2010/61Sayılı Genelge ve Yapısal Değişiklikler

            Avrupa Birliği ile entegrasyon sürecinde 7 Mayıs 2010 tarihinde 5982 sayılı yasa ile getirilen “özel hayatın gizliliği ve korunması” hakkındaki T.C. Anayasası’nın 20. Maddesindeki değişiklik, tıp bilişimi alanında çalışan bizim gibi sektörel firmalar ve elbette sağlık kurum ve kuruluşları için çok büyük bir önem arz etmektedir. Yapılan bu anayasa değişikliği ile artık herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip oluyor, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme imkanına kavuşmaktadır.

            T.C. Anayasası’nın 20. Maddesindeki değişikliğe paralel olarak ta T.C. Sağlık Bakanlığı İdari ve Mali İşler Daire Başkanlığı 19.08.2010 tarihli 2010/61 Sayılı Genelgesi ile tıp bilişimi alanında faaliyet gösteren sektörel kuruluşlar ile sağlık kurum ve kuruluşlarına bir takım yeni ve köklü düzenlemeler getiriyor. 2010/61 Sayılı Genelge, güncelliğini yitirmesi nedeniyle ihtiyaçları karşılamaktan uzak ama hala yürürlükte olan, sağlık hizmeti sunan tüm kurum ve kuruluşlarda tıp bilişimi konusundaki süreçleri düzenlemek üzere bu genelgeleri de yürürlükten kaldırıp mülga hale  getiriyor.

            2010/61 Sayılı Genelgesinde ise; 2008/17 Sayılı Başbakanlık Genelgesi’ne atıfta bulunularak her türlü yazılımın lisanslı olması gerektiği, artık veri hazırlama kontrol işletmenliği (veri giriş elemanı, tıbbi sekreter vb.) ihalesi için yazılım ve/yada donanım ihalesi ile birlikte ihaleye çıkılamaması, hibenin bir takım koşullara bağlanması, teknik şartnamelerin hazırlanmasında kopyala yapıştır yöntemine son verilmesi, garanti sonrası hizmetlerin, cihaz entegrasyonlarının ve entegrasyon maliyetlerinin teklifte yer almasının sağlanması, firma değişikliklerinde HBYS Alım Kılavuzu ve Veri Aktarım Kılavuzuna göre hareket edilmesi önemli yapısal değişiklikler olarak karşımıza çıkmaktadır.

            Tüm bu saydıklarımızın yanı sıra, yukarıda anılan Anayasanın 20. maddesindeki düzenlemeye paralel olarak; kişisel sağlık verilerinin gizlilik, güvenlik, bütünlük, erişilebilirlik ve mahremiyetinin sağlanması için personel ve yüklenici ile ayrı ayrı “gizlilik sözleşmesi” imzalanması, kişisel verilerin kişinin kendisinin ya da kanuni vekilinin rızası alınmaksızın adli kurumlar hariç hiçbir kurum ve kuruluş ile paylaşılmaması, bilimsel araştırma amaçlı kullanılacak veriler için ilgili makamlardan izin alınma zorunluluğu ve bu verilerin kimlik bilgilerinden arındırılmış olmasına yönelik düzenlemelerde büyük önem arz etmektedir. Yine, sağlık bilgi sistemlerinde entegrasyonun belirtilen koşul ve şartlarda sağlanması, donanım kiralamada rekabeti engelleyici ve kurumu zarara uğratıcı firma ve tekliflere itibar edilmemesi, tüm kurum ve kuruluşlarda bilgi işlem birimleri kurulması, kurum ve kuruluşta hizmet alımı yoluyla çalıştırılacak eleman sayısının ve ücretlerinin belirlenmesinde 2000/32, 2009/64 ve 2010/43 Sayılı Genelgelerin, personel niteliklerinin belirlenmesinde ise 2010/32 Sayılı Genelge'ye atıfta bulunulmaktadır.

            Ayrıca, yazılım ürünlerinin tedarik sürecinde, teknik şartname hazırlanması için oluşturulacak olan teknik komisyona kılavuzluk etmek ve gereken hallerde teknik şartnamelerin değerlendirilmesinde göz önünde bulundurulacak kriterleri belirlemek, satın almaya ilişkin mevzuata bağlı kalmak kaydıyla, T.C. Sağlık Bakanlığı tarafından hazırlanan 2 adet kılavuz doküman (Hastane Bilgi Sistemleri Alımı Kılavuz Dokümanı ile Görüntü Arşiv ve İletişim Sistemleri(PACS) Alımı Kılavuz Dokümanı) Genelge ekinde yer almaktadır.

            Genelge ile getirilen bu düzenlemelerin sıklıkla karşılaşılan bazı problemelere çözüm bulmak bazılarını ise tamamen ortadan kaldırmak maksadıyla hazırlandığı görülmektedir. Özellikle, yazılım firmalarını rızaları hilafına personel hizmeti sektörüne sokan Personelli HBYS ihalelerine yönelik tedarik yönteminin değiştirilmesi üzerinde durulması gereken bir değişiklik olarak karşımıza çıkıyor. Tedarik yöntemi nedeniyle 81 ilde adını sanını bilmeden herhangi bir mülakat yapma şansı olmadan binlerce veri giriş personelini çalıştırmak, tüm işçilik ve özlük haklarını yüklenmek, kurum inisiyatifi ile işe alıp işten çıkarmak durumunda kalan tıp bilişimi firmaları artık asıl faaliyet alanlarına daha fazla zaman ayırma şansına kavuşmaktadır. Kazanılan bu ekstra zamanın doğrudan AR-GE projelerine harcandığı düşünülürse, bu düzenlemenin fevkalade isabetli olduğu açıkça ortaya çıkmaktadır.

            Bir başka önemli düzenlemenin de kişisel sağlık verileri için getirildiği görülmektedir. Genelge ile kişisel sağlık verilerinin gizlilik, güvenlik, bütünlük, erişilebilirlik ve mahremiyetinin sağlanması için gerekli tüm tedbirlerin alınması ve eksiksiz uygulanması istenmektedir. Bakanlığın bu konudaki hassasiyetinin sebebinin, günümüzde kişisel verilerin ticari bir emtia gibi alınıp satılabilmesi, el değiştirmesi ya da başkaca veriler ile entegre edilebilmesi olduğu akıllara gelmektedir.

            Boyutları tahmin bile edilemeyecek zararlara sebebiyet verebilecek “kişisel veri” argümanı, geçmiş yıllarda onbinlerce iyiniyetli insanımızın kemik iliğinin başka başka ellere geçmesinin tanıklığını bizlere yaşatmıştır. Yine yakın zamanlarda, MERNİS bilgilerinin internet üzerinden icra takibini kolaylaştırmak isteyen 600 Avukat'a ücreti mukabil satılması, kişisel verilerin ve korunmasının ne denli önemli olduğuna ve Genelgede bu yönde bir düzenleme yapılmasının ne denli isabetli olduğuna işaret etmektedir.

            Mevcut ve muhtemel zararları gidermek, en baştan engellemek için firmamız tarafından 2010/61 Sayılı Genelge'ye paralel olarak Bilgi Güvenliği Yönetim Sistemi (BGYS) Departmanımız tarafından da sağlık kurum ve kuruluşlarının sahip olduğu tüm  bilgisayarların  taranmasına  yönelik  olarak penetrasyon testi yapılmaktadır. Sistem kaçaklarını ve dışarıdan müdahaleleri engellemeyi ve nihayetinde kişisel verilere yetkisiz kişilerin erişimini engelleyen bu çalışmamızı tüm hastanelerimizde başlatmak ve bu konuda herhangi bir ihmale fırsat vermemek üzere BGYS Departmanımız çalışmalarını var gücüyle sürdürmektedir. Sağlık kurum ve kuruluşlarımızın BGYS Departmanımız ile irtibata geçmesi ve kurumlarında penetrasyon testi yaptırmaları muhtemel tedbirlerin en sağlıklısı olarak görülmektedir.

            İhmale ya da gecikmeye fırsat verilmesi ve kişisel verilerin el değiştirmesi, çıkara sebebiyet vermesi ya da silinmesi durumunda ise başta hastane yöneticileri olmak üzere tüm sistem sorumlularını ağır yasal yükümlülükler beklemektedir. Çünkü 5237 Sayılı Türk Ceza Kanunu Md. 243 vd. gereğince  bilişim sistemlerine dolayısıyla kişisel verilere kişinin rızası hilafına girilmesi 6 aydan 6 yıla kadar hapis ve 5000 güne kadar adli para cezasına karşılık gelmektedir. Bu nedenlerle, tüm sağlık kurum ve kuruluşlarımızda çalışan yöneticilerimizin kişisel verilerin muhafazası ve gizliliği hakkında çok büyük bir ihtimam göstermesi gerekmektedir.

            Kişisel sağlık verisi yeni bir kavram olması nedeniyle kapsamı konusunda bir takım belirsizliklerin önüne geçilmesi gerekmektedir. Genelge eki HBYS Alım Kılavuzu incelendiğinde kişisel sağlık verisinin, kimliği belirli veya belirlenebilir bir kişinin fiziksel, ruhsal, sosyal sağlığına veya veri öznesinin aldığı sağlık hizmetine ilişkin olan,  elektronik, kağıt veya benzeri yollarla üretilen, taşınan veya saklanan sağlıkla ilgili her türlü verisi olduğu, bu kapsama sağlık hizmeti almak isteyen bireylere ilişkin kayıt bilgileri, ödeme bilgileri, sağlık gerekçeleriyle bireyi teşhis edebilmek amacıyla ilgili kişiye tahsis edilen numara, takma ad,  sembol veya diğer herhangi bir özellik veya tanıtıcı, veri öznesine sağlık hizmeti sağlayan kişinin kimlik bilgileri gibi bilgiler de dahil olmak üzere kayıt altına alınan her türlü bilginin girdiği anlaşılmaktadır.

            Tüm bunların, TCK, KİK, T.C. Sağlık Bakanlığı 2010/61 Sayılı Genelgesi ve Ekleri ile bir arada değerlendirilmesi neticesinde artık  tedarikçi tıp bilişimi firmalarının ve bu firmalardan hizmet alımı yapan sağlık kurum ve kuruluşlarının “kişisel sağlık verisi”nin güvenliği ve gizliliği noktasında herhangi bir girişimde bulunmadılar ise derhal harekete geçmeleri, harekete geçtiler ise de tam ve eksiksiz bir şekilde takip yaparak hizmet sunmaya devam etmeleri, ihmalkar ya da tedbirsiz davranılması durumunda ise çok ciddi yaptırımlara maruz bırakılacaklarını öngörmeleri gerekmektedir. Tıp bilişimi sektörüne ve sağlık kurum ve kuruluşlarına kendine çeki düzen verme ve sektör gereklerini yerine getiremeyecek gerçek ya da tüzel kişileri elemine etme şansı tanıyan bu yasal düzenleme, her halükarda sektörün lehine olup desteklenerek devamlılığının sağlanması gerekmektedir. Firmamız ve yetkili birimleri BGYS konusundaki bilgi ve duyarlığını tüm sağlık kurum ve kuruluşlarımıza aktarmayı bir görev addetmektedir. Bu vesile ile firmamızdan BGYS eğitimi alan sağlık kurum ve kuruluşlarımıza göstermiş oldukları bilinç ve hassasiyet nedeniyle teşekkür ediyor, tüm tıp bilişimi camiasına güzel bir hizmet yılı geçirmelerini diliyorum.