Sağlık kuruluşlarında kişisel verilerin saklanması, imhası ve anonimleştirilmesi

Paylaş

Share on facebook
Share on linkedin
Share on twitter
Share on email

Sağlık kuruluşlarında kişisel verilerin saklanması, imhası ve anonimleştirilmesi

Hastanelerde kişisel verilerin saklanması ve imhası süreci nasıl olmalı? Bir işe giriş esnasında ya da bir spor kulübünün etkinliğine yapılacak olan kayıtta üyelik için istenen sağlık raporu, muayene ya da bir hastalık sonucu başvurulan sağlık kuruluşu tarafından toplanılan ve kaydedilen veriler sağlık verileri olarak değerlendirilir. Özel nitelikli kişisel veri kategorisinde olmasına rağmen sağlık verileri de veri işleme bağlamında sıklıkla konu olur. Bu nedenle sağlık kuruluşlarında toplanılan verilerin işlenmesine ilişkin esas ve usullerin de açıkça belirlenmesi önemlidir.

Sağlık kuruluşlarında kişisel verilerin hangi amaçla toplanabileceği, hangi ortamda saklanacağı ve saklama sırasında hangi idari ve teknik tedbirlerin alınacağı belirlenmelidir. Öte yandan bu kişisel sağlık verilerinin işlenmesi esnasında hangi kurallara uyulacağı ve gereken durumlarda bu verilerin imhası ya da anonimleştirilmesi konularının da üzerinde önemle durulmalıdır.

Kişisel Sağlık Verilerinin İşlenmesine İlişkin Genel Esaslar

20 Ekim 2016 tarihinde Resmî Gazete’de “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” yayımlanmıştır. Bu yönetmeliğin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na dayanılarak yayımlandığı göz önüne alınırsa önemi daha da artmaktadır. Yönetmeliğin temel amacı kişisel verilerin korunması, veri mahremiyetinin sağlanması, kişisel sağlık verilerinin toplanma usulleri, verilerin işlenmesi ve aktarılması, kaydı tutulan sistemlerin denetimi ve güvenliği, Sağlık Bakanlığı’na bildirilmesi, verilerin imhası ve anonimleştirilmesine ilişkin işlemlerde takip edilmesi gereken usul ve esaslardır.

Sağlık kuruluşlarında elde edilen kişisel veriler ancak ilgili Yönetmelik ve Kanun’da belirtilen usul ve esaslara göre işlenebilir. Verilerin işlenmesini gerektiren nedenler ortadan kalkınca ya da ilgili kişinin kendisinin talep etmesi halinde bu veriler veri sorumlusu tarafından ya silinir ya da anonim hale getirilir.

Sağlık Kuruluşlarında Kişisel Verilerin Saklanması

Bir sağlık kuruluşu bünyesindeki tüm gerçek kişilerin verilerini; kişisel verilerin işlemesine, korunmasına, saklanmasına ve imha edilmesine ait politikalara göre yürütmek zorundadır. Kuruluş bünyesinde bulunan kişisel veriler, verinin niteliğine ve kuruluşun hukukî yükümlülüklerine göre uygun bir kayıt ortamında tutulur. Bunlar genellikle verilerin mikrofilmler, kağıt üzerine basılı olduğu yerel matbu ortamlar, sunucu, sabit ya da taşınabilir diskler ile optik diskler gibi yerel dijital ortamlardır. Bazı sağlık kuruluşlarında ise kriptografik yöntemler ile şifrelenmiş internet tabanlı sistemlerin bulunduğu bulut ortamlarda da kişisel sağlık verileri saklanabilir.

Hastanelerde kişisel verilerin saklanması süreci mevzuata uygun gerçekleştilmelidir. Sağlık kuruluşları, kişisel verileri depolamayı tercih ettiği ortamların güvenliğini sağlamakla yükümlüdür. Bunun için de kişisel verinin tutulduğu ortamın niteliğine uygun olarak idari ve teknik tedbirleri almalı, düzenli aralıklar ile bu konuda kurum için denetimler gerçekleştirmelidir.

Sağlık Kuruluşlarında Kişisel Verilerin Anonim Hale Getirilmesi

Bir sağlık kuruluşunda tutulan kişisel veriler, veri işlenmesine gerek kalmayan durumlarda ya da ilgili kişinin talebi halinde işleme tabi tutulur. Yapılacak tüm silinme, imha ya da anonimleştirme işlemleri, KVKK’nın 5. ve 6. maddelerinde sayılan nedenlerin ortadan kalktığı durumlarda gerçekleştirilir. Bu konuda Kanun’un 5. ve 6. maddelerinde sayılan nedenler şunları kapsar:

• Kanunlarda açıkça öngörülmesi,
• Bireyin, birtakım imkânsızlıklar nedeniyle rızasını açıklayacak durumda olmaması ya da kendisinin veya başkasının hayatının korunması için zorunlu bir durumun ortaya çıkması,
• İlgili kişinin bizzat kendisi tarafından alenileştirilmiş olması,
• Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu hallerin bulunması,
• Taraflar arasında bir sözleşmenin varlığı halinde, sözleşmenin ifası için kişisel verilerin işlenmesi gerekliliği,
• İlgili kişiye bir hakkın tanınması için kişisel verilerin işlenmesine ihtiyaç duyulması.

KVKK Uyum Sürecini Zahmetsizce Tamamlayın

Kişisel Verilerin Korunması Kanunu(KVKK) kapsamında kişisel verilerinizi zahmetsizce koruma altına almak ve VERBİS yükümlülüğünüzü yerine getirmek için KVKK uzmanlarımızdan hemen destek alın!

VERBİS KAYIT DESTEĞİ İÇİN HEMEN BAŞVUR
Sağlık kuruluşlarında verilerin silinmesi ve imha edilmesinin yanı sıra anonimleştirilmesi işlemi de geçerlidir. Kişisel verilerin birtakım eşleştirme ya da başka verilerle değiştirilme suretiyle verilerin gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesine anonimleştirme denir.

Kişisel verilerin anonimleştirilmesi sırasında tercih edilebilecek yöntemler şunlardır:

1. Değişkenleri çıkarma yöntemi

Bu yöntem ile ilgili kişiye ait kişisel verilerin içerisinde bulunan ve kişiyi direkt tespit etmeye yarayacak olan doğrudan tanımlayıcıların bir ya da birkaçı silinir. Böylece kişiye ait kişisel veriler anonim hale getirilebilir. Ayrıca kişisel veri içerisinde veri işleme usullerine uygun düşmeyen bilgilerin bulunması halinde, bu bilgilerin silinmesi amacıyla da değişkenleri çıkarma yöntemi kullanılabilir.

2. Bölgesel gizleme yöntemi

Kişisel verilerin toplu olarak anonimleştirilmiş halde bulunduğu veri tabloları içerisinde, istisna durumda olan bir veri varsa bu veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesine bölgesel gizleme denir. Bu yöntemle kişisel veriler daha az görülebilir kombinasyonlar haline getirilir ve ayırt edici niteliği gizlenerek anonimleştirilir.

3. Genelleştirme yöntemi

Pek çok kişiye ait kişisel verinin bir araya getirilmesi yöntemidir. Bu sayede kişilere ait ayırt edici bilgiler kaldırılır, istatistikî veri haline getirilerek anonimleştirilir.

4. Global kodlama yöntemi

Anonimleştirme için tercih edilen yöntemlerden biri olan bu yöntem, “alt ve üst sınır kodlama” olarak da bilinir. Bu yönteme göre belli bir değişken için o değişkene ait aralıklar belirlenir ve her biri kategorize edilir. Kişisel veri içerisinde bulunan değişkenler eğer sayısal bir değere sahip değilse bu kez birbirine yakın olan veriler kategorize edilir. En son, aynı kategori içinde kalan değerler birleştirilir. Örnek vermek gerekirse, doğum tarihleri yerine kişilerin yaşlarının kategorilendirilmesi ya da açık adres yerine ikamet edilen bölgenin veya semtin yazılması global kodlamaya dahil edilebilir.

5. Mikro birleştirme yöntemi

Bu yöntemin uygulanması için kişisel veriler öncelikle anlamlı bir sıraya dizilir. Daha sonra veri seti kümeleri belirli sayıda alt kümelere ayrılır. Her bir alt küme içerisinde bulunan verilerin sabit bir değişkene göre ortalaması alınarak, belirlenen alt küme değişkeni ile ilk ortalama değer değiştirilir. Bu yöntem ile veri içerisinde yer alan dolaylı tanımlayıcılar bozulmuş olduğu için verinin ilgili kişi ile ilişkilendirilmesi zor hale getirilir.

6. Veri karma ve bozma yöntemi

Veri karma ve bozma yöntemi ile kişisel veriler anonim hale getirilirken, kişisel veri seti içerisindeki dolaylı ve doğrudan tanımlayıcılar başka değerler ile karıştırılır. Bunun yanı sıra bu veriler bozularak ilgili kişi ile ilişkisinin kopması ve tanımlayıcı niteliklerin kaybolması da sağlanabilir.

7. Maskeleme yöntemi

Veri maskeleme yöntemi ile kişisel verinin temel belirleyici bilgisi, veri seti içerisinden çıkarılır. Böylece ilgili kişilere ait kişisel veriler anonim hale getirilebilir.

8. Kayıtları çıkarma yöntemi

Bu yöntem ile kişisel veriler arasında tekillik bulunan veri satırı kayıtları arasından çıkarılır ve veriler anonim hale getirilir.

9. Gürültü ekleme yöntemi

Özellikle kişisel verilerin sayısal niteliğe sahip olduğu durumlarda bu yöntem tercih edilir. Mevcut verilere, belirlenen oranda eksi ya da artı değerler eklenerek veriler anonim hale getirilir. Örneğin, kişilere ait yaş değerlerinin olduğu bir kişisel veri setinde (+/-) 4 yaş sapma oranı uygulandığında, gerçek değerlerin görüntülenmesi engellenmiş olur. Böylece kişisel veriler anonim hale gelecektir. Sapma oranı her değere eşit ölçüde uygulanmalıdır.

Hastanelerde kişisel verilerin saklanması, imhası ve anonimleştirilmesi son derece titizlik isteyen bir çalışmadır. Bu konuda lundodata.com adresi ile iletişime geçebilirsiniz. Veri güvenliği, KVKK eğitimi, VERBİS kayıt desteği gibi konularda da hizmet alabileceğiniz gibi KVKK riskinizi hızlı şekilde test etmek için yine lundodata.com adresinden ücretsiz KVKK Ön Analiz Raporu talep edebilirsiniz.

Daha Fazla Keşfet

güncel haberler

Veri Sorumlusu Avukata 125.000 TL İdari Para Cezası

Ücretsiz Ön Analiz Raporu-KVKK Risk Ölçer
Aşağıda bulunan iki maddeden birisi sizi ilgilendiriyor ise VERBİS’e kayıt olmakla yükümlüsünüz demektir.

Kişisel verileriniz, Aydınlatma Metni kapsamında işlenmektedir. Gönder butonuna basarak Aydınlatma Metnini okuduğunuzu onaylıyorsunuz.

VERBİS Nedir?

VERBİS kayıt desteği için HEMEN başvur!

Kişisel verileriniz, Aydınlatma Metni kapsamında işlenmektedir. Gönder butonuna basarak Aydınlatma Metnini okuduğunuzu onaylıyorsunuz.

İletişim Formu Aydınlatma Metni

Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” kapsamında, veri sorumlusu sıfatıyla Lundo Data tarafından hazırlanmıştır.

Lundo Data Şirketi olarak kişisel verileriniz; hizmet temin süreçlerinin yürütülmesi amacıyla, hukuki yükümlülüğün yerine getirilmesi ve bir hakkın tesisi hukuki sebeplerine dayalı olarak elektronik ortamda başvuru yoluyla otomatik olarak işlenmektedir.

Kişisel verileriniz, açık rıza alınması halinde iş ortaklarına, tedarikçilere, 3. kişilere ve talep edilmesi halinde yetkili kamu kurum ve kuruluşlarına aktarılabilecektir.

Kanunun “ilgili kişinin haklarını düzenleyen” 11 inci maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca Lundo Data Şirketi’ne yazılı olarak veya info@lundodata.com kurumsal elektronik posta adresine iletebilirsiniz.

Lundo-Data-Popup

Lundo Data İle

Şirketini Korumaya Başla!