Bu makalenin ilk bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 1 / Giriş başlığı altında okuyabilirsiniz.
1.Kapsam
1.1.Genel olarak
Bu uluslararası standart ISO/IEC 27002’nin sağlık bilişimi sektörüne uygulanması ve adapte edilmesine yardımcı olmaktadır. Bu uluslar arası standart, sağlık bilgi güvenliği yönetimi için bir dizi kontrol[8] belirlemekte ve sağlık bilgi güvenliği iyi uygulama kılavuzu niteliği taşımaktadır. Bu uluslar arası standardı uygulamakla sağlık kuruluşları ve sağlık bilgisi ile temas eden diğer ilgililer kurumlarının koşullarına uygun minimum bir güvenlik seviyesi sağlayabilecek ve kişisel sağlık bilgilerinin CIA’ini koruyabileceklerdir.
Bu uluslar arası standart sağlık bilgisinin tüm çeşitlerine uygulanacaktır. Bu noktada bilginin hangi formda olduğu (sözcük veya sayı, ses kaydı, grafik, video veya tıbbi görüntüler), saklanması için hangi araçların kullanıldığı (kağıt veya elektronik ortamlara yazma veya yazdırma) ve iletimi için hangi araçların kullanıldığı (manuel, faks, bilgisayar ağı veya posta) önem taşımamaktadır. ISO 27799:2008 ve ISO/IEC 27002 sağlıkta bilgi güvenliği anlamında nelerin gerekli olduğunu tanımlamaktadır. Yoksa bu isterlerin nasıl yerine getirileceğini tanımlamamaktadır. Diğer bir ifade ile bu uluslar arası standart teknoloji bağımsızdır.
Uygulanacak teknolojiler açısından bağımsızlık önemli bir özelliktir. Güvenlik teknolojileri hızla gelişmekte ve artık bu değişim hızı yıllar yerine aylarla ölçülmektedir. Buna karşın, periyodik incelemeler söz konusu olduğunda, ilgili standartların yıllarca yürürlükte kalması beklenmektedir. Teknolojik tarafsızlık, satıcıları ve servis sağlayıcıları bu uluslar arası standartta belirtilen isterleri karşılayacak yeni veya geliştirilen teknolojileri tahmin etme noktasında serbest bıraktığı için önemlidir. Bu uluslar arası standardın anlaşılması için ISO/IEC 27002’nin bilinmesi kaçınılmazdır.
1.2 Kapsama İlişkin İstisnalar
Bilgi güvenliğinin aşağıda belirtilen alanları bu uluslar arası standardın kapsamı dışındadır:
- a) Kişisel sağlık bilgilerinin efektif bir şekilde anonimleştirilmesi için öngörülen yöntemler ve istatistiki testler
b) Kişisel sağlık bilgisinin pseudonymization[9]’ı için öngörülen yöntemler
c) Sağlık bilişimi için kullanılan ağ erişiminin ölçümlenmesi için öngörülen yöntemler ve hizmetin ağ kalitesi.
d) Verinin niteliği (veri bütünlüğünden farklı olarak).
2.Terim ve Tanımlar
Standartta yer alan ve kişisel sağlık bilgileri açısından önemli olan kavramlar şunlardır:
- Sağlık Bilişimi: Sağlık uygulaması, eğitimi ve araştırma görevlerinin; bu görevleri destekleyecek bilişim bilimleri ve teknolojileri de dahil olmak üzere; bilişsel, bilgi işleme ve iletişim yönlerine ilişkin olan bilimsel bir disiplindir.
Sağlık Bilgi Sistemi: Tıbbi tedavinin öznesinin sağlığına ilişkin bilgilerin bulunduğu, bilgisayarla işlenebilen, depolanabilen, güvenli bir şekilde iletilebilen ve yetkilendirilmiş çok sayıda kullanıcı tarafından erişilebilir durumda bulunan bilgilerin yer aldığı havuzdur.
Sağlık Hizmetleri (Tıbbi Tedavi): Sağlık durumu üzerinde etkisi olan sağlık uzmanları veya paraprofesyoneller tarafından sunulan her bir hizmet çeşidini ifade eder.
Sağlık Kuruluşu: Tıbbi tedavi hizmeti sunan çok sayıdaki kurumu ifade eden jenerik bir terimdir.
Sağlık Uzmanı: Belirli sağlık görevlerini ifa etmeye yetkin olduğu yetkili kurum tarafından kabul edilmiş kişidir.
Belirlenebilir Kişi: Doğrudan veya dolaylı olarak, özellikle bir kimlik numarası veya fiziki, psikolojik, ruhsal, ekonomik, kültürel veya sosyal kimliği gibi bir veya daha çok spesifik faktöre istinaden teşhis edilebilen kişidir.
Hasta: Tıbbi tedavinin öznesidir.
Kişisel Sağlık Bilgisi: Kimliği belirlenebilir bir kişinin fiziksel veya ruhsal sağlığına ilişkin olan veya sağlık hizmetinin sunulmasına ilişkin bilgilerdir ve aşağıdaki şu hususları kapsayabilir:
a) Bireyin sağlık hizmeti almak üzere kayıt olmasına ilişkin bilgiler
b) Bireye ilişkin olarak sağlık hizmeti alımına veya ödemeye ilişkin bilgiler
c) Sağlığa ilişkin amaçlarla bireyi eşsiz olarak tanımlamak içn bireye tahsis edilen numara, sembol veya diğer herhangi bir özellik
d) Bireye verilen sağlık hizmetinin sunulması sırasında toplanan birey hakkındaki her tür bilgi,
e) Vücudun muayenesi veya test edilmesi işlemlerinden türetilen bilgiler
f) Bireye sağlık hizmeti sunan kişinin (örneğin; doktorun) kimlik tespiti[10].
Tıbbi Bakımın Öznesi: Sağlık hizmeti alması planlanan, sağlık hizmeti almakta olan veya almış olan bir veya daha çok kişiyi ifade eder.
Varlık (Asset): Organizasyon için değer ifade eden herhangi bir şeydir. Sağlık bilgi güvenliği bağlamında, varlık şunları kapsar:
a) Sağlık bilgisi
b) IT hizmetleri
c) Donanım
d) Yazılım
e) İletişim olanakları
f) Media
g) IT olanakları
h) Veri depolayan veya raporlayan tıbbi cihazlar.
Bu makalenin devamını Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 3 / Hedefler – Bilgi Yönetişimi başlığı altında okuyabilirsiniz.
[8] Information security policy; Organizing information security; Asset management; Human resources security; Physical and environmental security; Communications and operations management; Access control; Information systems acquisition,development and maintenance; Information security incident management; business continuity management; Compliance.
[9] Kişiyi tanımlayan verilerin, analitik amaçlar için belli bir algoritma ile farklılaştırılması. Anonimleştirmeden farkı, istendiğinde aynı algoritma kullanılarak orijinal verilere tekrar ulaşılabilmesidir.
[10] Keser Berber, Leyla; e- E-Sağlıkta Güvenlik: Dijital Kimlik Denetimi ve Elektronik İmza, Sağlık Alanında Etik ve Hukuk, Uluslararası Sempozyum, Yeditepe Üniversitesi, 17-19 Nisan 2008, s. 147-190.
Kaynak : 