Giriş
ISO 27799:2008[1] standardı, sağlık kuruluşlarına ve kişisel sağlık bilgisi ile iş yapan diğer kurum/kişilere, bu bilgilerin gizlilik, bütünlük ve erişilebilirliklerini (CIA: Confidentiality / Integrity / Accessibility) ISO/IEC 27002[2]’yi uygulayarak en iyi nasıl ve ne şekilde sağlayabilecekleri konusunda rehberlik etmektedir[3].
Spesifik olarak bu uluslar arası standart, sağlık sektörü ve iş ortamının özel bilgi güvenliği ihtiyaçlarına çözüm sunmaktadır. Kişisel bilgilerin korunması ve güvenliği tüm bireyler, kurumlar ve devletler için özel önem taşımaktadır.
Bu anlamda kişisel sağlık bilgilerinin gizliliği, bütünlüğü, denetlenebilirliği ve erişilebilirliğini sağlamak için sağlık sektöründe yerine getirilmesi gereken özel isterler söz konusudur. Bu tür kişisel bilgiler tüm kişisel veri çeşitleri arasında en gizli kategoride[4] yer almaktadır. Bu gizliliği korumak tıbbi tedavinin ve verilerin sahibi olan veri öznesinin özel hayatın gizliliği (mahremiyet) hakkının[5] korunması bakımından gereklidir.
Sağlık bilgisinin bütünlüğü hasta güvenliğini sağlamak açısından korunmalıdır ve bu korumanın en önemli bileşeni de sağlık bilgisinin tüm yaşam döngüsü boyunca bu bilginin denetlenebilirliğini (audit) sağlamaktır. Sağlık bilgisinin erişilebilir olması, efektif bir sağlık hizmeti sunulması bakımından kritik öneme sahiptir. Sağlık bilişim sistemlerinin bu nedenle doğa afetler, sistem çökmeleri ve DDoS[6] saldırıları karşısında operasyonel kalmalarının sağlanması son derece önemlidir. Sağlık bilgisinin gizlilik, bütünlük ve erişilebilirliği bu nedenle sağlık sektörüne özgü uzmanlığı gerektirmektedir.
Sağlıkta efektif bir IT güvenlik yönetimi ihtiyacı, sağlık hizmeti sunumunda kablosuz ve internet teknolojilerinin kullanımının artması ile birlikte acil hale gelmiştir. Eğer uygun bir şekilde kullanılmazsa, bu teknolojiler sağlık bilgisinin gizlilik, bütünlük ve erişilebirliğine yönelik riskleri artıracaktır.
Ölçeği, lokasyonu ve sunulan hizmet modelinden bağımsız olarak tüm sağlık kuruluşlarının, kendilerine verilen sağlık bilgilerini korumak için sıkı kontrol politikaları uygulamaya koymaları gerekmektedir. Halihazırda birçok doktor ya bağımsız (tek) sağlık hizmeti sunmakta veya küçük kliniklerde bu hizmeti ifa etmektedir. Bu ise; bilgi güvenliğini yönetmek için adanmış IT kaynaklarının yokluğu veya yetersizliği sorununu ortaya çıkarmaktadır.
Sağlık kurumlarının bu yüzden söz konusu kontrollerinin seçimi ve uygulamasında yol gösterecek açık, tutarlı ve sağlık hizmeti spesifik bir kılavuza sahip olmaları gerekmektedir. Bu kılavuzun sağlık kurumundaki hizmet sunum modeline, lokasyona ve kurumun büyüklüğüne adapte edilmesi zorunludur. Son olarak; kişisel sağlık bilgilerinin sağlık görevlileri arasında elektronik değişiminin giderek artması da, sağlıkta bilgi güvenliği yönetimi için genel bir referansın benimsenmesinde açık bir menfaat olduğunu göstermektedir.
Bu uluslar arası standardın ISO/IEC 27002 veya 27001’in yerine geçmesi hedeflenmemekte, bilakis bu oldukça jenerik standartları tamamlayıcı olması istenmiştir. Bu uluslar arası standart, kişisel sağlık bilgilerinin korunması amacıyla güvenlik kontrollerinin uygun bir şekilde uygulanmasını dikkate alarak, ISO 27002’yi sağlık domanine uygulamaktadır. ISO/IEC 27002’de belirtilen tüm güvenlik kontrolleri hedefleri ve amaçları sağlık bilişimi için de geçerlidir. Ancak sağlık bilgisinin CIA’ini en iyi şekilde korumak için nasıl kullanılmaları gerektiği noktasında ek açıklamaları gerektirmektedir. Bunun yanısıra sağlık sektörü spesifik bazı isterler de mevcuttur.
ISO/IEC 27002 geniş ve karmaşık bir standarttır ve spesifik olarak sağlık sektörüne özgü değildir. Güvenlik ve mahremiyet açısından korunmuş bilgiler, sağlık çıktılarını önemli ölçüde geliştirecektir. Bu kılavuzu uygulamakla sağlık kuruluşları güvenlik ihlallerinin sayı ve çeşit olarak azaldığını görecektir. Bunun yanısıra sağlık hizmeti sunumuna katılan herkes tarafından açık ve anlaşılır bir IT güvenlik yaklaşımı, kişisel sağlık bilgisini muhafaza eden sistemlere halkın güvenini de artıracaktır.
ISO 27799:2008, Avrupa Birliği’nin 95/46 Sayılı Veri Koruması Direktifi7 başta olmak üzere, kişisel sağlık verilerinin korunması ve mahremiyetine ilişkin uluslar arası birçok belgede hukuki normlarla koruma altına alınan bu hakkın, genel olarak elektronik sağlık kaydı sistemlerinde nasıl ve ne şekilde korunacağına ilişkin teknik kriterleri açıklamaktadır. Kişisel sağlık verileri işleyen ve işleyişinin odak noktasını bu verilerin oluşturduğu sağlık kurumlarında kurulan bilgi güvenliği yönetim sistemlerinde, kişisel sağlık verileri özelinde bilinmesi gereken temel noktalara dikkat çeken bu standart, tamamen 95/46 Sayılı AB Veri Koruması Direktifindeki hükümlerin teknik olarak nasıl algılanması ve uygulanması gerektiğine odaklanan ISO 10012:2009 Veri Koruması Standardından bu açılardan farklıdır.
Bu çalışmada değineceğimiz ISO 27799:2008 standardı dışında iyi kurgulanmış bir kişisel sağlık kayıt sistemine sahip olmak için dikkate alınması gereken standartlar dizisi aşağıdaki diagramda gösterilmiştir:
Bu makalenin devamını Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 2 / Kapsam-Terimler&Tanımlar başlığı altında okuyabilirsiniz.
[1] http://www.27000.org/iso-27799.htm
[2] http://www.27000.org/iso-27002.htm
[3] Bu kılavuz, ISO/IEC 27002:2005 versiyonu ile uyumludur.
[4] 95/46/EC Direktifi’nde ‘sensitive data’, “Kişisel Verilerin Korunması Kanunu Tasarısı”nda ‘özel niteliği olan kişisel veriler’ olarak tanımlanmıştır.
[5] Ayrıntılı olarak bkz. Keser Berber, Leyla/Ülgü, Mahir M./Er, Cüneyd; Elektronik Sağlık Kayıtları ve Özel Hayatın Gzililiği, İstanbul 2009.
[6] “Distributed Denial of Service”
[7] ec.europa.eu.
Kaynak : 