejisinin sadece hasta dosyaları ve tıbbi kayıtlarla sınırlı kalmaması, kurumun tüm iş süreçlerini kapsayacak şekilde bütüncül bir yaklaşımla ele alınması gerektiğini göstermektedir.

1.2. Özel Nitelikli Kişisel Veri Olarak Sağlık Verisi: Artırılmış Sorumluluk

KVKK, bazı kişisel verileri daha yüksek bir koruma zırhı altına almıştır. Kanun’un 6. maddesi; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek/vakıf/sendika üyeliği, ceza mahkûmiyeti, güvenlik tedbirleri ile biyometrik ve genetik verilerini “özel nitelikli (hassas) kişisel veri” olarak tanımlar.2 Bu listenin en kritik unsurlarından biri de “sağlık” ve “cinsel hayat” ile ilgili verilerdir.6

Bir bilginin özel nitelikli kişisel veri olarak sınıflandırılmasının temel nedeni, bu verilerin öğrenilmesi halinde ilgili kişinin ayrımcılığa uğramasına veya mağduriyete maruz kalmasına neden olma potansiyelidir.7 Bu nedenle, bir hastanın kan grubu bilgisi gibi basit bir veri dahi özel nitelikli kişisel veri statüsündedir ve özel korumaya tabidir.9

Sağlık verilerinin bu özel statüsü, işlenmeleri için geçerli olan kuralları temelden değiştirir. Kural olarak, özel nitelikli kişisel verilerin işlenmesi yasaktır.9 Bu yasak, ancak Kanun’da sayılan çok sınırlı istisnai hallerin varlığı veya ilgili kişinin “açık rızası” alınmak suretiyle aşılabilir.6 Bu durum, sağlık kurumlarını diğer sektörlerde faaliyet gösteren veri sorumlularına kıyasla çok daha sıkı kurallara ve daha ağır sorumluluklara tabi kılar.

Bu artırılmış sorumluluk, KVKK uyum sürecinin yalnızca yasal bir formalite olmaktan çıkıp, kurum için stratejik bir risk yönetimi faaliyetine dönüşmesini zorunlu kılar. Örneğin, bir e-ticaret sitesinden kredi kartı bilgilerinin sızdırılması finansal kayıplara yol açarken, bir hastaneden psikiyatrik tanıların veya bulaşıcı hastalık bilgilerinin sızdırılması 11, kişilerin sosyal hayatını, iş bulma olanaklarını ve toplumsal itibarını geri döndürülemez bir şekilde zedeleyebilir. Kişisel Verileri Koruma Kurulu’nun (Kurul), geçmişte kaydedilmiş psikiyatrik tanıların kişilerin girdikleri sınavlarda olumsuz sonuçlara yol açtığı yönündeki şikayetleri incelediği kararları, bu riskin ne kadar somut olduğunu göstermektedir.11 Dolayısıyla, sağlık kurumlarının alacağı idari ve teknik tedbirlerin, bu yüksek riski karşılayacak ve potansiyel ayrımcılık tehlikesini bertaraf edecek düzeyde olması hayati önem taşımaktadır.

1.3. Veri İşlemenin Temel İlkeleri: Her Faaliyetin Anayasası

KVKK’nın 4. maddesi, kişisel veri işleyen tüm veri sorumluları için bir nevi “anayasa” niteliğindedir. Bu madde, gerçekleştirilen her bir veri işleme faaliyetinin uyması gereken temel ilkeleri sıralar. Bir veri işleme faaliyeti, Kanun’daki hukuki sebeplere (örneğin açık rıza veya kanuni istisna) dayansa bile, bu ilkelere aykırı ise hukuka aykırı kabul edilir.12 Sağlık kurumları, her adımlarında bu ilkeleri bir kontrol listesi olarak kullanmalıdır:

  1. Hukuka ve Dürüstlük Kurallarına Uygun Olma: Veri işleme faaliyetleri, başta KVKK olmak üzere ilgili tüm mevzuata (Sağlık Bakanlığı yönetmelikleri, TTB düzenlemeleri vb.) ve genel dürüstlük kurallarına uygun olmalıdır.
  2. Doğru ve Gerektiğinde Güncel Olma: Veri sorumlusu, işlediği kişisel verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri almalıdır.10 Hastanın iletişim bilgilerinin veya medeni halinin güncel tutulması bu ilkenin bir gereğidir.
  3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Veriler, hangi amaçla işlenecekse bu amacın önceden net, anlaşılır ve hukuka uygun bir şekilde belirlenmesi gerekir.10 “Her türlü pazarlama ve tanıtım faaliyeti” gibi genel ve belirsiz amaçlar geçersizdir.
  4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma (Veri Minimizasyonu): Yalnızca belirlenen amacı gerçekleştirmek için gerekli olan veriler işlenmelidir. Gereğinden fazla veri toplamak bu ilkenin ihlalidir.10 Örneğin, bir hastadan “belki ileride faydalı olabilir” düşüncesiyle, mevcut teşhis ve tedavi süreciyle ilgisi olmayan genetik verilerin talep edilmesi, ölçülülük ilkesine aykırıdır.13
  5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Veriler, yasal zorunluluklar veya işleme amacının gerektirdiği süre sona erdiğinde imha edilmelidir.12

Bu ilkelerin her biri, Kurul tarafından verilen idari para cezalarında temel bir gerekçe olarak kullanılmaktadır. Örneğin, bir hastanenin, hastasından tedavi hizmeti sunmak amacıyla aldığı iletişim bilgilerini, daha sonra hastanın rızası olmaksızın ticari elektronik ileti (SMS, e-posta) göndermek için kullanması, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerinin açık bir ihlalidir.12 Kurul kararları, veri işleme faaliyeti için geçerli bir hukuki sebep (örneğin, tedavi hizmeti) olsa dahi, bu temel ilkelere uyulmamasının tek başına bir ihlal nedeni olduğunu ve idari yaptırıma yol açtığını net bir şekilde ortaya koymaktadır.

Kurul’un bir özel hastane hakkındaki kararı, bu ilkelerin ne kadar güçlü olduğunu çarpıcı bir şekilde göstermektedir. Karara konu olayda hastane, reklam ve tanıtım faaliyetleri için hastalardan “açık rıza” aldığını savunmuştur. Ancak Kurul, Özel Hastaneler Yönetmeliği’nin reklam ve tanıtımı yasakladığını, dolayısıyla veri işleme amacının “meşru” olmadığını ve “hukuka uygun” olmadığını tespit etmiştir. Bu nedenle, hukuka aykırı bir amaç için alınan açık rızanın veri işleme faaliyetini meşru kılmadığına karar vererek idari para cezası uygulamıştır.14 Bu karar, diğer tüm şartlar (açık rıza gibi) sağlansa bile, temel ilkelerin nasıl daha üstün ve belirleyici olduğunu kanıtlamaktadır.

Bölüm 2: Sağlık Verilerinin İşlenmesinin Hukuki Dayanakları: Rıza ve İstisnalar

Sağlık verilerinin özel nitelikli olması, bu verilerin işlenmesini katı kurallara bağlar. Sağlık kurumları, gerçekleştirdikleri her veri işleme faaliyeti için KVKK’da belirtilen hukuki dayanaklardan en az birine sahip olmak zorundadır. Bu dayanaklar, temelde “açık rıza” ve Kanun’da sayılan “istisnai haller” olarak ikiye ayrılır.

2.1. Ana Kural: Açık Rıza Zorunluluğu ve Sınırları

Açık rıza, KVKK’nın temel hukuka uygunluk nedenlerinden biridir. Ancak geçerli bir açık rızadan bahsedebilmek için üç temel unsurun bir arada bulunması gerekir:

  1. Belirli Bir Konuya İlişkin Olma: Rıza, genel nitelikte olamaz. Hangi verilerin, hangi amaçla, ne kadar süreyle işleneceği ve kimlere aktarılacağı net bir şekilde belirtilmelidir.15 “Kişisel verilerimin işlenmesini kabul ediyorum” gibi genel bir ifadeyle alınan rıza geçersizdir.
  2. Bilgilendirmeye Dayanması: Rıza alınmadan önce, ilgili kişinin KVKK Madde 10 kapsamındaki aydınlatma yükümlülüğü çerçevesinde detaylı bir şekilde bilgilendirilmesi şarttır.16 Bilgilendirme yapılmadan alınan rıza, kişinin neye onay verdiğini bilmediği varsayıldığından hukuken bir anlam ifade etmez.
  3. Özgür İradeyle Açıklanması: Rıza, herhangi bir baskı, zorlama veya yanıltıcı unsur olmaksızın, kişinin özgür iradesiyle verilmelidir.15

Sağlık kurumları için en kritik noktalardan biri, hizmet sunumunun açık rıza şartına bağlanamamasıdır. Kurul’un yerleşik içtihatlarına göre, bir hizmetin alınmasının, o hizmetle doğrudan ilgisi olmayan bir veri işleme faaliyeti için açık rıza verilmesi koşuluna bağlanması, “özgür irade” unsurunu zedelediği için hukuka aykırıdır. Örneğin, bir hastanın muayene olabilmesi için, hastanenin tanıtım SMS’lerini almayı kabul etmesi zorunlu tutulamaz.17 Benzer şekilde, bir hastanenin reklam ve tanıtım faaliyetleri için hastadan açık rıza talep etmesi, bu faaliyetin zaten sektörel mevzuata aykırı olması nedeniyle hukuka aykırı bulunmuştur.14

Açık rıza, yalnızca Kanun’da belirtilen diğer veri işleme şartlarının (istisnaların) mevcut olmadığı durumlarda başvurulması gereken bir yoldur.9 Eğer bir veri işleme faaliyeti, örneğin “tıbbi teşhis ve tedavi hizmetlerinin yürütülmesi” gibi bir istisna kapsamına giriyorsa, bu faaliyet için ayrıca açık rıza alınması, ilgili kişiyi yanıltıcı olabileceğinden Kurul tarafından hukuka aykırı olarak değerlendirilebilmektedir.

Son olarak, ilgili kişinin verdiği açık rızayı her zaman geri alma hakkı bulunmaktadır. Geri alma beyanı veri sorumlusuna ulaştığı andan itibaren, rızaya dayalı olarak gerçekleştirilen veri işleme faaliyetleri derhal durdurulmalıdır. Geri alma işlemi, yalnızca ileriye dönük olarak sonuç doğurur.16

2.2. Aydınlatma Yükümlülüğü: Şeffaflığın Temeli ve Geçerli Rızanın Ön Koşulu

Aydınlatma yükümlülüğü, veri sorumlusunun en temel ve vazgeçilmez görevlerinden biridir. KVKK’nın 10. maddesi uyarınca veri sorumlusu, kişisel verileri elde ettiği sırada, ilgili kişileri aşağıdaki konularda bilgilendirmekle yükümlüdür 18:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin Kanun’un 11. maddesinde sayılan diğer hakları.

Aydınlatma yükümlülüğü, açık rızadan tamamen bağımsız ve her veri işleme faaliyeti için yerine getirilmesi gereken bir ön koşuldur.19 Yani, bir hastanın verisi “kamu sağlığının korunması” istisnasına dayanılarak rızası olmaksızın işlense dahi, bu hastanın yine de yukarıdaki konularda eksiksiz bir şekilde aydınlatılması zorunludur. Aydınlatma yapılmadan alınan bir açık rıza, “bilgilendirmeye dayanma” unsuru eksik kalacağından, hukuken geçersiz sayılacaktır.19 Bu yükümlülüğün usulüne uygun olarak yerine getirildiğinin ispatı ise veri sorumlusuna, yani sağlık kurumuna aittir.21

Uygulamada sıkça yapılan en büyük hatalardan biri, aydınlatma metni ile açık rıza metnini tek bir belgede birleştirmek ve tek bir imza veya onay kutucuğu ile her ikisini de halletmeye çalışmaktır. Hukuken bu iki metin, hem amaç hem de işlev olarak birbirinden tamamen farklıdır. Aydınlatma metni, tek taraflı bir bilgilendirme belgesidir ve herhangi bir onay veya kabul gerektirmez. Amacı, şeffaflığı sağlamaktır. Açık rıza metni ise, aydınlatma yapıldıktan sonra, kanuni istisnaların dışında kalan belirli bir işleme faaliyeti için (örneğin, bir klinik araştırmada verilerin kullanılması) kişinin aktif, olumlu ve özgür iradesini ortaya koyan bir beyandır. Bu iki hukuki enstrümanın birbirine karıştırılması, özellikle rıza gerektiren durumlarda, alınan rızaların geçersiz sayılması gibi ciddi hukuki riskler doğurur.

2.3. Açık Rıza Aranmayan Haller: Sağlık Sektörünün Çalışma Motoru

KVKK, sağlık hizmetlerinin aksamadan yürütülebilmesi için, sağlık verilerinin belirli durumlarda açık rıza alınmaksızın işlenmesine olanak tanıyan kritik istisnalar getirmiştir. Bu istisnalar olmasaydı, bilinci kapalı bir acil durum hastasına müdahale etmek veya salgın hastalık verilerini ilgili kamu kurumlarına bildirmek hukuken imkansız hale gelirdi.

Kanun’un 6. maddesinin 3. fıkrası, sağlık ve cinsel hayata ilişkin kişisel verilerin, açık rıza aranmaksızın işlenebileceği durumları net bir şekilde tanımlamıştır. Buna göre, bu hassas veriler;

  • Amaç: Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
  • İşleyen Kişi/Kurum: Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.6

Bu istisna, bir sağlık kurumunun günlük operasyonlarının neredeyse tamamının hukuki temelini oluşturur. Bir doktorun hastasını muayene edip teşhis koyması, laboratuvarın tahlil sonuçlarını işlemesi, hastanenin Sosyal Güvenlik Kurumu’na (SGK) faturalandırma yapması veya yasal zorunluluklar gereği Sağlık Bakanlığı’na bildirimde bulunması gibi faaliyetler bu istisna kapsamında değerlendirilir ve hastadan her bir işlem için ayrı ayrı açık rıza alınmasını gerektirmez.

Ancak bu istisnanın uygulanabilmesi için iki temel şartın bir arada bulunması kritik öneme sahiptir. Bunlardan ilki amaç şartıdır ve yukarıda listelenmiştir. İkincisi ise, veriyi işleyen kişinin veya kurumun “sır saklama yükümlülüğü altında” olmasıdır. Bu tanım, hekimleri, diş hekimlerini, hemşireleri ve diğer sağlık profesyonellerini yasal düzenlemeler gereği doğal olarak kapsar. Ancak, bu tanımın sınırları her zaman net değildir. Örneğin, hastanenin bilgi işlem departmanı, bir ilaç firmasının klinik araştırma görevlisi veya dışarıdan hizmet alınan bir medikal yazılım şirketinin personeli bu kapsamda mıdır? Bu konu, sektörde hala tartışılan ve Kurul’dan daha net bir yönlendirme beklenen gri bir alandır.6 Bir sağlık kurumu, bu istisnayı gerekçe göstererek bir veri işleme faaliyeti yürütüyorsa, veriye erişen her bir personelin veya iş ortağının “sır saklama yükümlülüğü” tanımına hukuken uyup uymadığını titizlikle değerlendirmelidir. Aksi takdirde, istisnaya dayanılarak yapılan veri işleme faaliyeti hukuka aykırı hale gelebilir ve ciddi yaptırımlarla sonuçlanabilir. Bu nedenle, erişim yetkilerinin bu ayrıma göre dikkatle kurgulanması zorunludur.

Bölüm 3: Veri Sorumlusu Sağlık Kurumunun Temel Yükümlülükleri

KVKK, veri sorumlusu olarak tanımladığı sağlık kurumlarına, veri işleme faaliyetlerinin hukuka uygunluğunu sağlamak ve veri güvenliğini temin etmek üzere bir dizi temel yükümlülük getirmiştir. Bu yükümlülükler, uyum sürecinin bel kemiğini oluşturur ve eksiksiz bir şekilde yerine getirilmesi, olası idari yaptırımlardan ve hukuki sorumluluklardan korunmanın ön koşuludur.

3.1. Kişisel Veri İşleme Envanteri ve Veri Haritası Hazırlama: Uyumun Temel Taşı

Her KVKK uyum projesinin başlangıç noktası, kurumun kendi veri işleme faaliyetlerinin detaylı bir fotoğrafını çekmesidir. Bu fotoğraf, “Kişisel Veri İşleme Envanteri” olarak adlandırılır. Envanter, veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; veri işleme amaçları, hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı bir belgedir.21

Sağlık kurumları için bu envanter, şu gibi temel sorulara cevap vermelidir:

  • Hangi kişisel veriler toplanıyor? (Örn: Kimlik, iletişim, sağlık, genetik, finansal, biyometrik veriler)
  • Bu veriler hangi amaçlarla işleniyor? (Örn: Tıbbi teşhis, tedavi, randevu yönetimi, faturalandırma, insan kaynakları süreçleri)
  • Veri işlemenin hukuki dayanağı nedir? (Örn: KVKK Md. 6/3 istisnası, açık rıza, kanuni zorunluluk)
  • Veriler ne kadar süreyle saklanıyor? (Örn: Yasal saklama süreleri, amaç için gerekli süre)
  • Veriler kimlere, hangi amaçla aktarılıyor? (Örn: SGK, Sağlık Bakanlığı, özel sigorta şirketleri, laboratuvarlar)
  • Verilerin güvenliği için hangi idari ve teknik tedbirler alınıyor? (Örn: Şifreleme, yetki kontrolü, eğitimler) 1

Envanter hazırlama süreci, sadece yasal bir formaliteyi yerine getirmek değil, aynı zamanda kurumun kendi içindeki veri akışlarını anlaması, riskli süreçleri tespit etmesi ve uyum stratejisini doğru bir şekilde planlaması için kritik bir öneme sahip bir analiz çalışmasıdır. İyi ve eksiksiz hazırlanmış bir envanter olmadan, aydınlatma metinlerinin doğru içerikle yazılması, VERBİS’e eksiksiz bildirim yapılması, veri saklama ve imha politikalarının doğru kurgulanması veya erişim yetkilerinin doğru belirlenmesi mümkün değildir.

Envanter, bir kez hazırlanıp rafa kaldırılacak statik bir belge olarak görülmemelidir. Kurumun faaliyetlerinde meydana gelen her değişiklikle birlikte güncellenmesi gereken yaşayan, dinamik bir dokümandır. Örneğin, hastanenin yeni bir teletıp hizmeti sunmaya başlaması, yeni bir laboratuvar cihazı alması veya farklı bir pazarlama kampanyası düzenlemesi gibi yeni veri işleme faaliyetleri doğuran her süreç, derhal envantere yansıtılmalıdır.9 Hukuki dayanaklarda veya veri aktarım süreçlerinde meydana gelen değişikliklerin de envantere işlenmesi zorunludur. Envanter yönetiminin kurumsal bir prosedüre bağlanması ve düzenli olarak gözden geçirilmesi, sürdürülebilir bir KVKK uyumunun temelini oluşturur.

3.2. VERBİS Kayıt Yükümlülüğü: Şeffaflık ve Hesap Verebilirlik

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), veri sorumlularının kimler olduğunu ve ne tür veri işleme faaliyetleri yürüttüklerini kamuya açık bir şekilde beyan ettikleri, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan bir kayıt sistemidir.25 Bu sistemin temel amacı, şeffaflık ve hesap verebilirlik ilkelerini hayata geçirmektir.

KVKK, VERBİS’e kayıt yükümlülüğünü belirli kriterlere bağlamıştır. Genel kural, yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan veri sorumlularının sicile kaydolmasıdır. Ancak Kanun, bu kurala çok önemli bir istisna getirmiştir: Ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları, yukarıdaki sayısal ve mali sınırlara bakılmaksızın VERBİS’e kaydolmak zorundadır.8

Sağlık sektörü, doğası gereği ana faaliyet konusu “sağlık verisi” yani özel nitelikli kişisel veri işlemek olan kurumlardan oluşur. Bu kritik istisna nedeniyle, büyük bir hastane zincirinden tek bir hekimin muayenehanesine, bir eczaneden tıbbi tahlil laboratuvarına, bir diş polikliniğinden diyetisyen ofisine kadar sağlık hizmeti sunan tüm gerçek ve tüzel kişiler, büyüklüklerinden ve cirolarından tamamen bağımsız olarak VERBİS’e kayıt olmakla yükümlüdür.8 Bu durum, sağlık sektöründeki en küçük aktörün dahi göz ardı edemeyeceği, uyum sürecinin ilk ve en görünür adımlarından birini oluşturur. VERBİS’e kayıt yükümlülüğünün süresi içinde yerine getirilmemesi, Kurul tarafından doğrudan yüksek miktarlarda idari para cezası uygulanmasına neden olmaktadır.24 Bu, KVKK’nın sağlık sektörünü ne denli yüksek riskli olarak gördüğünün ve bu alandaki veri işleme faaliyetlerinde şeffaflığı ne kadar önemsediğinin somut bir göstergesidir.

3.3. Veri Saklama ve İmha Politikası Oluşturma: Veri Yaşam Döngüsünü Yönetmek

KVKK’nın temel ilkelerinden biri, kişisel verilerin “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi”dir.10 Bu ilke, verilerin sonsuza dek saklanamayacağı anlamına gelir. Veri işleme amacı ortadan kalktığında veya yasal saklama süresi dolduğunda, bu verilerin veri sorumlusu tarafından resen (kendiliğinden) veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi ya da anonim hale getirilmesi yasal bir zorunluluktur.10

Sağlık kurumları için veri saklama süreleri, genellikle birden fazla yasal düzenleme tarafından belirlenir. Bu durum, kurumlar için bir denge kurma zorunluluğu doğurur. Bir yanda KVKK’nın “veri minimizasyonu” ve “sınırlı süreyle saklama” ilkeleri, diğer yanda ise sektörel mevzuatın getirdiği uzun saklama yükümlülükleri bulunmaktadır. Örneğin, Özel Hastaneler Yönetmeliği, yatan hasta ve ayaktan gelen hastalara ait tıbbi kayıtların (hasta dosyaları) en az 20 yıl süreyle saklanmasını zorunlu kılmaktadır.28 Benzer şekilde, adli vakalara ilişkin kayıtlar için de 20 yıllık bir saklama süresi öngörülmüştür.29 Buna karşın, acil durumlarda yapılan telefon görüşmelerine ait ses kayıtlarının saklama süresi 3 ay gibi daha kısa bir süredir.28

Bu karmaşık yapıyı yönetebilmek için her sağlık kurumunun, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak bir “Kişisel Veri Saklama ve İmha Politikası” hazırlaması ve uygulaması gerekmektedir.24 Bu politika, en azından aşağıdaki unsurları içermelidir:

  • Politikanın amacı ve kapsamı.
  • Verilerin saklandığı kayıt ortamları (fiziksel ve elektronik).
  • Saklamayı ve imhayı gerektiren hukuki, teknik ve idari sebeplerin açıklaması.
  • Veri kategorileri bazında saklama ve imha sürelerini gösteren detaylı bir tablo.
  • Periyodik imha süreçleri ve zamanları (Örn: Her yılın Ocak ve Haziran ayları).31
  • İmha işlemlerinden (silme, yok etme, anonimleştirme) sorumlu olan birim ve kişilerin görev tanımları.

Sağlık kurumları için asıl zorluk, bir verinin birden fazla hukuki sebeple saklanması gereken durumları yönetmektir. Örneğin, bir hastanın tedavisi tamamlandıktan 5 yıl sonra, “tıbbi tedavi hizmetlerinin yürütülmesi” amacı ortadan kalkmış olabilir. Ancak, “hukuki yükümlülüğün yerine getirilmesi” (20 yıllık saklama zorunluluğu) ve “bir hakkın tesisi, kullanılması veya korunması” (olası bir malpraktis davası için delil niteliği) amaçları hala devam etmektedir. Hazırlanacak politika, bu tür çoklu saklama amaçlarını yönetebilmeli ve bir verinin imhası için “tüm meşru saklama amaçlarının ortadan kalkması” gerektiğini net bir şekilde ortaya koymalıdır.

Aşağıdaki tablo, sağlık kurumlarının kendi politikalarını oluştururken kullanabilecekleri bir örnek yapı sunmaktadır.

Tablo 1: Sağlık Verisi Türlerine Göre Yasal Saklama ve Periyodik İmha Süreleri (Örnek)

Veri KategorisiVeri İşleme AmacıSaklamanın Hukuki Dayanağı (KVKK)İlgili MevzuatAzami Saklama SüresiPeriyodik İmha Dönemi
Tıbbi Hasta Dosyaları (Epikriz, Anamnez, Raporlar vb.)Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, hukuki yükümlülüklerin yerine getirilmesi, hakkın tesisi.Md. 6/3, Md. 5/2-ç, Md. 5/2-eÖzel Hastaneler Yönetmeliği, Yataklı Tedavi Kurumları İşletme YönetmeliğiHizmetin sona ermesinden itibaren 20 YılSüre bitimini takip eden ilk periyodik imha dönemi (Örn: Ocak/Haziran)
Laboratuvar ve Radyoloji Sonuçları/GörüntüleriTıbbi teşhis ve tedavi hizmetlerinin yürütülmesi, hukuki yükümlülüklerin yerine getirilmesi.Md. 6/3, Md. 5/2-çRadyoloji, Radiyom ve Elektrikle Tedavi ve Diğer Fizyoterapi Müesseseleri Hakkında KanunHizmetin sona ermesinden itibaren en az 3 Yıl (Uygulamada hasta dosyası ile birlikte 20 Yıl)Süre bitimini takip eden ilk periyodik imha dönemi
Reçete BilgileriTıbbi tedavi hizmetlerinin yürütülmesi, sağlık finansmanının planlanması, hukuki yükümlülük.Md. 6/3, Md. 5/2-çİlgili SGK ve Eczacılık Mevzuatıİlgili mevzuatta belirtilen süre (Genellikle 5 Yıl)Süre bitimini takip eden ilk periyodik imha dönemi
Muhasebe ve Finans Kayıtları (Fatura, Makbuz vb.)Sağlık hizmetleri finansmanının yönetimi, hukuki yükümlülüğün yerine getirilmesi.Md. 5/2-çVergi Usul Kanunu, Türk Ticaret Kanunuİlgili işlemin yapıldığı yılı takip eden takvim yılı başından itibaren 5 Yıl (VUK) / 10 Yıl (TTK)Süre bitimini takip eden ilk periyodik imha dönemi
Çağrı Merkezi Ses KayıtlarıHizmet kalitesinin artırılması, sözleşmenin ifası, güvenliğin sağlanması, meşru menfaat.Md. 5/2-c, Md. 5/2-fÖzel Hastaneler YönetmeliğiKayıt tarihinden itibaren 3 AySüre bitimini takip eden ilk periyodik imha dönemi
Güvenlik Kamerası (CCTV) KayıtlarıFiziksel mekan güvenliğinin sağlanması, meşru menfaat.Md. 5/2-fİlgili Kurul KararlarıGenellikle 15-30 Gün (Olay tespiti halinde adli süreç sonuna kadar)Süre bitimini takip eden ilk periyodik imha dönemi

Bölüm 4: Veri Güvenliğini Sağlama: İdari ve Teknik Tedbirler

KVKK’nın 12. maddesi, veri sorumlularına işledikleri kişisel verilerin güvenliğini sağlamak üzere “gerekli her türlü teknik ve idari tedbiri almak” yükümlülüğünü getirmektedir.33 Sağlık verilerinin özel nitelikli olması, bu tedbirlerin en üst düzeyde ve hassasiyetle uygulanmasını zorunlu kılar. Tedbirler, yalnızca teknolojik çözümleri değil, aynı zamanda insan ve süreç odaklı organizasyonel önlemleri de içeren bir bütün olarak ele alınmalıdır.

4.1. İdari Tedbirler: İnsan ve Süreç Odaklı Koruma

İdari tedbirler, teknolojiden bağımsız olarak, kurumun organizasyonel yapısı, politikaları, prosedürleri ve insan kaynağı aracılığıyla veri güvenliğini sağlamaya yönelik önlemlerdir. Sağlık kurumları için alınması gereken temel idari tedbirler şunlardır:

  • Kurumsal Politikaların Oluşturulması: Erişim, bilgi güvenliği, kullanım, saklama ve imha gibi temel konularda net, yazılı ve tüm çalışanlar tarafından bilinen kurumsal politikalar oluşturulmalıdır.25 Özellikle özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir politika ve prosedür belirlenmesi, Kurul tarafından aranan bir “yeterli önlem”dir.21
  • Risk Analizleri ve Periyodik Denetimler: Kurumun veri işleme süreçlerindeki potansiyel risk ve tehditler düzenli olarak analiz edilmeli, bu riskleri bertaraf etmeye yönelik aksiyon planları oluşturulmalıdır. Ayrıca, KVKK uyum durumunun ve alınan tedbirlerin etkinliğinin kontrolü için periyodik olarak (iç veya dış) denetimler yapılmalıdır.25
  • Gizlilik Taahhütnameleri ve Sözleşmeler: Tüm çalışanlardan, görevleri gereği eriştikleri kişisel verileri koruyacaklarına ve görevden ayrılsalar dahi bu gizlilik yükümlülüğüne uyacaklarına dair yazılı taahhütnameler alınmalıdır.25 Benzer şekilde, dışarıdan hizmet alınan laboratuvar, yazılım firması, muhasebe şirketi gibi “veri işleyen” konumundaki üçüncü taraflarla yapılan sözleşmelere, veri güvenliği ve KVKK uyumuna ilişkin bağlayıcı hükümler eklenmelidir.
  • Eğitim ve Farkındalık Faaliyetleri: Veri güvenliğindeki en zayıf halkanın insan faktörü olduğu unutulmamalıdır. Bu nedenle, tüm çalışanlara, özellikle hasta verileriyle doğrudan temas halinde olan sağlık personeline, KVKK, veri mahremiyeti, bilgi güvenliği ve kurum politikaları hakkında düzenli ve tekrarlayan eğitimler verilmesi zorunludur.21

Kurul kararları, veri ihlallerinin önemli bir kısmının teknolojik saldırılardan ziyade insan hatası veya kötü niyetinden kaynaklandığını açıkça göstermektedir. Bir hastane çalışanının, yetkisi olmadığı halde hasta verilerini velayeti bulunmayan bir ebeveynle paylaşması 37, bir doktorun hastanın ameliyat sırasında çekilen fotoğraflarını kendi sosyal medya hesabında yayımlaması 38 veya bir sağlık firmasının eski çalışanının kişisel verilerini rızasız bir şekilde başka bir yere aktarması 39 gibi vakalar, idari tedbirlerin (eğitim, yetki kontrolü, disiplin yönetmelikleri, gizlilik taahhütnameleri) ne kadar hayati olduğunu kanıtlamaktadır. En gelişmiş siber güvenlik altyapısı dahi, eğitimsiz, dikkatsiz veya kötü niyetli bir personelin neden olabileceği bir veri sızıntısını tek başına engelleyemez. Bu nedenle, sağlık kurumlarının KVKK uyum bütçelerinde, teknolojik yatırımlar kadar etkili ve sürekli eğitim programlarına, sıkı erişim kontrol prosedürlerine ve caydırıcı disiplin mekanizmalarına da yer vermesi esastır.

4.2. Teknik Tedbirler: Teknolojik Savunma Hattı

Teknik tedbirler, kişisel verilerin işlendiği, saklandığı ve aktarıldığı bilişim sistemlerinin ve dijital altyapının güvenliğini sağlamaya yönelik teknolojik çözümlerdir. Sağlık sektörünün dijitalleşme düzeyi göz önüne alındığında, bu tedbirler kritik bir savunma hattı oluşturur:

  • Erişim Yetki Matrisi ve Kontrolü: “Bilmesi gereken” prensibi, veri güvenliğinin temel taşıdır. Çalışanların kişisel verilere erişimi, görev tanımları ve sorumlulukları ile kesin bir şekilde sınırlandırılmalıdır. Bu amaçla, her bir rol (doktor, hemşire, laborant, resepsiyonist, muhasebe personeli, yönetici vb.) için hangi veri setlerine ve sistem modüllerine (görüntüleme, düzenleme, silme vb.) erişebileceğini tanımlayan detaylı bir “Yetki Matrisi” oluşturulmalıdır.35 Tüm erişimler kayıt altına alınmalı (loglanmalı) ve bu kayıtlar düzenli olarak incelenmelidir. Görev değişikliği olan veya işten ayrılan personelin sisteme erişim yetkileri derhal ve eksiksiz bir şekilde kaldırılmalıdır.15 Unutulmamalıdır ki, sağlık personelinin dahi hasta verilerine erişimi, “sadece sağlık hizmetinin gereğiyle sınırlı” olarak mümkündür.15
  • Siber Güvenlik Önlemleri: Kurumun bilişim ağının ve sistemlerinin dış tehditlere karşı korunması için güncel antivirüs yazılımları, güvenlik duvarları (firewall) ve sızma tespit/önleme sistemleri gibi standart siber güvenlik önlemleri alınmalıdır.15 Düzenli olarak sızma testleri (penetration test) yaptırılarak sistemin zafiyetleri proaktif bir şekilde tespit edilmeli ve giderilmelidir.41
  • Veri Şifreleme (Encryption): Kişisel sağlık verileri, özellikle sunucularda, veritabanlarında, yedekleme ünitelerinde ve taşınabilir medyada (USB bellek, harici disk vb.) saklanırken mutlaka güçlü algoritmalarla şifrelenmelidir. Ayrıca, kurum ağı dışına e-posta veya diğer yollarla aktarılan verilerin de şifrelenmesi kritik öneme sahiptir.15
  • Fiziksel Güvenlik: Verilerin sadece dijital ortamda değil, fiziksel ortamda da korunması gerekir. Sunucu odaları, arşiv odaları gibi hassas verilerin bulunduğu alanların fiziksel güvenliği (kilitli kapılar, kontrollü geçiş sistemleri, kamera izleme vb.) sağlanmalı ve yetkisiz kişilerin bu alanlara girişi engellenmelidir.1
  • Veri Kaybı Önleme (DLP) Yazılımları: Özellikle büyük ölçekli kurumlarda, hassas verilerin (hasta kayıtları, T.C. kimlik numaraları vb.) e-posta, USB bellek veya bulut depolama servisleri aracılığıyla kurum dışına yetkisiz bir şekilde çıkarılmasını tespit eden ve engelleyen DLP (Data Loss Prevention) yazılımlarının kullanılması tavsiye edilir.34

Hastane Bilgi Yönetim Sistemleri (HBYS), sağlık kurumlarındaki veri işleme faaliyetlerinin kalbinde yer alır. Bu nedenle, teknik tedbirlerin büyük bir kısmı HBYS üzerinde ve çevresinde yoğunlaşmalıdır. Kurul’un, bir hekimin hastanın rızası olmaksızın e-Nabız sistemine girmesini 42 veya bir tıp merkezinin hastanın e-Nabız verilerine hukuka aykırı erişmesini 38 ihlal olarak değerlendirip yüksek cezalar vermesi, sistemler üzerindeki erişim kontrollerinin ne kadar ciddiye alındığını göstermektedir. Aynı hastanede görev yapan bir kardiyoloğun, tıbbi bir gereklilik olmaksızın, ilgisi olmayan bir hastanın psikiyatri kayıtlarına HBYS üzerinden bakması açık bir KVKK ihlalidir. Kullanılan HBYS yazılımı, bu tür rol ve bağlam dışı yetkisiz “içeriden” erişimleri teknik olarak engelleyebilecek veya en azından log kayıtları aracılığıyla tespit edip raporlayabilecek yeteneklere sahip olmalıdır.

4.3. Tedbirlerin Bütünlüğü ve Kontrol Listesi

İdari ve teknik tedbirler, birbirini tamamlayan ve birbirinden ayrı düşünülemeyecek bir bütündür. Örneğin, kağıt üzerinde mükemmel bir “erişim yetki matrisi” (idari tedbir) hazırlamak, eğer bu matris HBYS sisteminde teknik olarak uygulanmıyorsa ve herkes her veriye erişebiliyorsa anlamsızdır. Benzer şekilde, en gelişmiş şifreleme teknolojisini (teknik tedbir) kullanmak, şifresini bir kağıda yazıp monitörüne yapıştıran eğitimsiz bir personel (idari tedbir eksikliği) karşısında hiçbir işe yaramaz. Bu nedenle, veri güvenliğine bütüncül bir yaklaşımla bakmak esastır.

Aşağıdaki kontrol listesi, sağlık kurumlarının kendi mevcut durumlarını değerlendirmeleri, eksiklerini tespit etmeleri ve bir iyileştirme planı oluşturmaları için pratik bir araç olarak tasarlanmıştır.

Tablo 2: Sağlık Kurumları İçin İdari ve Teknik Tedbirler Kontrol Listesi

Ana KategoriAlt KategoriTedbir MaddesiMevcut Durum (Var/Yok/Kısmen)Sorumlu DepartmanNotlar ve İyileştirme Planı
Organizasyonel (İdari) TedbirlerPolitika ve ProsedürlerKişisel Veri İşleme Envanteri hazırlandı ve güncel tutuluyor mu?Hukuk/Uyum
Kişisel Veri Saklama ve İmha Politikası yazılı hale getirildi ve uygulanıyor mu?Hukuk/Uyum
Özel nitelikli kişisel verilerin (sağlık verileri) güvenliğine yönelik ayrı bir politika mevcut mu?Bilgi Güvenliği
İnsan Kaynakları ve EğitimTüm çalışanlar için KVKK ve bilgi güvenliği farkındalık eğitimleri düzenli olarak yapılıyor mu? (Eğitim kayıtları tutuluyor mu?)İnsan Kaynakları
Çalışanlarla gizlilik taahhütnameleri imzalandı mı?İnsan Kaynakları
İş sözleşmeleri ve disiplin yönetmeliği, KVKK ihlallerini kapsayacak şekilde güncellendi mi?İnsan Kaynakları/Hukuk
Denetim ve Risk YönetimiPeriyodik olarak (iç/dış) KVKK uyum denetimleri yapılıyor mu?İç Denetim/Yönetim
Veri işleme süreçlerine ilişkin risk analizleri yapılıyor ve riskler yönetiliyor mu?Uyum/Bilgi Güvenliği
Üçüncü Taraf YönetimiVeri aktarılan üçüncü taraflarla (veri işleyenler) KVKK uyumlu sözleşmeler yapıldı mı?Hukuk/Satın Alma
Teknolojik (Teknik) TedbirlerErişim YönetimiRol bazlı erişim yetki matrisi oluşturuldu ve sistemlerde (HBYS vb.) uygulanıyor mu?Bilgi Teknolojileri (BT)
Erişim logları düzenli olarak tutuluyor ve inceleniyor mu?BT
İşten ayrılan veya görev yeri değişen personelin yetkileri derhal kaldırılıyor mu?BT/İK
Siber GüvenlikGüncel antivirüs, güvenlik duvarı ve diğer ağ güvenliği sistemleri kullanılıyor mu?BT
Düzenli olarak sızma (penetrasyon) testleri yapılıyor mu?BT/Bilgi Güvenliği
Veri GüvenliğiSunucularda, veritabanlarında ve yedeklerde tutulan sağlık verileri şifreleniyor mu?BT
Ağ üzerinden aktarılan hassas veriler şifreli kanallar (SSL/TLS vb.) ile iletiliyor mu?BT
Veri kaybı önleme (DLP) yazılımları kullanılıyor mu?BT/Bilgi Güvenliği
Kişisel verilerin düzenli olarak yedeği alınıyor ve yedeklerin güvenliği sağlanıyor mu? (Yedekler ağ dışında tutuluyor mu?)BT
Fiziksel GüvenlikSunucu odaları, arşivler gibi hassas alanlara fiziksel erişim kontrol altında mı? (Kilit, kartlı geçiş vb.)İdari İşler/BT
Fiziksel ortamdaki hasta dosyaları ve evraklar kilitli dolaplarda muhafaza ediliyor mu?İlgili Birimler

Bölüm 5: Sonuç ve Stratejik Öneriler

6698 sayılı Kişisel Verilerin Korunması Kanunu, sağlık sektörü için bir dizi karmaşık ve katı yükümlülük getirmiştir. Sağlık verilerinin “özel nitelikli kişisel veri” statüsünde olması, bu verileri işleyen hastane, poliklinik, muayenehane, eczane ve diğer tüm sağlık kuruluşlarını yüksek bir hukuki ve idari sorumluluk altına sokmaktadır. Uyum sürecinde yapılacak bir hata veya ihmal, yalnızca yüksek idari para cezaları ve cezai yaptırımlarla sonuçlanmakla kalmaz, aynı zamanda hasta güvenini sarsarak ve kurumsal itibarı zedeleyerek telafisi güç zararlara yol açabilir.1

Bu rehberde detaylandırılan analizler, başarılı bir KVKK uyumunun tek seferlik bir proje değil, kurum kültürüne entegre edilmesi gereken sürekli, dinamik ve yaşayan bir süreç olduğunu ortaya koymaktadır. Bu sürecin temel taşları; veri işleme faaliyetlerinin temel ilkelere (hukuka uygunluk, amaçla sınırlılık, ölçülülük) daima uygun olması, hukuki dayanakların (açık rıza ve kanuni istisnalar) doğru tespit edilip uygulanması, veri güvenliğini sağlamak için idari ve teknik tedbirlerin bir bütün olarak ve en üst düzeyde hayata geçirilmesidir.

Sağlık kurumu yöneticileri ve uyum sorumluları için stratejik öneriler şu şekilde özetlenebilir:

  1. Üst Yönetim Sahiplenmesi Esastır: KVKK uyumu, sadece hukuk veya bilgi işlem departmanının bir görevi olarak görülmemelidir. Kurumun en üst düzey yöneticisinin tam desteği ve sahiplenmesi olmadan, gerekli kaynakların ayrılması, departmanlar arası koordinasyonun sağlanması ve uyum kültürünün yerleştirilmesi mümkün değildir.
  2. Bütüncül Bir Yaklaşım Benimsenmelidir: Uyum süreci, sadece hasta kayıtlarına odaklanmamalıdır. Çalışan verileri, ziyaretçi kayıtları, tedarikçi bilgileri, pazarlama faaliyetleri ve kamera kayıtları dahil olmak üzere kişisel veriye dokunan tüm iş süreçleri analize dahil edilmelidir.
  3. Eğitim Sürekli Bir Faaliyet Olmalıdır: Teknoloji ne kadar gelişirse gelişsin, veri güvenliğindeki en kritik faktör insandır. Tüm personele yönelik düzenli, tekrarlayan ve rol bazlı (sağlık personeli, idari personel vb. için özelleştirilmiş) KVKK ve bilgi güvenliği farkındalık eğitimleri, uyum programının en önemli yatırım kalemlerinden biri olarak görülmelidir.
  4. “Varsayılan Olarak Gizlilik” (Privacy by Default) İlkesi Benimsenmelidir: Yeni bir hizmet (örneğin mobil sağlık uygulaması), yeni bir teknoloji (örneğin yapay zeka destekli teşhis sistemi) veya yeni bir iş süreci tasarlanırken, kişisel verilerin korunması gereklilikleri en başından itibaren tasarımın bir parçası haline getirilmelidir. Bu proaktif yaklaşım, sonradan ortaya çıkacak yüksek maliyetli ve karmaşık uyum sorunlarını önleyecektir.
  5. Kurul Kararları Yakından Takip Edilmelidir: KVKK, dinamik bir hukuk alanıdır. Kişisel Verileri Koruma Kurulu’nun yayımladığı kararlar ve rehberler, kanunun nasıl yorumlandığını ve uygulandığını gösteren en önemli kaynaklardır. Kurul’un özellikle sağlık sektörüne yönelik verdiği emsal kararlar düzenli olarak takip edilmeli ve kurumun mevcut politika ve prosedürleri bu kararlar ışığında güncellenmelidir.

Sonuç olarak, sağlık kurumları için KVKK’ya uyum, bir yükümlülükler listesini tamamlamaktan çok daha fazlasını ifade eder. Bu süreç, hastaların en temel haklarından biri olan mahremiyet hakkına saygının bir göstergesi, dijitalleşen sağlık hizmetlerinde güvenin tesisi ve sürdürülebilir bir kurumsal varoluşun temel şartıdır. Bu rehberde sunulan strateji ve uygulama esaslarını benimseyen kurumlar, hem yasal risklerini en aza indirecek hem de hastaları ve çalışanları nezdinde güvenilir ve sorumlu bir veri sorumlusu olarak konumlarını güçlendireceklerdir.

Sağlık Kurumları İçin KVKK Uyum SSS

1. Sağlık verisi neden özel nitelikli kişisel veri sayılır?

Çünkü öğrenilmesi hâlinde kişilerin ayrımcılığa uğrama riski vardır. KVKK m.6 uyarınca sağlık ve cinsel hayat verileri özel koruma altındadır.

2. Her sağlık verisi için açık rıza almak zorunlu mu?

Hayır. Kamu sağlığı, teşhis, tedavi, bakım, sağlık hizmetlerinin planlanması gibi amaçlarla ve sır saklama yükümlülüğü altındaki kişilerce işleniyorsa açık rıza aranmaz.

3. Açık rıza nasıl geçerli olur?

Belirli, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır. Genel nitelikteki onay ifadeleri geçersizdir.

4. Aydınlatma metni ile açık rıza metni aynı belge olabilir mi?

Hayır. Aydınlatma bilgilendirmedir, onay gerekmez. Açık rıza ise aydınlatmadan sonra alınan ayrı bir beyandır.

5. VERBİS’e kayıt zorunluluğu kimleri kapsar?

Faaliyet konusu sağlık verisi işlemek olan tüm gerçek ve tüzel kişiler (hastane, klinik, eczane, muayenehane vb.), büyüklüğünden bağımsız olarak kayıt olmak zorundadır.

6. Sağlık verileri ne kadar süreyle saklanabilir?

Yasal mevzuat gereği 20 yıla kadar saklanması zorunlu olan hasta dosyaları vardır. Saklama süresi bitince veriler silinmeli, yok edilmeli veya anonimleştirilmelidir.

7. Veri güvenliğini sağlamak için hangi tedbirler alınmalıdır?

İdari (politika, eğitim, gizlilik taahhütnamesi, denetim) ve teknik (erişim kontrolü, şifreleme, DLP, loglama) tedbirler birlikte uygulanmalıdır.

8. Hastane personeli tüm hasta verilerine erişebilir mi?

Hayır. “Bilmesi gereken” ilkesi geçerlidir. Yetkisiz erişim veri ihlalidir.

9. KVKK ihlalinde hangi yaptırımlar uygulanır?

İhlalin niteliğine göre idari para cezaları, tazminat ve cezai sorumluluk doğabilir. Ayrıca kurumun itibarı zarar görür.

10. KVKK uyumu tek seferlik bir proje midir?

Hayır. Uyum dinamik bir süreçtir. Faaliyetlerdeki her değişiklikte envanter, politikalar ve kayıtlar güncellenmelidir.

Gerekli süre: 7 gün

How to: Sağlık Kurumlarında KVKK Uyum Süreci

  1. Faaliyet envanterini çıkar.

    Hangi kişisel ve özel nitelikli veriler işlendiğini belirle.

  2. Hukuki dayanağı tespit et.

    Tedavi süreci mi, pazarlama mı ya da başka bir amaç mı? İlgili maddeleri bağla.

  3. Aydınlatma metninin tüm unsurlarını hazırla:

    veri sorumlusu, amaç, aktarım vs. (6698 sayılı Kişisel Verilerin Korunması Kanunu Madde 10 çerçevesinde).

  4. Katmanlı aydınlatma stratejisini uygula:

    kısa özet + detay katmanı.

  5. Açık rıza gerekliliğini kontrol et:

    “tedavi amaçlı” veriler için zorunlu olmayabilir; pazarlama amaçlı işlemlerde rıza şarta bağlanmamalı.

  6. Zamanlama ve kayıt tutma:

    Veriler ilk elde edildiğinde aydınlatmayı gerçekleştir, kanıtlarını sakla.

  7. Aktarım işlemlerini gözden geçir:

    Yurt içi/yurt dışı aktarım varsa hukuki mekanizmaları açıkla.

  8. Saklama ve imha politikalarını belirle:

    Verilerin ne kadar süreyle saklanacağı ve nasıl imha edileceği net olmalı.

  9. Haklar ve başvuru kanallarını belirt:

    İlgili kişinin veri hakkını kullanma yolları, sorumlu iletişimi.

  10. 10. Eğitim ve denetim mekanizmasını kur:

    Personel eğitimi, uyum izleme ve periyodik denetim planı oluştur.

KVKK uyum sürecinizi kurumsal düzeyde yürütmek, riskleri azaltmak ve güncel mevzuata uygun hale gelmek için profesyonel destek alabilirsiniz.

Bu konu hakkında diğer makalelerimiz;

  1. TÜSKA Sağlık Akreditasyonu Kapsamlı Rehberi
  2. Karşılaştırmalı Hukuki Analiz: KVKK ve GDPR
  3. Türkiye İçin Yasal Uyumlu Sağlık Turizmi Pazarlama Stratejileri: Güven, Kalite ve Dijital Otorite İnşası
  4. Türkiye’de Sağlık Turizmi Operatörleri için USHAŞ Yetkilendirmesi ve HealthTürkiye Portalına Kayıt Süreçleri Kapsamlı Rehberi
  5. Uluslararası Sağlık Turizmi Yetki Belgesi: 2025 Yönetmeliği Kapsamında
  6. Türkiye’de Sağlık Turizminin Yasal ve Düzenleyici Çerçevesi
  7. Türkiye’nin Sağlık Turizminde Zorunlu Komplikasyon Sigortası

Alıntılanan çalışmalar

  1. Sağlık Sektöründe Kişisel Verilerin Korunması Kanunu – Sistem Global Danışmanlık, erişim tarihi Kasım 2, 2025, https://www.sistemglobal.com.tr/makaleler/kvkk-makaleler/saglik-sektorunde-kisisel-verilerin-korunmasi-kanunu/
  2. Kişisel Sağlık Verilerinin 6698 Sayılı Kanun … – DergiPark, erişim tarihi Kasım 2, 2025, https://dergipark.org.tr/tr/download/article-file/2276723
  3. Kişisel Veri ve Özel Nitelikli Kişisel Veri – KVKSİS, erişim tarihi Kasım 2, 2025, https://kvksis.com/blog-detay/kisisel-veri-ve-ozel-nitelikli-kisisel-veri
  4. Kişisel Verilerin Korunması ve İşlenmesi Politikası – Merkez Sağlık Grubu, erişim tarihi Kasım 2, 2025, https://www.merkezsaglikgrubu.com.tr/kurumsal/kisisel-verilerin-korunmasi-ve-islenmesi-politikasi-49.html
  5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN REHBER – KVKK, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/70f95c73-06a2-44dc-81e9-34201bdd7f5c.pdf
  6. Kişisel Sağlık Verilerinin Korunması | Gün + Partners, erişim tarihi Kasım 2, 2025, https://gun.av.tr/tr/goruslerimiz/guncel-yazilar/kisisel-saglik-verilerinin-korunmasi-1
  7. Özel Nitelikli Kişisel Veri Olarak Sağlık Verilerinin İşlenmesinde …, erişim tarihi Kasım 2, 2025, https://kvkk.com.tc/ozel-nitelikli-kisisel-veri-olarak-saglik-verilerinin-islenmesinde-kvkknin-zorunlu-sartlari-hastaneler-eczaneler-ve-e-nabiz-iliskisi/
  8. Sağlık Kuruluşlarının VERBİS’e Kayıt Yükümlülüğü, erişim tarihi Kasım 2, 2025, https://www.juris.com.tr/post/saglik-kuruluslarinin-verbise-kayit-yukumlulugu
  9. Kişisel Verilerin Korunması Kurumu Tarafından Özel Nitelikli Kişisel Veriler Rehberi Yayımlandı – Aksan Law Firm, erişim tarihi Kasım 2, 2025, https://aksan.av.tr/kisisel-verilerin-korunmasi-kurumu-tarafindan-ozel-nitelikli-kisisel-veriler-rehberi-yayimlandi/
  10. Kişisel Sağlık Verilerinin 6698 Sayılı Kanun Çerçevesinde Korunması Protection Of Personal Health Data Within The Framew – DergiPark, erişim tarihi Kasım 2, 2025, https://dergipark.org.tr/en/download/article-file/2276723
  11. Kişisel Verileri Koruma Kurulunun “Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler” hakkındaki Karar Özeti – Av. Arb. Yalçın Torun, erişim tarihi Kasım 2, 2025, https://yalcintorun.av.tr/kvkknun-gecmis-saglik-verilerinin-duzeltilmesine-silinmesine-yonelik-sikayetler-hakkindaki-karar-ozeti/
  12. “Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/01/2022 tarihli ve 2022/31 sayılı Karar Özeti, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/Icerik/7292/2022-31
  13. Özel Sağlık Kurumları Kapsamında Kişisel Sağlık Verilerinin İşlenmesi, erişim tarihi Kasım 2, 2025, https://www.mehmetizmir.com.tr/veri-koruma-hukuku/saglik-verileri/ozel-saglik-kurumlari-kapsaminda-kisisel-saglik-verilerinin-islenmesi
  14. KVKK Hastane Kararı: Sağlık Verilerinde Açık Rıza Hukuka Aykırılık, erişim tarihi Kasım 2, 2025, https://www.lexist.com.tr/tr/kvkk-hastane-karari-saglik-verilerinde-acik-riza-hukuka-aykirilik/
  15. Doktor ve Sağlık Kurumları İçin KVKK Rehberi: Kişisel Sağlık Verilerinin İşlenebilmesi Şartları – Hanyaloğlu-Acar Hukuk Bürosu, erişim tarihi Kasım 2, 2025, https://www.hanyaloglu-acar.av.tr/malpraktis-tazminat/doktor-saglik-kurumlari-kvkk-rehberi
  16. KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | Açık Rıza Alırken Dikkat Edilecek Hususlar, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar
  17. Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması hakkında Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Karar Özeti, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/Icerik/7691/2023-692
  18. insan_kaynaklari_ve_egitim_dair, erişim tarihi Kasım 2, 2025, https://www.rtuk.gov.tr/Media/FM/insan_kaynaklari_ve_egitim_dairesi_baskanligi.docx
  19. sağlık verilerinin işlenmesinde aydınlatma yükümlülüğü – DergiPark, erişim tarihi Kasım 2, 2025, https://dergipark.org.tr/tr/download/article-file/2562403
  20. Erciyes Akademi » Makale » SAĞLIK VERİLERİNİN İŞLENMESİNDE AYDINLATMA YÜKÜMLÜLÜĞÜ – DergiPark, erişim tarihi Kasım 2, 2025, https://dergipark.org.tr/tr/pub/erciyesakademi/issue/72599/1150085
  21. Sağlık Sektöründe 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve VERBİS Kapsamındaki Yükümlülükler – Hekimce Bakış, erişim tarihi Kasım 2, 2025, https://hekimcebakis.org/guncel/saglik-sektorunde-6698-sayili-kisisel-verilerin-korunmasi-kanunu-ve-verbis-kapsamindaki-yukumlulukler/
  22. KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | “Sağlık verilerini …, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/Icerik/5364/2018-143
  23. Kişisel Veriler Ve Verbis’e Kayıt Zorunluluğu Hakkında Bilgi Notu – İstanbul Tabip Odası, erişim tarihi Kasım 2, 2025, https://www.istabip.org.tr/7004-kisisel-veriler-ve-verbis-e-kayit-zorunlulugu-hakkinda-bilgi-notu.html
  24. KVKK Kapsamında Hastane, Poliklinik, Doktor, Diş Hekimleri ve Eczanelerin Sorumlulukları, erişim tarihi Kasım 2, 2025, https://kv.com.tr/yazilar/kvkk-kapsaminda-hastane-poliklinik-doktor-dis-hekimleri-ve-eczanelerin-sorumluluklari
  25. Sağlık Kuruluşlarında KVKK / GDPR Uyum Süreci | Sinem Dökmeci Avukatlık Bürosu, erişim tarihi Kasım 2, 2025, https://sinemdokmeci.av.tr/saglik-kuruluslarinda-kvkk-gdpr-uyum-sureci/
  26. VERBİS KAYDI KİMLERE ZORUNLU ? | Garanti KVK, erişim tarihi Kasım 2, 2025, https://www.garantikvk.com/verbis-kaydi-kimlere-zorunlu/blog/
  27. Kişisel Veri Saklama ve İmha Politikası – TÜRMOB, erişim tarihi Kasım 2, 2025, https://www.turmob.org.tr/arsiv/kvkk/1_TURMOB_Kisisel_Veri_Saklama_ve_Imha_Politikasi.pdf
  28. Hasta Kayıtları Saklama Süresi – Hanyaloğlu-Acar Hukuk Bürosu, erişim tarihi Kasım 2, 2025, https://www.hanyaloglu-acar.av.tr/malpraktis-tazminat/hasta-kay%C4%B1tlar%C4%B1-saklama-s%C3%BCresi
  29. yataklı tedavi kurumları tıbbi kayıt ve arşiv hizmetleri yönergesi – Türk Tabipleri Birliği, erişim tarihi Kasım 2, 2025, https://www.ttb.org.tr/mevzuat_goster.php?Guid=5e6204ca-a285-11e7-9205-300896da83fe
  30. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI – Epion Sağlık, erişim tarihi Kasım 2, 2025, https://www.epion.com.tr/tr/kisisel-veri-saklama-ve-imha-politikasi/
  31. kişisel verileri saklama ve imha politikası – KSÜ – Sağlık Uygulama ve Araştırma Hastanesi, erişim tarihi Kasım 2, 2025, https://hastane.ksu.edu.tr/depo/belgeler/BY.YD.10%20%20K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0%20SAKLAMA%20VE%20%C4%B0MHA%20POL%C4%B0T%C4%B0KASI_2111231540114254.pdf
  32. Kişisel Verileri Saklama ve İmha Politikası – Merkez Sağlık Grubu, erişim tarihi Kasım 2, 2025, https://www.merkezsaglikgrubu.com.tr/kurumsal/kisisel-verileri-saklama-ve-imha-politikasi-50.html
  33. Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) – KVKK, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf
  34. KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (Teknik ve İdari Tedbirler) – KVKK, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
  35. VERBİS İçin İdari ve Teknik Tedbirler – Nitelikli Veri, erişim tarihi Kasım 2, 2025, https://nitelikliveri.com/verbis-icin-idari-ve-teknik-tedbirler/
  36. Sağlık Çalışanları Kişisel Sağlık Verileri Güvenliği Farkındalık Eğitimi – Educasual, erişim tarihi Kasım 2, 2025, https://www.educasual.com/courses/course-v1:Educasual+KVKKSHS001+2021_01
  37. “Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 06/08/2021 tarihli ve 2021/761 sayılı Karar Özeti, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/Icerik/7137/2021-761
  38. KVKK Kurul Kararları – Dr. Mustafa AFYONLUOGLU, erişim tarihi Kasım 2, 2025, https://afyonluoglu.org/PublicWebFiles/Reports-TR/KVKK-Kararlar.pdf
  39. “Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı” hakkında Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Karar Özeti, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/Icerik/6921/2020-108
  40. KVKK Uyumunda Yetki Kontrol Süreci ve Erişim Yetki Matrisi – Tetra Bilişim, erişim tarihi Kasım 2, 2025, https://www.tetrabilisim.com.tr/kvkk-teknik-hesap-kontrol%C3%BC
  41. “Sağlık sektöründe faaliyet gösteren bir şirketin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 09.10.2020 tarih ve 2020/787 sayılı Karar Özeti, erişim tarihi Kasım 2, 2025, https://www.kvkk.gov.tr/Icerik/6860/2020-787
  42. Sağlık Sektörünü İlgilendiren Kişisel Verilerin Korunması Karar ve Uygulamaları, erişim tarihi Kasım 2, 2025, https://www.eralp.av.tr/saglik-sektorunu-ilgilendiren-kisisel-verilerin-korunmasi-karar-ve-uygulamalari/

Tags:

Add your Comment

Son Yazılar

Faaliyet Alanlarımız

Bir Başlık Ara