ELEKTRONİK SAĞLIK BİLGİLERİNİN; GÜVENİLİRLİĞİ, MAHREMİYETİ VE KİŞİSELLİĞİ

Bilgisayar Teknolojilerinin yaşamımıza girişi ile birlikte pek çok kolaylığa erişirken kimi çözüm bekleyen yeni sorunların da sahibi olduk. Bu sorunların nasıl aşılacağına ilişkin çaba sarf etme gereği her gün yeni iş alanlarının doğuşuna yol açıyor.

Sağlık Bilgileri özelinde tartıştığımızda bu bilgilerin “güvenilirliği, mahremiyeti ve kişiselliği” sorunu aslında elektronik veriler oluşmadan önce de vardı. Sağlık bilgilerinin elektronik ortama aktarılması ve elektronik ortamda taşınması ile birlikte geçmişte fiziksel kısıtlılıklar nedeniyle daha sınırlı yaşanan güvenlik sorunları artarak yaşanmaya başladığı için sorun çok daha net algılandı ve gündeme oturdu. Özellikle İnternet ile birlikte giderek tekleşen bilgisayar ağları ve veritabanları nitelikleri birbirinden farklı olmakla birlikte özde hep “kişi haklarına” yönelik ciddi saldırıları gündeme getirdi.

Çalışma grubumuzda tartışacağımız iki ana konudan biri sağlık bilgilerinin kişiselliği ve mahremiyeti iken bir diğer önemli başlık da elektronik ortamdan özellikle İnternet’ten elde edilen sağlık bilgilerinin güvenilirliği, doğruluğudur. Aynı başlık altında tartışmaya açılmış olmakla birlikte aslında iki ayrı başlıkmış gibi tartışılması daha yararlı olacaktır.

Bu çalışmada amaçlanan birlikte gerçekleştirilecek tartışmaya bir başlangıç noktası yaratmaktır. Tartışılması önerilen konularla ilgili olarak yukarıda da değinildiği gibi iki temel alt başlık önerilmektedir.

1. Elektronik kişisel sağlık bilgilerinin mahremiyeti

2. Elektronik ortamdan elde edilen sağlık bilgilerinin güvenilirliği (doğruluğu)

3. Tıbbi Bilginin “elektronik imza” ile işaretlenmesi ve yazarının belgelenmesi, aynı yöntemin İnternet’te dolaşacak doküman ve belgeler için de uygulanabilirliği çalışma grubumuzun bir diğer ilgi alanı olacaktır.

Her başlıkla ilgili olarak ilk planda kısa bir tanım yapılacak ve aynı terminolojiden aynı anlamları elde edebilmek adına sunuma, sunum içinde kullanılan terim ve kavramlarla ilgili kısa bir sözlük eklenecektir. Tüm Dünya’da özellikle İnternet sonrası hızla gelişen dilin İngilizce olması ve bizlerin özellikle yeni teknolojilerle ilgili terimlerde orijinali İngilizce’de oluşmuş yeni kavramların Türkçe karşılıklarını bulma zorunluluğumuz; hemen hemen her alanda olduğu gibi Tıp Bilişimi alanında da, terminoloji ile ilgili bir çalışma grubunun kurulmasını gerekli kılmaktadır.

Bu konu ile ilgili bir çalışma grubunun Tıp Bilişimi Derneği altında oluşturulmasında büyük yarar vardır.

İkinci aşamada Dünya’da ilgili konuda sürdürülen çalışmalar ile ilgili bir özet bilgi sunulacak ve anılan çalışmaların web adresleri ve bu çalışmalarda oluşturulmuş raporlar ilgili adreslere linklenerek bilginize sunulacaktır. Üçüncü bölümde Türkiye’de mevcut durum ile ilgili kısa bir analiz yapılacak ve yine ilgili sitelere ve kaynaklara ilişkin linkler sunulacak, dördüncü ve son bölümde tartışmalara bir başlangıç oluşturabilmek adına mevcut sorunlar yanıtlanması beklenen somut sorulara dönüştürülerek çalışma grubu üyelerinin tartışmasına açılacaktır.

Elektronik Kişisel Sağlık Bilgilerinin Mahremiyeti

Yukarıda tanımlanan başlıktan “elektronik” sözcüğünü çıkardığımızda karşımıza Tıp Etiği uzmanlarınca tartışılması ve yanıtlanması gereken “Kişisel sağlık bilgilerinin mahremiyeti” gibi bir başka başlık çıkıyor. Aslında bizim sürdüreceğimiz tartışmanın öncelikle bu başlıkta oluşturulacak yanıtlara ihtiyacı var.

Sağlık bilgilerinde “mahremiyet” nerede başlar ve nerede biter? Aykırı örnekler vererek sorunu biraz daha çıplaklaştıralım. Örneğin “HIV(+)” bilgisi mahrem veya kişisel midir. Ya da bir güvenlik görevlisinin “Psikoz” tanısı amirlerini ve toplumu ne kadar ilgilendir?

Özellikle seçilmiş uç örneklerde görüldüğü gibi konu ciddi Etik yaklaşım gerektiren ve grubumuz yetkinliğini aşan niteliklere sahiptir. Bu nedenle işin bu boyutuna ilişkin tartışmayı bilgi ve deneyim sınırlarımızı da göz önüne alarak Tıp Etiği uzmanlarını tartışma grubu içine çekmeyi başarmak gerektiğine inanıyoruz.

“Elektronik bilginin istenilen seviyede güvenliği” biraz daha teknik bir diğer alt başlık olarak grubumuz gündeminde yer almalıdır.

Dünyada İnternet teknolojilerinin gelişimi ile birlikte kişilerin özel yaşam alanları daha fazla ihlal edilmeye bununla koşut bir biçimde de bu konudaki duyarlılıklar, kişiselliğin ve mahremiyetin korunması”na yönelik sivil örgütlenmeler giderek artmaya başladı.. 1949’da George Orwell tarafından 1984 kitabında öngördüğü “Big Brother” giderek artan bir biçimde yaşamımıza müdahale etmeye başladı. Bu da doğallıkla bir toplumsal reaksiyonu ve anılan süreçlere karşı örgütlenmelere yol açtı. “Privacy International”, “Electronic Privacy Information Center”, “Internet Privacy Coalition”, “Big Brother Inside” bunlardan yalnızca birkaçı.

İnternet bir yandan özel hayatımıza müdahale olanaklarını arttırırken diğer taraftan bize de bu müdahaleye karşı örgütlenme ve karşı durma konusunda yeni olanaklar sağlıyor. Tüm dünyada yaşanan bu anlamda bir karşılıklı mücadele. Bir taraftan sistemin tüm unsurları (Devlet, ticarişirketler, vs..) özel hayatımıza müdahale etmeye çalışırken diğer yandan dünyanın dört bir yanında irili ufaklı pek çok sivil organizasyon bu müdahaleye karşın kendi önlemlerini geliştiriyor; ülkenin yasalarına kişisel hakları koruyucu hükümler koydurmaya çalışıyorlar. Yanısıra özellikle ABD’de devletin düzenleyici kurumları da kişisel hakların korunmasına yönelik çalışmalar yapıyorlar. Federal Ticaret Komisyonu FTC, Federal İletişim Komisyonu FCC, ve daha pek çok kamusal kuruluş da “kişisel mahremiyet”e ilişkin pek çok yasal düzenlemeye yer vermektedirler. Avrupa Birliği’nin de kişisel haklara ilişkin pek çok çalışması yayınlanmıştır.

Genel anlamda kişisel mahremiyetin ötesinde; kişisel sağlık bilgilerinin mahremiyeti tüm dünyada ayrı bir başlık olarak da tartışılmaktadır. Kişisel tıbbi bilgiler özellikle insan kaynakları yöneticilerin ilgisini yoğun olarak çekmekte çalışanların performansı sağlık bilgileri ile ilişkilendirildiğinde etik anlamda ciddi sorunlar çıkmaktadır. Yine aykırı bir örnekte;şirket genel müdürlüğü için bekleyen beş genel müdür yardımcısı arasında sizin kolestrol yüksekliğiniz ve kalp hastalıkları konusunda yüksek risk taşıyor olmanızın bilinmesi bir anda seçilebilirliğinizi ciddi bir biçimde azaltabilir. İlginçtir ki son yıllarda özellikle üst düzey yöneticilerin sağlık bilgileri firmalar tarafından izlenir olmuştur. Bir diğer risk sizi bir “tüketici” olarak gören “satıcı”lardır.

Son yıllarda özellik ayrımı yapmaksızın herkesi hedefleyen pazarlama stratejileri neredeyse terkedilmiştir. Bunun yerini ihtiyaçları analiz edilmiş hedef kitleler almıştır. Bir önceki cümlede yer alan can alıcı sözcük dizisi olan “ihtiyaçları analiz edilmiş” tanımı aslında herhangi bir yöntemle özel hayatları irdelenmiş ve özelliklerine göre gruplanmış müşteriler anlamına gelmektedir. Markette size anket yapan promosyon elemanı ne kadar zararsız görünüyorsa da anılan bilgi toplama yöntemlerinden biri de budur ve belki en masumudur. Buna karşın İnternet’te dolaşırken bulduğunuz bir “vücut ağırlık indeksi” yazılımcığı size ilişkin verileri toplayan bir başka tuzaktır. Bu index üzerinde kilonuzu hesaplarken bilgisayarınıza giren bir “cookie” aracılığı ile mail adresinizin alınmadığını bilemezsiniz. Ve eğer “indeks” sonucu sizişişman çıkardıysa birkaç gün sonra posta kutunuzda diyet ürünü ile ilgili bir tanıtımı bulmanız işten değildir. Yine abartılmış bir örnek ise; son check-up tetkiklerinizin bilginiz olmadan
semtinizdeki spor merkezinin eline geçmesi ve onların sizi bir müşteri olarak spora çağırması olabilir.

Temelde sizi düşünen ve iyi niyetli gibi görünmekle birlikte bir müşteri olarak zayıf taraflarınızın afişe edildiği vahşi bir satış tekniğidir tartışılan. Her ne kadarşimdilik biraz paranoid bir bilimkurgu gibi algılanmakla birlikte önümüzdeki birkaç yıl içinde ciddi bir problem olarak karşımıza geleceği endişesi yersiz değildir. Sağlık bilgileri sizin değiştiremediğiniz bir kişisel zaaf olarak algılanmalı ve size özel kalması sağlanmalıdır. Batıda büyük bir hassasiyetle korunan sağlık bilgileri ile ilgili özen elektronik ortam dışında da Ülkemizde ne yazık ki aynı hassasiyetle algılanmamaktadır. Bugün batıda hastanın tanısını kapısına yazılması kabul edilmeyen bir durumdur. Ya da hemşire desklerinde herkesin görebileceği yerlerde bulunan hasta listeleri yine kabul edilemez. Elektronik olmayan ortamlardaki özensizlik bir mahremiyet riski taşımakla birlikte mahremiyetin ihlali görece daha az insan tarafından gerçekleştirilmektedir. Oysa elektronik ortamda bilgiler çok daha geniş bir kitlenin erişebileceği bir
ortamdadır ve risk görece çok daha fazla artmıştır. Dolayısıyla konu elektronik hasta kayıtları kavramı ile birlikte daha da önemli hale gelmiştir. Batıda bu anlamda yaşanan özensizliklere ve sonuçlarına ilişkin ciddi bir hassasiyet vardır.

ABD’de kamusal kurumlar yasal altyapının oluşturulması anlamında yoğun bir çalışmayı yıllardır sürdürmektedirler.1 ,2

Grubumuzca tartışılması önerilen bir diğer konuda erişilen ( özellikle İnternet’ten) elektronik sağlık bilgisinin doğruluğu ve güvenilirliğidir. Yine tartışmanın aslında bir üst başlıkta sürdürüldüğünü söyleyebiliriz. Yani sadece sağlık bilgisinin değil elektronik ortamdan ( özellikle İnternet’ten) elde edilen bilginin güvenilirliği tartışılan bir süreçtir. İnternet’in yaygınlaşması ile birlikte bu konu belki de İnternet’in en büyük açmazlarından biri olmuştur.

Kimi sosyologlarca İnternet’in“dezenformasyon toplumunun temel silahı” olarak adlandırılmasının nedeni İnternet”in enformasyon sağladığı kadar ve belki de daha fazla dezenformasyona yol açmasıdır. Bilinçli ve bilinçsiz dezenformasyon İnternet’in geleceği açısından ciddi bir tehlikedir. İnternet”in bir bilgi çöplüğüne dönüşmesi olarak da anabileceğimiz bu kirlenmenin önüne geçebilmek adına pek çok önlem alınmıştır.

Ancak yapısı gereği İnternet’e yerleştirilmesine engel olunamayan dezenformatif bilginin İnternet algılanırken süzülmesi olanaklıdır. Erişilen bir bilginin güvenilirliğine ilişkin pek çok indikatör geliştirilmiş ve bu indikatörlerin web sayfalarında bulundurulmasını standardize eden ve destekleyen anılan indikatörlere kendi sertifikasyonlarını ekleyen sivil inisiyatifler gelişmiştir.

Sağlık alanına özel bir inisiyatif de Health on the Net’dir. HONCode adı altında tanılanan bir sertifikasyon öneren Health on the Net bu anlamda ciddi bir yaygınlık kazanmıştır. Ülkemizde geliştirilecek benzer bir organizasyon için örnek alınabilecek bir çalışma olan HONCode bir başka çalışmada detayı ile irdelenmelidir.

Çalışma grubumuzun üçüncü tartışma başlığı “Sağlık Profesyonellerine Özel Elektronik İmza” dır Bu anlamda bir yurtdışı örnek Almanya kökenli DocCheck projesidir.Özel bir girişim olmakla birlikte Avrupa’da yaygın olarak kullanılmaktadır.

Ülkemiz için nasıl bir model kurulması gerektiği grubumuzda tartışılmalı ve ilgili kurumlara somut öneriler üretilmelidir.

Tartışma Listesinde sürdürülecek tartışmada referans olabilecek somut sorularla başlamayı öneriyoruz.

1. Sağlık Bilgilerinin mahremiyeti nerede başlar nerede biter?

a. Bu tartışmayı kimler yapmalı?

b. Bu konuda somut sonuçlar alınabilir mi, yoksa kişiden kişiye, toplumdan topluma bu kriterler değişir mi?

c. İngilizce’de “Confidentiality” ve “Privacy” kavramlarının Türkçe’de karşılıkları nelerdir? Bu iki sözcük anlam ve içerik bakımından iki ayrı kavramı ifade ediyorsa bu kavramların Türkçe karşılıkları ile ilgili iki durumu ayrı ayrı tartışmak gerekecektir.

d. Elektronik sağlık bilgilerinin güvenliği ile ilgili teknik standartlar bu çalışma grubunun gündeminde midir?

2. Elektronik ortamdan (Özellikle İnternet’ten) edinilen “Türkçe” bilginin doğruluğu ve güvenilirliğine ilişkin bir “ulusal sertifikasyon kuruluşu” olmalı mıdır?

a. Yanıtımız evet ise bu kurum mevcut yapılardan biri mi olmalıdır?

b. Yanıtımız evet ise bu hangi kurum olmalıdır?

3. Elektronik ortamda gerçekleştirilecek tıbbi yazışmalarda “elektronik imza” kullanımı Ülkemiz için mümkün müdür?

a. Yanıtımız evet ise nasıl ve hangi kurum tarafından gerçekleştirilecektir?

Yukarıda sıralanan sorulara yenilerini ekleyebilir, kimi soruları gereksiz bularak yanıtlamadan geçebiliriz. Amaç sonuçta grubumuza sunulan üç ana başlıkla ilgili bir görüş üretmektir. Northern Light adlı tarama sitesinin “Privacy” kavramına özel olarak hazırladığı linkler hepimiz için iyi bir başlangıç kaynakça olacaktır. Önerimiz Turkmia web sitesinde Türkçe açıklamalar da içeren benzer bir kaynakçanın grubumuz tarafından gerçekleştirilmesidir.

1. GİRİŞ:

Bilgisayar Teknolojilerinin yaşamımıza girişi ile birlikte pek çok kolaylığa erişirken kimi çözüm bekleyen yeni sorunların da sahibi olduk. Bu sorunların nasıl aşılacağına ilişkin çaba sarf etme gereği her gün yeni iş alanlarının doğuşuna yol açıyor.

Sağlık Bilgileri özelinde tartıştığımızda bu bilgilerin “güvenilirliği, mahremiyeti ve kişiselliği” sorunu aslında elektronik veriler oluşmadan önce de vardı. Sağlık bilgilerinin elektronik ortama aktarılması ve elektronik ortamda taşınması ile birlikte geçmişte fiziksel kısıtlılıklar nedeniyle daha sınırlı yaşanan güvenlik sorunları artarak yaşanmaya başladığı için sorun çok daha net algılandı ve gündeme oturdu. Özellikle İnternet ile birlikte giderek tekleşen bilgisayar ağları ve veritabanları, nitelikleri birbirinden farklı olmakla birlikte özde hep “kişi haklarına” yönelik ciddi saldırıları gündeme getirdi.

Eldeki çalışmada; birinci aşamada, kişisel sağlık kayıtlarının “elektronik” olma niteliğini bir yana bırakılarak, elektronik olsun olmasın “kişisel sağlık bilgilerinin mahremiyeti” kavramı tanımlanmaya ve bu konuda üzerinde tartışılabilir bir çerçeve ortaya konulmaya çalışacaktır. İlk adımda Dünya ile aynı kavramı tartışabilmek adına uluslar arası dokümanlarda rastladığımız kimi İngilizce kavramlardan Türkçe bizim ne anladığımızda buluşmak ihtiyacı vardır. Mahremiyet kavramını tartışırken Türkçe karşılıklarını çok da keskin ayrıştıramadığımız bir grup İngilizce kavramdan bu çalışma kapsamında ne anlaşıldığı aşağıda teker teker tanımlarla açılmaya çalışılmıştır.

Privacy: Kişinin kendine ait olan ve üçüncüşahıslarca öğrenildiğinde maddi veya manevi zarara yol açmayan, yine de kişiye özel kalıp kalmayacağına kişinin kendisinin karar verdiği bilgilerle ilgili mahremiyet.

Confidentiality: Kişiye ait ve 3.şahıslarca öğrenildiğinde kişiye maddi veya manevi zarar verebilecek bilgilerin mahremiyeti

Security: Güvenlik:

Safety: Bilginin güvenli (yok olmaması, hasar görmemesi) kılınması.

Protection: Bilgiyi erişilemez, başkalarınca ulaşılamaz kılmak

Genel anlamda uluslararası dokümanlardan Türkçe’ye çevrilen kaynaklarla ilgili Privacy ile Confidentialty arasında ve yine aynışekilde Security ile Safety kavramları arasında anlam kaymaları yaşanmaktadır.

2. Elektronik Kişisel Sağlık Bilgilerinin Mahremiyeti

Yukarıda tanımlanan başlıktan “elektronik” sözcüğünü çıkardığımızda karşımıza Tıp etiği uzmanlarınca tartışılması ve yanıtlanması gereken “Kişisel sağlık bilgilerinin mahremiyeti” gibi bir başka başlık çıkıyor. Aslında bizim sürdüreceğimiz tartışmanın öncelikle bu başlıkta oluşturulacak yanıtlara ihtiyacı var.

Sağlık bilgilerinde “mahremiyet” nerede başlar ve nerede biter? Aykırı örnekler vererek sorunu biraz daha çıplaklaştıralım. Örneğin “HIV(+)” bilgisi mahrem veya kişisel midir. Ya da bir güvenlik görevlisinin “Psikoz” tanısı amirlerini ve toplumu ne kadar ilgilendir? Özellikle seçilmiş uç örneklerde görüldüğü gibi konu ciddi Etik yaklaşım gerektiren ve grubumuz yetkinliğini aşan niteliklere sahiptir. Bu nedenle işin bu boyutuna ilişkin tartışmayı bilgi ve deneyim sınırlarımızı da göz önüne alarak Tıp etiği uzmanlarını tartışma grubu içine çekmeyi başarmak gerektiğine inanıyoruz.

“Elektronik bilginin istenilen seviyede güvenliği” biraz daha teknik bir diğer alt başlık olarak grubumuz gündeminde yer almalıdır.

Dünyada İnternet teknolojilerinin gelişimi ile birlikte kişilerin özel yaşam alanları daha fazla ihlal edilmeye bununla koşut bir biçimde de bu konudaki duyarlılıklar, kişiselliğin ve mahremiyetin korunması”na yönelik sivil örgütlenmeler giderek artmaya başladı. 1949’da George Orwell tarafından 1984 kitabında öngördüğü “Big Brother” giderek artan bir biçimde yaşamımıza müdahale etmeye başladı

3. Türkiye’de Durum

3.1. Türkiye’de Kişisel Mahremiyetin Korunmasına İlişkin Kanun ve Yönetmelikler:

Ülkemiz hukuku içinde kişisel mahremiyet ile ilgili en temel madde Türkiye Cumhuriyeti Anayasası 20.Madde A Bendi’nde “Özel Hayatın Gizliliği” tanımı ile yer almaktadır. Anılan maddeşöyle der:

“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Adli soruşturma ve kovuşturmanın gerektirdiği istisnalar saklıdır. Kanunun açıkça gösterdiği hallerde, usulüne göre verilmiş hakim kararı olmadıkça; gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınan merciin emri bulunmadıkça, kimsenin üstü, özel kağıtları ve eşyası aranamaz ve bunlara el konulamaz.”

Bunun dışında Türk Ceza Kanununun; “Sırrın masuniyeti aleyhinde cürümler”e ilişkin 5.fasıl, 198.maddesi; kişisel bilgilerin ifşası halinde verilecek cezalarla ilgilidir veşöyle der:

“Bir kimse resmi mevki veya sıfatı veya meslek ve sanatı icabı olarak ifşasında zarar melhuz olan bir sırra vakıf olup ta meşru bir sebebe müstenit olmaksızın o sırrı ifşa ederse üç aya kadar hapis ve elli liraya kadar ağır cezai nakdiye mahkum olur. Eğer zarar vaki olmuş ise cezayı nakdi elli liradan az olamaz.”

1998 yılında yayınlanan .hasta hakları yönetmeliği kişinin sağlık bilgilerinin mahremiyetine ilişkin pek çok madde içermektedir. Anılan yönetmeliğin dördüncü bölümü Hasta Mahremiyetine ayrılmıştır; “MAHREMİYETE SAYGI GÖSTERİLMESİ” olarak adlandırılan dördüncü bölüm madde 21’de der ki:

“Hastanın, mahremiyetine saygı gösterilmesi esastır. Hasta mahremiyetinin korunmasını açıkça talep de edebilir. Her türlü tıbbi müdahale, hastanın mahremiyetine saygı gösterilmek suretiyle icra edilir.

Mahremiyete saygı gösterilmesi ve bunu istemek hakkı;

a)Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde yürütülmesini

b)Muayenesinin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini,

c)Tıbben sakınca olmayan hallerde yanında bir yakınının bulunmasına izin verilmesini,

d)Tedavisi ile doğrudan ilgili olmayan kimselerin, tıbbi müdahale sırasında bulunmamasını

e)Hastalığın mahiyeti gerektirmedikçe hastanınşahsi ve ailevi hayatına müdahale edilmemesini

f)Sağlık harcamalarının kaynağının gizli tutulmasını

kapsar,

Ölüm olayı mahremiyetin bozulması hakkını vermez.

Eğitim verilen sağlık kurum ve kuruluşlarında, hastanın tedavisi ile doğrudan ilgili olmayanların tıbbi müdahale sırasında bulunması gerekli ise; önceden veya tedavi sırasında bunun için hastanın ayrıca rızası alınır.”

Aynı yönetmeliğin 23.maddesinde de “Bilgilerin Gizli Tutulması başlığı altındaşöyle der:

“Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında , hiçbirşekilde açıklanamaz.

Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırışekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz.

Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.

Araştırma ve eğitim amacıyla yapılan faaliyetlerde de hastanın kimlik belgeleri, rızası olmaksızın açıklanamaz.”

İlgili yönetmelik ilerleyen bölümlerinde anılan kurallara uyulmaması halinde getirilecek cezai ve hukuki müeyyideleri de tanımlamaktadır. Anılan dokümana Ege Üniversitesi Tıp Fakültesi Adli Tıp Anabilim Dalı öğretim üyesi Doç. Dr. Hamit Hancı tarafından hazırlanan http://www.med.ege.edu.tr/~hanci/hastahaklaryntmlg.html adresinden erişilerek daha detaylı bilgi alınabilir.

Yukarıda açıklanan tüm kanun ve yönetmelikler veriler elektronik ortamda olsun, olmasın geçerli hükümlerdir. Ayrıca Elektronik ortamda bulunan veriler üzerinde işlenen suçlara ilişkin Türk Ceza Kanununun Ek maddelerinden 11. bap 525. maddesi a,b ve d bentleri anılan elektronik bilgilere yapılabilecek izinsiz ve usulsüz saldırıları da cezalandırmaktadır. Sözü geçen maddelerşöyledir:

ONBİRİNCİ BAP (2) Bilişim Alanında Suçlar

Madde 525/a – (Ek : 6/6/1991 – 3756/21 md.) Bilgileri otomatik olarak işleme tabi tutmuş bir sistemden,programları, verileri veya diğer herhangi bir unsuru hukuka aykırı olarak ele geçiren kimseye bir yıldan üç yıla kadar hapis ve birmilyon liradan onbeşmilyon liraya kadar ağır para cezası verilir. Bilgileri otomatik işleme tabi tutmuş bir sistemde yer alan bir programı, verileri veya diğer herhangi bir unsuru başkasına zarar vermek üzere kullanan, nakleden veya çoğaltan kimseye de yukarıdaki fıkrada yazılı ceza verilir.

Madde 525/b – (Ek : 6/6/1991 – 3756/22 md.) Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadıyla,bilgileri otomatik işleme tabi tutmuş bir sistemi veya verileri veya diğer herhangi bir unsuru kısmen veya tamamen tahrip eden veya değiştiren veya silen veya sistemin işlemesine engel olan veya yanlış biçimde işlemesini sağlayan kimseye iki yıldan altı yıla kadar hapis ve beşmilyon liradan ellimilyon liraya kadar ağır para cezası verilir. Bilgileri otomatik işleme tabi tutmuş bir sistemi kullanarak kendisi veya başkası lehine hukuka aykırı yarar sağlayan kimseye bir yıldan beş yıla kadar hapis ve ikimilyon liradan yirmimilyon liraya kadar ağır para cezası verilir.

Madde 525/d – (Ek : 6/6/1991 – 3756/24 md.) 525 a ve 525 b maddeleri hükümlerini ihlal eden kişiler hakkında,maddelerde yazılı cezalara ek olarak,meslek icrası sırasında veya icrası dolayısıyla suçun işlendiği bir kamu hizmetinden veya meslek veya sanat veya ticaretten altı aydan üç yıla kadar yasaklanma cezası da verilir.

3.2. Teknik Durum:

Türkiye’de mevcut HİS yazılımlarda ;

• Sağlık Bilgilerine erişim kısıtlanmış mıdır? ( Erişim yetkisi tanımlı mıdır?)

• Seviyelendirilmiş erişim yetkisi ile ilgili bir modül var mıdır?

• Sağlık ile ilgili bilgiler saklanırken veya transfer edilirkenşifrelenmekte midir?

Bu anlamda daha geniş zamanda “bütçeli” bir araştırmada Ulusal Yazılımlar irdelenmelidir. Eldeki rapor ne yazık ki bu konuda bir veriye sahip değildir. Ancak bilinen ulusal seviyede bir veri paylaşımına olanak tanıyacak ortakşifreleme standartları mevcut değildir.

Elektronik veya değil; kişisel sağlık bilgileri nerelerde toplanmakta (collection), nerelerde hangi seviyelerde depolanmaktadır (storage).

Bu verilerin toplanma, depolanma ve erişimlerine ilişkin bir idari, hukuksal yönerge var mıdır?

Bilinen tek yönerge 1998 yılında yayınlanan “Hasta Hakları Yönetmeliği”dir. Bu yönetmelikte Hastaya ilişkin bilgilerin saklanması, gizliliğinin ve güvenliğinin sağlanması bir sorumluluk olarak ilgili sağlık kurumuna tanımlanmakta, ancak bunun nasıl olacağına ilişkin bir tanım veya standart getirmemektedir. Bilindiği kadarıyla Ülkemizde

• Muayenehane

• Laboratuar

• Sağlık Ocağı, Poliklinik, Sağlık Merkezi, AÇS vb…

• Hastane

• Ulusal Veritabanları (VSD, Bildirimi zorunlu hastalıklar ile ilgili kayıtlar.)

seviyelerinde “Bireyi tanımlayabilir niteliklere sahip kişisel sağlık bilgileri” toplanmakta ve her kişi veya kurum bu verileri kendine özgü standart olmayan yöntemlerle korumaya çalışmaktadır.

Hukuksal olarak;1998 yılında yayınlanan “Hasta Hakları Yönetmeliği”nde ve bu yönetmelikteki tanımdan yola çıkarak Türk Ceza Kanununun 198. maddesinde tanımlanmış cezai müeyyideler gereğince ve bizce bundan çok daha önemlisi Tıp etiği gereği bireyi tanımlayan özelliklere haiz Kişisel Sağlık Bilgilerinin Güvenliği (Security) gibi bir sorun her durumda vardır. Dolayısıyla “Mahremiyet”in sınırlarına ilişkin tartışma Tıp Etiği Uzmanları, Hukuk Uzmanları ve Toplumca tartışıla dursun, kişisel sağlık bilgilerinin güvenliği bu bilgilerle çalışanların (toplayan, depolayan, yeniden kullanmak üzere geri çağıran vb….) çözüm üretmek zorunda oldukları bir durumdur. Böylelikle

Kayıt Güvenliği (Security);

• Muhafaza etmek, hasar ve kayba karşı korumak (safety),
• Sahipliğini, aitliğini saptamak (Ownership),
• Do&#28