Bizi Takip Edin :
Genel

Sağlık Kuruluşlarında Hasta Verisi: KVKK ve Yeni Yönetmelik

Sağlık kuruluşlarında hasta verisi güvenliği ve KVKK uyumu — Xen Bilişim Genel

3 Aralık 2025’te Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik değişikliği, hasta verisine kimin, ne zaman ve ne kadar süreyle erişebileceğini yeniden çizdi. Değişiklik ilk bakışta idari görünüyor. Pratik sonucu ise net: bir sağlık kuruluşunun hasta bilgi sistemi artık “herkes her kayda baksın” mantığıyla işletilemiyor. Erişim yetkileri, log tutma ve iç denetim tarafında pek çok muayenehane, klinik ve laboratuvarın altyapısı bu beklentiye göre kurulmuş değil.

Konu sadece bir yönetmelik maddesi de değil. Hasta verisi, hem hukuken en korumalı veri türü hem de saldırganların en çok peşinde olduğu veri. İkisini birlikte ele almak gerekiyor.

Hasta verisi neden farklı korunuyor?

Sağlık verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesi kapsamında özel nitelikli kişisel veri sayılıyor. Bu kategori, işlenmesi hukuken en sıkı koşullara bağlı olan veri sınıfı.

7499 sayılı Kanun ile yapılan ve 1 Haziran 2024’te yürürlüğe giren değişiklik burada önemli bir eşiği kaydırdı. Önceden sağlık ve cinsel hayata ilişkin veriler ayrı bir rejime tabiydi ve kural olarak yalnızca açık rıza ya da sır saklama yükümlülüğü altındaki kişilerce işlenebiliyordu. Yeni düzenlemede tüm özel nitelikli veriler aynı işleme şartlarına bağlandı; madde 6/3’te sayılan istisnalar (kamu sağlığının korunması, tedavi ve bakım hizmetleri, sağlık hizmetlerinin planlanması gibi) çerçevesinde açık rıza aranmaksızın da işlenebiliyor. Bu, “rıza aldık, iş bitti” yaklaşımının artık yeterli olmadığı anlamına geliyor. İşlemenin hangi hukuki sebebe dayandığı, kimin eriştiği ve bunun kayıt altına alınıp alınmadığı en az rıza kadar önemli hale geldi.

3 Aralık 2025 değişikliği ne getirdi?

Sağlık Bakanlığı’nın yönetmelik değişikliği, erişimi somut kurallara bağladı. Artık hangi sağlık personelinin veriye hangi süre boyunca erişebileceği tanımlı:

RolErişim kapsamı
Aile hekimiKendi kayıtlı hastasının verilerine sürekli erişim
Tedaviyi yürüten hekimSağlık hizmeti tamamlanana kadar
Kurumdaki diğer hekimlerYalnızca hizmet verildiği süre boyunca
Yatan hastaTaburcu olana kadar ilgili ekip
Acil servisTaburcuya kadar acil hekimleri

e-Nabız tarafında hasta, güvenlik ayarlarıyla verisine erişimi kişinin kendisi belirliyor; tıbbi gecikmenin risk yarattığı acil ve yatış hallerinde ise bu ayarlar madde 6/3 sınırları içinde devre dışı kalabiliyor. Vefat eden kişilerin sağlık kayıtlarının saklama süresi de 20 yıldan 30 yıla çıkarıldı.

Bu değişikliklerin pratik karşılığı, sağlık kuruluşlarının yetki matrislerini, kullanıcı profillerini ve log kayıt sistemlerini yeni erişim yapısına göre yeniden kurgulaması. Kim, ne zaman, hangi hasta kaydını açtı sorusuna cevap verebilen bir loglama ve bunu düzenli denetleyen bir mekanizma artık uyumun ayrılmaz parçası. Güncel risk analizi olmadan alınmış teknik tedbirlerin denetimde ağırlığı sınırlı.

Fidye yazılımı sağlıkta neden ayrı bir mesele?

Hasta verisi karaborsada değerli, saldırgan için de kaldıraç. Bir randevu ve laboratuvar sistemi kilitlendiğinde ödenen bedel yalnızca fidye değil; ertelenen tedavi, duran iş akışı ve itibar kaybı.

Sophos’un State of Ransomware in Healthcare 2025 raporuna göre sağlık kuruluşlarına yönelik saldırılarda ilk kez sömürülen zafiyetler (exploited vulnerabilities) en yaygın teknik kök neden oldu; olayların yaklaşık üçte birinde başlangıç noktası yamalanmamış bir açıktı. Aynı dönemde şifreleme yerine yalnızca veri sızdırıp şantaj yapan saldırılar üçe katlandı; yani veriniz şifrelenmese bile çalınıp ifşa tehdidine dönüşebiliyor. IBM’in Cost of a Data Breach 2025 çalışmasında sağlık, ihlal başına ortalama maliyette 14 yıldır en pahalı sektör konumunu koruyor.

Buradan çıkan ders basit: yalnızca yedeklemeye güvenmek yetmiyor. Yamalama disiplini, sızdırmayı da kapsayan bir savunma ve saldırıyı hızlı fark eden izleme, en az geri dönüş planı kadar önemli.

Sağlık kuruluşları için kontrol çerçevesi

Uyum ve güvenliği birlikte sağlamak isteyen bir kurumun gözden geçirmesi gereken başlıklar:

  • Erişim yetki matrisi: Rol bazlı erişim, yönetmelikteki süre sınırlarıyla uyumlu mu? Herkes her hastayı görebiliyor mu?
  • Loglama ve iç denetim: Hasta kaydı erişimleri kayıt altında mı, bu kayıtlar düzenli inceleniyor mu?
  • Yedekleme: En az bir kopya değiştirilemez (immutable) ve çevrimdışı mı? Geri dönüş bir tatbikatla test edildi mi?
  • Yama yönetimi: İnternete açık sistemler ve tıbbi cihaz yazılımları güncel mi?
  • Kimlik doğrulama: SBYS ve e-posta erişiminde çok faktörlü kimlik doğrulama (MFA) açık mı?
  • Ağ ayrımı: Tıbbi cihazlar, misafir Wi-Fi’si ve idari ağ birbirinden ayrıştırılmış mı?
  • Veri işleyen sözleşmeleri: SBYS sağlayıcısı, bulut ve arşiv firmalarıyla KVKK’ya uygun sözleşmeler var mı?
  • Personel farkındalığı: Oltalama ve sosyal mühendislik konusunda düzenli eğitim veriliyor mu?

Bu başlıklarda kurumunuzun mevcut durumunu net bir tabloya dökmek ve bir yol haritası çıkarmak için destek gerekiyorsa bize ulaşın; hem uyum hem güvenlik tarafını birlikte değerlendiriyoruz.

Sık sorulan sorular

Tek hekimli bir muayeneyiz, bu yükümlülükler bizi de kapsıyor mu? Evet. Yükümlülük hasta verisi işlemekten doğuyor, kurumun ölçeğinden değil. Kapsam dar tutulabilir ama muaf değilsiniz; yetki, log ve yedekleme temel beklentiler.

Açık rıza tamamen kalktı mı? Hayır. Madde 6/3’teki tedavi, bakım ve kamu sağlığı gibi istisnalar kapsamında açık rıza aranmayabiliyor. Bu istisnaların dışına çıkan işlemelerde (ör. pazarlama) rıza yine gerekli. Doğru olan, her işleme için dayandığınız hukuki sebebi belgelemek.

Hasta verisi zaten e-Nabız’da devlette; bize ne düşüyor? e-Nabız’a aktarım ayrı, sizin sisteminizde tuttuğunuz kayıtlar ayrı. Randevu, muayene notu, görüntüleme, laboratuvar ve muhasebe kayıtlarının güvenliğinden veri sorumlusu olarak siz sorumlusunuz.

SBYS’miz bulutta; verimiz yurt dışına çıkıyor olabilir mi? Bulut sağlayıcınızın sunucularının nerede olduğunu ve yurt dışı aktarım söz konusuysa bunun KVKK’ya uygun bir mekanizmaya (standart sözleşme gibi) dayandığını netleştirin. Sağlayıcı sözleşmesi bunu açıkça belirtmeli.

İhlal olursa ne yapmalıyız? Kişisel veri ihlalini öğrendiğinizde en kısa sürede, 72 saati aşmayacak şekilde Kurul’a bildirmeniz; etkilenen kişileri de bilgilendirmeniz gerekiyor. Bu yüzden ihlali fark eden bir izleme ve hazır bir müdahale planı kritik.

Kaynaklar

Bu yazıyı paylaşın
Read in English

İlgili Yazılar