A
Admin
Yönetici
Yönetici
Mayıs 2025 itibarıyla, 29 Mart 2025 tarihli Resmî Gazete’de yayımlanan Sağlık Meslek Mensuplarının Serbest Meslek İcrası Hakkında Yönetmelik (bazı kaynaklarda Serbest Çalışma İcrası Hakkında Yönetmelik olarak da anılmaktadır) yürürlüktedir. Bu yeni yönetmelik, belirli sağlık meslek mensuplarına kendi adına özel sağlık birimi açarak serbest meslek icrası yapma imkânı tanırken, aynı zamanda bir dizi yükümlülük de getirmektedir. Özellikle dikkat çeken bir konu, KVKK uyum zorunluluğudur. Peki, bu sağlık meslek mensubu için getirilen Kişisel Verilerin Korunması Kanunu (KVKK) uyum şartı, önceki mevzuata göre gerçekten yeni bir yükümlülük müdür, yoksa zaten var olan bir sorumluluğun teyidi niteliğinde midir? Bu yazıda, yeni yönetmelikle gelen KVKK uyum şartını açıklığa kavuşturuyor; geçmiş düzenlemeler ışığında bunun ne anlama geldiğini ve sağlık meslek mensuplarının nelere dikkat etmesi gerektiğini ele alıyoruz. Yeni Yönetmelikte KVKK Uyum Şartı Nedir? Sağlık Meslek Mensuplarının Serbest Meslek İcrası Hakkında Yönetmelik, serbest çalışan sağlık meslek mensuplarının kuracağı sağlık birimlerinin faaliyet esaslarını ayrıntılı olarak düzenlemektedir. Bu düzenlemeler arasında, hasta kişisel verilerinin korunması konusu açıkça vurgulanmıştır. Yönetmeliğin “Kayıt ve arşiv” başlıklı 18. maddesinde, sağlık meslek mensuplarının tuttuğu kişisel sağlık verilerinin, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun şekilde işleneceği ve merkezi sağlık veri sistemine aktarılacağı belirtilmektedir. Bir başka deyişle, serbest meslek icra eden bir sağlık profesyoneli, hastalarından topladığı her türlü kişisel veriyi KVKK hükümlerine uygun olarak işlemelidir. Yönetmelik, KVKK uyumunu sadece bir genel ilke olarak bırakmamış, aynı zamanda verilerin güvenliği için spesifik gereklilikler de koymuştur. Örneğin, tüm hasta kayıtlarının elektronik ortamda ve Bakanlığın belirlediği sağlık bilgi yönetim sistemi üzerinden tutulması ve arşivlenmesi zorunlu hale getirilmiştir. Ayrıca, tedavi planları ve uygulamalarının elektronik imza ile imzalanarak kayıt altına alınması ve bu kayıtların bütünlüğünün korunması şart koşulmuştur. Veri güvenliği açısından, bilgilerin yetkisiz değiştirilmesini, silinmesini veya üçüncü kişilerce sızdırılmasını önlemek üzere gerekli tüm idari ve teknik tedbirlerin alınması gerektiği vurgulanmıştır. Bu yükümlülükler, KVKK’nın öngördüğü temel prensiplerle uyum içindedir ve sağlık meslek mensuplarının, hasta mahremiyetini ve veri güvenliğini sağlamak için proaktif önlemler almasını zorunlu kılmaktadır. KVKK Uyum Yükümlülüğünün Yasal Dayanağı ve Önceki Durum Bu KVKK uyum şartı ilk bakışta yeni bir düzenleme gibi görünse de, aslında yasal dayanağı yıllar öncesine dayanmaktadır. KVKK, yani 6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde yürürlüğe girmiş olup, o tarihten bu yana kişisel veri işleyen tüm gerçek ve tüzel kişilere çeşitli yükümlülükler getirmektedir. Sağlık alanında işlenen veriler ise KVKK kapsamında özel nitelikli kişisel veri sayılır ve daha sıkı koruma altındadır. Nitekim 2019 yılında Sağlık Bakanlığı tarafından yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik de, sağlık hizmeti sunucularının KVKK hükümlerine uygun olarak veri işlemesi gerektiğini belirlemiştir. Bu mevzuat düzenlemeleri, sağlık sektöründe faaliyet gösteren herkesin –hastane, klinik, muayenehane veya bireysel sağlık meslek mensubu fark etmeksizin– hasta bilgilerinin gizliliğini koruma, hukuka uygun işleme ve güvenliğini sağlama yükümlülüğü olduğunu açıkça ortaya koymuştur. Geçmişte, sağlık meslek mensuplarının bireysel olarak serbest çalışmasına yönelik ayrıntılı bir yönetmelik bulunmadığı için, KVKK uyumu konusu doğrudan meslek özelinde tartışılmamış olabilir. Ancak bu, KVKK hükümlerinin geçerli olmadığı anlamına gelmiyordu. Örneğin, bir klinik psikolog veya fizyoterapist kendi özel ofisinde hizmet sunarken de, KVKK gereği hastalarının kişisel verilerini korumakla yükümlüydü. KVKK’nın 5. ve 6. maddeleri, sağlık verileri gibi hassas bilgilerin ancak kanunun izin verdiği hukuki sebeplerle veya açık rıza ile işlenebileceğini öngörür. Ayrıca KVKK Madde 12, veri sorumlularının uygun güvenlik tedbirlerini alarak kişisel verilerin saklanmasını ve erişimini güvence altına almak zorunda olduğunu belirtir. Dolayısıyla, yeni yönetmelik çıkmadan önce de gizlilik ve veri güvenliği kuralları zaten yürürlükteydi. Yeni Düzenleme ile KVKK Uyum Şartı Gerçekten Yeni mi? Sonuç olarak, Mart 2025’te yürürlüğe giren yönetmelikteki KVKK uyum zorunluluğu, temel olarak yeni bir yükümlülük değildir. Daha ziyade, halihazırda var olan yasal bir sorumluluğun sektörel bazda teyit edilmesi ve detaylandırılmasıdır. Yönetmelik, sağlık meslek mensuplarının serbest meslek icrasında da tıpkı hastane veya tıp merkezleri gibi KVKK’ya uyması gerektiğini netleştirmiş ve bu uyumu sağlamak için izlenecek usulleri somutlaştırmıştır. Örneğin, hasta verilerinin merkezi sağlık sistemine aktarılması ve denetime hazır tutulması şartı, verilerin sadece korunmasını değil aynı zamanda şeffaf bir şekilde izlenebilmesini de amaçlamaktadır. Bu, belki uygulamada yeni bir prosedür getirse de (örneğin bir diyetisyenin, danışan bilgilerinin e-Nabız veya benzeri merkezi sisteme entegrasyonu gibi), özünde KVKK’nın gerektirdiği veri sorumluluğu ilkesinin bir uzantısıdır. Önceki mevzuatta açık bir şekilde yer almasa bile, hasta mahremiyetini koruma yükümlülüğü mesleğin etik ve yasal bir gereği olarak her zaman mevcuttu. Hekimler, hemşireler, diyetisyenler veya psikologlar gibi tüm sağlık meslek mensupları, Hipokrat Yemini’nden meslek etiği kurallarına kadar uzanan bir çerçevede gizliliğe riayet etmek durumundadır. 6698 sayılı Kanun ise bu etik yükümlülüğü yasal bir zorunluluk haline getirerek ihlali durumunda idari yaptırımlar öngörmüştür. Dolayısıyla yeni yönetmelikteki KVKK atfı, “Artık KVKK’ya uymalısınız” demekten ziyade “Elbette KVKK’ya uygun çalışmalısınız ve biz bunu özellikle denetleyeceğiz” demektedir. Bu bakış açısıyla, KVKK uyum şartının yeni bir yükümlülük olmaktan çok, mevcut bir yükümlülüğün pekiştirilmesi olduğunu söyleyebiliriz. Sağlık Meslek Mensupları için KVKK Uyumunda Dikkat Edilecek Hususlar Yeni yönetmelikle birlikte serbest çalışan sağlık profesyonellerine düşen görev, KVKK uyumu konusunda gerekli tüm adımları attıklarından emin olmaktır. İşte sağlık meslek mensuplarının dikkat etmesi gereken yükümlülükler ve öneriler: - Veri Envanteri ve Aydınlatma Yükümlülüğü: İşlediğiniz kişisel verilerin envanterini çıkarın. Hangi hasta bilgilerini topladığınızı, ne amaçla kullandığınızı belirleyin. KVKK uyarınca hastalarınıza bir aydınlatma metni sunarak, verilerinin hangi amaçlarla işlendiğini, kimlerle paylaşılabileceğini ve haklarını bildirin. Bu metin, klinik ortamında görünür bir yerde bulundurulabilir ve hizmet almaya gelen her hastaya sunulmalıdır. - Açık Rıza Gereken Durumlar: Sağlık verileri özel nitelikli kişisel veri olduğundan, kanunun öngördüğü istisnalar dışında işlemek için ilgili kişinin açık rızasını almak gerekir. Tedavi amacıyla ve kamu sağlığının korunması için, aynı zamanda gizlilik yükümlülüğü altında bulunan sağlık personeli tarafından veri işlenmesi KVKK’da rıza aranmaksızın mümkün kılınmıştır. Yine de, tedavi dışında bir amaç (örneğin bilimsel araştırma, pazarlama veya üçüncü taraflarla paylaşım gibi) söz konusuysa mutlaka hasta onamını (rızasını) almalısınız. - VERBİS Kaydı: KVKK kapsamında veri sorumlusu olarak sayılan gerçek veya tüzel kişiler, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt yükümlülüğüne tabidir. Muayenehane veya özel sağlık birimi işleten bir sağlık meslek mensubu, eğer KVKK Kurumu tarafından belirlenen istisna koşulları kapsamında değilse (genel kural olarak, ana faaliyet konusu özel nitelikli veri işlemek olan sağlık hizmeti sunucuları bu istisnadan yararlanamaz), VERBİS’e kayıt olmalıdır. Bu kayıt, işlediğiniz verilerin kategorilerini ve alınan önlemleri beyan ettiğiniz bir bildirim sürecidir. Mayıs 2025 itibarıyla güncel kurallara göre, büyük ölçekli olmayan işletmeler dahi sağlık verisi işledikleri için çoğunlukla bu sicile kayıt yaptırmak durumundadır. Kayıt işlemini KVKK Kurumu’nun online sistemi üzerinden kendiniz gerçekleştirebilir veya gerekiyorsa bu konuda uzman danışmanlık alabilirsiniz. - Güvenli Yazılım ve Merkezi Sistem Entegrasyonu: Yönetmelik gereği, hasta kayıtlarınızı Sağlık Bakanlığı’nın onaylı sağlık bilgi yönetim sistemleri ile tutmanız ve bakanlığın merkezi sağlık veri sistemine entegre olmanız gerekir. Bu, pratikte kullandığınız hasta takip yazılımının Bakanlık standartlarına uygun olması anlamına geliyor. Eğer henüz böyle bir dijital sistem kullanmıyorsanız, Bakanlıkça onaylı (örneğin e-Nabız uyumlu) bir yazılıma geçiş yapmalısınız. Tüm verileri elektronik ortamda güvenli şekilde saklayın ve düzenli yedekleme yapın. Kağıt ortamında tutulan eski kayıtlar varsa, bunların da dijital ortama aktarılıp güvenli arşivleme standardına uygun hale getirilmesi önerilir. - İdari ve Teknik Tedbirler: KVKK uyumu, sadece hukuki metinleri doldurmak demek değildir; fiilen veriyi korumak esastır. Bu yüzden, bilgi güvenliği konusunda güçlü önlemler alın. Örneğin, bilgisayarlarınızda ve mobil cihazlarınızda hasta bilgilerinin başkalarının eline geçmemesi için güçlü şifreler ve mümkünse veri şifreleme yöntemleri kullanın. Yetkisiz erişimi engellemek için hasta kayıt sistemlerinize kimlerin erişebileceğini sınırlandırın. Fiziksel dosyalar tutuyorsanız, kilitli dolaplarda muhafaza edin ve sadece yetkili personelin erişmesine izin verin. Düzenli aralıklarla siber güvenlik önlemlerinizi ve politikalarınızı gözden geçirerek güncelleyin. Unutmayın, yönetmelik açıkça “gerekli idari ve teknik tedbirlerin alınması” şartını getirmektedir. Herhangi bir veri ihlali (örneğin hasta bilgisinin yanlışlıkla ifşası) durumunda, KVKK gereği 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirim yapma zorunluluğunuz olduğunu da hatırlayın. - Eğitim ve Farkındalık: Eğer birden fazla personel çalıştırıyorsanız (örneğin bir klinik diyetisyen yanında asistan bulunduruyorsa), ekibinizin KVKK konusunda eğitimli olmasını sağlayın. Tüm çalışanlar, hasta mahremiyetinin önemi ve veri koruma prosedürleri hakkında bilgi sahibi olmalıdır. Hasta bilgilerinin paylaşımı, elektronik postayla gönderilmesi, sosyal medyada kazara ifşa edilmesi gibi riskli durumlar hakkında personelin farkındalığını artırın. Gizlilik protokolleri oluşturup yazılı hale getirmek ve tüm ekibin buna uymasını temin etmek, ileride doğabilecek ihlalleri engelleyecektir. Sonuç Mayıs 2025’te yürürlüğe giren ilgili yönetmelik ışığında, sağlık meslek mensuplarının KVKK uyum yükümlülüğü bir kez daha gündeme gelmiştir. Değerlendirmemiz göstermektedir ki bu yükümlülük özünde yeni bir kavram olmayıp, 6698 sayılı KVKK’nın 2016’dan beri getirdiği sorumlulukların devamıdır. Yeni yönetmelik, sağlık alanındaki serbest meslek icrasını detaylandırırken, kişisel verilerin korunması konusunu da mesleki faaliyetlerin ayrılmaz bir parçası haline getirmiştir. Sağlık hizmeti sunarken mahremiyetin korunması ve veri güvenliğinin sağlanması, hem yasal bir zorunluluk hem de mesleğin itibarını korumanın temel koşuludur. İlgili yönetmelik, bu konuda uyulması gereken kuralları netleştirerek, sağlık meslek mensuplarına yol gösterici bir çerçeve sunmaktadır. Sağlık Meslek Mensuplarının Serbest Meslek İcrası Hakkında Yönetmelik kapsamında KVKK uyumu, aslında mevcut hukuki zeminin bir parçası olduğu için, bu alanda faaliyet gösterenlerin vakit kaybetmeden gerekli tedbirleri alması ve eksiklerini gidermesi büyük önem taşır. Sonuç olarak, sağlık meslek mensupları yeni dönemde de KVKK’ya uyumlu bir şekilde çalışarak, hem hastalarının güvenini pekiştirmeli hem de yasal sorumluluklarını eksiksiz yerine getirmelidir. Bu süreçte tereddüt yaşanması halinde uzmanlardan danışmanlık almak ve güncel mevzuatı takip etmek de önerilir. Unutulmamalıdır ki, hasta bilgilerinin korunması sadece bir yasal zorunluluk değil, aynı zamanda sağlık sektöründe güven ve kalite standartlarının ayrılmaz bir parçasıdır. Kaynakça: Yeni yönetmelik metni ve KVKK mevzuatı incelenerek derlenmiştir. Yönetmeliğin ilgili maddeleri Resmî Gazete’de yayımlanan metinden alınmıştır. KVKK ile ilgili atıflar, 6698 sayılı Kanun ve Sağlık Bakanlığı’nın kişisel sağlık verileriyle ilgili düzenlemelerine dayanmaktadır. Sağlık meslek mensuplarının uyacağı kuralların özeti, yönetmelik hükümlerinin yorumlanmasıyla oluşturulmuştur. Bu bilgiler profesyonel danışmanlık niteliğinde sunulmuş olup, ihtiyaç halinde ilgili mevzuatın tam metinlerine başvurulması tavsiye edilir. Av. Burçak DALGIÇ