Bu makalenin
- İlk bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 1 / Giriş
- İkinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 2 / Kapsam-Terimler&Tanımlar
- Üçüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 3 / Hedefler – Bilgi Yönetişimi
- Dördüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 4 / Tehditler & Zayıflıklar
- Beşinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 5 / Eylem Planı
- Altıncı bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 6 / Planlama
- Yedinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 7 / Risklerin Değerlendirilmesi
- Sekizinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem
- Dokuzuncu bölümünü Taşıyan Noktalar – 9 / Beceri ve Çıktılar
Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 9 / BGYS Adımları
başlıkları altında okuyabilirsiniz.
10.1.Bilgi Güvenliği Politika Belgesinin Gözden Geçirilmesi
Sağlık kuruluşlarının bilgi güvenliği politika belgelerinin güncel olması ve en az yılda bir defa gözden geçirilmesi gereklidir. Bunun dışında ciddi güvenlik olayları gerçekleştiğinde tekrar gözden geçirilmesi gerekir.
ISO/IEC 27002 tarafından verilen kılavuzluğa ilaveten şu hususların da politika belgesinde dikkate alınması gereklidir:
- a) Sağlık kuruluşlarının operasyonlarının değişken niteliği ve buna eşlik eden risk profili ve risk yönetimi ihtiyaçları
b) Kuruluşun IT altyapısında meydana gelen değişiklikler ve bunlara eşlik eden kuruluşun risk profilinde dikkate alınması gereken değişiklikler
c) Kuruluşun risk profilini benzer şekilde etkileyen harici ortamda tespit edilen değişiklikler
d) Yetkili sağlık otoritesi veya yeni bir yasa veya düzenleme tarafından öngörülen güncel kontroller, uyum ve güvence isterleri
e) Kişisel sağlık bilgilerinin korunmasına ilişkin olarak veri koruması görevlisi1 ve sağlık uzmanlık birlikler tarafından yayımlanan güncel kılavuz ilkeler ve tavsiyeler
f) Yürürlükteki uygulamaları değiştiren veya kaldıran sonuçlar ihtiva eden mahkemelerdeki hukuki ihtilaflar.
10.2.Bilgi Güvenliğini Organize Etmek
Genel Olarak
Sağlık kuruluşunun yönetimi kurum tarafından işlenen kişisel sağlık verileri ile sağlığa ilişkin olan ve koruma kapsamına giren diğer verilerin güvenliğinden sorumludur. Bu özellikle üçüncü taraflarca sağlanan hizmet esasına göre çalışan kurumlar bakımından önem taşımaktadır. Bilgi güvenliğini sağlamanın en önemli unsurlarından biri efektif bir koordinasyondur. Her iki husus da güçlü ve belirtilmiş bir bilgi güvenliği yönetimi altyapısını gerektirmektedir.
10.3.Internal organization Dahili (İç) Düzenleme
Bilgi Güvenliği, Bilgi Güvenliği Koordinasyonu ve Bilgi Güvenliği sorumluluklarının paylaştırılmasında Yönetimin Taahhüdü
Kişisel sağlık bilgilerini işleyen kuruluşların:
- a) Bilgi güvenliği sorumluluklarını açıkça tanımlaması ve dağıtması
b) Sağlık bilgilerinin güvenliği de dahil olmak üzere güvenlik inisiyatiflerini destekleyen açık bir yönlendirme ve şeffaf yönetim sağlayacak Bilgi Güvenliği Yönetimi Forumu oluşturması ve uygulamaya koyması gereklidir.
Asgari olarak en azından bir kişinin kurum içinde kişisel sağlık bilgilerinin güvenliğinden sorumlu olması gerekir. Sağlık Bilgi Güvenliği Forumu’nun aylık veya aya yakın periyotlarda düzenli olarak toplanması gerekir.
ISO/IEC 27002 tarafından sağlanan rehberliğe ek olarak belirtmek gerekir ki, yönetimin taahhüdü kişisel sağlık bilgilerinin korunmasının vazgeçilmez unsurudur. Hesap verilebilirlik ve koordinasyon eğer kurum belitilmiş bir bilgi güvenliği yönetimi altyapısına sahipse gerçekleştirilebilecektir. Kurumun sanal veya gerçek bilgi güvenliği sorumlusu diğer görevlerinin yanısıra, Forumu raporlamakla görevlidir.
Makalenin devamını Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 11 / Gizlilik Sözleşmeleri başlığı altında okuyabilirsiniz.
Kaynak : 