Veri güvenliği, kişisel veri güvenliği , hassas veri güvenliği yönetimi sorunları
Bilgi en önemli üretim kaynağımız. Bugün bilgiye erişim, toplanması, işlenmesi, saklanması ve dağıtılması bilişim sistemleri ile daha kolay hale geldi. Ama bu kolaylık bazı tehlikeleri de beraberinde getiriyor, bu tehlikenin adı veri güvenliği sorunları. Bugün özellikle gelişmiş ve gelişmekte olan ülkelerinin ana gündemlerinden biri bilgi güvenliği, kişisel verilerin korunması konusundaki yaklaşımlardır.
KVKK danışmanlık hizmetleri ve KVKK uyumu
Kişisel Verilerin Korunması Kanunu ile ilgili uyum çalışmalarına devam ederken müşterilerimizin birçoğunda karşılaştığımız bir soru ile bu blog yazımızda cevap vermek istiyoruz. Efenim şu yazılımı alırsak KVKK uyumunu sağlamış olur muyuz? Hayır, KVKK uyumu bir bilgisayar programı ile sağlayabileceğiniz kadar basit bir durum değil. Kanun fiziksel, teknolojik, metodolojik, yazılım ve eğitim gibi birbiri ile bağlantılı olan süreçlerden kurulu canlı bir sistem, organizasyon kurmanızı ve bunu sürekli geliştirmenizi istiyor. Yani birileri size bir yazılım satarak KVKK uyumu sağladığını iddia ediyorsa büyük şüphe duyun diyoruz. KVKK uyumu için KVKK danışmanlığı alınmasının daha uygun olduğunu düşünüyoruz. Çünkü danışmanlar size bu konuda çok farklı uygulama ve yöntem gördükleri için uyum sürecinizi kolaylaştırırlar.
KVKK danışmanlığı uyumu kolaylaştırır mı?
KVKK danışmanlık hizmetleri, GDPR danışmanlık hizmetleri veren VMİ Danışmanlık belki gelecek yıllarda kanunlar, yönetmelikler oturduktan sonra sadece bu alana odaklanmış firmalar tarafından geliştirilecek yazılımlarla KVKK uyumu kolaylaşabilir. Ama bir yazılım hem kameralarda bulurlaştırma yapacak hem eğitim verecek hem denetim yapacak, toplantıları organize edecek, hem yeni yargı kararlarını takip edecek sonuçlarını kaydedecek bunlar biraz zaman alacak işler. KVKK uyumu için kameralar, veri tabanları, sunucular üzerinde çalışan ve her biri KVKK uyumu için ayrı ayrı işlevler gören yazılımlar var. Ama tek bir yazılımla KVKK uyumunun sağlanması ile ilgili henüz bir yazılım geliştirilmiş değil. Belki temel dokümanlardan oluşan veri setleri olabilir ki bunlar da bir yazılım sayılmaz.
Kişisel Verileri Koruma Kanunu'nu mutlaka okuyun
KVKK danışmanlığı yapan bir kurum olarak kurumlara şunu öneriyoruz. Öncelikle 6698’i okuyun. Kurumunuzun bilgi güvenliği sorunlarını ortaya koyun. Kanun ne istiyor siz neredesiniz bunları belirleyin! Kısaca kurumunuz için boşluk analizi yapın. Peki, boşluk analizi nedir? GAP analizi dediğimizde kurumunuzun Bilgi Güvenliği Hedefleri ile bugün içinde bulunduğu durum arasındaki farkları kast ediyoruz. KVKK için boşluk analizi yaparak işinizi kolaylaştırmış kafanızı netleştirmiş olursunuz. Kanunun ortaya çıkış amaç ve hedefleri ile sizin bulunduğunuz durum arasındaki boşlukların giderilmesi ve KVKK cezaları, KVKK yaptırımlarına maruz kalmamak açısından önemlidir.
Hastane bilgi yönetim sistemleri HBYS KVKK uyumu için yeterli midir?
Bilgi Güvenliği Yönetim Sistemi Politikalarında olduğu gibi KVKK ve GDPR politikalarını da belirleyip müşterilerinize, çalışanlarınıza, vatandaşlara, tedarikçilere, paydaşlara ilan etmeniz gerekmektedir. Örneğin bir hastane ben HBYS kullanıyorum kişisel verileri koruyorum diyerek işin içinden sıyrılamaz. Bu hastanede 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun bir sistem kurmaktan hastane yönetimi sorumludur. Elbette HBYS kendi bilgi güvenliği için TS ISO/IEC 27001 gibi standartları kullanıyordur fakat bu belge bu programı kullanan her hastaneyi KVKK için uyumlu hale getirmez. HBYS hayatı kolaylaştıran matbu ortamdaki dokümanları dijital ortama taşıyan önemli bir kolaylaştırıcıdır. Yine klinik karar destek sistemleri hekimler, hastalar hem de hastaneler için çok önemli araçlardır. Bugün hastalara özgü klinik verilerin analiz edilerek elde edilen yeni bilginin hasta tedavisinde kullanılması çok sevindirici bir gelişmedir. Bilgi çağında data mining çalışmaları, yapay zeka uygulamaları teşhis, tedavi için büyük kolaylıklar sağlamaktadır.
Bugün bilgi çağının vazgeçilmez parçaları olarak gösterilen bilişim teknolojileri ve bilişim sistemleri hayatımızın her alanında kendini gösteriyor.
HBYS, kilinik karar destek sistemleri ve hastanelerde bilgi güvenliği
Bilişim teknolojileri ve bilişim sistemlerinin yaygın ve etkin olarak kullanıldığı sektörlerden birisi de sağlık sektörüdür. Sağlık sektörü ne yazık ki KVKK uyumu ve GDPR uyumu konusunda çok sağlıklı belirtiler vermiyor. Hastaların kişisel ve hassas verilerinin Sağlık Bilişim Sistemleri (SBS) içinde olması onların KVKK uyumunun garantisini vermiyor? SBS içindeki hastaya ait kişisel ve hassas veriler doğrudan korunmuş sayılmıyor! HBYS eşittir KVKK muafiyeti gibi bir anlayış o kurumları yönetenleri 1.000.000 TL’lik bir görev kusuru kararı ile karşı karşıya bırakacaktır. Kişisel Verileri Koruma Kanunu 2016 yılında Resmi Gazetede yayımlanarak yürürlüğe girdi. Devlet şirket ve kurumlara KVKK uyumu için 2 yıl süre verdi ve o süre 2018 Mayıs ayında doldu. Ama ne yazık ki kişisel ve hassas veri yığınlarını elinde bulunduran hastaneler KVKK uyumunu henüz sağlayabilmiş değil.
Hastane KVKK uyumu konusunda vaka analizi
KVKK danışmanlık hizmeti veren VMİ danışmanlık olarak Hastaneler KVKK uyumu konusunu bir uç örnekle vaka analizi şeklinde açmak istiyoruz. Diyelim ki İstanbul’da bir kamu ya da özel hastanesiniz. Bir hasta yakını hastasını ziyaret için hasta odasına geldi ve orada kendi hastası için bir selfie çekerken yanda yatan hastanın uygun olmayan bir durumda olan görüntüsü de selfie fotoğrafına yansıdı ve bu hasta alay konusu oldu. Ve ilgili kişi olarak bizzat hastanın kendisi ya da akrabaları hastaneye Kişisel Verileri Koruma Kanunu kapsamındaki hakkını kullanmak için başvurmak istedi! Daha birçok hastanemizde KVKK aydınlatma ve açık rıza metni hatta ilgili kişiler için KEP uzantılı bir mail adresi bile yok! KVKK'dan bir uzman hastaneye gelip karar nerde, organizasyonda kimler var, eğitim takviminde KVKK ile ilgili eğitimler nerede, talimat, prosedür, risk analiziniz yok mu? işte tüm bu sorulara cevap verecek sistemi kurmalısınız. Vatandaşlara KVKK politikanızı belirleyip ilan etmelisiniz ki onlar bu kurallar içinde davransın! Kurmamanın cezası KVKK da 1.000.000 TL iken ihlal ettiğiniz kişisel veri bir AB vatandaşına ait ise bu GDPR de tam 20.000.000 Euro veya küresel cironun %4'ü şeklindedir.
Eğer böyle bir durum yaşanırsa ilgili kişiler doğrudan KVKK’ya başvurabilir ve hastane sistem kurmayıp kanuna karşı geldiği için adli ve idari cezalarla karşılaşabilir. Hastane bir marka olduğuna göre bu cezalar hastane bütçesinden ödenecek fakat hastane yönetimi görevini ihmal ettiği için görev zararı kapsamında yaptırımlarla uğraşmak zorunda kalacaklardır. Bugün hastanelerimizde tıbbi bilgi yönetimi, tıbbi dokümantasyon ve kalite yönetimi sistemleri konusunda çok güzel ilerlemeler var ama hastane KVKK uyumu biraz sıkıntılı bir durum olarak gözüküyor.
Hastane KVKK uyumu sağlanmaması durumunda adli ve idari cezalar
Hastane yönetimlerinin karşı karşıya oldukları adli ve idari cezalardan pek haberdar olduklarını düşünmüyoruz.VMİ Danışmanlık, KVKK danışmanlık hizmetleri alanında hem kamu hem özel sektördeki çalışmaları ile kurumlarımızı Kişisel Verilerin Korunması Kanunu’na yani KVKK uyumu için hazırlıyor. KVKK danışmanlığı sadece doküman yığını oluşturmak olarak algılanmamalıdır. KVKK uyumu sistem kurmak, organizasyon oluşturmak, süreçleri tasarlamak, KVKK eğitimlerini vermek, prosedür, talimat, formları tasarlamak, kurulan KVKK sistemini denetleyerek raporlamak şeklinde özetlenebilir. Hastane KVKK uyumu için çalışmaların bir an önce başlatılması aslında kanuni bir zorunluluktur.