Kişisel Sağlık Verilerinin Korunması ve Sağlık Hizmet Sunumuna Etkisi Dr. Satia Departman Advan Tarih SASDER 4. Ulusal Kongresi 6 Kasım 2015
Kişisel Sağlık Verileri Neden Korunmalı? Kişisel Veri Kişiyi diğerlerinden ayıran her türlü bilgi, bireysel belirleyen Kişisel Sağlık Verileri Kişinin sağlığına ilişkin bilgiler içeren kişisel veriler Hassas / özel nitelikli veri olduğu için temel hak ve özgürlüklerle bağlantılı ele alınır. Neden Korunmalı? Mahremiyet kişisel bütünlük; bilgiyi kontrol ve paylaşma hakkı Gizlilik kişinin açıkladığı bilgilerin sır olarak korunması Anayasa sağlık hakkı, özel yaşamın gizliliği ve korunması
Kişisel Sağlık Verileri Neden Korunmalı? Kişisel verilerin korunması hakkının temel amacı, bireyin özel yaşamının gizliliği ile kamu ve özel sektör tarafından tutulan kayıtlarının korunmasında çeşitli özel önlemlerin alınmasını sağlayarak bireyi korumaktır. Kişisel verileri hakkında karar verme özgürlüğü tanımaktır. Kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişisel Sağlık Verileri Neden Korunmalı? Teknolojik gelişmeler / Hastane Bilgi Sistemleri Daha fazla kişisel sağlık verisi toplanması Verilerin ulusal-uluslararası dolaşımı Veri güvenliği riskleri; ihlal, kötüye kullanım Verilerin gizliliği ve güvenliğinin tehlike ve tehdit altında olması
Sağlık Merkezlerinde Düzenlemeler
Kişisel Sağlık Verileri Nasıl Korunmalı? Yasal Düzenlemeler / Mevzuat Ulusal düzeyde Sağlık Bakanlığı, SGK Sağlıkla ilgili kuruluşlar Kamu, Özel, Üniversite Sigorta Şirketleri İşyerleri Bireyler düzeyinde
Kişisel Sağlık Verileri Nasıl Korunmalı? ABD ve Avrupa ülkelerinde elektronik kayıtlar ve bilgisayar kullanımı erken Kişisel verilerinin güvenliğine ilişkin tehlikenin farkındalığı da erken Ülke mevzuatlarında düzenlemeler, katı yaptırımlar Kişisel verilerin, kritik kurumsal veriler arasında en önemli bilgiler haline gelmesi Verilerin erişimi ve kullanımı için kurumsal güvenlik programlarının geliştirilmesi
Kişisel Sağlık Verilerinin Erişimi, Kullanımı ve Korunması 2013 yılında Sağlık Bakanlığı Kişisel Sağlık Verilerinin İşlenmesi ve Veri Mahremiyetinin Sağlanması Hakkında Yönetmelik Taslağı nı görüşe sundu. Amaç; kişisel sağlık verilerinin kayıt altına alınabilmesi, veri mahremiyetinin sağlanması, işlenmesi ve bunları yapacakların uyacağı kuralları tanımlamak idi. Taslağın eksik yönü; bu verilerin bakanlık tarafından hangi şartlarda korunacağının, belirtilmemiş olmasıydı. Kötüye kullanımın önüne geçmek üzere; tedbir ve yaptırımlara ilişkin düzenlemeler henüz yoktur.
Kişisel Sağlık Verilerinin Erişimi, Kullanımı ve Korunması Kişisel Sağlık Verileri Toplum sağlığına katkı Bilimsel araştırmalar için kaynak Hukuki belge özelliği
Ulusal Sağlık Bilgi Sistemi Sağlık Bakanlığı Uygulamaları
Sağlık Bakanlığı Uygulamaları Sağlık.net; SGK anlaşması olmayan özel sağlık kuruluşları, cezaevi hekimlikleri, muayenehaneler ve aile hekimliği bilgi sistemi dahil edilerek Sağlık.net 2 adı altında birleştirildi.
Sağlık Bakanlığı Uygulamaları Medula Avuç içi damar okuma
Sağlık Bakanlığı Uygulamaları Biyometrik Yöntemler Kişinin fiziksel veya davranışsal özelliklerini tanıyarak kimliğini belirlemek esasına göre çalışırlar. Parmak izi, avuç içi izi, yüz, iris, retina, kulak, ses, imza, el damarı ile kişinin doğrulanmasını sağlar. Özel hayatın gizliliğini ihlal edebilirler. Örn; kişinin gizli tuttuğu bir bilgi işe alınmamasına neden olabilir.
Sağlık Bakanlığı Uygulamaları
Referans Düzenlemeler ISO/IEC 27001:2005, Bilgi Güvenliği Yönetim Sistemi için özellikleri belirler ISO/IEC 27002:2005, Bilgi Güvenliği Yönetimi için uygulama kodu niteliğindedir. ISO 27799:2008, sağlık bilişimi için bir standarttır.
Referans Düzenlemeler HIPAA (Health Insurance Portability and Accountability Act); 1996, ABD sağlık sektöründeki bilgi ve bilgi akışının güvenliğini ve devamlılığını sağlamak için çıkarılan yasa. İhlal durumunda cezalar; Bilerek kötü kullanma; 50,000$ a ve/veya 1 yıla kadar hapis Sahtekarlık amacıyla kullanmak için 100,000$ a ve/veya 5 yıla kadar hapis Satmak, kişisel ya da ticari çıkar elde etmek, kötü niyetli olarak zarar vermek için 250,000$ a ve/veya 10 yıla kadar hapis
Referans Düzenlemeler Sağlık profesyonelleri için Sağlık Hizmetlerinde Mahremiyet ve Gizlilik Üzerine Avrupa Rehberi (European Guidance for Healthcare Professionals on Confidentiality and Privacy in Healthcare); kişisel sağlık verileriyle ilgili olarak hastanın bilgilendirilmesi, rıza/onam alınması, seçim hakkı, hasta kimliğinin gizlenmesi ve anonimleştirme, bilgi açıklamasını gerektiren durumlar, güvenlik, erişim ve düzeltme maddeleri tanımlar.
Sağlık Merkezlerinde Düzenlemeler
Sağlık Merkezlerinde Düzenlemeler
Kişisel Sağlık Verileri Sağlık İşletmelerinde Nasıl Korunmalı? Yönetim Politikası / İK İşe giriş, oryantasyon, gizlilik taahhütnamesi Gizlilik, güvenlik, hasta mahremiyeti prosedürleri Kurum kültürü, yaptırımlar, örnek vakaların paylaşılması Kilitli dolap, müsvedde kullanılmaması, kağıt kırpma makinası Asansör, koridor, kafede hastalarla ilgili konuşmama Telefon, mesaj, e-posta kuralları, eğitimler Hasta bilgilerine yalnız yetkili çalışanların ulaşabilmesi Hastanın tedavisinde yer almayan çalışanla hasta hakkında konuşmama Başkasının şifresini kullanmama
Teknik Donanım, Bilgi Sistemleri Lisanslı yazılım Kişisel Sağlık Verileri Sağlık İşletmelerinde Nasıl Korunmalı? Server/sistem odalarının güvenliği, kontrollü giriş Düzenli yedekleme, internet kullanımı, güvenliği Kişisel bilgisayarların güvenliği, düzenli şifre değiştirme Olağanüstü durumlara karşı tedbir İmha edilecek bilgisayarların hasta bilgilerinden temizlenmesi Antivirüs yazılımları Ayrı bir konferans konusu...
Tıbbi Kayıt Yönetimi Kişisel Sağlık Verileri Sağlık İşletmelerinde Nasıl Korunmalı? Hastane içi/dışı Paylaşım, Gizlilik, Güvenlik, Süreklilik Paylaşım; Hastalar, 18 yaş altı, yetkilendirme yazısı Yakınları / yasal temsilcileri, Resmi Kurumlar, Sigorta Şirketleri Gizlilik İhlali Disiplin süreci
Gizlilik İhlalleri Örnekleri Bekleme salonunda hasta ad-soyadını yüksek sesle randevu vermek üzere çağırmak, muayene odasına davet etmek Bilgisayarda hasta dosyası açık şekilde masayı terketmek Bankoda adı-soyadı okunabilecek şekilde hasta dosyası bırakmak Bir hastanın muayenesi sırasında; başka bir hastanın belgelerini masa üzerinde bulundurmak Ofis dışına hasta bilgisi çıkarırken kapalı zarfa koymamak veya şifreli olarak elektronik ortama aktarmamak Hasta bilgisi bulunan formları müsvedde-çalışma kağıdı olarak kullanmak Hasta raporlarını kağıt kırpma makinasından geçirmeden çöpe atmak
Gizlilik İhlalleri Örnekleri Tedavisinde bulunmadığı hastanın dosyasına girmek, okumak Asansör, koridor, kafe gibi açık alanlarda hasta hakkında konuşmak Çalışma arkadaşının şifresini kullanarak sisteme girmek Gizliliğin özellikle vurgulanması gereken 3 alan; Psikiyatri/psikoloji Adolesan Sağlığı Üreme Sağlığı-Kadın Doğum
Sağlık Merkezlerinde Düzenlemeler
Kişisel Sağlık Verileri Sağlık İşletmelerinde Nasıl Korunmalı? Sigorta Şirketleri ile Veri Paylaşımı Sigorta Başvuru Formu Güncel Sağlık Poliçesi Poliçe Ekran Görüntüsü Hastanın onay yazısı (tıbbi kayıt talep dilekçesi) Hasta ile tlf görüşmesi, e-posta, faks Hazırlanan belgeler pdf formatında gönderilir Paylaşılan belgeler, kime, ne zaman, ne içerikte gönderildiği kayıt altına alınır.
Kişisel Sağlık Verileri Sağlık İşletmelerinde Nasıl Korunmalı? Sigorta Şirketleri ile Veri Paylaşımı Hastanın kayıtlarını düzeltme, tamamlama, güncelleme talebi sırasındaki bakış açısı Ebeveyn poliçesi kapsamında sigortalanmış 18-23 yaşındaki gençlerin gizliliğinin bozulması Güncel olmayan belgelerle kayıt talebi Poliçe öncesi araştırma süreci hastanın bilgisi dışında yapılabiliyor??... Kişinin paylaştığı sağlık bilgisi teminat dışı kalıyor??
Teşekkürler...