Özel Hastanelerde Sağlık Verilerinin İhlali: KVKK Yaptırımları, İdari Süreçler ve Tazminat Sorumluluğu

Sağlık sektöründeki dijital entegrasyon (HBYS - Hastane Bilgi Yönetim Sistemleri, e-Nabız, tele-tıp uygulamaları), teşhis ve tedavi süreçlerinde operasyonel hız kazandırırken; siber güvenlik zafiyetleri ve personel ihmalleri neticesinde ağır "Veri İhlali" (Data Breach) risklerini de beraberinde getirmektedir. Özel hastaneler, poliklinikler ve tıp merkezleri, bireylerin en mahrem bilgileri olan sağlık verilerini işleyen "Veri Sorumlusu" sıfatıyla kanun koyucu tarafından en üst düzey güvenlik standartlarına tabi tutulmuştur.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) normları ve Kişisel Verileri Koruma Kurulu'nun (Kurul) yerleşik ilke kararları mucibince; sağlık verilerinin hukuka aykırı şekilde işlenmesi, yetkisiz üçüncü şahısların erişimine açılması veya siber saldırılar (Ransomware vb.) sonucu sızdırılması, sağlık kuruluşlarını telafisi güç idari para cezaları ve yüksek meblağlı tazminat davaları ile karşı karşıya bırakmaktadır.

Sağlık Verilerinin Hukuki Statüsü (Özel Nitelikli Kişisel Veri)

KVKK'nın 6. maddesi, kişisel verileri "genel nitelikli" ve "özel nitelikli" olmak üzere ikili bir ayrıma tabi tutmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini inancı, kılık ve kıyafeti, dernek/vakıf üyeliği, ceza mahkumiyeti ve biyometrik verilerinin yanı sıra sağlık ve cinsel hayata ilişkin verileri mutlak surette "Özel Nitelikli Kişisel Veri" statüsündedir.

Bu verilerin işlenmesi (ilgili kişinin açık rızası yahut kanundaki istisnai haller dışında) yasaktır. Bir hastanın laboratuvar sonucunun WhatsApp gruplarında (ilgili hekimler dışındaki personelle) paylaşılması, epikriz raporlarının yetkisiz kişilere teslim edilmesi veya sunucu zafiyeti nedeniyle hasta kayıtlarının (anamnez) sızdırılması; hukuken ağır bir ihlal (TCK m. 136 bağlamında suç) teşkil etmektedir.

KVKK m. 12 Kapsamında Hastanelerin Veri Güvenliği Yükümlülüğü

Hukuk büromuzca yürütülen KVKK danışmanlık süreçlerinde ve Kurul incelemelerinde, veri sorumlusu olan sağlık kuruluşlarının "Siber saldırıya uğradık, kasıtlı bir sızdırma yapmadık" şeklindeki savunmaları hukuken itibar görmemektedir. Zira KVKK m. 12 uyarınca hastane yönetimi;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak amacıyla "uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri" almakla mükelleftir. İhlalin vuku bulması, kural olarak bu tedbirlerin noksan alındığına dair bir kusur karinesi yaratır.

Kurul Denetimlerinde Aranan Temel Teknik ve İdari Tedbirler

Kişisel Verileri Koruma Kurulu, sağlık kuruluşlarına yönelik ihlal incelemelerinde (veya rutin denetimlerde) özellikle şu altyapısal ve hukuki gerekliliklerin varlığını sorgulamaktadır:

• Yetki Matrisi (Authorization Matrix): Hastanede görevli her personelin (sekreter, hemşire, hekim) tüm hastaların verisine erişebilmesi ağır bir zafiyettir. Erişimin "bilmesi gereken (need-to-know)" prensibine ve hiyerarşik yetkiye göre sınırlandırılmış olması şarttır.
• Log (Erişim İz) Kayıtları: Hastanın elektronik dosyasına hangi personelin, hangi tarihte ve saatte erişim sağladığının değiştirilemez (hash'li) şekilde loglanması (5651 Sayılı Kanun gereklilikleri).
• Farkındalık ve Uyum Eğitimleri: Kurum içi ihlallerin (insan hatası, oltalama/phishing saldırılarına kanma) önüne geçmek amacıyla personele verilen KVKK ve Bilgi Güvenliği eğitimlerinin belgelendirilmesi.

Verisi İhlal Edilen Hastaların Maddi ve Manevi Tazminat Hakları

Bir hastanın mahrem sağlık verilerinin (psikiyatri raporları, bulaşıcı hastalık geçmişi, estetik/cerrahi operasyon detayları vb.) yetkisiz üçüncü şahıslara ifşa edilmesi veya internet ortamına sızdırılması, KVKK şikayetinin yanı sıra doğrudan Özel Hukuk (Tazminat Hukuku) mekanizmalarını harekete geçirir.

Türk Borçlar Kanunu (TBK m. 58) ve yerleşik Yargıtay içtihatları çerçevesinde; sağlık verilerinin ifşası, bireyin şeref, haysiyet ve toplumsal itibarını zedeleyici nitelikte kabul edilmekte olup, ihlal mağduru hasta tarafından veri sorumlusu hastane tüzel kişiliğine karşı Asliye Hukuk Mahkemelerinde yüksek meblağlı Manevi Tazminat Davaları ikame edilebilmektedir. Şayet ifşa neticesinde kanıtlanabilir bir ticari veya mesleki zarar (örn: işten çıkarılma) doğmuşsa, Maddi Tazminat talebi de gündeme gelir.

Ankara merkezli Pars Hukuk Bürosu olarak, Bilişim Hukuku ve Sağlık Hukuku disiplinlerindeki entegre yetkinliğimizle; sağlık kuruluşlarının (Hastaneler, Tıp Merkezleri, Muayenehaneler) KVKK Uyum (Compliance) projelerini tesis etmekte ve veri ihlali krizlerinde stratejik hukuki müşavirlik sunmaktayız. Kurum içi VERBİS kayıt süreçlerinin yönetilmesi, aydınlatma ve açık rıza metinlerinin tanzimi, siber ihlal anında KVKK Kuruluna 72 saatlik yasal bildirimlerin gerçekleştirilmesi ve hastalar tarafından yöneltilecek tazminat davalarına karşı hukuki kalkan oluşturulması hususlarında yanınızdayız. Kurumunuzun veri güvenliğini ve ticari itibarını idari/cezai yaptırımlara karşı korumak için iletişim sayfamızdan KVKK uzmanı ekibimize ulaşabilirsiniz.