Bu makalenin
- İlk bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 1 / Giriş
- İkinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 2 / Kapsam-Terimler&Tanımlar
- Üçüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 3 / Hedefler – Bilgi Yönetişimi
- Dördüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 4 / Tehditler & Zayıflıklar
- Beşinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 5 / Eylem Planı
- Altıncı bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 6 / Planlama
- Yedinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 7 / Risklerin Değerlendirilmesi
- Sekizinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem
- Dokuzuncu bölümünü Taşıyan Noktalar – 9 / Beceri ve Çıktılar
Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 9 / BGYS Adımları- Onuncu bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 10 / Politika Belgesi
başlıkları altında okuyabilirsiniz.
11.Gizlilik Sözleşmeleri
ISO/IEC 27002 tarafından sağlanan kılavuzlluğa ek olarak kişisel sağlık bilgilerini işleyen kuruluşların, bu bilgilerin gizli niteliklerini vurgulayan gizlilik anlaşmalarını uygulamaya koymaları gereklidir. Bu anlaşmanın kişisel sağlık bilgilerine erişen her çalışan bakımından uygulanması gerekir.
Gizlilik anlaşmasının bilgi güvenliği politika belgesinde tanımlanan ihlal durumlarının gerçekleşmesi olasılığına karşı ilgili yaptırımları içermesi gereklidir.
12.Üçüncü Taraflar
Harici taraflara ilişkin olan risklerin belirlenmesi
Kişisel sağlık bilgisi işleyen kuruluşların sistemlere veya bu sistemlerde yer alan verilere erişim hakkı olan üçüncü taraflara ilişkin riskleri değerlemesi, belirlenen bu risk seviyelerine uygun güvenlik kontrollerinin uygulamaya konulması ve ilgili teknolojilerin kurum hayatına sokulması gereklidir.
12.1.Üçüncü taraflarla yapılacak sözleşmelerde güvenliğe ilişkin hükümlere yer verilmesi
Üçüncü taraflarca sunulan ve kişisel sağlık bilgilerini işleyen servisleri kullanan sağlık kuruluşlarının, üçüncü taraflarla sözleşme akdetmesi ve bu sözleşmede şu husulara yer verilmesi gerekmektedir:
- a) Kişisel sağlık bilgilerinin gizli niteliği ve diğer değer ve özellikleri
b) Uygulanan ve/veya uygun olan güvenlik önlemleri
c) Üçüncü taraflarca sunulan servislere erişim kısıtlamaları
d) Sunulan hizmetle erişilecek servis seviyesi
e) Sağlık kuruluşunun BGYF’nun raporlanması şekli ve sıklığı
f) Üçüncü tarafın sağlık kuruluşundaki toplantılar ve çalışma gruplarına katılım ve temsil koşulları
g) Üçüncü tarafların uyum denetimi için söz konusu olacak düzenlemeler
h) Yukarıda belirtilen husulara herhangi bir aykırılık durumunda söz konusu olacak yaptırımlar.
13. Varlık Yönetimi
Sağlık bilgisi varlığı açısından sorumluluk
ISO/IEC 27002 tarafından sağlana kılavuzluğa ek olarak, kişisel sağlık bilgilerini işleyen kuruluşların:
- a) Sağlık bilgisi varlığını değerlemesi (bu varlık için örneğin bir envanter oluşturmak)
b) Bu bilgi varlığını koruyacak bir görevli tayin etmek
c) Bu varlığın kabul edilebilir kullanımını sağlayacak kurallar öngörmek
Sağlık kuruluşlarının ayrıca bu varlıkların güncelliğini ve bütünlüğünü sağlayacak kurallara sahip olması gerekmektedir. Kişisel sağlık verilerini kaydeden veya raporlayan tıbbi aygıtlar için, bulundukları konuma ve çalıştıkları sırada yaydıkları elektromanyetik emisyonlar bakımından özel güvenlik önlemleri öngörülmelidir. Bu aygıtların tek tek belirli olması gereklidir.
14. Sağlık Bilgilerinin Sınıflandırılması
Sınıflandırma İlkeleri
Kişisel sağlık bilgisini işleyen kuruluşların bu bilgileri yeknesak bir şekilde gizli olarak sınıflandırması gerekir. Sağlıkta bilgi varlığının koruma seviyesini belirlemek karmaşıktır ve askeri veya devlete ait bilgilerin sınıflandırılmasını dikkate almak yanlış yönlendirici olabilmektedir. Aşağıda belirtilen hususlar sağlıkta bilgi varlığının sahip olduğu önemli karakteristiklerindendir:
- a) Kişisel sağlık bilgisinin gizliliği çoğu kez objektif değil, sübjektifdir. Diğer bir ifadeyle sadece veri öznesi değişik veriler veya veri grupları bakımından gizliliğe ilişkin en uygun belirlemeleri yapabilir. Örneğin; bazı veri özneleri için adres veya telefon bilgisi kolunun kırılmasına ilişkin klinik bilgiden daha gizli olabilmektedir.
b) Kişisel sağlık bilgilerinin gizliliği bağlam bağımsızdır. Örneğin; hastanenin acil departmanına girişte alınan veri öznesinin adı ve adres bilgisi, veri öznesi açısından gizli olarak değerlendirilmezken; aynı ad ve adresin cinsel iktidarsızlık tedavisi görenler listesinde yer alması veri öznesi tarafından çok gizli olarak değerlendirilebilecektir.
c) Kişisel sağlık bilgisinin gizliliği, bireyin sağlık kayıtlarının yaşam döngüsü boyunca değişebilmektedir. Örneğin; ilaç ve alkol bağımlılığına ilişkin veriler 20 yıl öncesine ilişkin olsa bile gizli olarak kabul edilebilmektedir.
Bu özellikler dikkate alındığında hiç kimse kişisel sağlık verilerinin hangilerinin daha çok hassas olacağını öngöremeyeceği için, tüm kişiseş sağlık bilgilerinin her zaman uygun şekilde korunması gereklidir. Uygun korumanın sağlanabilmesi için kişisel sağlık bilgilerinin veri öznesinin tercihleri doğrultusunda etiketlenmesi gerekmektedir. Bilgi varlıklarının gizli etiketlenmesi çalışanların eğitiminde ve politika belgelerine uyumun sağlanmasında önemli araçlardan biridir. Sınıflandırma üçüncü taraflarla, kurumlarla ve onların personeli ile yapılacak veri koruması sözleşmelerinin de önemli bir bileşenidir. Bilgi varlıklarının belirlenemsi ve etiketlendirilmesi ISO/IEC 27002’nin de vazgeçilmez unsurlarından biridir. Hangi bilginin kritik olduğu noktasında risk değerlemesi yardımcı olacaktır.
Makalenin devamını yarın okuyacaksınız..
Kaynak : 