“GÜVENLİ LİMAN KURALLARI”
KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN KURALLAR
Kişisel verilerin gizliliğinin sağlanması için tüm tedbirler alınacak ve aktarma güvenli bir şekilde gerçekleştirilecektir. Kişisel veriler hangi yolla aktarılıyor ise o aktarma yoluna ilişkin tüm yeterli güvenlik önlemlerinin alınması gerekir.
1.1 FOTOKOPİ /TARAMA YOLU İLE AKTARILAN KİŞİSEL VERİLER
Fotokopi ve tarama cihazları mümkün olduğunca hastalardan ve ziyaretçilerden uzak yerlerde olmalı ve güvenli alanda olduğu teyit edilmelidir. Yazıcıların güvenli yazdırma özelliği etkin olmalı ve tarayıcı ve fotokopi makinesinde işlem bittikten sonra içinde evrak unutulmamalıdır. Personel yazıcıdan evrak gönderirken ya da tarayıcıyı kullanırken doğru yazıcıyı seçtiğini tekrar kontrol etmelidir. Tarayıcıdan sisteme taranan kişisel verilerin şifrelenmesi ve güvenli bir ağda tutulması sağlanmalıdır.
1.2 E-POSTA YOLU İLE GÖNDERİM
E-posta yolu ile gönderilen e-mailler mutlaka güvenli bir ağdan gönderilmeli, şifrelenmelidir. Sadece kurumsal e-posta adresi uzantılı mail adreslerinden kişisel veriler gönderilebilir. Personel kendisine ait olan şahsi e-posta adreslerini kullanmayacaktır. Kullanıldığı taktirde personel hakkında gerekli disiplin işlemleri yapılır ve güvenli bir ağdan gönderilmeyen kişisel veri için ihlal bildirimi için KVKK’ya başvurulur. Başvurma şartları için www.kvkk.gov.tr adresinden ayrıntılı bilgi alınabilir.
Otomatik olarak şifrelenemeyen gönderimler manuel olarak şifrelenecektir.
E-posta gönderimi yurtdışı veri aktarma kurallarına tabidir ve veri aktarma kuralları gereği gönderilen ülkenin güvenli ülkeler listesinde olup olmadığı Kurum’un internet sitesinden her defasında kontrol edilmelidir.
1.3 KLİNİK VE AMELİYATHANELERDE AKTARMA VE İŞLEME
Klinik amaçlar için hastanın medikal görüntüleri alınabilir ve bu görüntülerin alınması için hastanın açık rızası gerekmemektedir. Bu görüntülerden kasıt ultrason, tomografi cihazları tarafından çekilen görüntüler ve buna benzer görüntülerdir. Tedavinin amacı ile ilgili olmayan görüntüler için hastanın mutlaka açık rızası alınmalıdır. Hastanın tedavisi sonlandıktan sonra ilgili görüntüler başka bir amaçla kullanılacak ise mutlaka hastanın açık rızası alınmalıdır. Görüntülerin saklandığı cihazlar internete bağlı olduğu taktirde güvenli bir ağa bağlı olup olmadığı kontrol edilmeli ve bu cihazların bağlı olduğu ana cihazların da güvenliği yüksek düzeyde sağlanmalıdır. Cihazların bulunduğu bölgeler de fiziki olarak güvenli bölge olmalı ve cihazlarda yer alan fotoğrafların yetkisiz kişilere erişimi kapatılmalıdır. Gerektiğinde şifrelenmeli ve hangi hastaya ait olduğunun anlaşılmaması için gereken önlemler alınmalıdır.
1.4 HASTANIN VERİLERİNİN ARAŞTIRMA FAALİYETLERİ YA DA KONGRELER KAPSAMINDA KULLANILMASI
Hastanın medikal görüntüleri ve kişisel verileri sadece tedavi amaçlı kullanılabilir. Tedavinin dışında kullanılacak olduğunda mutlaka hastanın açık rızasının alınması gerekir. Hastanın açık rızasının alınmasına gerek duyulmayan tek durum hasta verilerinin anonimleştirilip, hastanın verisi olduğunun anlaşılmadığı hallerdir. Hasta açık rıza kullanamayacak durumda ise hastanın veli/vasi ya da yasal temsilcisi açık rıza iradesini kullanabilir.
1.5 SOSYAL MEDYA ARAÇLARI YOLU İLE AKTARIM
Hasta verileri, hastanın açık rızası olmaksızın asla sosyal medya içeriğinde kullanılamaz. Sosyal medya kullanımı, hastanenin kendi yönettiği sosyal medya platformları olabileceği gibi, dijital dergiler, tıp dergileri vs. olabilir. Hastanın görüntüsünün ya da hastalığına ilişkin verilerin reklam, pazarlama ya da hastanenin tanıtımı için herhangi bir nedenle kullanılması ancak hastanın bu konuda alınmış açık rızası ile mümkündür.
Hasta açık rızasını tek taraflı olarak her zaman geri alabilir. Rıza geri alındığı tarihten itibaren geçersiz hale gelir ve ilgili görüntünün sosyal medyadan kaldırılması gerekir.
1.6 HASTA VERİLERİNİN DİĞER TIBBİ KURULUŞLARA AKTARILMASI
Hasta verileri diğer sağlık kuruluşlarına aktarılırken öncelikli olarak aydınlatma metnine bakılmalıdır. Aydınlatma metninde hasta verilerinin diğer sağlık kuruluşlarına ya da hastanın tedavi göreceği diğer hastaneye aktarılabileceğine ilişkin hüküm bulunduğu taktirde hastanın açık rızası alınmaksızın diğer sağlık kuruluşuna aktarılabilir. Ancak aktarmada şunlara da dikkat edilmelidir;
Aktarılan sağlık kuruluşunun KVKK kapsamında uyum çalışmalarını tamamlayıp tamamlamadığı,
E-posta yolu ile gönderilecek verilerde güvenli bir e-posta kullanıp kullanmadığı, e-posta uzantısının kurumsal olup olmadığı,
Teknik ve idari tedbirleri alıp almadığı, (özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli güvenlik önlemlerine ilişkin rapor istenmeli)
Yeterli önlemleri aldığına dair taahhütname sunup sunmadığı,
Hususları da gözden geçirilir.
2.BİLGİ PAYLAŞIMI
2.1 YATAN HASTALARIN KİŞİSEL VERİLERİNİN PAYLAŞILMASI
Yatan hastaların kişisel verileri sadece bir sistemden atadıkları hasta yakını ile sınırlı konularda paylaşılabilir. Ziyaretçilerle oda numaraları personel tarafından paylaşılamaz. Bu konuda ziyaretçilerin hasta ya da hasta yakını ile iletişime geçmeleri beklenir.
Mahkeme tarafından ya da polis tarafından yatan hastanın kişisel verileri talep edilirse, diğer üçüncü kişi hastaların kişisel verilerin gizliliğinin ihlal edilmemesinde gereken özen gösterilir.
2.2 HASTA VERİLERİNİN PAYLAŞILMASI
Diğer tüm paylaşma kuralları yanında, telefon yolu ile hastanın verilerinin paylaşılması sistem güvenliği açısından sakıncalı görülmektedir. Personel, arayanın hastanın kendisi olup olmadığını bir takım güvenlik soruları ile teyid edecektir. Hastaya ilişkin bir kod var ise, hastanın hastaneyi son ziyaret ettiği tarih ve saati, hangi doktora muayene olduğu, ödemede kullandığı kredi kartı mevcut ise son 4 hanesi gibi veriler ile kimlik doğrulama yapmalıdır. Personel hastanın kendisi olmadığı kanaatine vardığında hasta bilgilerini paylaşmamalıdır. Kimlik doğrulandığında da sınırlı bilgi paylaşımı yapılacak ve ayrıntılı bilgi paylaşımı için hastanenin ziyaret edilmesi istenecektir.
2.3 ÇOCUKLARIN KİŞİSEL VERİLERİNİN PAYLAŞILMASI
Çocukların kişisel verileri ile ilgili KVKK’da açık bir düzenleme olmasa da hastanemiz 16 yaş altında bulunan çocukların kişisel verilerini yasal temsilcilerine ve ebeveynlerine, ebeveynleri olmadığı taktirde mahkeme tarafından atanmış olan yasal temsilciye açıklayabilir. Çocuk velayet altında bulunduğu durumlarda velayet kararını elinde bulunduran ebeveyne açıklamak ve aydınlatma yükümlülüğünü ya da açık rıza alınacak durumlarda açık rıza metnini imzalatmak yeterlidir.
Hastanın kişisel verilerinin yüzyüze işleme dışında bir yöntemle işlenmesi durumunda hastaya mutlaka hastane personeli kendisinin hastane adına aradığını uygun yöntemlerle aktarmalıdır. www.esnafhastanesi.com adresinde yer alan “Aydınlatma Metni” ve “Kişisel Verilerin Korunması Politikası’nı” ziyaret etmesini sağlamalı ve Hastanenin KVKK biriminden de ayrıntılı bilgiyi alabileceğini hatırlatmalıdır.