Yeni anayasa paketi sağlık bilişimine neler getirecek?
Ercan Özçelik
Sentim Bilişim Teknolojileri Genel Müdür Yardımcısı ve Sağlık Sektörü Yöneticisi
Anayasa değişikliğini ve değişen mevzuatlarının sağlık bilişimine etkisini yorumlayan Sentim Bilişim Teknolojileri Genel Müdür Yardımcısı ve Sağlık Sektörü Yöneticisi Ercan Özçelik, kabul edilen bütün maddelerin şüphesiz önemli ve değerli etkilere sahip olduğunu ancak konumuzla yakından ilgili olan bölümün 20. Madde de “Özel Hayatın Gizliği” hakkındaki maddeye eklenen, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” kısmı olduğunu ifade etti. Özçelik, şunları söyledi: “Bu maddenin işaret ettiği pek çok yön olmakla birlikte, biz sadece kişisel sağlık bilgilerine odaklanalım. Sağlık bilişimi ve teknolojisinin en önemli çıktısı sağlık bilgisi veya verisi. Sağlık hizmetinin ana unsuru olan hekim tarafından hasta hakkında bir karar verinceye kadar gerekli olan her türlü inceleme ve araştırma sonucu sağlık teknolojisinin desteği ile derlenir ve anlamlı hale getirilerek hekim dikkatine sunulur. Bu sürece çok çeşitli kişi veya sistemler katkıda bulunabilir. Hastanın ateş veya tansiyonunu ölçen, EKG’sini çeken yardımcı sağlık personelinden, kan değerlerini ölçen gelişmiş laboratvuar cihazlarına veya BT, MR gibi ileri görüntüleme sistemlerine kadar her birimin amacı, doğru tedaviye götürecek doğru teşhis için hekimin yeterince bilgilenmesine imkân sağlamaktır. Hekime kadar olan veri toplama sürecine INPUT diyebiliriz. Bu kısım 1. Sağlık Verisi grubunu oluşturur. Hekim grubunu merkezi işlem birimi, bilişimdeki tabiri ile CPU olarak tanımlayabiliriz. Gelen veriler ve kişisel muayenesi sonucunda hekim tarafından bir teşhis konulur. Bu durumda 2. Sağlık Verisi grubu oluşur. Hekimler tarafından verilen kararın uygulanma şekli ve süreci ise 3. Sağlık Verisi grubudur ki bu süreçte: ameliyatlar, ayakta veya yatarak tedavi şekilleri, tercih edilen tedavi unsurları bulunmaktadır. Bu gruba da OUTPUT diyebiliriz. Her bireyin bu üç grupta dağılan sağlık verileri en özel ve hassas kişisel bilgilerindendir. Tetkik sonuçları, konulan teşhisler, kullanılan ilaçlar gibi her veri türü önemli ve mahremdir.”
Çok önemli tespit ve kurallar
Hiç kimse açıkça gerekli olmadığı halde sağlık durumlarına ait verilerin paylaşılmasını ve isteği dışında bir takım ölçütlere göre sınıflandırılmasını istemez. Bu verilerden yola çıkılarak ticari, siyasi, sosyal, ekonomik süreçlerde kendisine karşı kullanılmasını da istemez. Meşhur bir bilgi olduğu ve yeri geldiği için hatırlatmak uygun olacaktır; ABD Başkanlarının ülkeleri dışındaki ziyaretlerinde biyolojik içerikteki kişisel atıklarının dahi kalması önlenir, ihtiyaçları için özel seyyar WC’ler kullanılır ve dışarıda sağlık hizmeti almadıkları gibi DNA çözümlemesi yolu ile bilgi sahibi olunma riskini bile önlemek isterler. Devlet adamları, tanınmış sanatçı veya iş adamları gibi toplumda bilinen ve merak edilen kişilerinde sağlık bilgileri hep dikkatle izlenmiştir. VIP nitelikli kişiler hakkında daha önce gösterilen bu hassasiyet şimdi anayasamızdaki değişiklikle normal vatandaşlar içinde gösterilmek zorunda. Anayasada artık kesinleşen bir hüküm olduğu için diğer mevzuatta da süratle revizyona gidilmesi gerekmekte. Sağlık Bakanlığı, anayasadaki değişikliği zamanında görerek kendi mevzuatında buna uygun düzenlemelere gitmiştir. 19 Ağustos 2010 tarihinde yayınlanan 2010/61 sayılı Genelge bu açıdan oldukça önemli hükümleri ihtiva etmektedir. Genelgenin 7. Maddesi “Kişisel Sağlık Verilerinin Gizlilik, Güvenlik, Bütünlük, Erişilebilirlik ve Mahremiyetinin Sağlanması” başlığı altında çok önemli tespit ve kurallar sıralamıştır. Bunlar arasında; konunun önemi ve yasal çerçevesinin hatırlatıldığı kısımlar, kişisel sağlık verilerinin kullanılması veya paylaşımındaki temel kurallar ve yüklenicilerle yapılması artık zorunlu tutulan “Gizlilik Sözleşmesi” hakkındaki şartlar bulunmaktadır. Bu genelge ile eş zamanlı olarak yayınlanan bir başka belge ise “Hastane Bilgi Yönetim Sistemleri Alım Kılavuzu (Sürüm 5.1)” dir. Bu belge de anayasa ve diğer mevzuatın paralelinde “Kişisel Sağlık Bilgileri” açısından oldukça hassas bir yaklaşım göstermiştir. “Gizlilik Güvenlik” başlığı altındaki 2.1.32. maddesi: “Kişisel sağlık verilerinin hassas veriler kapsamında olması sebebiyle; İş bırakılırken, kayıtlı tüm veriler hiçbir surette, hiçbir zaman işi bırakan şirkette kalmak üzere kopyalanamaz, çıktı alınamaz, şirket sunucularına aktarılamaz, ifşa edilemez. Aksi davrandığı tespit edilenler hakkında Türk Ceza Kanununun İlgili hükümlerine, ayrıca ihale mevzuatına aykırı davranmaktan dolayı Kamu İhale Mevzuatı hükümlerine göre İdare tarafından Hukuki süreç başlatılır.” 4.8.13. maddesi: “Bilgi sistemleri kapsamında tutulacak her türlü kişisel bilginin gizliliği esastır. Bu amaçla; Kişiler hakkında tutulacak bilgiler gereken en düşük düzeyde tutulmalıdır. Kişisel bilgilerin hizmetin sürdürülmesi ve geliştirilmesi amacı dışında işlenmesi engellenmiş olmalıdır. Sistemde kişisel bilgilerin kurum iş akışını engellemeyecek ancak belirlenen amaçlar dışında kullanımını engelleyecek önlemler olmalı, hasta haklarına riayet edilmelidir” şeklinde ifade bulmuştur.
Kişisel sağlık bilgileri için hassasiyeti göstermeyen kişi ve kurumlar yaptırımlara maruz kalacak
Yukarıdaki belgelerin ikisinde de atıfta bulunulan “Gizlilik Sözleşmesi” taslağında ise baştan sona uyarılar ve yaptırımlar bulunmaktadır. Örnek olarak dikkat çeken 5.8. maddede: “Herhangi bir vatandaşa ait kişisel verileri ile kişisel sağlık verilerinin SGK, kişilerin özel sigorta şirketleri ile yapmış oldukları sözleşme kapsamı ile sınırlı olmak üzere bu şirketler, İl Sağlık Müdürlüğü ya da Bakanlık Merkezi haricindeki sunucu bilgisayarlara kaydedildiğinin bağımsız ve yetkili, en az üç kişiden oluşan bir teknik ekip tarafından tespit edilmesi halinde, yazılım tedarikçisine yazılı tebligatta bulunulur ve mümkün olan en kısa süre içerisinde ihlal şartları ortadan kaldırılarak bu yazılımın kullanımına en kısa zamanda son verilir. Yazılımı kullanan diğer hastanelerin de kullanımına son verilmesi için tespitin yapıldığı yerdeki idare tarafından derhal Sağlık Bakanlığına yazılı bildirimde bulunulur“ şeklinde keskin ifadeler bulunuyor. Bütün gelişmeler, artık hem sağlık hizmet sunucularında hem de iş gereği birlikte çalışılan yüklenici firma veya kurumlarda bilişim yönündeki keyfilik ve rahatlıkların yapılamayacağını, kişisel sağlık bilgileri için gereken hassasiyetİ sağlamayan kişi ve kurumların ciddi yaptırımlara maruz kalacağını göstermektedir. Kurumsal bilgi sistemlerinin sağlıklı kurulması ve bilgi güvenliği açısından gereken önlemlerin alınabilmesinin yolu legal yazılım ve hizmet alımından geçmektedir. Bu açıdan yazılım lisanslarının mutlaka tamamlanması ilgili genelgenin en başında 1. Madde olarak yer almıştır. Lisanslı yazılımın kullanılmadığı ve dolayısıyla gereken bakım ve güncellemelerin yapılmadığı bir bilişim altyapısında bilgi güvenliğinden emin olunması ya ileri derecede ihmal veya bilgisizlikten kaynaklanan saflık olabilir. Sağlık Bakanlığı bu durumun sakıncalarını gördüğü için en başta ifade etme ihtiyacını duymuştur. Kamu kesiminde yazılım lisanslarını almadan kullanmak bazen bir başarı veya kamu yararına bir durum olarak algılanabilmektedir. Buna, kamuya baskı yapılamayacağına olan güven duygusu da neden olabilmektedir. Ancak artık durum değişmiştir. Çünkü, aynı kamu kurumunda kurum yöneticilerinin ihmali nedeniyle alınmayan lisanslar ve bunun sonucunda meydana gelen güvenlik açığı ve sistem çökmelerinde yaşanan maddi (ekonomik verilerin kaybolması veya eksilmesi, gecikilmesi, hizmetin aksaması,) ve manevi (bilgilerin izinsiz dağıtılması, kişisel ve kurumsal itibar kaybı v.b.) kayıpların tespit edilmesi halinde sorumlular hakkında adli ve idari işlem yapılacağı çok net olarak ortadadır. Böyle bir durum yaşandığında lisansların eksik olması bir başarı değil suç unsuru olarak ilgili taraflara zarar veren sonuçlar doğuracaktır.
Kişisel Sağlık Bilgileri bireysel mülkiyet haklarına konu olacak kadar değerli olduğu gibi, sağlık kurumlarındaki işlenmiş veya ham sağlık verileri de entelektüel, stratejik ve ekonomik değeri yüksek kurumsal hazine niteliğindedir. Bu açıdan bakıldığında bu hazineyi işlemeye ve işletmeye talip olan yüklenicilerin artık daha dikkatli, yeterli donanıma sahip ve yüksek kalite döngüsünde hizmet üretebilen kurumlar olması gerekmektedir. İlgili mevzuat ile belirli bir seviye çizgisi çekilmektedir.