DERNEKLERi FEDERASYONU

Transkript

1 AiLE HEKiMLERi DERNEKLERi FEDERASYONU Aile Hekimleri ve SağlıkNet2 sistemi

2 Sayı: 142 Tarih: Konu: Aile Hekimleri ve SağlıkNet2 sistemi SAĞLIK BAKANLIĞI TÜRKİYE HALK SAĞLIĞI KURUMU BAŞKANLIĞI NA İlgi: a) 2005/13 sayılı Veri Güvenliği Genelgesi b) 2010/61 sayılı Sağlık Bilgi Sistemleri konulu Genelge c) İMİD Başkanlığı nın tarih ve sayılı AHBS Programları hk konulu yazısı d) 2011/45 sayılı Aile Hekimliği Bilgi Sistemi konulu Genelge e) Sağlık Bilgi Sist. Genel Müd tarih ve 700/1855 sayılı SağlıkNet2 ye geçiş konulu yazısı Federasyonumuza bağlı İl Derneklerimizden, sahada görev yapan Aile Hekimlerinin birçoğunun yapmış olduğu iş ve işlemlerin kullanmakta oldukları Aile Hekimliği Bilgi Sistemi (AHBS) yazılımları aracılığı ile Bakanlığımız bilgisayarlarına elektronik ortamda gönderilmesinde sorunlar yaşadıkları yönünde geri bildirimler alınması üzerine tarafımızdan teknik ve hukuki incelemeler yapılmış olup bazı hususların Başkanlığınıza ve sahada görev yapan Aile Hekimlerine duyurulması gerektiği kanaatine varılmıştır. 1) 5258 sayılı Aile Hekimliği Kanunu 1.Maddesinde yer alan Bu Kanunun amacı; birinci basamak sağlık hizmetlerinin geliştirilmesi, birey ihtiyaçları doğrultusunda koruyucu sağlık hizmetlerine ağırlık verilmesi, kişisel sağlık kayıtlarının tutulması ve bu hizmetlere eşit erişimin sağlanması amacıyla aile hekimliği hizmetlerinin yürütülebilmesini teminen görevlendirilecek veya çalıştırılacak sağlık personelinin statüsü ve malî hakları ile hizmetin esaslarını düzenlemektir. hükmü gereğince kişisel sağlık kayıtlarının tutulması Aile Hekimliği Hizmetleri arasında yer almaktadır. Bu nedenle Aile Hekimleri Birimlerine kayıtlı vatandaşların kişisel sağlık kayıtlarını Bakanlığımızın belirlediği standartlar çerçevesinde kayıt altına almak ile hükümlüdürler. 2) Aile Hekimliği Uygulama Yönetmeliğinin 26. Maddesi 2. fıkrasında Kayıtlı kişi sayısı, yapılan hizmetlerin listesi, muayene edilen ve sevk edilen hasta sayısı, kodları ile birlikte konulan teşhisler, reçete içeriği, aşılama, gebe ve lohusa izlemi, bebek ve çocuk izlemi, aile plânlaması ve bulaşıcı hastalıklar ile ilgili veriler ve Bakanlık tarafından belirlenen benzeri veriler evrak kayıt kriterlerine göre belirli aralıklarla düzenli olarak basılı veya elektronik ortamda Bakanlığa bildirilir. ve 27. Maddesi 4., 5. ve 6. fıkralarında Aile hekimlerinin, lisans hakları Bakanlığa ait olan veya Bakanlıkça belirlenip ilan edilen, standartlara haiz bir aile hekimliği bilgi sistemi yazılımı kullanmaları şarttır. Aile hekimleri, bakmakla yükümlü olduğu vatandaşlara ait bilgi sisteminde tuttuğu tüm verilerin ilgili mevzuatı çerçevesinde gizliğini, bütünlüğünü, güvenliğini ve mahremiyetini sağlamakla yükümlüdür. Herhangi bir vatandaşa ait kişisel veriler ile kişisel sağlık verileri, müdürlük ya da Bakanlık haricindeki herhangi bir kayıt ortamında (bilgisayar, harddisk, cd, dvd, yazılı doküman gibi) yüklenici firma tarafından kaydedilemez. Bu durumun tespiti halinde bu yazılımın kullanımı iptal edilir. hükümleri yer almaktadır. İlgili yönetmelik maddelerinde belirtilen verilerin evrak kayıt kriterleri ve Bakanlığa gönderilme süreleri, Aile Hekimliği Bilgi Sistemi standartları ve veri güvenliği ve mahremiyeti konularında Aile Hekimlerine net bilgiler verilmediği gibi herhangi bir eğitim de verilmemiştir. Hastanelerde bu işlemler konu hakkında Önceki Sayfa Aile Hekimleri Dernekleri Federasyonu Atatürk Bulvarı N: 143 / 3 Kızılay - Ankara Telefon : Faks :

3 eğitim görmüş teknik personel tarafından takip edilmekte iken Birinci Basamakta tüm sorumluluk eğitim dahi verilmeden Aile Hekimlerine yüklenmiştir. Hatta vatandaşlarımıza ait kişisel verilerin Müdürlük veya Bakanlık haricindeki herhangi bir kayıt ortamında saklanması yasak olmasına rağmen yıllarca topuk kanı, gebe ve bebek bildirimi başta olmak üzere vatandaşlarımıza ait birçok bilgi sunucuları yurtdışında olan ücretsiz elektronik posta şirketleri tarafından Aile Hekimlerine ulaştırılmıştır. Bakanlığımızca başta ilgi (a) sayılı Genelge de yer alan hususlar olmak üzere veri güvenliği konusunda Aile Hekimlerine, Aile Sağlığı Elemanlarına, Toplum Sağlığı Merkezi ve Halk Sağlığı Müdürlüğü çalışanlarına eğitim çalışmalarının başlatılmasının gerektiği düşünülmektedir. 3) İlgi (b) sayılı Genelge de yer alan hususlar hakkında Aile Hekimlerine herhangi bir bilgi ve eğitim verilmemiştir. Birçok Aile Hekimi bilgisayarlarının başta elektronik saldırılara karşı olmak üzere nasıl koruma altına alınması gerektiği yönünde bilgi sahibi değildir. 4) Aile Hekimlerinin yerel veritabanları her an kötü niyetli kişilerce değiştirilmeye müsait bir yapıdadır. Bu nedenle hukuki açıdan Aile Hekimlerinin korunabilmeleri için en kısa sürede tüm verilerini Bakanlığımız bilgisayarlarına göndermek zorundadırlar. Ancak bu konuda Aile Hekimlerine bilgi ve eğitim verilmemiştir. Öte yandan Aile Hekimlerinde yerelde tutulan kayıtların hukuken geçerli olabilmesi için mutlak surette Elektronik İmza ile kayıt altına alınmış olmaları gerekmektedir. Ancak bu şekilde Aile Hekimlerimizin haricinde yapılan değişikliklerin ispatlanma şansı bulunmaktadır. Başbakanlık tarafından TBMM e tarihinde 1/836 Esas numarası ile sevk edilen Kamu Hizmetlerinin Hızlandırılması Amacıyla Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına dair Kanun Tasarısı nın 2. Maddesi ile 1219 sayılı Tababet ve Şuabatı San atlarının Tarzı İcrasına Dair Kanunun 72. maddesinde 1219 sayılı Tababet ve Şuabatı San atlarının Tarzı İcrasına Dair Kanunda belirtilen protokol defterinin elektronik ortamda tutulabilmesine imkan sağlanmıştır. gerekçesi ile meslek ve sanatlarını serbest olarak icra eden sağlık personeli, sağlık hizmeti verdikleri hastaların kimlik bilgileri ve hastalıklarıyla ilgili kişisel verileri kaydetmek üzere, Sağlık Bakanlığınca düzenlenip il sağlık müdürlüklerince tasdik olunan bir protokol defteri tutmaya mecburdur. Protokol defteri, güvenli elektronik imza kullanılarak elektronik ortamda tutulabilir. Bu durumda protokol defterinin oluşturulması için toplanması gereken kişisel veriler, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuatta belirtilen tedbirler alınarak korunur. Protokol defterinin elektronik ortamda tutulmasına ilişkin usul ve esaslar, 15/1/2004 tarihli 5070 sayılı Elektronik İmza Kanunu ve ilgili ikincil düzenlemeler göz önüne alınarak Sağlık Bakanlığınca yönetmelikle belirlenir şeklinde düzenleme planlanmaktadır. Yine aynı Kanun Teklifinin 28. Maddesinde 5070 Sayılı Elektronik İmza Kanunu ile güvenlik elektronik imzaya hukuki bir geçerlilik kazandırılmış, böylece kişilerin ve kurumların elektronik ortamda hukuken geçerli bilgi ve belge oluşturmalarının önü açılmıştır. Ancak farklı taraflar arasında hukuken geçerli bir şekilde belge paylaşımının hali hazırda kanuni bir dayanağı bulunmamaktadır. ibaresi yer almaktadır. Bakanlığımızın söz konusu Kanun teklifinin yeni yasama döneminde yasalaşması için gerekli girişimlerde bulunması ve Aile Hekimlerimize elektronik imza tahsis çalışmalarının hızlandırılmasının hayati öneme sahip olduğu kanaatindeyiz. Önceki Sayfa Aile Hekimleri Dernekleri Federasyonu Atatürk Bulvarı N: 143 / 3 Kızılay - Ankara Telefon : Faks :

4 5) ilgi (c) tarih ve sayılı yazıda AHBS yazılımları ile Labratuarların entegrasyonunun sağlanması gerektiği belirtilmesine rağmen geçen sürede birçok ilde gerekli çalışmalar yapılmamıştır. 6) ilgi (d) sayılı Genelge ile AHBS firmalarına Bakanlığımız bazı gizlilik şartları getirmiş olup bu konu ile ilgili olarak sözleşme yapma şartı getirmiştir. Ancak AHBS firmalarına Aile Hekimlerine destek şekli ve kalitesi, eğitim ve Bakanlığımız tarafından yapılan veri gönderim şekli ile mevzuat değişikliklerinin hangi sürede yazılımlara yansıtılacağı yönünde herhangi bir şartname ve yaptırım getirilmemiştir. AHBS firmalarının Aile Hekimlerine sundukları hizmetlerin asgari şartlarının tespiti için Bakanlığımız desteğinde Federasyonumuz olarak bir çalışma yapma talebimiz bulunmaktadır. 7.) İlgi (e) tarih ve sayılı yazıda AHBS ve SağlıkNet in SağlıkNet2 çatısı altında birleştirildiği ve bu yeni sistemin 1 Ağustos 2012 tarihinde devreye alınacağı, geçiş sürecinde sıkıntı yaşanmaması için Aile Hekimlerinin her türlü sağlık verilerini tarihi saat 23:59 a kadar göndermeleri gerektiği, ülke genelindeki her türlü sağlık verisinin USVS2.0 a göre toplanacağı ve AHBS firmaları tarafından tarihine kadar yapılması gereken entegrasyonun Aile Hekimleri tarafından kontrol edilmesi gerektiği belirtilmektedir. Söz konusu yazının ekinde de entegrasyon işleminde uyulması gereken bir takvim süreci belirtilmektedir. Ulusal Sağlık Veri Sözlüğü (USVS) ve içerisinde tanımlanan Minimum Sağlık Veri Setleri de Bakanlığımızın bilgiye dayalı bir yönetim anlayışının temelini oluşturan yapıtaşlarıdır. Bakanlığımız, Minimum Sağlık Veri Setleri ile veri toplama disiplinini değiştirmiştir. Nitekim şimdiye kadar kullanılmakta olan ve içerisinde çoğunlukla veri değil, verilerden elde edilmiş bilgiler içeren, aralarında ortak bir standart bulunmayan ve yeniden kullanımları oldukça zor olan formlar yerine doğrudan bilgiye ulaşmada kullanacak verileri Minimum Sağlık Veri Setleri formunda toplayıp, zaman içinde değişen ihtiyaçlara göre bu verilerden bilgi ve anlam çıkarmayı benimsenmiştir. Hatta bu yeni prensip, Aile Hekimliği uygulamasında hayata geçirilerek e-sağlık projesinin ilk adımı atılmıştır. Ulusal Sağlık Veri Sözlüğü, Bakanlığımızın hemen her biriminin önemli katkılarıyla oluşturulmuş önemli bir ortak akıl ve koordinasyon ürünüdür. Ancak ürünün hazırlanmasında veri toplayacak Aile Hekimlerinin herhangi bir görüşü alınmadığı gibi herhangi bir bilgilendirme de yapılmamıştır. Son 8 ayda Aile Hekimlerinin karşılaştıkları ve uyum sağlamak zorunda kaldıkları birçok yeni görev ve uygulama bulunmaktadır. Aile Hekimlerimiz bu süreçte yeteri kadar bilgilendirilmedikleri için büyük motivasyon kaybına uğramışlardır. Başkanlığınızdan yukarıda zikredilen hususların değerlendirilerek gerekli işlemlerin yapılması, Aile Hekimlerinin uyum sağlayabilmeleri amacı ile gerekli bilgilendirme ve eğitim çalışmalarının yapılması ve Temmuz-Ağustos-Eylül-Ekim ayları için Aile Hekimlerinin negatif performans uygulamalarından muaf tutulmaları hususlarında; Gereğini arz ederim. Dr. Murat GİRGİNER AHEF Yönetim Kurulu Adına Başkan Önceki Sayfa Aile Hekimleri Dernekleri Federasyonu Atatürk Bulvarı N: 143 / 3 Kızılay - Ankara Telefon : Faks :

5 T.C. SAĞLIK BAKANLIĞI Bilgi İşlem Daire Başkanlığı Sayı : B100BİDB Konu: Veri Güvenliği 07/10/2005 GENELGE 2005/153 Bakanlığımıza bağlı tüm kurum ve kuruluşlar ile merkezdeki bilgi sistemi uygulamalarının yaygınlaşması veri ve bilgi güvenliği açısından bazı problemleri de beraberinde getirmektedir. Son dönemde, özellikle yataklı tedavi kurumlarımızdan ve buralardaki veritabanından çeşitli veri ve bilgi talepleri giderek artmakta, bu durum gerek kişisel bilgilerin gerekse kurumsal bilgilerin gizlilik ve mahremiyeti açısından sakınca oluşturmaktadır. Özellikle hasta ve hastalık kayıtlarının gizlilik ve mahremiyeti önem arz etmektedir. Sosyal Güvenlik Kurumları dışında hiçbir kurum ya da kişiye hastanın kimlik bilgilerine ulaşmayı mümkün kılacak veri kümesi ve/veya bilginin verilmemesi, bilgi işlem personelinin bu konuda bilgilendirilmesi, hasta kayıtlarının tutulduğu ana sunucu ve uç bilgisayarların yetkilendirme dahilinde kullandırılması, gizlilik ve mahremiyete aykırı uygulamalara mahal verilmesi bakımından gerekli tüm tedbirlerin alınması ve konunun bağlı tüm kurum ve kuruluşlara duyurulması hususunda; Veri güvenliği konusunda daha detaylı bilgi için ekte verilmiş olan Kişisel Sağlık Kayıtlarının Güvenliği Politikası bütün sağlık çalışanları ve bilgi işlem sorumlularınca birebir tatbik etmeleri hususunda; Gereğini önemle rica ederim. EK: Kişisel Sağlık Kayıtlarının Güvenliği Politikası (2 Sayfa) Prof. Dr. Necdet ÜNÜVAR Bakan a. Müsteşar DAĞITIM: 81 İl Valiliğine Önceki Sayfa Mithatpaşa Cad. 3 D Blok, Kat Sıhhiye-Ankara Ayrıntılı bilgi için irtibat:ahmet ÖZÇAM Tel: (0312) Faks: (0312) e-posta:bidb@saglik.gov.tr Elektronik ağ:

6 T.C. SAĞLIK BAKANLIĞI Bilgi İşlem Daire Başkanlığı Sayı : B100BİDB KİŞİSEL SAĞLIK KAYITLARININ GÜVENLİĞİ POLİTİKASI 1.0 Amaç Bu politikanın amacı Sağlık Bakanlığı bütün kurum ve kuruluşlarının (merkez ve taşra teşkilatları, hastaneler, sağlık ocakları, aile hekimleri vs.) hasta sağlık bilgisinin mahremiyeti hususunda uyulması gereken kuralları tanımlamaktır. Hasta kaydı bilgisi kapsamına, hasta ile ilgili sözlü bilgi, yazılı bilgi, tıbbı müdahaleler, ön tanı, teşhisler, grafik imajları, fatura gibi konular girmektedir. 2.0 Kapsam Bu politika Sağlık Bakanlığı bütün kurum ve kuruluşları (merkez ve taşra teşkilatları, hastaneler, sağlık ocakları, aile hekimleri vs.) çalışanlarını kapsamaktadır. 3.0 Politika 3.1 Genel Kurallar Bütün kişisel ve kurumsal bilgilerin (klinik, idari, mâli vb.) güvenliğinin sağlanması için aşağıda belirtilen hususlara dikkat edilmelidir. Veri güvenliği konusunda üç temel prensibin göz önüne alınması gerekmektedir. Bunlar; gizlik, bütünlük ve erişilebilirliktir. Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. Hasta taburcu olmuş ise hiçbir kurum çalışanı hastanın sağlık kayıtlarına erişemez. Hastanın rızası olmadan hiçbir çalışan sözle de olsa hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. Hasta sağlık bilgileri ticari amaçlı olarak da üçüncü şahıslara iletilemez. Hastanın kullandığı ilaçlar, diyet programları vs. buna dahildir. Hasta dosyasının bir kopyası hastaya teslim edilmelidir. Hiçbir hasta kaydı, elektronik veya kağıt ortamında [Bakanlığımızın bu konularda çıkardığı genelgeler hariç] hiçbir kuruma veya üçüncü şahıslara sözlü veya yazılı olarak teslim edilemez. (Yürürlükteki genelgelere göre Hasta Sağlık bilgilerini Sosyal Güvence Kurumları (Bağkur, SSK, ES, GSS) elde edebilir. Özel sigorta kurumları hastanın sağlık bilgilerini elde edemez. Hastanın dosyasının izlenmemesi için gerekli tedbirler alınmalıdır. [Hasta dosyalarının gelişigüzel ortada bırakılmaması, bilgisayar ekranının başkalarınca okunabilecek şekilde bırakılmaması gibi] Telefon ile konuşurken hasta ile ilgili mahrem bilgilerin üçüncü şahısların eline geçmemesine azami özen göstermelidir. Bütün hasta sağlık sağlık kayıtları fiziksel olarak korunmuş mekanlarda saklanmalıdır. Elektronik hasta kayıtlarına internet ortamından erişim mümkün olmamalıdır. Hasta sağlık bilgileri bilginin üretildiği kurum tarafından veya Bakanlığımızın Bilgi Yönetim sistemleri tarafından araştırma, istatistik ve Karar Destek Sistemleri için kullanılabilir. Bu durumda hasta sağlık bilgisi hasta tanımlayıcısı ile ilişkilendirilemez. Önceki Sayfa Mithatpaşa Cad. 3 D Blok, Kat Sıhhiye-Ankara Ayrıntılı bilgi için irtibat:ahmet ÖZÇAM Tel: (0312) Faks: (0312) e-posta:bidb@saglik.gov.tr Elektronik ağ:

7 T.C. SAĞLIK BAKANLIĞI Bilgi İşlem Daire Başkanlığı Sayı : B100BİDB Sistem Güvenliği Veriye erişirken dört temel prensibin gerçekleştirilmesi gerekmektedir. Bunlar; İzlenebilirlik, kimlik sınama, güvenirlik ve inkar edilememedir. Sağlık kurumları bünyesinde hasta tanımlayıcı olarak TC Kimlik numarası baz alınacaktır. Veri tabanlarında hiçbir zaman hastalık tanısı ile TC kimlik numarası eşleşmeyecek, TC kimlik numarasından tek yönlü algoritma ile türetilmiş özel bir tanımlayıcı numara kullanılacaktır. Bilgi sistemlerinde güvenlik veriye erişim bazında olacaktır. Bunun için bu sistemin özellikle yazılım ve veritabanı erişim katmanlarında özel uygulamalar oluşturulacaktır. Veriye erişecek kişiler aşağıdaki şekilde tanımlanmıştır. o Hasta kendi verisine online olarak hiçbir zaman erişmemelidir. o Bir Aile hekimi ancak kendisine kayıtlı olan hastaların elektronik sağlık kayıtlarına erişebilmelidir. o Hastanedeki yetkilendirilmiş sağlık çalışanları ise, ancak hastanın giriş tarihinden, taburcu olana kadar geçen zaman içerisinde ve ancak hasta kendisi ile ilgili sağlık kayıtlarının erişimine yazılı olarak onay vermiş ise hastanın elektronik sağlık kayıtlarına erişebilirler. Ve bu da geçici bir süreliğine olacaktır. Sistem yöneticilerine de bir güvenlik katmanı konulacaktır. Bunun için veritabanı yazılımının gelişmiş güvenlik yönetimi özellikleri kullanılacaktır. Gerektiğinde saat ve/veya gün bazında belirlenen bir sure için bazı kullanıcı ve istemci makinelerin sisteme oturum açmalarına kısıtlama getirilebilmelidir. Aynı kullanıcı kodu ile aynı anda birden fazla oturum açılmasına izin verilmemelidir. Eğer hasta, herhangi bir sağlık çalışanının elektronik sağlık kayıtlarına erişmesini istemiyorsa,sağlık çalışanı ilgili dosyayı okuma hakkına kavuşamamalıdır. Fakat sağlık çalışanı muayene sonuçlarını hastanın veri tabanına aktarabilmelidir. Bu diğer doktorlar tarafından yazılan kayıtlara erişilmemesi için kullanılan metottur. Sadece yetkisi olan kullanıcılar için veri girişi ve/veya verinin elde edilmesi için erişim izni verilmelidir. Birçok kullanıcının veri tabanında sadece belirli bir veri setine erişim yetkisinin denetlenebilmesini sağlamak için çok katmanlı denetim mekanizmaları olmalıdır. Veri tabanında tutulacak verilerin tutarlılığı tam ve kesin bir şekilde sağlanmalıdır. Bunu sağlamak için en azından, veri onay (validation), çapraz sorgulama (cross-checking) ve mükerrer kayıt önleme gibi ölçütler uygulanmalıdır. Yönetimsel analizler yapmak için veri tabanındaki veriler bir yerden başka bir yere aktarılırken, kayıtlarda bulunan kişisel kimlik tanımlayıcıları kayıtlardan çıkartılmalı ve analizler hasta ile hastalık bilgilerini eşleştirmeden yapılmalıdır. Kullanıcı aktiviteleri (yapılan tüm işlemler ve erişimler) izlenebilmelidir. Veri tabanı üzerinde yapılan şüpheli işler denetlenebilmelidir. Sistemin hem etkin bir şekilde yönetilmesi, hem de yetkisiz erişimlerin engellenmesi ve izlenmesi anlamında gelişmiş bir kontrol mekanizması olmalıdır. Sistem, hangi kullanıcının sistemin hangi kısmına ne zaman ve nereden eriştiğine dair (zaman damgası-date stamp, işlem, kullanılan istemci bilgisayar tanımı gibi bilgileri de içeren) kayıt tutmalıdır. Önceki Sayfa Mithatpaşa Cad. 3 D Blok, Kat Sıhhiye-Ankara Ayrıntılı bilgi için irtibat:ahmet ÖZÇAM Tel: (0312) Faks: (0312) e-posta:bidb@saglik.gov.tr Elektronik ağ:

8 T.C. SAĞLIK BAKANLIĞI Bilgi İşlem Daire Başkanlığı Sayı : B100BİDB Sistem yöneticilerinin kimlik tanımlama ve doğrulaması için X.509v3 uyumlu sayısal sertifikalar kullanılmalıdır. Sayısal sertifikaların güvenli depolaması için akıllı kartlar veya usb token cihazları kullanılmalıdır. Sertifika tabanlı kimlik doğrulama yapılmadığı halde password ve hash tabanlı kimlik doğrulama yapılacaktır. Sistemlere erişim için tek yönlü şifreleme algoritmaları kullanılacaktır. Kurum içerisinde veya Kurum ile başka ağlar arasındaki tüm haberleşme şifreli yapılmalıdır. Bütün iletişim VPN ve Açık Anahtar Alt Yapısı (PKI) teknolojilerini kullanmalıdır. Önceki Sayfa Mithatpaşa Cad. 3 D Blok, Kat Sıhhiye-Ankara Ayrıntılı bilgi için irtibat:ahmet ÖZÇAM Tel: (0312) Faks: (0312) e-posta:bidb@saglik.gov.tr Elektronik ağ:

9 Önceki Sayfa

10 Önceki Sayfa

11 Önceki Sayfa

12 Önceki Sayfa

13 Önceki Sayfa

14 Önceki Sayfa

15 Önceki Sayfa

16 Önceki Sayfa

17 1. TANIM ve KAPSAM T.C.SAĞLIK BAKANLIĞI BİLİŞİM SİSTEMLERİ GİZLİLİK SÖZLEŞMESİ İşbu sözleşme, T.C. Sağlık Bakanlığı (bundan böyle Bakanlık olarak anılacaktır) ile yazılım üreticisi... (bundan böyle Firma olarak anılacaktır) arasında 2 (iki) asıl nüsha olarak düzenlenmiştir. İş bu sözleşme, veri/bilginin bulunduğu ortamdan bağımsız olarak gizliliğini sağlamak konusunda Bakanlık ile Firma nın karşılıklı sorumluluk ve haklarını tanımlar. İş bu sözleşme Bakanlığın çalışanları da dahil ve bunlarla sınırlı olmamak üzere Bakanlık için doğrudan ya da dolaylı hizmet eden tüm personeli, danışmanları ve diğer yetkilileri tarafından Firmaya temin edilen veya Firmanın temin ettiği kişi ve bilgileri de kapsar. 2. GİZLİ BİLGİNİN TANIMI Gizli bilgi, çalışma ile ilgili olanlarla sınırlı olmamak üzere Firma tarafından edinilen her türlü bilgiyi ifade eder. Buna göre işbu sözleşmede Gizli Bilgi; 2.1. Yürürlükteki mevzuat ve iç düzenlemeler uyarınca Bakanlık ve personeli tarafından gizli tutulması gereken elektronik ortamdaki veya kağıt ortamdaki resmi ya da özel her tür bilgi, belge, veri ve kayıtları, uygulama yazılım kodları, veri tabanı şemaları ve bunlarla ilgili dokümantasyonu, 2.2. İşbu sözleşme kapsamında doğrudan ya da dolaylı, sözlü veya yazılı şekilde elde edilen veya elektronik ortamda bulunan resmi ya da özel, teknik, mali, hukuki, idari her türlü bilgi, belge ve veri kayıtları, 2.3. Sözleşmeler, taahhütnameler ve saire her türlü hukuki evrakı, 2.4. Projeyle ilgili doğrudan ya da dolaylı, elektronik ortamda olan ya da olmayan her türlü bilgi belge ve veri kayıtlarını, 2.5. Firmanın ulaşabildiği bilgiden yeni derlenmiş bilgileri, 2.6. Bunun yanında sözlü, yazılı, grafiksel veya bilgisayar ortamında okunabilecek türde fakat henüz yayımlanmamış, kamuya duyurulmamış yönetsel kararlar ya da gizli tutulan her türlü belirleme, tasarım, planlama, çizim, bilgi, buluş, oluşum, metot, süreç, prosedür, geliştirme, know-how, araştırma, iş planı, strateji, finansal bilgiyi, 2.7. İşbu Sözleşmenin imzalanmasından önce veya sonra Tarafların birbirinden, temsilcilerinden, çalışanlarından, yardımcılarından ve ilgili diğer üçüncü kişilerden yazılı veya sözlü olarak edindikleri, gizli olduğu açıkça ifade edilen veya edilmeyen, İş le ve Taraflarla ilgili ticari olup olmadığına bakılmaksızın her türlü kişisel veriyi, 2.8. Veri öznelerine ya da yasal vasi/vekillerine ait kişisel sağlık verilerini ve iletişim bilgilerini 2.9. İş in yapılması sırasındaki yazışmaları, Sistemde yer alan ürün, yazılımlar ve yazılımlara ait ticari sır niteliği taşıyan bilgileri, Sisteme kaydedilen her türlü veri/bilgiyi Tersine Mühendislik(reverse engineering) yöntemleriyle elde edilecek veri/bilgiyi ifade eder. 1 Önceki Sayfa

18 3. GENEL ŞARTLAR 3.1. Tüm sistemlerin (yazılımlar dahil) Sağlık Bakanlığı nın bilgi güvenliği politikalarına ve kişisel verilerin mahremiyetinin korunması ile ilgili mevzuata uygun olması şarttır Sistemde kullanılacak sunucular (server), Bakanlığın belirlediği sunucu ortamlarında ve belirlediği şartlara uygun ortamlarda konumlandırılacaktır. Kişisel sağlık verileri özel niteliği olan veri kategorisinde yer almaktadır. Bu nedenle bu sözleşme kapsamında, Bakanlık veya Bakanlığın onayladığı ortamlarda bulunan veri tabanı dışında hiçbir veri tabanı yönetim sistemine kişisel sağlık verileri başta olmak üzere hiçbir kişisel veri, (otomatik olup olmadığına bakılmaksızın) gönderilmez ve kaydedilemez Sunuculara kaydedilen kişisel sağlık verileri, ancak Bakanlıkça istenilen sunuculara aktarılabilir. Bu aktarma, mutlak olarak güvenli şekilde yapılacaktır Sisteme erişim denetimi, kullanıcı tanımlama ve yetkilendirme işlemleri tümüyle Bakanlığın yetkisindedir. Aile hekimleri, aile sağlığı elemanları ile bu sistemin bakım ve onarımında görevli personel ancak görevlerinin gereği kadar sistemdeki verilere ulaşabilirler. Bu kimseler, tanımlı kullanıcı olarak anılacak olup; tanımlı kullanıcıların Bakanlıkça tespiti ve belgelendirilmesi gereklidir Erişim yetkisi verilenler ve Firma, Sistemde, vatandaşlara ait veriler dahil tüm verilerinin gizlilik, bütünlük, güvenlik ve mahremiyetini sağlamak bakımından ilgili tüm mevzuat ile genel toplumsal değerlere aykırı hiçbir işlem tesis edemez Kullanılacak yazılımların kod yapısında, sisteme kaydedilen verilerin bir başka ortama kopyalanmasına, aktarılmasına neden olabilecek kod dizgesi ve/veya servis yer alamaz Sistem, doğrudan ya da dolaylı olarak rekabeti ortadan kaldıran belli bir ürün (ilaç, tıbbi malzeme, vb) ya da hizmete yönlendirici, reklam amaçlı unsurlar barındıramaz Sistem aracılığıyla; Bakanlığın yetki ve bilgisi haricinde web servisleri, web siteleri, e- posta, sabit diskler, taşınabilir diskler, kağıda yazdırılmış veri ve bilgiler vb aracılığıyla ya da sözlü olarak Bakanlığın denetiminde olan sunucu bilgisayarlar haricinde başka sunucu bilgisayar(lar)daki veri tabanı yönetim sistemlerine, görevi gereği bu verilere erişim hakkı bulunan gerçek ya da tüzel kişiler haricindeki diğer kişilere kimlik ve kişisel sağlık verilerinin aktarılması ve/veya kaydedilmesi yasaktır Herhangi bir vatandaşa ait kişisel veriler ile kişisel sağlık verilerinin Bakanlığın onayladığı sunucu merkezindeki sunucular haricindeki başka bir ortama kaydedildiğinin tespit edilmesi halinde, Firma ya herhangi bir ihtarda bulunulmaksızın sistemin kullanımına derhal son verilir Kişisel verilerin ve kişisel sağlık verilerinin; otomatik olsun veya olmasın toplanması, kaydedilmesi, organize edilmesi, depolanması, uyarlanması veya değiştirilmesi, geri erişimi, konsültasyonu, kullanılması, iletim yoluyla açıklanması, yayılması veya diğer herhangi bir şekilde kullanılır halde bulundurulması, sıralanması veya kombinasyonu, bloke edilmesi, silinmesi veya yok edilmesi veri işleme olarak kabul edilecektir. Hukuka aykırı olarak kişisel verilerin işlenmesi hâlinde gerekli hukuki işlemler başlatılacaktır Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesi ve/veya ifşası halinde Firma, tazminat sorumluluğunu kabul eder. Gizlilik ihlali halinde Bakanlık, söz konusu sistemin kullanımdan kaldırılması için her tür haber verme ve duyuru yolunu kullanabilir Firma, veri tabanında yer alan hiçbir kayıt üzerinde hak iddia edemez Yazılım, kullanıcılarına, sağlık hizmeti sunumunun sürekliliğinin sağlanması, iyileştirilmesi ve geliştirilmesi amacını aşan ve bilimsel literatür haricinde kalan hiçbir veri sunamaz, öneride bulunamaz Sistemde tutulan veriler, anonimleştirilmiş olsa bile doğrudan ya da dolaylı olarak hiçbir surette ticarete konu edilemez. Haksız rekabete sebep olacak çalışmalarda kullanılamaz Firma, sahip olduğu her türden kullanıcı hesap bilgilerini korumakla ve 3. Kişiler ile paylaşmamakla yükümlüdür. 2 Önceki Sayfa

19 3.16. Firma projenin veri güvenliğini sağlamakla yükümlüdür Firma kendi personeliyle (ve varsa alt yüklenicisi ile) gerekli gizlilik sözleşmesini imzalamakla yükümlüdür. Firma alt yüklenicilerinin her türlü hukuka aykırı fillerinden Bakanlığa karşı Firma sorumludur Bakanlık veya sağlık kurum ve kuruluşları için ister internet ortamında, ister masa üstü ve ister diğer ortamlarda yapılan çalışmalarda verilerin depolandığı veya uygulamaların sunulduğu sistemlerde sunucular Bakanlık Merkezinde, İl Sağlık Müdürlüklerinde, Hastanelerde ya da Bakanlığın belirlediği veya onayladığı fiziki mekânlarda konumlandırılacaktır Sistemde yer alan sunuculara yapılacak her türlü müdahale ve yedekleme Bakanlık, İl Sağlık Müdürlüğü, Hastane, Laboratuvar gibi kurumların kendi Sunucu Sorumluları gözetiminde ve izniyle yapılacaktır Bu sözleşmede belirtilen şartlar, felaket ve acil durum merkezleri ve bu merkezlerde bulunan sunucular için de geçerlidir Bilişim projeleri kapsamında hizmet tedarikçisi ve ekipmanları tarafından oluşturulan verilerden her ne amaçla olursa olsun hizmet tedarikçisi için yeni veri üretilemez Sağlık Hizmeti sunum kalitesinin ve performansının artırılması amacıyla başka bir sistem ile entegrasyonun gerekli olduğu durumlarda gizliliği sağlamaya yönelik teknik ve idari tedbirler alınmak suretiyle bu entegrasyon gerçekleştirilir Bakanlık herhangi bir zamanda herhangi bir sıklıkta güvenlik testleri yaptırabilir ve tespit edilen açıklar bu sözleşme kapsamında Firma tarafından derhal ve bila bedel giderilir. 4. MÜLKİYET HAKKI Bakanlık tarafından işbu sözleşme uyarınca Firma ya sağlanan gizli bilgiyi Firma, kullanma izni çerçevesinde veya başka suretle herhangi bir lisans, marka, patent ya da buna benzer bir fikri mülkiyet hakkı tesisine konu edemez. Söz konusu bilgi üzerinde mutlak mülkiyet hakkı Bakanlığa aittir. Dolayısıyla, İdare tarafından Gizli Bilgi nin Firma ya sağlanması, hiçbir surette Firma ya böyle bir hak sağlamaz. Bakanlık yazılımların lisans haklarının korunması konusunda 5846 Sayılı Kanun gereklerine uygun hareket eder. 5. SÖZLEŞMENİN FESHİ Aşağıdaki hallerde bu gizlilik sözleşmesinin bağlı olduğu ana sözleşme ve diğer sözleşmeler başka bir hükme, ihtara, ihbara gerek olmaksızın bozucu şartla kendiliğinden sona erer. Ancak bu Gizlilik Sözleşmesi nden doğan yükümlülükler hiçbir surette sona ermez Her tür gizli bilginin Bakanlık ya da Bakanlığı Temsile Yetkili Kurum haricinde diğer 3. Kişiler ile paylaşımı veya 3. Kişiler tarafından sunuculardan alınması Firmanın sorumluluğu kapsamında olan kullanıcı erişim bilgilerinin ve kullanıcı bilgilerinin paylaşılması veya paylaşılmasına olanak tanınması Gizli bilginin, konumlanma merkezi ya da Bakanlık ya da Bakanlığı Temsile Yetkili Kurum un talebi dışında başka bir ortama gönderilmesi veya depolanması Kullanıcı şifrelerinin ve bilgilerinin başkaları tarafından kullanılması. 3 Önceki Sayfa

20 6. SAİR HÜKÜMLER 6.1. Bakanlığın, ortaya çıkan ihtiyaçlar doğrultusunda bu sözleşmeye ek bir Gizlilik Sözleşmesi yapmak istemesi halinde, durum gerekçeleriyle birlikte Firmaya/Firmalara bildirilir. Bu bildirimde, tespit edilen aksaklık veya ihtiyacın aciliyetine göre Firmaya/Firmalara Bakanlıkça belirlenen süre kadar mehil verilir. Firmanın/firmaların, haklı bir sebep olmaksızın ek sözleşmeyi kabul etmediği durumda, Tespit olunan aksaklık veya istenilen düzeltme: a) Veri güvenliği gibi önemli hususlara taalluk ediyorsa derhal hizmet ya da ürün sözleşmesi feshedilir. b) Esaslı unsurlara taalluk etmiyorsa sözleşme döneminin sonunda hizmet veya ürün sözleşmesi yenilenmez. Her iki durumda da Firmaya/Firmalara verilen güvenlik kodu iptal edilir Firmanın güvenlik kodunun iptal edilmesi, daha önce edindiği bilgilerin gizliliğini muhafaza yükümlülüğünü ortadan kaldırmaz ve süre sınırı getirmez Firma nın bu sözleşmede belirtmiş olduğu adres akdi tebligat adresi olup bu adrese yapılacak tebligatlar iade olsa bile yapılmış sayılır Tarafların isim ve unvanlarının ve iş bu sözleşmeyi imza etmiş yetkililerinin değişmesi, bu sözleşmeden doğan yükümlülükleri ortadan kaldırmaz Bu sözleşmeden doğacak anlaşmazlıklarda Ankara icra daireleri ve mahkemeleri yetkilidir Anlaşmazlıklarda münhasıran Türkiye Cumhuriyeti Kanunları uygulanır Bu sözleşmenin örneği, taraflardan birinin diğerinden yazılı talebi halinde aslının aynı olduğu onaylanarak talep eden tarafa teslim edilir. Tarih: T.C. SAĞLIK BAKANLIĞI adına Yetkilinin Unvan/İsim/ Kaşe/İmza FİRMA adına Yetkilinin Unvan/İsim/ Kaşe/İmzası Tebligat Adresi: Tebligat Adresi: Firmanın Tam Adı: Yardım Masası İletişim Bilgileri: 4 Önceki Sayfa

21 Önceki Sayfa

22 Önceki Sayfa