KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN SAĞLIK KURUMLARINA ETKİSİ Dr.Tarkan Dizdar Memorial Sağlık Grubu

26/03/2016 TARİHLİ KİŞİSEL VERİLERİN KORUNMASI KANUNU 20/10/2016 TARİHLİ KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK

SAĞLIK KURULUŞLARINI BEKLEYEN MEDİKOLEGAL SÜREÇLER SAĞLIK KURULUŞLARININ İŞLEYİŞLERİNE DAİR ETKİLER

SAĞLIK KURULUŞLARINI BEKLEYEN MEDİKOLEGAL SÜREÇLER

Örnek 1 : Hastamızın annesi, 27.02.17 tarihinde kendi gsm numarasına kızı adına "Kadın Doğum bölümünde Dr. ……….’ya saat 10:30'da randevunuz bulunmaktadır" şeklinde mesaj geldiğini ve kızı adına böyle bir randevu almadıklarını, kadın doğum bölümüyle kızının bir alakası olmayacağını, bu bölüme gelirken de kendisinin bilgisi dahilinde olması gerektiğini iletmiştir. Hastanın annesi, bunun yanlışlık mı olduğunu ya da kızının kendisinden sakladığı bir durum olup olmadığını öğrenmek istediğini bildirmiş ve kızına da ulaşamadığını, endişe duyduğunu ve hemen kızına ulaşmayı sağlamamızı talep etmiştir. Hastamız ise annesinin kendine ulaştığını ve telefonuna muayene ile ilgili bir mesaj geldiğini paylaşarak ağzını aradığını, annesinin bu durum hakkında bilgisi olmadığını, kurum olarak kendi onayı olmadan nasıl böyle bir paylaşımda bulunabildiğimizi, durumu nasıl düzelteceğimizi görmek istediğini ve konu hakkında açıklama beklediğini, aynı zamanda muayene işleminin de gerçekleştirilmesini talep etmiştir.

Örnek 2 : Hastamız …..Bey hastanemizde tedavi gördüğünü , yatış öncesi bağlı bulunduğu özel sigorta şirketinin ön onay verdiğini ancak çıkış aşamasında red verdiğini, bu konuda kendisine 17.000,00 TL gibi bir ödeme çıktığını ve bu ödemenin kurumumuz tarafından kendisinden talep edildiğini, ödeme yapmadan kurumumuzdan ayrıldığını belirtmiştir. …… Bey, Medikal Muhasebe görevlisinin babasını aradığını ve babasından ödemenin talep edildiğini belirterek bu konu hakkında savcılığa suç duyurusunda bulunduğunu, kurumumuzun böyle bir hakkı olmadığını, hasta hakları ve mahremiyetine aykırı davrandığımızı, kendisinin 32 yaşında olduğunu, şayet para ödenmiyorsa ve kendisine ulaşılamıyorsa yasal yollara başvurmamız gerektiğini, babasını aramaya hakkımızın olmadığını ve talep edilen ödemeyi yapmayacağını belirtmiştir.

Örnek 3 : Hastamız, kurumumuz hekimlerinden Dr. ……’den daha önce almış olduğu bir hizmetten şikayeti olduğunu ve bu şikayeti hekimin de bilmesine rağmen, Memorial Sağlık Grubundan ayrılınca hekim tarafından kendisine "…… hastanesinde görevime devam edeceğim" şeklinde mesaj gönderildiğini belirtmiştir. Hastamız, şikayet ettiği bir hekimin, kendisine ait iletişim bilgilerine nasıl ulaştığını sorgulamakta ve kişisel bilgilerinin ortada dolaştığı konusunda endişe duyduğunu ve geçerli bir açıklama beklediğini iletmiştir.

Örnek 4 : Daha önceden hastanenizde Dr. …. Bey'e muayene olmuştum. Sanırım kendisi hastanenizden ayrılarak farklı bir kliniğe geçmiş ve bana bu konu ile ilgili aşağıdaki eposta ve SMS geldi. Hastanenize verdiğim kişisel bilgilerin hastanenizden ayrılmış hekimler ile paylaşılması konusunda bir izin vermemiştim. Dr. …. Bey'in size verdiğim iletişim bilgisi üzerinden bana ulaşması, bu bilgilerimin sağlıklı korunmadığını gösteriyor şeklinde bir geri bildirimde bulunmuştur. Hastamız Dr. …. Bey’in uzun dönem tedavi gören bir hastası olmadığını, bugüne kadar telefonla bir iletişimlerinin de olmadığını, bu durumun kendisini rahatsız ettiğini iletmiştir. Hastamız, hekimden açıklama beklediğini ama kendisine dönmediğini, hekimle mutlaka görüşmek ve kurumun yaptırımını görmek istediğini belirtmiştir.

Örnek 5 : Hastamız, bir yakınının çağrı merkezini arayarak, kendisinin TC kimlik numarasını vermek suretiyle randevusunun saatini unuttuğunu belirterek konuyu sorguladığını, çağrı merkezi yetkilisinin de randevu saati ile birlikte, hangi bölüm ve hekime randevunun olduğu bilgisini verdiğini belirtmiştir. Hastamız kendisi ile ilgili özel bilgilerin başkaları ile paylaşılmasından duyduğu rahatsızlığı dile getirmiş ve tüm hastalar için bu bilgilerin verilmemesi gerektiğini iletmiştir.

Örnek 6 : Çağrı merkezimizini arayan bir hastamız,  gsm hattına kurumla ilgili bir reklam sms’i gönderildiğini, sms sonunda almak istemiyorsanız ‘Hayır yazın geri gönderin’ şeklinde bir cümle kullanıldığını, bunu gerçekleştirdiği halde 15 dk. sonra tekrar reklam sms’i geldiğini ifade etmiştir. Hastamız, kendisine rahatsızlık verdiğimizi belirterek, neden hayır olarak gönderdiğimiz mesaja geri dönüş sağladığında tekrar mesaj gönderdiğimizin açıklanmasını ve kesinlikle SMS almak istemediğini ifade ederek, bu konuda Sağlık Bakanlığının 1 Mayıs 2015 ‘te yasa çıkardığını , konuyu Sağlık Bakanlığı’na ileteceğini belirtmiştir. 

Örnek 7 : Ayrılan hekiminiz tarafıma mesaj gönderdi. 6698 sayılı kişisel verilerin korunması kanunu çerçevesinde, kişisel verilerimin ilgili doktor tarafından nasıl ve ne boyutta  elde edinildiğinin araştırılmasını ve konu hakkında 31.03.2017 tarihine kadar tarafıma dönüş yapılmasını rica ederim.

Örnek 8 : Eski bir hastamız bizleri arayarak; özel sigorta şirketini değiştirme kararı aldığını, ancak yeni anlaşmak istediği sigorta şirketinin kurumumuzdan temin ettiği tıbbi bilgiler çerçevesinde yaptığı değerlendirme ile kendisini sigortalayamayacakları yönünde bir geri bildirimde bulunduğunu ve nasıl olurda kurumumuzda kendisine ait olan kişisel bilgilerin başka kurum veya kişilerle paylaşılabildiğini sormuştur. Bu konuda sigorta şirketlerinin yeni sigortalı kabulünde oluşturdukları ön bilgi formunu ve bu formda sigorta şirketinin sigortaya giriş değerlendirmesi sürecinde kişiye ait geçmiş tıbbi bilgileri araştırma ve ulaşabilme yetkisinin verildiğine dair kişisel onamı kendisine iletilmesine rağmen, o onamın sigorta şirketine verdiği bir onam olduğunu ancak kendi bilgilerini paylaşmak için bizim kurum olarak kendisinden ayrı onam almamız gerektiğini iletmiş ve bu konudaki mağduriyetinin takipçisi olacağını bildirmiştir.

SAĞLIK KURULUŞLARININ İŞLEYİŞLERİNE DAİR ETKİLER

Hastaya tetkik sonuçlarının çıktısını verebilen Hasta Danışmanları, Hastaya tetkik sonuçlarının çıktısını gönderebilen call center çalışanları, Kendilerine gelen hastasının, tanı ve tedavisinin önemli bir parçası olduğu için tüm tıbbi geçmişini görebilen hekimler, Takiplerini yürüttükleri hastaların tüm tıbbi bilgi ve detayına hakim hemşireler, Adli süreçler nedeniyle savcılık talepleri, Sağlık Bakanlığına veri gönderimi gibi durumlarda, talep edilen belgeleri hazırlayıp ilgili mercilere gönderen tıbbi arşiv görevlileri ve sekreterlikler, ………..gibi neredeyse sağlık çalışanlarının tamamı, tabi ki pozisyonuna göre belirli yetki kısıtlamaları ile, hastalara ait kişisel verileri görebiliyor ve kullanabiliyor.

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar (3) Sağlık hizmet sunucularında görevli kişiler ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir ve erişebilir. (4) Kişisel sağlık verilerini işleyen veya görevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altındadır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU Özel nitelikli kişisel verilerin işlenme şartları MADDE 6 (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Veri sorumlusunun aydınlatma yükümlülüğü MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

İlgili kişinin hakları MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK Merkezi Sağlık Veri Sistemi ve Kişisel Sağlık Kaydı Sistemi MADDE 14 – (1) Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verileri, Bakanlık tarafından çıkarılan mevzuat ile belirlenmiş süreler içerisinde, kullandıkları yazılıma Bakanlıkça belirlenen standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkça belirlenen standartlara uygun bir şekilde merkezi sağlık veri sistemine göndermek zorundadırlar.

Merkezi Sağlık Veri Sisteminde (MSVS) 65 tanımlı veri seti var Merkezi Sağlık Veri Sisteminde (MSVS) 65 tanımlı veri seti var. Bunların çoğunluğu girmekle yükümlü olduğumuz alanlar. Hasta Kabul MSVS Hasta Çıkış MSVS Yatan Hasta Kabul MSVS Yatan Hasta ÇıkışMSVS Muayene MSVS Reçete MSVS Tetkik sonucu MSVS Gebelik Bildirim MSVS Gebe İzlem MSVS Kronik Hastalıklar MSVS Obesite MSVS Kanser MSVS ………….

Birçok kurumun; IT alt yapısı ve kullandığı program bu kapsamda veri güvenliği sağlayabilecek standartta değildir Henüz Merkezi Veri Sistemine bilgi akış entegrasyonunu dahi gerçekleştiremedi Mevcut kullandığı HBYS ve dijital alt yapısını geliştirme veya değiştirme gerekliliği vardır Böyle bir maliyeti tolere edebilme şansı bulunmamaktadır Verilen sürede bu değişimi yönetebilmesi mümkün olamamıştır Ve en önemlisi çoğu sağlık kuruluşu bu konunun maalesef getirecekleri ile öneminin farkında değildir.

MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.