Doktorun hasta verilerinin siber saldırıya uğraması halinde yapılması gereken; kısa sürede Kişisel Verileri Koruma Kurulu'na (KVKK) bildirilmesidir. Bu bildirim üzerine Kurul, gerekirse bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan eder. Hasta hekim ilişkisinin güven ve mahremiyet üzerine kurulu olduğu tartışmasızken ilerleyen teknoloji ve dijital dünyada hassas nitelikli bu verilerin güvenliğinin sağlanması, sağlık verisi işleyenler için en dikkatli olması gereken konular arasındadır.

Kişisel Verileri Koruma Kurulu 07. 08. 20220 tarihinde, Kadın Doğum uzmanı hekimin hasta kayıt programının siber saldırıya uğradığını ve yaklaşık 10.000’e yakın hastasını verilerinin bulunduğunu bildirmesi üzerine bu konuyu https://www.kvkk.gov.tr sitesinde ihlal bildirimi olarak yayınlamıştır.

Kişisel Verileri Koruma Kurulu'nun sitesinde yayınlanan kararda;

“Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Doktor XX tarafından Kurumumuza gönderilen yazıda özetle;

Hasta bilgilerinin tutulduğu sistemin 05.07.2020 tarihinde bir siber saldırıya (fidye saldırısı) maruz kaldığı,

İhlalin 06.07.2020 tarihinde hasta programının silindiğinin fark edilmesi sonucu tespit edildiği,

İhlalden etkilenen kişi sayısının tahmini 10.000 olduğu, hasta programına girilemediği için tam sayının bilinmediği,

İhlalden etkilenen kişisel verilerin hastalara ait kimlik bilgileri, e-posta adresleri, telefon numaraları, sağlık ile ilgili detaylı bilgiler, tıbbi geçmişler, muayene bulguları, laboratuvar sonuçları ve cinsel sorunları içeren veriler olduğu,

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.07.2020 tarih ve 2020/540 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.” Şeklinde duyurulmuştur.

Sonuç olarak; Kişisel sağlık verisi işleyen hekimin ihlali fark ettiği andan itibaren 72 saat içinde Kuruma bildirimde bulunması gayet doğru bir hukuksal yaklaşımdır. Meydana gelen olay etkilenmesi muhtemel kişiler ve hekim açısından son derece sıkıntı verici, yönetmesi zor bir durumdur. Hastane ve sağlık kuruluşların büyük çoğunluğu KVKK uyum süreci çalışmalarını kurumsal olarak tamamlamış olmakla birlikte muayenehane ve özel kliniklerde mesleğini sürdüren hekimlerin bu konuya gereken ilgiyi göstermediğini görüyoruz. Ancak bu konuda Verbis siciline kayıt süresinin iki kez uzatılmasının etkisi olduğunu düşünüyoruz. Zira 23/06/2020 Tarihli ve 2020/482 Sayılı Kişisel Verileri Koruma Kurulu Kararı ile faaliyet konusu sağlık verisi işleme olanların Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021 tarihine kadar uzatılmıştır.

Av. Ayşe Gül Hanyaloğlu

HANYALOĞLU-ACAR HUKUK BÜROSU