SAĞLIK HİZMETLERİNDE KİŞİSEL VERİ TOPLANMASI HAKKINDA TPD HASTA MAHREMİYETİ GÖREV GRUBU RAPORU

Transkript

1 SAĞLIK HİZMETLERİNDE KİŞİSEL VERİ TOPLANMASI HAKKINDA TPD HASTA MAHREMİYETİ GÖREV GRUBU RAPORU Tüm sağlık ve sosyal güvence kurum ve hizmetleri tek çatı altında; SGK da toplanmıştır. Bu aşamadan sonra 2006 yılından itibaren her kişinin SGK nın katkı sağladığı sağlık hizmeti verildiğinde, bilgileri elektronik ortamda SGK ya gönderilmeye başlanmıştır. Bu program MEDULA olarak bilinmete olup 2012 yılından beri de e-reçeteye geçilmiş ve SGK- Sağlık Kurumları-Eczaneler arasında dijital ağ oluşturulmuştur. SGK ile anlaşması olmayan sağlık kurumları ve SGK nın sözleşmeye yanaşmadığı muayenehaneler bu ağın dışındayken 663 sayılı KHK nin 47. maddesine dayanılarak bu yerlerden de tüm hasta verilerinin Sağlık2 Net adlı programla Sağlık Bakanlığına gönderilmesi zorunlu kılınmış ancak Anayasa Mahkemesinin ilgili maddeyi anayasaya aykırı bulması nedeniyle süreç ertelenmiştir. Bu kez yeni bir torba yasa ile; 6495 Sayılı Kanunun 1. maddesiyle iptal edilen madde 2 Ağustos 2013 de tekrar yasalaşmış olup uygulmaya başlanması beklenmektedir. Kişisel Verilerin Tek Merkezde Toplanması Neden Gerekli Görülüyor Sağlık hizmetinin tüm aşamalarında hasta ve tedavi verilerinin-bilgilerinin kayıt altına alınması birçok açıdan gerekli olduğu savunulmaktadır. Bu güne dek bu bilgiler tedavinin sürekliliğinin yanı sıra bilimsel ve istatistiksel değerlendirmeler için de önemli kaynak işlevi görmüş, toplum sağlığına önemli katkılarda bulunmuştur. Ayrıca kayıtlı bilgiler hukuksal durumlarda belge işlevi özelliğini de üstlenmiştir. Sağlık Bakanlığı bu verilerin toplumun ve bireylerin sağlık istatistiklerinin çıkrılması, sağlık politikaları oluşturulması ve kişisel sağlık kartlarına bilgilerin yüklenerek zaman ve para israfının engellenmesinin amaçlandığını bildirmektedir. Kişisel Veriler ve Yasal Haklar Anayasa nın 20/3 maddesine göre, Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. Anayasa nın 20. maddesine, tarihinde yürürlüğe giren 5982 sayılı Kanunun 2. maddesi ile eklenen 3. fıkra ile "kişisel veriler" net bir şekilde özel hayatın gizliliği ve korunması hakkının kapsamına alınmış, daha da önemlisi kişisel verilerin gizliliği ve korunması hakkının varlığı tanınmıştır. Oysa bugünkü uygulamada sağlık hizmeti alan kişilerin çoğu verilerinin, verilerin hizmet aldıkları yer dışında toplanıp kayıt altına alındığının farkında değildir. İnsan Hakları Avrupa Sözleşmesi nin özel ve aile hayatına saygı hakkı başlıklı 8. maddesinin 1. fıkrasına göre, Herkes, özel ve aile hayatına, konutuna ve yazışmalarına saygı gösterilmesi hakkına sahiptir. Bu hükümde geçen özel hayata saygı hakkı, beraberinde kişisel verileri de kapsamaktadır. Maddenin 2. fıkrasında, sınırlama sebepleri ile bunların kişisel verilerin gizliliği ve korunması hakkı yönünden nasıl uygulanacağı tanımlanmıştır. Dünya Hekimler Birliği 2005 Santiago Hasta Hakları Bildirgesinin giriş bölümünde Sağlık hizmeti veren hekimlerle öteki kişi veya kurumların bu hakları tanıma ve destekleme

2 konusunda ortak sorumlulukları bulunmaktadır. Yasama, hükümetlerin eylemleri veya herhangi başka bir yönetim veya kurum, hastaları bu haklarından yoksun bıraktığında, hekimler bu hakların güvenceye alınması ya da yeniden sağlanması için uygun yollara başvurmalıdırlar düşüncesini açık olarak belirtmiştir. Avrupa Birliği Hasta Haklarına İlişkin Avrupa Statüsü (Ana Sözleşmesi - Roma, Kasım 2002) Temel Dokümanında yer alan 14 maddelik hasta haklarının 6. Maddesinde Özel ve Gizlilik Hakkını; Her birey kişisel bilgilerinin; sağlık durumu, yapılan teşhis ve tedavi konularında bilginin yanı sıra teşhis ve tedavi yapılırken veya özel ziyaretlerinin gizliliğinin muhafazası hususunda, gizli tutulmasını talep etme hakkına sahiptir. Bireyin sağlık durumuna veya ona uygulanan tıbbi/cerrahi tedaviye ilişkin bilgi ve veriler gizli olmalı ve öyle muhafaza (korunmalıdır) edilmelidir. Tıbbi/cerrahi müdahale sırasında bile kişisel gizliliğe saygı gösterilmeli, yani uygun ortamda yapılmalı ve gerçekten orada bulunması gerekli olan kişiler (hastanın onayı veya özel bir talebi olması durumları hariç) nezdinde yapılmalıdır. şeklinde tanımlanmıştır de Washington da yapılan Dünya Hekimler Birliği (DHB) Genel Kurulu nda kabul edilen bildirgede Kişisel sağlık bilgileri, kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş tüm bilgilerdir olarak tanımlanmıştır. Her türlü kayıtta olduğu gibi elektronik sağlık kaydında da (ESK) kişisel sağlık verilerinin gerçek sahibi kişidir. Kişinin sağlık hizmeti aldığı kurumlar açısından sağlık hizmetini veren kurum ya da kişi (hekim) olma durumu kişisel sağlık verilerinin üzerinde sahip olma hakkını oluşturmaz. Çünkü sağlık hizmeti gerek kişinin doğrudan kendi ödemesi sonucu gerekse de vergilendirme yöntemi ile sunulmuş olsun her iki durumda da kurumsal haklar kişisel hakların önüne geçemez, aksine kurumlar ya da doğrudan sağlık hizmeti sunan hekimler bu bilgilerin korunması yönünde kişinin hakları açısından birinci derecede sorumludurlar. Dünya Hekimler Birliği 2005 Santiago Hasta Hakları Bildirgesinin gizlilikle ilgili 8. maddesi Hastanın sağlık durumu, tıbbi durumu, tanısı, prognozu, tedavisi ve kişiye özel diğer tüm bilgiler ölümden sonra bile gizli olarak korunmalıdır. Ayrıcalıklı olarak hasta yakınlarının kendileri ilgili sağlık risklerini öğrenmeleri açısından bu bilgilere ulaşabilme hakkı olabilir saptamasını yapmaktadır. Kişisel veriler acısından sağlık sektöründe uygulanan prensipler genel prensiplere paraleldir. European Guidance for Healthcare Proffessionals on Confidentiality and Privacy in Healthcare (Avrupa Sağlık Hizmetlerinde Özel Yaşam ve Gizliliği için Sağlık Çalışanları Rehberi) nde ve diğer uygulamalarda kişisel verilerle ilgili aşağıdaki hususlara dikkat çekilmiştir: Hastanın bilgilendirilmesi: Veriler sadece belli bir amaç için toplanabilir. Bu amaç ayrıntılı bir şekilde tanımlanmalı ve verisi işlenecek olan kişiye açık biçimde bildirilmelidir. Onam alınması: Hasta bilgisinin tedavi dışında ikincil amaçlar için işlenmesi, kullanılabilmesi ve olası sonuçları için hasta veya hukuki temsilcisinden onay alınmalıdır. Kişiler verilerinin işlenmesine izin verirken özgür iradeleriyle kararlarını vermelidir. Herhangi bir hizmetin alınması sırasında, hizmeti alan kişinin başka bir seçeneğinin olmaması durumunda, başka ifadeyle tek hizmet sunucu varsa özgür irade ile karar verilmesinden söz edilemez. Seçim hakkı: Kişiler, kişisel verilerinin toplanması veya toplanmaması ve üçüncü kişilerle paylaşılması veya paylaşılmaması konularında seçim hakkına sahip olmalıdır.

3 Hasta kimliğinin gizlenmesi ve anonimleştirme: Hasta bilgisi sadece kullanım amacı hasta kimliğiyle eşleştirme gerektirdiği durumlarda kimlik bilgisini içermelidir. Bunun dışındaki durumlarda hasta kimlik bilgisinin korunması için gerekli önlemler alınmalıdır. Bilgi açıklamasını gerektiren durumlar: Sağlık çalışanları bilginin açıklanması gerekleri (ki bu gerekler hastanın sağlığının iyileştirilmesi ile de ilgili olabilir) ile hasta hakları arasındaki dengeyi değerlendirebilmek için ulusal düzenleme ve hukuki gerekler hakkında bilgi sahibi olmalıdır. Güvenlik: Toplanan verilere yönelik güvenlik tehditlerine karşı en gelişmiş güvenlik önlemleri alınmalı ve uygulanmalıdır. Güvenlik açısından gizlilik önemli olup sağlık çalışanları gerekli politika ve protokolleri uygulayarak hasta bilgilerinin gizliliğini sağlamalıdır. Ayrıca sağlık çalışanı telefon, e-posta ve faks gibi kanallarla hasta bilgilerini hastalara, onların refakatçilerine ve hukuki temsilcilerine, meslektaşlarına hasta bilgisi aktarırken güvenliğin diğer önemli bir unsuru olan mahremiyeti de göz önünde bulundurarak dikkatli hareket etmelidir. Üçüncü kişilerle verilerin paylaşımı, ancak iletilen tarafın da uygun veri koruma prensiplerini uygulaması durumunda söz konusu olmalıdır. Erişim ve düzeltme: Kişiler kendileriyle ilgili bilgilere erişme, bu bilgileri düzeltme ve bloke etme hakkına sahip olmalıdır. Biyoloji ve Tıbbın Uygulanması Bakımından İnsan Hakları ve İnsan Haysiyetinin Korunması Sözleşmesi, 9 Aralık 2003 tarihinde sayılı Resmi Gazete'de yayınlanarak yürürlüğe girmiş ve iç hukuk düzenlemesi haline gelmiştir. Bu sözleşmenin 10.maddesine göre: Herkes, kendi sağlığıyla ilgili bilgiler bakımından, özel yaşamına saygı gösterilmesini isteme hakkına sahiptir. Uygulanan Sağlık Veri Sistemleri ve Sakıncaları Medula, GSS ile sağlık tesisleri arasında, sağlık tesislerinin iç süreçlerine müdahale etmeksizin fatura bilgisini elektronik olarak toplamak ve hizmetlerin ödemesini gerçekleştirmek için oluşturulmuş bütünleşik sistemdir şeklinde tanımlanmış olsa da kapsadığı bilgiler açısından çok kapsamlı verilere sahip durumdadır. Sosyal Güvenlik Kurumunun yanı sıra Sağlık Bakanlığı da kendine bağlı ya da denetiminde bulunan sağlık kurumlarından birçok form ile hastaların kişisel bilgileri ile birlikte sağlık verilerini toplamaktadır. Muayenehanelerde hekimler kişisel olarak hasta kayıt ve verilerini kendi olanakları ölçüsünde tutmakta ve bu bilgiler kendisinde kalmaktadır. Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü, Saglik.NET i; Sağlık kurumlarında elektronik ortamda üretilen verileri, doğrudan üretildikleri yerden, standartlara uygun şekilde toplamayı, toplanan verilerden tüm paydaşlar için uygun bilgiler üreterek birinci, ikinci ve üçüncü basamak sağlık hizmetlerinde verim ve kaliteyi arttırmayı hedefleyen, entegre, güvenli, hızlı ve genişleyebilen bir bilgi ve iletişim platformu olarak tanımlamaktadır. Sağlık.NET veri sistemi, SGK ile sözleşmesi olmayan özel sağlık kuruluşlarını, muayenehaneleri, cezaevi hekimliklerini, aile hekimliği birimlerini de kapsayacak şekilde genişletilmiş ve Sağlık.NET 2 ismini almıştır USVS 2.0 adıyla anılan, 531 sayfadan ve 65 adet veri setinde istenen bilgiler içinde; Kişinin sosyodemografik bilgileri dışında; Hamilelik testleri, Özürlülük durumu, Alkol-madde-sigara kullanımı,

4 Gelir durumu, Ailesinde intihar girişimi, Cinsel partner bilgileri, Mahkumiyet/tutukluluk durumu yaş arası kadınların, doğum, düşük türü ve sayıları, Kadın sağlığı işlemleri, Kullanılan aile planlaması yöntemi, Gebelik tespiti sonuçları, Son adet tarihi, Babanın kan grubu, Gebe olduğu tespit edilmiş olsun ya da olmasın, doğum ya da düşükle sonuçlanan tüm gebelikler ve daha pek çok bilgi yer almaktadır. Türkiye yönünden iç hukukta beklenen düzenleme Kişisel Verilerin Korunması Hakkında Kanun Tasarısı ismiyle hazırlanmış ve 2008 yılında TBMM Başkanlığı na gönderilmiştir. (Halen sırasını beklemektedir!) Veri korumasında genel kabul gören temel uluslararası metinlere paralel hazırlanan Kanun tasarısında kişisel veri; Bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. şeklinde tanımlanmaktadır. Avrupa İnsan Hakları Mahkemesi, kişisel mahiyetteki verilerin Avrupa İnsan Hakları Sözleşmesi nin 8. maddesinde düzenlenen özel hayatın gizliliği kapsamında değerlendirilmesi gerektiğini söylemektedir. Dolayısıyla bu kayıtların tutulması, özel hayatın gizliği hakkının sınırlandırılması anlamına gelmektedir. Sağlık2 Net sistemi henüz kıstlı bir alanda işlemesine karşın sadece Medula sisteminden kaynaklanan özel yaşamın dokunulmazlığının ihlaline ilişkin örnekler yaşanmıştır. Verilerin sakıncaları ve olası riskleri aşağıda özetlenmiştir: -Hasta mahremiyetinin ortadan kalkması ve kişilerin maddi, manevi ve sosyal yönden zarar görmesi olanaklıdır. -Görev grubumuzun oluşturulmasına neden olan gelişme; yerel emniyet müdürlüklerinin hastanelerden madde bağımlısıs ve şizofren hastaların bilgilerinin 2011 yılında istenmesi olmuştur. Bu şekilde psikiyatrik hastaların fişlenmek istenmesi, potansiyel suçlu olarak damgalanmasının söz konusu olduğu görülmektedir. Sağlık kurumları ve SGK nın bu bilgileri emniyet birimlerine ve kendilerince uygun gördükleri kurumlara aktarmaları olanaklı görünmektedir. -Kişisel verilerin güvende olduğuna ilişkin bakanlık savunması geçersizdir: Bel ağrısı yakınmasıyla sağlık kurumuna başvuran hastayı aynı gün medikal malzeme satan firmanın telefonla arayıp korse pazarlamsı sıradan olaylardandır. -Gazetelere yansıyan habere göre; ev telefonu aranan aileye bekar kızlarının TC kimlik numarası söylenerek hamilelik takibi için aile hekimine gitmesi gerektiği bildirilmiştir. -Kolay erişilen bu veriler nedeniyle kişilerin sigortacılık, sağlık, ticaret ve iş hayatında haksız işlemlere tabi tutulabilmesi mümkündür. - Aynı nedenle kişilere ait özel bilgilerin kişilerin izni olmadan çeşitli ortamlarda ifşa edilebilecektir. -Bilgilerde başkaları tarafından istenmeyen izinsiz değişimlerin yapılabilmesi olasıdır. -Sisteme güven duygusundaki azalmaya bağlı hastanın bilgilerini saklaması ve tedavinin bu durumdan etkilenmesi söz konusudur. Bu da özel sağlık kurumu ve

5 muayenehaneleri sır saklama konusunda güvenilir bulan hastaların tedaviden kaçınmasına yol açabilecektir. -Toplanan verilerin metalaştırılarak alınıp, satılabilir hale gelmesi ve de amaç dışı kullanım başlıkları altında sayılabilir. -Bu sorun ülkemize has değildir: Almanya da hasta bilgilerinin bir Amerikan piyasa araştırma şirketine satıldığı öğrenildi. Der Spiegel dergisinin konuyla ilgili haberine göre merkezi Münih te bulunan Eczane Bilgi Merkezi VSA hastaların eczanelerden reçeteli satın aldıkları ilaçlar ile ilgili bilgileri hasta bilgileri yeterli derecede şifrelenmeden piyasa araştırma şirketlerine satıyor. Bu bilgilerin müşterileri arasında 100 ün üzerinde ülkede faaliyet gösteren Amerikan IMS Health gibi sağlık alanında çalışan şirketler bulunuyor. -Bir kadının vajinismus nedeniyle tedavi gördüğü kurumdan tedavi kayıtlarını isteyen eşi, kurumdan red yanıtı alınca tanıştığı bir eczacıdan eşinin muayene kayıtlarını elde etmesi çarpıcı bir insan hakkı ihlali örenğidir. -Başka br örnek; bir babanın kızına talip olan gencin kişisel verilerine tanıdık bir eczacı aracılığıyla ulaşarak, bipolar duygudurum bozukluğu tanısı olduğunu öğrenmiş olmalarıdır. -SGK toplanan verileri Data-Med adlı şirkete satmış, basına yansıması üzerine verilerin anonimleştirilerek satıldığına ilişkin açıklama kamu oyunu ve hekimleri tatmin etmemiştir. -Veriler çeşitli kademelerde bilgi işlemcilerden sağlık çalışanlarına kadar ulaşılabilecek durumdadır. Bir hastanenin hasta başvuru memuru dilediğine, x adlı ünlü veya y adlı kişinin madde bağımlılığı veya cinsel sorunu nedeniyle tedavi edildiğini söyleyebilir. -Verilerin tam koruma altında olmadığı bilinmektedir ki; bakanlar, milletvekilleri, savcılar ve yargıçlara e-reçetede olduğu gibi istisna getirilmesi planlanmaktadır. Sonuç ve Öneriler Hekimin doğru bir teşhis koyabilmesi için, hastanın herhangi bir çekince hissetmeden, yaşadıklarını, gördüklerini, bildiklerini, hekime açıklaması gerekir. Hastanın bu açıklamayı rahatça yapabilmesi için de hekimin açıklanan bilgi ve olayları sır kapsamında saklayacağına inanması-güvenmesi gerekir. Sır saklama yükümlüğü hastanın hekime rahat başvurabilmesi, herhangi bir çekince, endişe, korku duymadan sağlık hizmetinden yararlanabilmesi için getirilmiştir. Bu nedenle hekim mesleğin icrası dolayısıyla öğrendiği ve gizli tutulmasında hastanın çıkarı olan, açıklanması halinde hastayı nesnel veya manevi olarak zarara uğratacak sırları saklamakla yükümlüdür.dolayısıyla hekimin, mesleğini icra ederken hasta ve hasta yakınları hakkında öğrendiği her türlü bilgiyi saklaması esastır. Hekim bu nedenle mahkemelerde tanık olarak dinlenmek veya bilirkişi olarak görevlendirilmekten çekilme hakkına dahi sahiptir. TPD olarak kişisel verilerin gizliliği ile ilgili tek kaygımız sağlık sisteminde toplanan veriler değildir. Veli bilgi sistemindeki verilerin internette yayılması, maliye bakanlığının tüm hesap hareketleri ve harcamaları izlemesi ve bunu açıklaması, Google ın maillere kimsenin ulaşamayacağını söylemelerinin olanaklı olmadığını açıklaması gibi örnekler elektronik ortamın ne denli güvenilmez ve kolay ulaşılabilir olduğunu göstermektedir. Bu nedenle devletin, kurumların ve şirketlerin dijital sistemlerine kişisel verilerin kolaylıkla verilmemesi, bunun zorunlu kılınmaması gerektiğine inanıyoruz. Kameralar, kredi kartı slipleri, mobil telefon sinyallerinin yanısıra tüm işlemlerde kimlik bilgilerinin kaydedilmesi insanlığı 1984 e doğru sürüklemektedir.

6 Kişisel sağlık bilgilerinin kayıt altına alınması, elektronik ortamda depolanması, işlenmesi ve paylaşımı konusundaki öneriler aşağıda özetlenmiştir: 1. Amaç toplum yararı temelinde açık olarak belirlenmiş olmalıdır.amaç doğrultusunda kişisel hak ve özgürlükler korunarak sistemle ilgili hukuksal ve teknik düzenlemeler yapılmalıdır. Medula sistemi daha güvenilir hale getirilmeli, sistemdeki bilgileri amaç ve yetki dışında kullananlara ceza öngörülmelidir. 2. Amaç dışı kullanımlar açısından yaşanmış olaylar ve de olası tehlikeler ve riskler de göz önünde tutularak her türlü hukuksal ve güvenlik önlemleri alınmış olmalıdır. 3. Tüm uygulamaların düzenlenmesinde kişisel sağlık verilerinin kendine özgü özelliklerinin yanı sıra hekimlik mesleğinin uygulanmasındaki mesleki kavramlar, etik değerler ve yine mesleğe özgü düzenlemeler göz önünde tutulmalıdır. 4. Toplum kişisel sağlık verilerinin kullanımında, amaç ve paylaşım konusunda olumlu ve olumsuz yönleri ile birlikte, yaygın ve sürekli olarak bilgilendirilmelidir. 5. Toplumsal bilgilendirmenin yanı sıra verilerin alınması sırasında kişi verilerin toplanmasının olumlu-olumsuz yönleri doğrudan sağlık çalışanı tarafından anlatılarak ve kişinin onamı alınmalıdır. Ayrıca kişi onam vermiş olsa dahi bilgilerini denetleyebilmeli, makul gerekçelerle karartma işlemi talep edebilmelidir. 6. Amaçta toplum yararı göz önünde tutulmuş olsa dahi kişinin doğrudan kendi olanakları ile sağlık hizmeti alması durumunda gerek kişiye gerekse de hekime kişisel verilerin gönderilmesi için dışarıda kalma hakkı tanınmalıdır. 7. Kişi ve kurumlarca bugüne dek toplanmış tüm kişisel sağlık bilgilerinin acilen güvenliği sağlanarak koruma altına alınmalı ve herhangi bir neden ya da amaçla başka kişi ya da kurumlarla paylaşımı engellenmeli bu konuda acil yaptırımlar oluşturulmalıdır. 8. SGK anlaşması olmayan özel sağlı kurumları ve muayenehanelerden toplanacak bilimsel verilerin, kişisel veriler taşımaması, yalnızca sağlık durumu, tıbbi bilgiler ve tedavileri içermesi sağlanmalıdır. Ayrıca bakanlığın talep ettiği bu bilgiler için kurum ve muayenehanelere parasal yük getiren sistemler zorunlu kılınmamalı, programlar bakanlık tarafından sağlanmalıdır. Veri aktarımı haftalık veya aylık peryotlarla bakanlığın oluşturduğu bir elektronik form üzerinden yapılması pratik bir çözüm olacaktır.