Sosyal medya üzerinden phishing yöntemiyle kredi kartı, şifre ve sair hassas verilerinizin çalınmasına ve sazanlanmaya (hoax) karşı Burçak Ünsal ve Sertel Şıracı’nın yaptığı ve Anadolu Ajansı tarafından yayınlanan uyarılar basında geniş yankı buldu.
Uyarıların en geniş metnini burada bulabilirsiniz.
“Dijital dünya ve analog dünya ayrımı kalmadı. Siber riskler, bizi devlete, müşterilerimize ve iş yaptığımız tüm üçüncü şahıslara karşı sorumluluk altına sokuyor. Biz bu riskleri hukuken nasıl yönetiriz, nasıl en aza indiririz konusunda çözüm sunuyoruz.”
diyerek, aynı konunun önemine değindi. Detayları Hürriyet Teknoloji’nin 14.04.2017 tarihli haberinde okuyabilirsiniz.
Türkiye’de ilk kez Internet of Things’in hukuki tanım teklifimi, hukuki düzenleme zorunluluğunun gerekçelerini ve yöntemini Webrazzi ‘de bu yazımla tartışmaya sundum. Cihaz ve teknoloji üreticilerimizin önünü açarken, yabancı yatırımı da çekebiliriz.
Sağlık Bakanlığı’nın hasta verilerini daha güvenli kılmak amaçlı olarak yeni bir yönetmelik çıkaracağına veya mevcut yönetmeliklerde bunu sağlayan değişikler yapacağına ilişkin bizzat Sağlık Bakanlığı tarafından yapılan açıklamalar, ülkemizde mahremiyet ve veri korunması sorunlarını yeniden gündeme getirdi.
Öncelikle Sağlık Bakanlığı’nı iki konuda tebrik etmek gerekiyor. Birincisi, bu konuda çok acil hukuki düzenleme ihtiyacı vardı. Hatta Devlet Denetleme Kurulu’nun sağlık verilerinin yeterince güvenli şekilde korunmadığına ilişkin eleştirileri olmuştu. İkincisi ise bu düzenlemeye ilişkin sürecin Sağlık Bakanlığı tarafından nisbeten daha şeffaf ve yoruma açık bir şekilde yürütülmesidir. Zira hepimizin bildiği gibi halkı ilgilendiren yasama faaliyetleri, ortak aklı yansıtması ve ihtiyaçlara cevap verebilmesi için hukuk fakültelerinden, hukuk uygulamacılarından ve ilgili sektörlerin aktörlerinden görüş alarak yapılmalıdır. Ancak, ne yazık ki ülkemizde çok önemli yönetmelikler ve hatta kanunlar görüş alınmadan veya çok kısıtlı görüş alınarak hazırlanır, torba yasalar içine serpiştirilir ve TBMM Genel Kurulunda yapılan nihai görüşmede ortaya atılıveren bir teklifle de tadil edilerek çıkarılır. Hele yönetmeliklerden ancak Resmi Gazete’de görünce haberimiz olur.
İşte Sağlık Bakanlığı’na iki noktada tebriğim gereğini yapmalarından ve nisbeten daha şeffaf olmalarındandır. Tabii bir taslak metin yayınlansa da ilgililer görüş verebilse çok daha iyi olurdu ama neyse… Ben bu makale vesilesiyle kendi üzerime düşeni yapmış olayım.
Ülkemizde ne yazık ki veri korunmasına ilişkin çıkarılmış spesifik bir yasal düzenleme bulunmamaktadır. Kişisel veriler ve mahremiyet Anayasa, Medeni Kanun, Ceza Kanunu, bankacılık mevzuatı hükümleri; sağlık verileri özelinde ise bunlara ek olarak Hasta Hakları Yönetmeliği, Yataklı Tedavi Kurumları İşletme Yönetmeliği gibi ikincil mevzuatla korunmaya çalışılmaktadır.
Oysa ki kişisel mahremiyet temel bir insan hakkıdır. Hele kişinin sağlık verileri hukuken kesin olarak gizli ve hassas bilgi olarak kabul edilir. Normal şartlar altında temel hukuk prensiplerine ve modern hukuki düzenlemelere göre kişinin sağlık bilgilerine ancak hekiminin ve acil durumlarda kişiye tıbbi müdahele yapmak durumunda buluanan hekimin erişimi bulunması gerekir.
Ne acıdır ki ülkemizde ise örneğin özel sigorta kuruluşları herkesin en ince sağlık detayına bir şekilde erişebilmektedir. Sigorta şirketleri sigorta sözleşmesi yaparken bir anda vatandaşların önüne yıllarca önce bir sebeple hastaneye basit bir sebeple yaptığı başvuruyu koyarak bununla ilgili tüm oluşmamış potansiyel tedavi masraflarını sigorta kapsamından çıkarabilmektedir.
Hemen tamamı yabancı sermayeli veya ortaklı olan sigorta şirketlerinde her birimizin sağlık bilgisinin ne işi olduğu, bunların hangi şartlarda saklandığı, kimlerle paylaşıldığı ve ne amaçla kullanıldığı bir kamu güvenliği ve kamu sağlığı sorunudur. Bunu bir örnek olarak veriyorum. Bu gizli ve hassas bilgiler kar amacı güden bu şirketlerin elinde ise ve bizlerin önüne sigorta sözleşmesi yaparken konabiliyorsa durum vahimdir.
Sayın Müsteşar Yardımcısı Dr. Şuayip Birinci tarafından yapılan açıklamalardan anladığımız kadarıyla, Sağlık Bakanlığı’nın, önemli ve olumlu düzenlemeleri olacak. Beklediğimiz bu düzenlemelere göre, kişinin sağlık verilerine kişiyi tedavi eden veya kişi tarafından yetkilendirilmiş hekimi erişebilecek. Kişi, kendi sağlık verilerine erişebilecek aile bireylerini veya erişim sağlamayı tercih edeceği kişileri kendisi belirleyebilecek. Bu şekilde erişim yetkisi sahip olan hekim ve bireyler dışında yetkisi erişim olursa bu gözlemlenebilecek.
E-devlet ve e-sağlık uygulamaları bireylerin daha iyi kamu hizmeti ve sağlık hizmeti almasını sağlayacak, aynı yerde olmayan uzman hekimlerin teşhis ve tedavi için çok daha etkin konsültasyon yapmasına imkan verecek, kişi nerede olursa olsun herhangi bir sebeple sağlık hizmeti almak üzere başvuracağı özel veya devlet kurumlarının çok daha etkili hizmet verebilmesini sağlayacak çok önemli, aynı zamanda da gelişen teknoloji bakımından da kaçınılmaz uygulamalardır.
Ancak bu veriler toplanır ve saklanırken hastanın ve ailesinin kişilik haklarının ve mahremiyetlerinin ta kendisi olan sağlık verileri en az sağlık hizmetleri alma hakları kadar korunmalıdır.
Avrupa Birliği (AB) kişisel verilerin korunması konusuna çok büyük önem vermektedir. Avrupa Birliği’nin İşleyişi Anlaşması’nın 16. Maddesi, Avrupa Birliği Temel Haklar Sözleşmesi’nin 8. Maddesi, AB Directive 95/46/EC, AB Komisyonu’nun 4 Kasım 2010 tarihli bildirisi ve AB Komisyonu’nun 25 Ocak 2012 tarihli Veri Koruma Direktifi’nde kapsamlı değişiklik teklifi bunu göstermekte ve bunlar bütün olarak önemli hukuki referans teşkil etmektedir.
Tüm bu düzenlemeler ve AB’nin Almanya, Birleşik Krallık gibi ülkelerindeki düzenlemeler hastanın kendi izni olmadan sağlık verilerine kimse tarafından erişilmesine izin vermiyor. Hasta hangi doktorun bu veriye erilebileceğini kendi seçerek yetkiyi veriyor.
ABD’de de benzer bir koruma seviyesi bulunuyor ve bu konuda eyalet hukuklarının yanı sıra çok ciddi standartlar getiren detaylı federal yasal düzenlemeler dikkat çekiyor.
Bu arada detaylara girmeden belirtmeliyim ki gerek ABD’de gerek AB üyesi ülkelerde devlete (bakanlıklara, devlet sağlık kurumlarına) ve özel tedavi kurumları ile sigorta şirketlerine açılan sağlık verisi gizliliği ihlali davaları bu hassasiyetin gelişmesinde büyük rol oynamış ve yasal düzenlemeleri yönledirmiştir.
Ülkemizde ne yazık ki ne veri koruma mevzuatı var, ne de bu mevzuatın uygulanmasından sorumlu ABD ve AB’de olan özerk düzenleyici ve denetleyici bir kurum var.
2008’den beri TBMM önünde eski başbakanımız, yeni cumhurbaşkanımız Sayın R. Tayyip Erdoğan imzalı bir “Kişisel Verilerin Korunması Kanunu Tasarısı” duruyor. Bu çalışmanın asıl dayandığı tarihi bir tarafa bırakın, 2008’den 2015’e dönemin başbakanı, cumhurbaşkanı olmuş, hala bu tasarının kanunlaşmamış olmasını mantık açıklayamıyor. Doğruyu yapmak istiyorsak, yeni düzenlemelerde bunca zamandan sonra değişen şartları, ihtiyaçları ve yaşanmış olabilecek hak ihlallerini de düşünmeliyiz.
Uzun lafın kısası, Sağlık Bakanlığı, modern, insani, uluslararası standartlara uygun bir yasal düzenleme çalışması yapmaktadır. Ancak bunun nasıl uygulanacağı teknik olarak hayati önem taşımaktadır. Sağlık Bakanlığı’nın bu uygulamasının her sektöre örnek olmasını, bankacılık, finansal işlemler, sermaye piyasaları, iletişim gibi alanlarda açık yara olan veri koruması hususunun modern, etkin ve vizyoner yasal düzenlemelerle kapatılmasını diliyorum.
*Burçak Ünsal, sağlık, teknoloji, inovasyon, medya ve telekomünikasyon hukuku alanlarında çalışan New York ve İstanbul Barolarına kayıtlı bir avukattır. Hukuk lisans ve yüksek lisans dereceleri yanında Fen Bilimleri yüksek lisansı da bulunmaktadır. Ünsal, özel hukuk uygulamasının yanında akademik ve sivil toplum faaliyetlerinde de bulunmaktadır.