Geçen hafta (13-14 mayıs 2016), ODTÜ Enformatik Enstitüsünde gerçekleştirilen IS’Cydes Siber Savunma ve Güvenlik Sempozyumu[1] sırasında gerçekleştirilen bir odak grup çalışmasında, Sağlık Bilgi Sistemlerinde Mahremiyet tartışıldı[2]. ODTÜ Tıp Bilişimi Bölüm Başkanı Doç. Dr. Yeşim Aydın Son yönetiminde araştırma görevlisi Özlem Özkan’ın doktora tezine de kaynaklık edecek olan çalışmada, 7 nisanda yürürlüğe giren KVK (Kişisel Verilerin Korunması Kanunu) çerçevesinde, sağlık bilgi sistemlerindeki durum gözden geçirildi.
Toplantı sağlıkla ilgili olsa da, hemen hemen tüm katılımcılar tarafından, yeni KVK kanunumuz ile ilgili olarak “istisnaların çokluğu”, “açık rıza tanımındaki belirsizlik”, “veri kurulunun oluşturulmasındaki siyasilik” sorunları hatırlatıldı.
Sağlık verilerinin elektronik ortama aktarılması, bir yandan kolaylık ya da teşhiste daha zengin boyutlar anlamına gelse de, diğer tarafta insan hayatlarını derinden etkileyebilecek sorunlar taşıyor. Üstelik bu sorunlar teknolojiler geliştikçe yeni boyutlar alabiliyor. Örneğin, son yıllarda, genetik testlerin yaygınlaşmasıyla, insan genom verisi de gündeme girdi. Bu ise çok daha farklı tehlikeler taşıyan bir boyutta.
Özellikle psikiyatrik ve cinsel rahatsızlığı ya da her ne olursa olsun, diğer hastalıkları olan kişilerin –zaman içinde tedavi edilebilir olsa bile– damgalanması ve önyargılara muhatap hale gelmesi söz konusu.
Dolayısıyla, yeni yürürlüğe giren KVK içinde yer alan genel sorunlar bir yana, bu gelişmeleri de içeren gelişmelerin, bugün ya da yarın devamlı güncellenmesi ve gerek tıp bilimini, gerekse hastaları memnun edecek yollar bulmak lazım. Tabi konunun tek paydaşları da bunlar değil bu “kişisel sağlık bilgileri”ni elde etmeye ve bununla da risk faktörünü hesaplamaya çalışan “Sigorta Firmaları” gibi diğer paydaşlar da var.
e-Nabız Programı
Hasta verilerinin elde edilmesi bazen o kişinin “iş hayatı” ya da “özel hayatı” açısından kısıtlayıcı, sınırlayıcı ya da bireyin reddedilmesini sağlayacak hale gelebiliyor. Bu nedenle de özenle korunması ve ancak gerekli olduğu kadarının ortaya çıkarılması lazımken, bu konuda hayli hatalı davranış söz konusu. Örneğin işverene verilen sağlık raporlarında hastalığın belirtilmesinin bir sakınca olduğu düşünülüyor. Ya da kendisi hakkında ön yargı oluşmasına neden olan cinsel ya da diğer sağlık sorunları.
Türk Tabibler Birliği (TTB) bu konuyu yakından takip eden bir kuruluş. Diş Hekimleri ile birlikte mücadele ediyorlar. Halk farkında değil ama halkın hakkını korumaya çalışıyorlar. Çünkü malum hekimlerin “Hipokrat Hekimi” diye bir yeminleri olduğu için bu konuda doğal korumacılar. Bu tür bir kanunun hasta ile hekim arasındaki güveni sarsabileceği kayedediliyor ve şu örnek veriliyor; “hasta ile doktorun arkasına girdiği paravana birisi de kafasını uzatmış bakıyor” gibi.
TTB’nin sesini, sağlık verileri konusunda, SGK’nın 65 milyon TL karşılığında sattığı belirtilen hasta verileri, avuç içi okuma sistemleri ve e-Nabız gibi başlıklar altında pek çok kez duyduk. Mahkemeye giderek yanlış olduğunu düşündükleri uuygulamaları pek çok kez durdurdular ya da iptal ettirdiler.
Toplantıda belirttikleri bir konu şu; yürürlüğe yeni giren kanun “tedaviyi” önceliklendirmemiş durumda. Bu ise uzmanlara göre, hastanın tedaviden kaçınması anlamına gelebiliyor (cinsel hastalığını saklamak için tedaviye gitmemek gibi). Kanun güvenliği öncelendirmiş gibi pozisyonlanmış ama yukarıda bahsettiğimiz genel sorunlar nedeniyle bu da tam anlamıyla söz konusu değil.
TTB, sağlık kişisel verileri ile ilgili iptal edildikçe yeniden 3 kanun ve 3 genelge çıktığını, bunların Danıştay tarafından durdurulmasından sonra önce kelimesi kelimesine aynı yeni bir genelge ile sonra az değiştirilmiş yeni başka bir genelge ile karşılaştıklarını ifade ediyor.
TTB’nin işaret ettiği bir husus, henüz veri kurulu kurulmadan, Sağlık Bakanlığının KVK ertesinde genelgeyi yeniden yayınlamış olması; “oluşmamış kurulun önlemleri olmadan bu genelgenin çıkarılması yerinde bir gayret değil” ifadesini kullanıyorlar. Zaten bunun genelge değil, yönetmelik ile düzenlenmesi gerektiğini de hatırlatıyorlar.
Veriler Görülemez Deniliyor ama Görülüyor
Toplantıda bilişim uzmanları, bu verilerin bakanlık tarafından erişilemediği ifadesinin doğruyu yansıtmadığını kaydettiler. Zaten e-Nabız’ın da daha büyük bir sistem olan Sağlık-Net altındaki küçük bir parça ve sadece vitrin olduğuna dikkat çekiliyor.
Toplantının sonucu şu; Artık hayatımızda veri var. Bu veriler toplanamaz denilmiyor. Ama önemli olan bu veriyi kim, hangi şartlarda, hangi çerçevede kullanacak. Nasıl paylaşacak ya da paylaşmayacak. Önemli olan bunun koşullarının oluşturulması. Bu koşulların da kanun maddesinden çok istisna maddesi olan bir kanunla değil, doğrudan kuralların kesin bir şekilde oluşturulması ile yapılması lazım.
Sağlık bilgileri daha derinleşebiliyor (genom örneğinde olduğu gibi) bu açıdan da bu konuların biran önce “tedaviyi” öncelendirecek ve mahremiyeti sağlayacak, hassas veriyi sağlayacak şekilde sağlanması için planlanması gerekli.
Pazar günü İstanbul Tabibler Odası “Sağlıkta Mahremiyet” başlığını taşıyan bir panel düzenledi. Bu paneli de yarın aktaracağız.
[1] IS’CYDES 2016 INTERNATIONAL SYMPOSIUM ON CYBER DEFENCE AND SECURITY
[2] “SAĞLIK BİLGİ SİSTEMLERİNDE MAHREMİYET” ODAK GRUP ÇALIŞMASI