Merhabalar Sayın KAYAR,
Üzerinde epey zaman geçtiği için işinize yarar mı bilmiyorum ama Sağlık Bakanlığı'nca çıkarılan Veri Güveliği İle ilgili Genelge'yi buraya ekliyorum. Müvekkilinizin sağlığına olumlu bir katkısı olmasa da ihlal edilen haklarının iadesi ile ilgili olarak belki bir işe yarar. Selam ve Sevgilerimle. Av. Nuray ÖZGÜNEY


GENELGE




Bakanlığımıza bağlı tüm kurum ve kuruluşlar ile merkezdeki bilgi sistemi uygulamalarının yaygınlaşması veri ve bilgi güvenliği açısından bazı problemleri de beraberinde getirmektedir. Son dönemde, özellikle yataklı tedavi kurumlarımızdan ve buralardaki veritabanından çeşitli veri ve bilgi talepleri giderek artmakta, bu durum gerek kişisel bilgilerin gerekse kurumsal bilgilerin gizlilik ve mahremiyeti açısından sakınca oluşturmaktadır.

Özellikle hasta ve hastalık kayıtlarının gizlilik ve mahremiyeti önem arz etmektedir. Sosyal Güvenlik Kurumları dışında hiçbir kurum ya da kişiye hastanın kimlik bilgilerine ulaşmayı mümkün kılacak veri kümesi ve/veya bilginin verilmemesi, bilgi işlem personelinin bu konuda bilgilendirilmesi, hasta kayıtlarının tutulduğu ana sunucu ve uç bilgisayarların yetkilendirme dahilinde kullandırılması, gizlilik ve mahremiyete aykırı uygulamalara mahal verilmesi bakımından gerekli tüm tedbirlerin alınması ve konunun bağlı tüm kurum ve kuruluşlara duyurulması hususunda;

Veri güvenliği konusunda daha detaylı bilgi için ekte verilmiş olan “Kişisel Sağlık Kayıtlarının Güvenliği Politikası” bütün sağlık çalışanları ve bilgi işlem sorumlularınca birebir tatbik etmeleri hususunda;

Gereğini önemle rica ederim.


Prof. Dr. Necdet ÜNÜVAR




EK:
Kişisel Sağlık Kayıtlarının Güvenliği Politikası (2 Sayfa)

DAĞITIM:
81 İl Valiliğine









KİŞİSEL SAĞLIK KAYITLARININ GÜVENLİĞİ POLİTİKASI



1.0 Amaç
Bu politikanın amacı Sağlık Bakanlığı bütün kurum ve kuruluşlarının (merkez ve taşra teşkilatları, hastaneler, sağlık ocakları, aile hekimleri vs.) hasta sağlık bilgisinin mahremiyeti hususunda uyulması gereken kuralları tanımlamaktır. Hasta kaydı bilgisi kapsamına, hasta ile ilgili sözlü bilgi, yazılı bilgi, tıbbı müdahaleler, ön tanı, teşhisler, grafik imajları, fatura gibi konular girmektedir.

2.0 Kapsam
Bu politika Sağlık Bakanlığı bütün kurum ve kuruluşları (merkez ve taşra teşkilatları, hastaneler, sağlık ocakları, aile hekimleri vs.) çalışanlarını kapsamaktadır.

3.0 Politika
3.1 Genel Kurallar
Bütün kişisel ve kurumsal bilgilerin (klinik, idari, mâli vb.) güvenliğinin sağlanması için aşağıda belirtilen hususlara dikkat edilmelidir.
· Veri güvenliği konusunda üç temel prensibin göz önüne alınması gerekmektedir. Bunlar; gizlik, bütünlük ve erişilebilirliktir.
· Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır.
· Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler.
· Hasta taburcu olmuş ise hiçbir kurum çalışanı hastanın sağlık kayıtlarına erişemez.
· Hastanın rızası olmadan hiçbir çalışan sözle de olsa hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez.
· Hasta sağlık bilgileri ticari amaçlı olarak da üçüncü şahıslara iletilemez. Hastanın kullandığı ilaçlar, diyet programları vs. buna dahildir.
· Hasta dosyasının bir kopyası hastaya teslim edilmelidir. Hiçbir hasta kaydı, elektronik veya kağıt ortamında [Bakanlığımızın bu konularda çıkardığı genelgeler hariç] hiçbir kuruma veya üçüncü şahıslara sözlü veya yazılı olarak teslim edilemez. (Yürürlükteki genelgelere göre Hasta Sağlık bilgilerini Sosyal Güvence Kurumları (Bağkur, SSK, ES, GSS) elde edebilir. Özel sigorta kurumları hastanın sağlık bilgilerini elde edemez.
· Hastanın dosyasının izlenmemesi için gerekli tedbirler alınmalıdır. [Hasta dosyalarının gelişigüzel ortada bırakılmaması, bilgisayar ekranının başkalarınca okunabilecek şekilde bırakılmaması gibi]
· Telefon ile konuşurken hasta ile ilgili mahrem bilgilerin üçüncü şahısların eline geçmemesine azami özen göstermelidir.
· Bütün hasta sağlık sağlık kayıtları fiziksel olarak korunmuş mekanlarda saklanmalıdır.
· Elektronik hasta kayıtlarına internet ortamından erişim mümkün olmamalıdır.
· Hasta sağlık bilgileri bilginin üretildiği kurum tarafından veya Bakanlığımızın Bilgi Yönetim sistemleri tarafından araştırma, istatistik ve Karar Destek Sistemleri için kullanılabilir. Bu durumda hasta sağlık bilgisi hasta tanımlayıcısı ile ilişkilendirilemez.




3.2 Sistem Güvenliği
· Veriye erişirken dört temel prensibin gerçekleştirilmesi gerekmektedir. Bunlar; İzlenebilirlik, kimlik sınama, güvenirlik ve inkar edilememedir.
· Sağlık kurumları bünyesinde hasta tanımlayıcı olarak TC Kimlik numarası baz alınacaktır. Veri tabanlarında hiçbir zaman hastalık tanısı ile TC kimlik numarası eşleşmeyecek, TC kimlik numarasından tek yönlü algoritma ile türetilmiş özel bir tanımlayıcı numara kullanılacaktır.
· Bilgi sistemlerinde güvenlik veriye erişim bazında olacaktır. Bunun için bu sistemin özellikle yazılım ve veritabanı erişim katmanlarında özel uygulamalar oluşturulacaktır. Veriye erişecek kişiler aşağıdaki şekilde tanımlanmıştır.
o Hasta kendi verisine online olarak hiçbir zaman erişmemelidir.
o Bir Aile hekimi ancak kendisine kayıtlı olan hastaların elektronik sağlık kayıtlarına erişebilmelidir.
o Hastanedeki yetkilendirilmiş sağlık çalışanları ise, ancak hastanın giriş tarihinden, taburcu olana kadar geçen zaman içerisinde ve ancak hasta kendisi ile ilgili sağlık kayıtlarının erişimine yazılı olarak onay vermiş ise hastanın elektronik sağlık kayıtlarına erişebilirler. Ve bu da “geçici bir süreliğine” olacaktır.
· Sistem yöneticilerine de bir güvenlik katmanı konulacaktır. Bunun için veritabanı yazılımının gelişmiş güvenlik yönetimi özellikleri kullanılacaktır.
· Gerektiğinde saat ve/veya gün bazında belirlenen bir sure için bazı kullanıcı ve istemci makinelerin sisteme oturum açmalarına kısıtlama getirilebilmelidir.
· Aynı kullanıcı kodu ile aynı anda birden fazla oturum açılmasına izin verilmemelidir.
· Eğer hasta, herhangi bir sağlık çalışanının elektronik sağlık kayıtlarına erişmesini istemiyorsa,sağlık çalışanı ilgili dosyayı okuma hakkına kavuşamamalıdır. Fakat sağlık çalışanı muayene sonuçlarını hastanın veri tabanına aktarabilmelidir. Bu diğer doktorlar tarafından yazılan kayıtlara erişilmemesi için kullanılan metottur.
· Sadece yetkisi olan kullanıcılar için veri girişi ve/veya verinin elde edilmesi için erişim izni verilmelidir. Birçok kullanıcının veri tabanında sadece belirli bir veri setine erişim yetkisinin denetlenebilmesini sağlamak için çok katmanlı denetim mekanizmaları olmalıdır.
· Veri tabanında tutulacak verilerin tutarlılığı tam ve kesin bir şekilde sağlanmalıdır. Bunu sağlamak için en azından, veri onay (validation), çapraz sorgulama (cross-checking) ve mükerrer kayıt önleme gibi ölçütler uygulanmalıdır.
· Yönetimsel analizler yapmak için veri tabanındaki veriler bir yerden başka bir yere aktarılırken, kayıtlarda bulunan kişisel kimlik tanımlayıcıları kayıtlardan çıkartılmalı ve analizler hasta ile hastalık bilgilerini eşleştirmeden yapılmalıdır.
· Kullanıcı aktiviteleri (yapılan tüm işlemler ve erişimler) izlenebilmelidir. Veri tabanı üzerinde yapılan şüpheli işler denetlenebilmelidir. Sistemin hem etkin bir şekilde yönetilmesi, hem de yetkisiz erişimlerin engellenmesi ve izlenmesi anlamında gelişmiş bir kontrol mekanizması olmalıdır. Sistem, hangi kullanıcının sistemin hangi kısmına ne zaman ve nereden eriştiğine dair (zaman damgası-date stamp, işlem, kullanılan istemci bilgisayar tanımı gibi bilgileri de içeren) kayıt tutmalıdır.
· Sistem yöneticilerinin kimlik tanımlama ve doğrulaması için X.509v3 uyumlu sayısal sertifikalar kullanılmalıdır. Sayısal sertifikaların güvenli depolaması için akıllı kartlar veya usb token cihazları kullanılmalıdır.
· Sertifika tabanlı kimlik doğrulama yapılmadığı halde password ve hash tabanlı kimlik doğrulama yapılacaktır. Sistemlere erişim için tek yönlü şifreleme algoritmaları kullanılacaktır.
· Kurum içerisinde veya Kurum ile başka ağlar arasındaki tüm haberleşme şifreli yapılmalıdır. Bütün iletişim VPN ve Açık Anahtar Alt Yapısı (PKI) teknolojilerini kullanmalıdır.