Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 12 / İnsan Kaynakları Güvenliği

Bu makalenin

• İlk bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 1 / Giriş
• İkinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 2 / Kapsam-Terimler&Tanımlar
• Üçüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 3 / Hedefler – Bilgi Yönetişimi
• Dördüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 4 / Tehditler & Zayıflıklar
• Beşinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 5 / Eylem Planı
• Altıncı bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 6 / Planlama
• Yedinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 7 / Risklerin Değerlendirilmesi
• Sekizinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem
• Dokuzuncu bölümünü Taşıyan Noktalar – 9 / Beceri ve Çıktılar
  Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 9 / BGYS Adımları

• Onuncu bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 10 / Politika Belgesi
• Onuncu bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 11 / Gizlilik Sözleşmeleri

başlıkları altında okuyabilirsiniz.

15. İnsan Kaynakları Güvenliği

Kişisel sağlık bilgilerinin işlenmesi süreçlerinde görev alacak personelin, bu görevlerinin özelliği, gerekleri ve tanımının iş akitlerinde yapılması gereklidir. Öğrenciler, internler veya geçici süreli iş akitleriyle çalışan personel bakımından bu nokta daha çok önem taşımaktadır.

Personeli, akdi olarak çalıştığı kişiler veya gönüllü olarak çalışanlarının kişisel sağlık bilgilerini işleme süreçlerini gerçekleştirdiği tüm kuruluşların asgari olarak bu kişilerin kimlikleri, güncel adresleri, önceki görevleri gibi bilgileri doğrulaması gereklidir. Personelle imza edilecek olan sözleşmede özellikle;

a)Bilgi güvenliği politika belgesinin ihlali durumunda söz konusu olabilecek yaptırımlar
b)Kişisel sağlık bilgilerinin gizliliğine ilişkin koşulların işin devamı süresince sağlanması gereklidir.

16. Fiziksel ve Çevresel Güvenlik

16.1. Güvenli Bölgeler

Kişisel sağlık bilgisi işleyen kurumların, bilgi işleme hizmetlerini barındıran alanları korumak için güvenlik çevreleri oluşturmaları gerekir. Bu güvenli alanların sadece yetkili personelin girişine olanak sağlayacak şekilde uygun giriş kontrolleri ile korunması gerekir. Sağlık kuruluşlarında birçok operasyonel alana hastalar girebilmektedir. Halkın operasyonel alanlara bu derece yoğun olarak girebildiği başka bir sektör yoktur.

Diğer sektörlerden yine farklı olarak, sağlıkta müşteriler (hastalar) çoğu kez kendi kişisel güvenliklerini sağlama noktasında da yetersiz olabilmektedir. Bilgi için öngörülen fiziksel koruma tedbirlerinin, hastalar için öngörülen fiziksel güvenlik ve emniyet tedbirleri ile koordine edilmesi gerekir. Sağlık kurumlarının her ikisini koruma ödevi vardır.

16.2 Halka Açık, Teslimat ve Yükleme Yapılan Alanlar

Laboratuar testlerinin yapıldığı yerler gibi hassas bilgilerin bulunduğu ve hasta sirkülasyonunun fazla olduğu yerlerde, veya hastayla konuşularak sağlık bilgilerinin elde edildiği ve dataların ekrandan görülebileceği sistemlerin bulunduğu yerlerde ilave güvenlik tedbirlerinin alınması gereklidir.

Veri öznesinin mahremiyetini korumak için, sağlık kurumlarının bu tür lokasyonlar bakımından uyarılar içeren yazıları kapılara veya asansörlere veya uygun diğer yerlere asmaları gerekmektedir. Bu tür uyarılar hastalara ilişkin durumların veya bilgilerin kamuya açık alanlarda konuluşulmaması konusunda da hatırlatıcı olarak işlev görmektedir.

16.3. Aygıt Konumlandırma ve Koruma

Kişisel sağlık bilgisi işleyen kurumların, kişisel sağlık bilgilerine erişim olanağı sağlayan iş istasyonlarını, halkın ve hastaların erişebilecekleri veya onlar tarafından görülebilecek şekilde konumlandırmamaları gereklidir.

Veri kaydeden veya raporlayan tıbbi aygıtların da çalıştıkları ortam bakımından ve çalıştıkları sırada oluşacak elektromanyetik emisyonlara karşı özel güvenlik önlemlerine konu teşkil etmesi gerekir. Sağlık kuruluşları ve özellikle hastanelerin bu tür emisyon yayımını minimize edecek IT ekipmanlarının konumlandırılması ve korunmasına ilişkin kılavuz ilkeler yayımlaması gerekir.

Sağlık kuruluşlarının kişisel sağlık bilgisi veya sağlık bilgisi uygulama yazılımı ihtiva eden ve artık kullanım ihtiyacı kalmayan tüm aygıtları güvenli bir şekilde yok etmesi ve yazılımların üstüne içindeki verilerin bir daha elde edilmesi olanağı olmayacak şekilde üstüne yazması gerekir.

Kişisel sağlık bilgisi ihtiva eden ve bir sağlık uygulamasını destekleyen veri veya yazılımları sağlayan veya kullanan kurumların, bu aygıt, veri veya yazılımların kurum tarfından izin verilmedikçe bulundukları yerden kaldırılamayacakları veya yerlerinin değiştirilemeyeceğini ilke olarak benimsetmeleri gereklidir.

Sağlık kuruluşlarının kişisel sağlık bilgilerinin yetkisiz modifikasyon veya kötüye kullanım olasılıklarını azaltmak amacıyla görevler ve sorumluluk alanlarında ayrılık ilkesi benimsemeleri gereklidir. Aynı ilke sistem, iş geliştirme, test ortamları ve operasyonel tesisler bakımından da geçerlidir. Sağlık kuruluşlarının kötücül yazılımları önleyecek, tespit edecek ve koruma sağlayacak önlemleri almaları ve kullanıcılarda farkındalık yaratacak eğitimler düzenlemeleri gereklidir. Tüm kişisel sağlık bilgilerinin yedeklenmesi ve gelecekte tekrar erişilmesini sağlayacak şekilde fiziksel olarak güvenli ortamlarda muhafaz edilmesi gerekir. Ayrıca kişisel sağlık bilgilerinin gizliliğini korumak için bu bilgilerin şifreli bir formatta saklanması gerekir.

Makalenin son bölümünü yarın okuyacaksınız..