GÜVENLİK, GÜVENİLİRLİK, MAHREMİYET

1. GİRİŞ:

Bilgisayar Teknolojilerinin yaşamımıza girişi ile birlikte pek çok kolaylığa erişirken kimi çözüm bekleyen yeni sorunların da sahibi olduk. Bu sorunların nasıl aşılacağına ilişkin çaba sarf etme gereği her gün yeni iş alanlarının doğuşuna yol açıyor.

Sağlık Bilgileri özelinde tartıştığımızda bu bilgilerin “güvenilirliği, mahremiyeti ve kişiselliği” sorunu aslında elektronik veriler oluşmadan önce de vardı. Sağlık bilgilerinin elektronik ortama aktarılması ve elektronik ortamda taşınması ile birlikte geçmişte fiziksel kısıtlılıklar nedeniyle daha sınırlı yaşanan güvenlik sorunları artarak yaşanmaya başladığı için sorun çok daha net algılandı ve gündeme oturdu. Özellikle İnternet ile birlikte giderek tekleşen bilgisayar ağları ve veritabanları, nitelikleri birbirinden farklı olmakla birlikte özde hep “kişi haklarına” yönelik ciddi saldırıları gündeme getirdi.

Eldeki çalışmada; birinci aşamada, kişisel sağlık kayıtlarının “elektronik” olma niteliğini bir yana bırakılarak, elektronik olsun olmasın “kişisel sağlık bilgilerinin mahremiyeti” kavramı tanımlanmaya ve bu konuda üzerinde tartışılabilir bir çerçeve ortaya konulmaya çalışacaktır. İlk adımda Dünya ile aynı kavramı tartışabilmek adına uluslar arası dokümanlarda rastladığımız kimi İngilizce kavramlardan Türkçe bizim ne anladığımızda buluşmak ihtiyacı vardır. Mahremiyet kavramını tartışırken Türkçe karşılıklarını çok da keskin ayrıştıramadığımız bir grup İngilizce kavramdan bu çalışma kapsamında ne anlaşıldığı aşağıda teker teker tanımlarla açılmaya çalışılmıştır.

Privacy: Kişinin kendine ait olan ve üçüncüşahıslarca öğrenildiğinde maddi veya manevi zarara yol açmayan, yine de kişiye özel kalıp kalmayacağına kişinin kendisinin karar verdiği bilgilerle ilgili mahremiyet.

Confidentiality: Kişiye ait ve 3.şahıslarca öğrenildiğinde kişiye maddi veya manevi zarar verebilecek bilgilerin mahremiyeti

Security: Güvenlik:

Safety: Bilginin güvenli (yok olmaması, hasar görmemesi) kılınması.

Protection: Bilgiyi erişilemez, başkalarınca ulaşılamaz kılmak

Genel anlamda uluslararası dokümanlardan Türkçe’ye çevrilen kaynaklarla ilgili Privacy ile Confidentialty arasında ve yine aynışekilde Security ile Safety kavramları arasında anlam kaymaları yaşanmaktadır.

2. Elektronik Kişisel Sağlık Bilgilerinin Mahremiyeti

Yukarıda tanımlanan başlıktan “elektronik” sözcüğünü çıkardığımızda karşımıza Tıp etiği uzmanlarınca tartışılması ve yanıtlanması gereken “Kişisel sağlık bilgilerinin mahremiyeti” gibi bir başka başlık çıkıyor. Aslında bizim sürdüreceğimiz tartışmanın öncelikle bu başlıkta oluşturulacak yanıtlara ihtiyacı var.

Sağlık bilgilerinde “mahremiyet” nerede başlar ve nerede biter? Aykırı örnekler vererek sorunu biraz daha çıplaklaştıralım. Örneğin “HIV(+)” bilgisi mahrem veya kişisel midir. Ya da bir güvenlik görevlisinin “Psikoz” tanısı amirlerini ve toplumu ne kadar ilgilendir? Özellikle seçilmiş uç örneklerde görüldüğü gibi konu ciddi Etik yaklaşım gerektiren ve grubumuz yetkinliğini aşan niteliklere sahiptir. Bu nedenle işin bu boyutuna ilişkin tartışmayı bilgi ve deneyim sınırlarımızı da göz önüne alarak Tıp etiği uzmanlarını tartışma grubu içine çekmeyi başarmak gerektiğine inanıyoruz.

“Elektronik bilginin istenilen seviyede güvenliği” biraz daha teknik bir diğer alt başlık olarak grubumuz gündeminde yer almalıdır.

Dünyada İnternet teknolojilerinin gelişimi ile birlikte kişilerin özel yaşam alanları daha fazla ihlal edilmeye bununla koşut bir biçimde de bu konudaki duyarlılıklar, kişiselliğin ve mahremiyetin korunması”na yönelik sivil örgütlenmeler giderek artmaya başladı. 1949’da George Orwell tarafından 1984 kitabında öngördüğü “Big Brother” giderek artan bir biçimde yaşamımıza müdahale etmeye başladı. Bu da doğallıkla bir toplumsal reaksiyonu ve anılan süreçlere karşı örgütlenmelere yol açtı. “Privacy International”, “Electronic Privacy Information Center”, “Internet Privacy Coalition”, “Big Brother Inside” bunlardan yalnızca birkaçı. İnternet bir yandan özel hayatımıza müdahale olanaklarını arttırırken diğer taraftan bize de bu müdahaleye karşı örgütlenme ve karşı durma konusunda yeni olanaklar sağlıyor. Tüm dünyada yaşanan bu anlamda bir karşılıklı mücadele. Bir taraftan sistemin tüm unsurları (Devlet, ticarişirketler, vs..) özel hayatımıza müdahale etmeye çalışırken diğer yandan dünyanın dört bir yanında irili uf
aklı pek çok sivil organizasyon bu müdahaleye karşın kendi önlemlerini geliştiriyor; ülkenin yasalarına kişisel hakları koruyucu hükümler koydurmaya çalışıyorlar. Bunun yanı sıra özellikle ABD’de devletin düzenleyici kurumları da kişisel hakların korunmasına yönelik çalışmalar yapıyorlar. Federal Ticaret Komisyonu FTC, Federal İletişim Komisyonu FCC, ve daha pek çok kamusal kuruluş da “kişisel mahremiyet”e ilişkin pek çok yasal düzenlemeye yer vermektedirler. Avrupa Birliği’nin de kişisel haklara ilişkin pek çok çalışması yayınlanmıştır.

Genel anlamda kişisel mahremiyetin ötesinde; kişisel sağlık bilgilerinin mahremiyeti tüm dünyada ayrı bir başlık olarak da tartışılmaktadır. Kişisel tıbbi bilgiler özellikle insan kaynakları yöneticilerin ilgisini yoğun olarak çekmekte çalışanların performansı sağlık bilgileri ile ilişkilendirildiğinde etik anlamda ciddi sorunlar çıkmaktadır. Yine aykırı bir örnekte;şirket genel müdürlüğü için bekleyen beş genel müdür yardımcısı arasında sizin kolesterol yüksekliğiniz ve kalp hastalıkları konusunda yüksek risk taşıyor olmanızın bilinmesi bir anda seçilebilirliğinizi ciddi bir biçimde azaltabilir. İlginçtir ki son yıllarda özellikle üst düzey yöneticilerin sağlık bilgileri firmalar tarafından izlenir olmuştur.

Bir diğer risk sizi bir “tüketici” olarak gören “satıcı”lardır. Son yıllarda özellik ayrımı yapmaksızın herkesi hedefleyen pazarlama stratejileri neredeyse terkedilmiştir. Bunun yerini ihtiyaçları analiz edilmiş hedef kitleler almıştır. Bir önceki cümlede yer alan can alıcı sözcük dizisi olan “ihtiyaçları analiz edilmiş” tanımı aslında herhangi bir yöntemle özel hayatları irdelenmiş ve özelliklerine göre gruplanmış müşteriler anlamına gelmektedir. Markette size anket yapan promosyon elemanı ne kadar zararsız görünüyorsa da anılan bilgi toplama yöntemlerinden biri de budur ve belki en masumudur. Buna karşın İnternet’te dolaşırken bulduğunuz bir “vücut ağırlık indeksi” yazılımcığı size ilişkin verileri toplayan bir başka tuzaktır. Bu indeks üzerinde kilonuzu hesaplarken bilgisayarınıza giren bir “cookie” aracılığı ile mail adresinizin alınmadığını bilemezsiniz. Ve eğer “indeks” sonucu sizişişman çıkardıysa birkaç gün sonra posta kutunuzda diyet ürünü ile ilgili bir tanıtımı bulmanız işten değildir. Yine abartı
lmış bir örnek ise; son check-up tetkiklerinizin bilginiz olmadan semtinizdeki spor merkezinin eline geçmesi ve onların sizi bir müşteri olarak spora çağırması olabilir. Temelde sizi düşünen ve iyi niyetli gibi görünmekle birlikte bir müşteri olarak zayıf taraflarınızın afişe edildiği vahşi bir satış tekniğidir tartışılan. Her ne kadarşimdilik biraz paranoid bir bilimkurgu gibi algılanmakla birlikte önümüzdeki birkaç yıl içinde ciddi bir problem olarak karşımıza geleceği endişesi yersiz değildir.

Sağlık bilgileri sizin değiştiremediğiniz bir kişisel zaaf olarak algılanmalı ve size özel kalması sağlanmalıdır. Batıda büyük bir hassasiyetle korunan sağlık bilgileri ile ilgili özen elektronik ortam dışında da Ülkemizde ne yazık ki aynı hassasiyetle algılanmamaktadır. Bugün Batıda hastanın tanısını kapısına yazılması kabul edilmeyen bir durumdur. Ya da hemşire desklerinde herkesin görebileceği yerlerde bulunan hasta listeleri yine kabul edilemez. Elektronik olmayan ortamlardaki özensizlik bir mahremiyet riski taşımakla birlikte mahremiyetin ihlali görece daha az insan tarafından gerçekleştirilmektedir. Oysa elektronik ortamda bilgiler çok daha geniş bir kitlenin erişebileceği bir ortamdadır ve risk görece çok daha fazla artmıştır. Dolayısıyla konu elektronik hasta kayıtları kavramı ile birlikte daha da önemli hale gelmiştir. Batıda bu anlamda yaşanan özensizliklere ve sonuçlarına ilişkin ciddi bir hassasiyet vardır.

ABD’de kamusal kurumlar yasal altyapının oluşturulması anlamında yoğun bir çalışmayı yıllardır sürdürmektedirler.

1. Sağlık Bilgilerinin mahremiyeti nerede başlar nerede biter?

a. Bu tartışmayı kimler yapmalı?

b. Bu konuda somut sonuçlar alınabilir mi, yoksa kişiden kişiye, toplumdan topluma bu kriterler değişir mi?

c. İngilizce’de “Confidentiality” ve “Privacy” kavramlarının Türkçe’de karşılıkları nelerdir? Bu iki sözcük anlam ve içerik bakımından iki ayrı kavramı ifade ediyorsa bu kavramların Türkçe karşılıkları ile ilgili iki durumu ayrı ayrı tartışmak gerekecektir.

d. Elektronik sağlık bilgilerinin güvenliği ile ilgili teknik standartlar bu çalışma grubunun gündeminde midir?

2. Elektronik ortamdan (Özellikle İnternet’ten) edinilen “Türkçe” bilginin doğruluğu ve güvenilirliğine ilişkin bir “ulusal sertifikasyon kuruluşu” olmalı mıdır?

a. Yanıtımız evet ise bu kurum mevcut yapılardan biri mi olmalıdır?

b. Yanıtımız evet ise bu hangi kurum olmalıdır?

3. Elektronik ortamda gerçekleştirilecek tıbbi yazışmalarda “elektronik imza” kullanımı Ülkemiz için mümkün müdür?

a. Yanıtımız evet ise nasıl ve hangi kurum tarafından gerçekleştirilecektir?

3. Türkiye’de Durum

3.1. Türkiye’de Kişisel Mahremiyetin Korunmasına İlişkin Kanun ve Yönetmelikler:

Ülkemiz hukuku içinde kişisel mahremiyet ile ilgili en temel madde Türkiye Cumhuriyeti Anayasası 20.Madde A Bendi’nde “Özel Hayatın Gizliliği” tanımı ile yer almaktadır. Anılan maddeşöyle der:

“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Adli soruşturma ve kovuşturmanın gerektirdiği istisnalar saklıdır. Kanunun açıkça gösterdiği hallerde, usulüne göre verilmiş hakim kararı olmadıkça; gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınan merciin emri bulunmadıkça, kimsenin üstü, özel kağıtları ve eşyası aranamaz ve bunlara el konulamaz.”

Bunun dışında Türk Ceza Kanununun; “Sırrın masuniyeti aleyhinde cürümler”e ilişkin 5.fasıl, 198.maddesi; kişisel bilgilerin ifşası halinde verilecek cezalarla ilgilidir veşöyle der:

“Bir kimse resmi mevki veya sıfatı veya meslek ve sanatı icabı olarak ifşasında zarar melhuz olan bir sırra vakıf olup ta meşru bir sebebe müstenit olmaksızın o sırrı ifşa ederse üç aya kadar hapis ve elli liraya kadar ağır cezai nakdiye mahkum olur. Eğer zarar vaki olmuş ise cezayı nakdi elli liradan az olamaz.”

1998 yılında yayınlanan .hasta hakları yönetmeliği kişinin sağlık bilgilerinin mahremiyetine ilişkin pek çok madde içermektedir. Anılan yönetmeliğin dördüncü bölümü Hasta Mahremiyetine ayrılmıştır; “MAHREMİYETE SAYGI GÖSTERİLMESİ” olarak adlandırılan dördüncü bölüm madde 21’de der ki:

“Hastanın, mahremiyetine saygı gösterilmesi esastır. Hasta mahremiyetinin korunmasını açıkça talep de edebilir. Her türlü tıbbi müdahale, hastanın mahremiyetine saygı gösterilmek suretiyle icra edilir.

Mahremiyete saygı gösterilmesi ve bunu istemek hakkı;

a)Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde yürütülmesini

b)Muayenesinin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini,

c)Tıbben sakınca olmayan hallerde yanında bir yakınının bulunmasına izin verilmesini,

d)Tedavisi ile doğrudan ilgili olmayan kimselerin, tıbbi müdahale sırasında bulunmamasını

e)Hastalığın mahiyeti gerektirmedikçe hastanınşahsi ve ailevi hayatına müdahale edilmemesini

f)Sağlık harcamalarının kaynağının gizli tutulmasını

kapsar,

Ölüm olayı mahremiyetin bozulması hakkını vermez.

Eğitim verilen sağlık kurum ve kuruluşlarında, hastanın tedavisi ile doğrudan ilgili olmayanların tıbbi müdahale sırasında bulunması gerekli ise; önceden veya tedavi sırasında bunun için hastanın ayrıca rızası alınır.”

Aynı yönetmeliğin 23.maddesinde de “Bilgilerin Gizli Tutulması başlığı altındaşöyle der:

“Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında , hiçbirşekilde açıklanamaz.

Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırışekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz.

Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.

Araştırma ve eğitim amacıyla yapılan faaliyetlerde de hastanın kimlik belgeleri, rızası olmaksızın açıklanamaz.”

İlgili yönetmelik ilerleyen bölümlerinde anılan kurallara uyulmaması halinde getirilecek cezai ve hukuki müeyyideleri de tanımlamaktadır. Anılan dokümana Ege Üniversitesi Tıp Fakültesi Adli Tıp Anabilim Dalı öğretim üyesi Doç. Dr. Hamit Hancı tarafından hazırlanan http://www.med.ege.edu.tr/~hanci/hastahaklaryntmlg.html adresinden erişilerek daha detaylı bilgi alınabilir.

Yukarıda açıklanan tüm kanun ve yönetmelikler veriler elektronik ortamda olsun, olmasın geçerli hükümlerdir. Ayrıca Elektronik ortamda bulunan veriler üzerinde işlenen suçlara ilişkin Türk Ceza Kanununun Ek maddelerinden 11. bap 525. maddesi a,b ve d bentleri anılan elektronik bilgilere yapılabilecek izinsiz ve usulsüz saldırıları da cezalandırmaktadır. Sözü geçen maddelerşöyledir:

ONBİRİNCİ BAP (2) Bilişim Alanında Suçlar

Madde 525/a – (Ek : 6/6/1991 – 3756/21 md.) Bilgileri otomatik olarak işleme tabi tutmuş bir sistemden,programları, verileri veya diğer herhangi bir unsuru hukuka aykırı olarak ele geçiren kimseye bir yıldan üç yıla kadar hapis ve birmilyon liradan onbeşmilyon liraya kadar ağır para cezası verilir. Bilgileri otomatik işleme tabi tutmuş bir sistemde yer alan bir programı, verileri veya diğer herhangi bir unsuru başkasına zarar vermek üzere kullanan, nakleden veya çoğaltan kimseye de yukarıdaki fıkrada yazılı ceza verilir.

Madde 525/b – (Ek : 6/6/1991 – 3756/22 md.) Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadıyla,bilgileri otomatik işleme tabi tutmuş bir sistemi veya verileri veya diğer herhangi bir unsuru kısmen veya tamamen tahrip eden veya değiştiren veya silen veya sistemin işlemesine engel olan veya yanlış biçimde işlemesini sağlayan kimseye iki yıldan altı yıla kadar hapis ve beşmilyon liradan ellimilyon liraya kadar ağır para cezası verilir. Bilgileri otomatik işleme tabi tutmuş bir sistemi kullanarak kendisi veya başkası lehine hukuka aykırı yarar sağlayan kimseye bir yıldan beş yıla kadar hapis ve ikimilyon liradan yirmimilyon liraya kadar ağır para cezası verilir.

Madde 525/d – (Ek : 6/6/1991 – 3756/24 md.) 525 a ve 525 b maddeleri hükümlerini ihlal eden kişiler hakkında,maddelerde yazılı cezalara ek olarak,meslek icrası sırasında veya icrası dolayısıyla suçun işlendiği bir kamu hizmetinden veya meslek veya sanat veya ticaretten altı aydan üç yıla kadar yasaklanma cezası da verilir.

3.2. Teknik Durum:

Türkiye’de mevcut HİS yazılımlarda ;

• Sağlık Bilgilerine erişim kısıtlanmış mıdır? ( Erişim yetkisi tanımlı mıdır?)

• Seviyelendirilmiş erişim yetkisi ile ilgili bir modül var mıdır?

• Sağlık ile ilgili bilgiler saklanırken veya transfer edilirkenşifrelenmekte midir?

Bu anlamda daha geniş zamanda “bütçeli” bir araştırmada Ulusal Yazılımlar irdelenmelidir. Eldeki rapor ne yazık ki bu konuda bir veriye sahip değildir. Ancak bilinen ulusal seviyede bir veri paylaşımına olanak tanıyacak ortakşifreleme standartları mevcut değildir.

Elektronik veya değil; kişisel sağlık bilgileri nerelerde toplanmakta (collection), nerelerde hangi seviyelerde depolanmaktadır (storage).

Bu verilerin toplanma, depolanma ve erişimlerine ilişkin bir idari, hukuksal yönerge var mıdır?

Bilinen tek yönerge 1998 yılında yayınlanan “Hasta Hakları Yönetmeliği”dir. Bu yönetmelikte Hastaya ilişkin bilgilerin saklanması, gizliliğinin ve güvenliğinin sağlanması bir sorumluluk olarak ilgili sağlık kurumuna tanımlanmakta, ancak bunun nasıl olacağına ilişkin bir tanım veya standart getirmemektedir. Bilindiği kadarıyla Ülkemizde

• Muayenehane

• Laboratuar

• Sağlık Ocağı, Poliklinik, Sağlık Merkezi, AÇS vb…

• Hastane

• Ulusal Veritabanları (VSD, Bildirimi zorunlu hastalıklar ile ilgili kayıtlar.)

seviyelerinde “Bireyi tanımlayabilir niteliklere sahip kişisel sağlık bilgileri” toplanmakta ve her kişi veya kurum bu verileri kendine özgü standart olmayan yöntemlerle korumaya çalışmaktadır.

Hukuksal olarak;1998 yılında yayınlanan “Hasta Hakları Yönetmeliği”nde ve bu yönetmelikteki tanımdan yola çıkarak Türk Ceza Kanununun 198. maddesinde tanımlanmış cezai müeyyideler gereğince ve bizce bundan çok daha önemlisi Tıp etiği gereği bireyi tanımlayan özelliklere haiz Kişisel Sağlık Bilgilerinin Güvenliği (Security) gibi bir sorun her durumda vardır. Dolayısıyla “Mahremiyet”in sınırlarına ilişkin tartışma Tıp Etiği Uzmanları, Hukuk Uzmanları ve Toplumca tartışıla dursun, kişisel sağlık bilgilerinin güvenliği bu bilgilerle çalışanların (toplayan, depolayan, yeniden kullanmak üzere geri çağıran vb….) çözüm üretmek zorunda oldukları bir durumdur. Böylelikle

Kayıt Güvenliği (Security);

• Muhafaza etmek, hasar ve kayba karşı korumak (safety),

• Sahipliğini, aitliğini saptamak (Ownership),

• Doğru kişilerin erişimine açıp (Authorization),

• Yetkisizlerin erişmesine engel olmak ve gizlemek (protection)

alt anlamlarıyla tartışılmalı ve bütün bu özellikleri temin eden bir çözüm üretilmelidir. Bu çözümün kayıtların elektronik olup olmaması ile ilgisi yoktur. İster elektronik isterse bir başka formatta Kişisel Sağlık Kayıtları; yukarıda sıralanan özellikler sağlanmış olarak toplanmalı, saklanmalı ve tekrar erişimde anılan güvenlik koşulları sağlanmalıdır.

4. Sağlık Kayıtlarının Güvenliği ve Mahremiyeti Üzerine Öneriler

“Kişisel Sağlık Kayıtlarının Güvenliği” “Kişisel Sağlık Kayıtlarının Mahremiyeti”nden bağımsız ve farklı bir konudur. Koşul her ne olursa olsun “Kişisel Sağlık Kayıtları” yukarıda sıralanan kriterler sağlanmış bir “Güvenlik” içinde toplanmalı, depolanmalı ve erişilmelidir. Bu koşul sağlandıktan sonra anılan verilere “kimlerin hangi seviyede erişeceği” tartışılırken “Kişisel Sağlık Kayıtlarının Mahremiyeti” konusu başlar ve bu erişim seviyesi “mahremiyetin sınırlarını” belirler.

Bu noktada öncelikle Tıp Bilişimi Derneğinin ve eldeki raporun ilgi odağı oluşu nedeniyle Elektronik ortamda işleme tabi tutulan (transaction), depolanan (storage), paylaşılan (share), transfer edilen bilginin “Güvenliği”(Security) tarafımızca tartışılacaktır.
B
u konuda Türkiye için geliştirilecek modelde referans alınması önerilen iki kaynak vardır.

1. ABD Örneği: ABD’de Amerikan Sağlık ve İnsani Hizmetler Kurumu tarafından Şubat ayında yayınlanan Güvenlik ve Elektronik İmza Standartları raporudur. Bu raporda mevcut standartlar bir başka çalışmada detayları ile irdelenerek Ülkemiz koşullarına uyumu araştırılmalı ve bir diğer model olan;

2. Avrupa Birliği Örneği: SEMRIC Projesi dokümanları irdelenerek Ülkemiz ile uyumu araştırılmalı ve bu konuda gerekli tanımlar yapılmalıdır.

Güvenlik ile ilgili geliştirilecek standartlar tartışılırken konunun tarafları;

1. TC Sağlık Bakanlığı

2. Sosyal Güvenlik Kurumları

a. TC Emekli Sandığı

b. TC SSK

c. TC BAĞKUR

3. Milli Savunma Bakanlığı (Askeri Hastaneler)

4. Çalışma ve Sosyal Güvenlik Bakanlığı

5. YÖK (Üniversite Hastaneleri)

6. Özel Hastaneler

7. Sağlık Sektörüne Yazılım üreten firmalar

Sürece katılmalı ve tartışmanın geniş platformda yapılması sağlanmalıdır.

Yaygın teletıp uygulamalarının yaşama geçirilebilmesinin temel koşulu ağ olarak aslında “güvenli” olmayan İnternet’i kullanmaktır. Açıklayacak olursak: bir iletişimin güvenliğini ya en temel katmanda yani fiziksel ağda sağlarsınız. Yani Teletıp uygulamalarına özel yalnızca bu amaçla kullanılan ağlar kurarsınız ki bu gerçekten son derece pahalı ve hatta pahalılığın ötesinde Ülkemiz telekomünikasyon altyapısı gözönüne alındığında olanaksız denecek kadar zor bir uygulamadır. Ya da iletişim için güvenli olmayan bir ağ üzerinde kendi güvenli iletişim alanını oluşturursunuz. (Virtual Private Network veyaşifreleme-çözümleme yöntemleri vb…). Yalnızca Türkiye için değil ABD gibi telekomünikasyon altyapısı çok gelişmiş ülkelerde de İnternet sağlık verilerinin taşınmasında kullanılmaktadır. ABD’de bu konuda standartlar oluşulmaya çalışılmış ve Amerikan Sağlık ve İnsani Hizmetler Kurumu (Department of Health and Human Services) 2şubat 2001 tarihinde sonşekli verilen “Bireyi Tanımlayıcı Sağlık Bilgilerinin Mahremiyet
i İçin Standartlar”ı yayımlamıştır. (Standards for Privacy of Individually Identifiable Health Information; Final Rule) Anılan Standartlar 367 sayfalık bir raporu oluşturmuş oldukça kapsamlı bir çalışmadır.

Yine sağlık verilerinin güvenli bir biçiminde paylaşımını amaçlayan bir diğer çalışma da Avrupa Birliği tarafından SEMRIC Projesi adı altında gerçekleştirilmektedir. Secure Medical Records Information and Communication ( Güvenli Tıbbi Kayıt Bilgisi ve İletişimi) tanımının kısaltmasından oluşan bu proje; Avrupa Birliği ülkelerinde tıbbi verilerin paylaşımında kullanılacak güvenlik standartlarını belirlemeye çalışmaktadır. Anılan projenin web sitesinde irdelenmeye değer dokümanlar mevcuttur. SEMRIC gerek kapalı yerel ağlarda gerekse internet ve benzeri güvensiz ağlar üzerinde güvenli veri paylaşımını tartışmakta ve bu alana özgü çözümler önermektedir.

Tüm dünyada yeni eğilim, hastaların daha doğrusu her insanın yaşam boyunca sağlığını ve hastalıklarını kayıt altına alan bir “sürekli sağlık kaydı”nın tutulmasıdır. Bunu teminin tek yolu “Tekil Sağlık Tanımlayıcısı (Unique Health Identifier)” ile her vatandaşın tanımlanması ve bu tanımlayıcı (sayı ve harften oluşan bir kod) sayesinde sağlığı ve hastalıkları ile ilgili tüm bilgilerin dağıtık bir sistemde ancak “Tekil Sağlık Tanımlayıcısı” aracılığı ile erişilebilir kılınmasıdır. Tekil Sağlık Tanımlayıcısı’na ilişkin en temel kavram başka hiçbir tekil tanımlayıcı ile eşleştirilmemesi veya aynı kılınmamasıdır. Örneğin “Vatandaşlık numarası” veya “Sosyal Güvenlik Numarası” ile “Tekil Sağlık Tanımlayıcısı” aynı numara veya kod olursa hasta bilgilerinin mahremiyetini korumakşansınız kalmaz ve güvenlik problemleri engellenemez bir biçimde yaşanır. Bu nedenle “Tekil Sağlık Tanımlayıcısı” hiçbirşekilde başka hiçbir amaçla kullanılmamalı ve diğer tanımlayıcılarla herhangi bir ilişki göstermemelidir. Ancak bu koşulda
kullanımında güvenlikten söz edilebilir. ABD’de hala “Tekil Sağlık Tanımlayıcısı”nın güvenliği ve mahremiyeti tehdit edip etmediği tartışılmaktadır.

“Bireyi Tanımlayan Kişisel Sağlık Bilgisi”nin güvenliği tam anlamıyla sağlandıktan sonra bu bilginin toplum çıkarları nedeniyle kullanılması gereğinde “mahremiyet” sorunları gündeme gelmektedir. Bulaşıcı Hastalıklar, epidemiyolojik çalışmalar, Bilimsel çalışmalar ve benzeri pek çok noktada Kamu yararı ile Bireyin mahremiyeti çatışmaktadır. Bu noktada mahremiyetin korunabilmesine yönelik temel ilkeler tanımlanmıştır.

Yine Amerikan Sağlık ve İnsani Hizmetler Kurumu Sağlık Bilgisinin derlenmesinde ve güvenliğinde beş temel ilkeyi öngörmektedir.

Sınırlı bilgi:

Hastaya veya Sağlıklı bireye ait Bireyi tanımlayabilir kişisel sağlık kayıtlarında istisnai durumlar dışında sadece Sağlık ile ilgili bilgiler toplanmalıdır.

Güvenlik:

Anılan bu bilgilerin yalnızca ilgili ve yetkili kişilerin erişebileceği ve başka hiç kimsenin erişemeyeceği gizlilik ve korunaklılık altında tutulması sağlanmalıdır.

Tüketici Kontrolü:

İlgili sağlık kayıtlarının sahibi sağlıklı kişi veya hasta kendisine ait hangi bilgilerin hangi güvenlik düzeyinde toplandığını bilmek ve tatmin olmadığı koşulda bu bilgilerin kaydına engel olmak hakkına sahiptir.

Sorumluluk:

Anılan bilgilerin güvenliğine zarar gelmesi ve kötü kullanımı halinde sorumlular cezalandırılmalı ve bu anlamda muhataplar tanımlı olmalıdır.

Kamu yararı:

Kişiye ilişkin sağlık kayıtlarında Kamu yararı esastı