Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 9 / BGYS Adımları

Bu makalenin

• İlk bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 1 / Giriş
• İkinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 2 / Kapsam-Terimler&Tanımlar
• Üçüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 3 / Hedefler – Bilgi Yönetişimi
• Dördüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 4 / Tehditler & Zayıflıklar
• Beşinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 5 / Eylem Planı
• Altıncı bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 6 / Planlama
• Yedinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 7 / Risklerin Değerlendirilmesi
• Sekizinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 8 / Beceri ve Çıktılar

başlıkları altında okuyabilirsiniz.

8.Yapılacaklar: BGYS’nin Uygulanması ve İşletilmesi

BGYS’nin uygulanması çok çeşitli adımları gerektirmektedir:

a)Risk giderme planı hazırlanması
b)Kaynak (insan, sistem ve para) tahsisi
c)Güvenlik kontrollerinin seçilmesi ve uygulanması
d)Eğitim ve farkındalık oluşturma
e)Operasyonları yönetme
f)Kaynak yönetimi

9.Kontrol: BGYS’nin İzlenmesi ve Gözden Geçirilmesi

Bu aşamada söz konusu olacak kurumsal adımlar şöyle özetlenebilir:

– Sürekli güvence ihtiyacı
– Uyum değerlemesi
– Öz değerleme
– Eş gözlem
– Bağımsız denetim
– ISO/IEC/27701’e yönelik sertifikasyon denetimi

10.Harekete Geçme: BGYS’nin yürürlülüğü ve geliştirilmesi

ISO/IEC 27002’nin Sağlık Sektörüne İlişkin Çıkarımları (Bilgi Güvenliği Politikası/Bilgi Güvenliği Politika Belgesi

Kişisel sağlık bilgileri de dahil olmak üzere, sağlık bilgilerini işleyen kurumların, yönetim tarafından onaylanmış, yayımlanmış ve tüm çalışanlar ile ilgili harici taraflarla paylaşılmış YAZILI bir bilgi güvenliği politika belgesine sahip olmlaarı gereklidir. ISO/IEC 27002 tarafından sağlanan bilgi güvenliği politika belgelerinin sahip olmaları gereken hususlara ilişkin kılavuzluğa ek olarak, bu politika belgesinin aşağıdaki şu noktalara ilişkin açıklamalar içermesi gereklidir:

a) Sağlık bilgi güvenliği için ihtiyaçlar
b) Sağlık bilgi güvenliğinin amaçları
c) Uyum kapsamı
d) Kişisel sağlık bilgilerinin korunması ve bu bilgileri korumak için sağlık uzmanlarının yasal ve etik sorumlulukları da dahil olmak üzere, yasal, düzenleyici ve akdi isterler
e) Bilgi güvenliğini ihlal edebilecek olayların bildirilmesi için gerekli düzenlemeler

Bilgi güvenliği politika belgelerini oluştururken sağlık kurumlarının, spesifik olarak sağlık sektörüne özgü olan aşağıdaki faktörleri gözönünde bulundurmaları gerekir:

a) Sağlık bilgilerinin genişliği

b) Personelin yasalarda öngörülen ve uzman organlarca kabul edilen hak ve etik yükümlülükleri

c) Veri öznesinin mahremiyet ve kendi kayıtlarına erişim gibi hakları

d) Veri öznesinin “BİLGİLENDİRİLMİŞ RIZASININ1[24]” alınmasına ve kişisel sağlık bilgilerinin gizliliğinin sağlanmasına ilişkin olarak klinisyenlerin yükümlülükleri

e) Klinisyenlerin ve sağlık kuruluşlarının normal güvenlik prosedürlerini yerine getirebilmelerini sağlamaya yönelik ihtiyaçları

f) Sağlık hizmetinin ortak (paylaşımlı-shared) veya ek (extended) esasa göre sunulduğu durumlarda ayrı ayrı sağlık kuruluşlarının ve tedavi öznesinin yükümlülükleri

g) Araştırma ve klinik çalışma amacıyla bilginin paylaşılması için uygulanacak protokoller ve prosedürler

h) Geçici personel için yetki sınırlamaları ve ilgili diğer düzenlemeler.

Birçok sağlık kuruluşu personeli bakımından, ilgili politika belgelerini elektronik olarak kurumun intraneti üzerinden erişilebilir kılmayı avantajlı bulmaktadır.

Sağlık kuruluşunun üçüncü taraf organizasyonlardan destek aldığı veya üçüncü taraflarla işbirliği yaptığı drumlarda ve özellikle yurt dışından hizmet aldığı olasılıklarda, politika çerçevesinin bu tür etkileşimleri kapsayan dokümante edilmiş politikaları, kontrolleri ve prosedürleri ihtiva etmesi ve tüm tarafların sorumluluklarını belirtmesi gereklidir. Kişisel verilerin ulusal veya uluslar arası sınırları dolaştığı durumlarda ISO 22857[25] hükümlerinin uygulanması gerekli olacaktır.

Makalenin devamını Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 10 / Politika Belgesi başlığı altında okuyabilirsiniz.

[24] 95/46/EC Direktifi’nde geçen “informed consent” kavramı
[25] www.iso.org.tr