SGK’nın hasta sağlık verileri satmasını henüz hatırlıyoruz [1]. Bu veriler nereye, neden satılıyor diye soran varsa, kaydedelim; bu veriler sigorta firmalarına ya da ilaç firmalarına satılıyor. Bunun hukuki sakıncalarını anlamaya çalışıyoruz.
Ancak Sağlık Bakanlığı da bir süre önce, hasta verilerini toplamak için bir Yönetmelik çıkartmıştı. Arkasından, Türk Tabibleri Birliği (TTB) ve Türk Dişhekimleri Birliğinin açtığı davalarla bu yönetmeliğin yürütmesi durdurulmuştu. Ancak, Bakanlık yürütmesi durdurulan yönetmelikte değişiklik yapılmasına ilişkin yeni bir yönetmelik çıkartmak gibi “ilginç” bir yol izlemiş.
turk-internet.com : Kasım 2017’de Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik yapıldı. Bu değişikliklere siz itiraz ettiniz. İtiraz ettiğiniz neydi? Oradaki gelişme nasıldı?
Birkaç açıdan itiraz vardı. Öncelikle usül bakımından itirazımız, Yönetmelik değişikliği yapıldığı tarihte ortada hukuken bir yönetmelik olmamasıydı. Tamamen yürütmesi durdurulmuş Yönetmelikte değişiklik yapmak akla uygun bir şey değil. Çünkü yürütmenin durdurulması kararıyla birlikte o yönetmelik artık hukuk hayatında yoktur; bunu var kabul ederek üzerinde değişiklik yapmaya kalkışmak yürütmeyi durduran kararı yok saymak demektir. Böyle bir tutum ise Anayasa’da da belirtilen, yargı kararlarının bağlayıcılığı ilkesine aykırıdır.
Diğer yandan, Kişisel Verileri Koruma Kurulu’nun da önerileriyle yapılan değişikliklerle, bir takım olumlu düzenlemeler yapılmış olsa da düzenlemenin özü aynı kalmıştı. Sağlık Bakanlığı hastaların bütün kişisel verisine sahip olmak istiyor. Kanunla açtıkları yolu kötüye kullanıyorlar. Bu verinin evrensel sahibi hastanın kendisi iken hastaya hiçbir şey sormadan onunla ilgili her şeyi ama her şeyi toplamak istiyor. Açık rıza bir yana, veri korumanın altın standartlarından biri olan amacın gerektirdiğinden fazla veri toplamama ilkesini de ihlal ediyor Sağlık Bakanlığı. Oysa bu ilke, bizim Veri Koruma Kanunumuzda da “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ifadesiyle bütün veri işlemelerinde uyulması gereken temel ilkeler arasında yer almıştır.
turk-internet.com : Peki.. Verileri Koruma Kurulu’nun görüşü alınmadan yönetmelik çıkarmanın sakıncaları nelerdir?
Sağlık verileri uluslar arası düzenlemelerde de bizim iç hukuk kurallarımızda da hassas nitelikli kişisel veri olarak kabul edilir. Bu veriler, niteliği gereği diğer kişisel verilere göre daha katı koruma kurallarına tabi tutulur. Bu bakımdan, sağlık verilerinin işlenmesiyle ilgili kuralların belirlenmesi sürecinde, yani daha işin başında, Kişisel Verileri Koruma Kurulu’nun düzenlemeleri değerlendirmesi gerekli görülmektedir. Sağlık verilerinin işlenmesinden sonra telafi edilemeyecek zararlar ortaya çıkabileceğinden, henüz iş işten geçmeden Kurul tarafından bir değerlendirme yapılması önleyicilik bakımından uygun ve yerindedir. Diğer yandan bu değerlendirmenin daha bağımsız bir karakterde yapılması Kurul’un etkinlik ve saygınlığının artmasına katkı sağlayacaktır.
turk-internet.com : Hasta bilgilerini Anonimleştirme ne demektir? Neden yapılır? Bu konuda gerekli mevzuat tamam mıdır?
Hasta bilgilerinin anonimleştirilmesi, verilerden yola çıkılarak hastaya ulaşılmasını olanaksız kılacak biçimde düzenlenmesi olarak tanımlanabilir. Yasa’da “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmıştır. Hastanın verileri arasından sadece ismi veya TC Kimlik Numarasının çıkartılmasıyla anonimleştirme yapılamayacağı, bütün veriler toplanıp sonra onlardan bir kısmının ayıklanmasıyla tam bir anonimleştirmenin mümkün olamayacağı; büyük veri kümelerinin işlenmesiyle, veri ile kişinin eşleştirilmesinin mümkün olabileceğini savunanlar da vardır. Her durumda, gerektiğinden fazla verinin toplanmaması gerektiği açıktır.
turk-internet.com : Sağlık verileri konusunda devlete yazılım geliştirecek olan yazılım firmalarının uyması gereken kurallar var mıdır? Neden? Bunlar özel hastaneler için de geçerli midir?
Sağlık verilerinin toplanmasında yazılım geliştirecek firmaların uymaları gereken kurallar Kişisel Verileri Koruma Kurulu ve Sağlık Bakanlığı tarafından belirlenmektedir. Sağlık verilerinin kişiler için taşıdığı önem kadar bu verilere erişerek çeşitli ticari alanlarda bunları kullanmak isteyenlerin de olduğu dikkate alındığında söz konusu verilerin toplanmasında en yüksek teknik önlemlerin alınması ve özenin gösterilmesi gerektiği tartışmasızdır.
Ancak, bu verilerin değeri öylesine büyüktür ki ticari kuruluşların bu verilere sahip olup da kâr amaçlı kullanmamaları çok ciddi denetimleri gerektirmektedir. Sosyal Güvenlik Kurumunun bir dönem bütçe açıklarını kapatmak için kaynak yaratmak amacıyla elindeki verileri sattığı düşünüldüğünde bu verilerin değerine ilişkin fikir yürütülebilir.
Sağlık verilerinin işlenmesiyle ilgili kurallar herkesi kapsar Bu anlamda özel hastaneler ve diğer sağlık kuruluşları da söz konusu kuralların kapsamındadır.
turk-internet.com : Burada Türk Tabipleri Birliği ya da Türk Dişhekimleri Birliği nasıl bir uygulamanın doğru olduğunu düşünüyor?
Bakanlık tarafından merkezi nitelikte toplanan sağlık verilerinin sadece istatistiki veri olması gereklidir. Cumhuriyet tarihi boyunca da bu tür veri toplanmakta; toplanan veriler Bakanlık tarafından derlenerek yıl bazlı istatistikler yayınlanmaktadır. Sağlık hizmetlerinin planlanması için Bakanlığın hangi hastalıkların hangi sıklıkta ortaya çıktığı ve hangi sağlık hizmetinin nerede sunulduğunu bilmeye ihtiyacı vardır. Ancak bu sağlık hizmetinin kime verildiği Bakanlık açısından önem taşımamalıdır. Verilerin bu şekilde, istatistiki olarak toplanması sağlık hizmetlerinin planlanması ve kamu kaynaklarının yerinde kullanılması için doğru ve gereklidir.
Diğer yandan hastaların birden çok sağlık kuruluşunda sağlık hizmeti alırken, sağlık geçmişlerinin bilinmesi bakımından sağlık verilerinin hasta ile ilişkili biçimde kaydedilmesi gerekebilmektedir. Söz konusu veriler, bilgisayarın yaygın olarak kullanılmadığı dönemde her hastanede tutulan hasta dosyası, gerektiğinde başka sağlık kurumlarıyla paylaşılmaktaydı. Günümüz teknolojisinde her hastanede bilgisayarlarda tutulan bu kayıtların hastanın sahip olduğu çipli kimlik kartlarına da kaydedilmesi, hastanın bu kartları gittiği sağlık kuruluşunda okutarak sağlık geçmişinin bilinmesini sağlaması mümkündür. Ancak bu verilerin her bir hastane yerine merkezi bir sistemde tutulması çok önemli bir riski beraberinde getirmektedir. bilişim konusunda Dünya’nın en gelişmiş ülkelerinde ve en gelişmiş şirketlerinde bile bu verilerin korunmasıyla ilgili pek çok sorun yaşanmaktadır. Bu nedenle, ülkenin bütün sağlık verilerinin tek bir merkezde toplanması bu verilere usulsüz erişim riskinin yanı sıra stratejik olarak da çok büyük bir tehlike yaratmaktadır.
Diğer yandan, verilerin değerine karşılık bunların önemine ilişkin kültür ülkemizde oldukça zayıftır. Cumhurbaşkanlığı Devlet Denetleme Kurulu’nun bu konuda hazırladığı bir raporun sadece özeti yayınlanmıştı, hatırlarsınız. Oradaki bilgilere bakıldığında kamu idarelerinde bu verilerin ne kadar korumasız durduğu, ne derece kolay paylaşıldığı ve önem verilmediği açıklıkla görülmektedir. Bu da gözetildiğinde, memleketin bütün sağlık verilerinin tek bir merkezde toplanmasının yarattığı tehlikenin daha da yakın ve büyük olabileceği anlaşılmaktadır.
turk-internet.com : Bundan sonra ne olabilir?
Bundan sonra ne olabileceğini söylemek için bundan önce olanlara bakacak isek Sağlık Bakanlığı bir yandan yürütmenin durdurulması kararına itiraz eder; diğer yandan en kısa zamanda, usül sorunlarının çözüldüğü ancak benzer kuralları içeren yeni bir yönetmelik yayınlayarak yola devam etmeye çalışır. Çıkarılacak bu yönetmelik de dava konusu olur. Usüle ilişkin sorun yok ise, Danıştay bu kez, sağlık verilerinin toplanması yöntemini uluslar arası sözleşmeler, Anayasa ve diğer kanunların yanı sıra 6698 sayılı Kişisel Verilerin Korunması Kanununun genel ilkeleri uyarınca değerlendirecektir.
Ancak belki daha akıllıca bir iş yapılabilir. Sağlık Bakanlığı, Kişisel Verileri Koruma Kurulu, meslek örgütleri ve bu alanda çalışan akademisyenlerle bir araya gelerek sağlık verilerinin işlenmesinde optimal yol bulunabilir. Yapılacak yeni düzenleme de buna uygun olarak hazırlanır; herkesin sağlık verileri korunduğu gibi kamunun gereksinim duyduğu veriye erişmesi de sağlanabilir. Bakanlığın bu yönde tutum alması için süreci zorlamalıyız. Bu tartışma bir an önce sonlanmalıdır. Karşıtlıklarla yol alınmamalıdır. Çünkü söz konusu olan, insanların en mahrem ve değiştirilemez bilgilerinin de içinde olduğu sağlık verileridir.
[1] Danıştay’ın Satılamaz Dediği Sağlık Verilerinin SGK Tarafından 65 Bin TL’ye Satıldığı Onaylandı