Uyumluluk Rehberi

Sağlık Kuruluşları İçin
KVKK Uyum Rehberi

Özel nitelikli kişisel sağlık verilerinin korunması, açık rıza süreçleri, VERBİS kaydı, aydınlatma yükümlülükleri ve 2024 kanun değişiklikleri — sağlık yöneticileri için kapsamlı kılavuz.

Zaman: ~11 Dk Okuma Güncelleme: Nisan 2026
KVKK Sağlık Verileri Uyum Rehberi

KVKK Nedir ve Sağlık Sektörünü Neden Bu Kadar Yakından İlgilendiriyor?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girerek Türkiye'nin kişisel veri koruma çerçevesini oluşturmuştur. Kanun, tüm sektörleri kapsamakla birlikte sağlık alanında özellikle kritik bir öneme sahiptir — çünkü sağlık kuruluşları her gün yoğun biçimde özel nitelikli kişisel veri işlemektedir.

Bir hastanın tıbbi geçmişi, laboratuvar sonuçları, reçete bilgileri, genetik verileri ve hatta biyometrik kayıtları KVKK'nın en sıkı koruma altına aldığı veri kategorisine girer. Bu verilerin hukuka aykırı işlenmesi, yetersiz güvenlik tedbirleri veya aydınlatma yükümlülüğünün ihlali, idari para cezalarından cezai yaptırımlara uzanan ciddi sonuçlar doğurabilir.

Kritik Uyarı

Sağlık verileri KVKK Madde 6 kapsamında "özel nitelikli kişisel veri" statüsündedir. Bu verilerin işlenmesi, standart kişisel verilere kıyasla çok daha katı kurallara tabidir. Açık rıza alınmadan veya kanuni istisnalar oluşmadan sağlık verisi işlemek doğrudan idari para cezasına yol açar.

Özel Nitelikli Kişisel Veri: Sağlık Verisi Neyi Kapsar?

KVKK Madde 6'ya göre "kişilerin sağlığına ilişkin veriler" özel nitelikli kişisel veri kategorisindedir. Sağlık kuruluşlarında işlenen bu veri türlerinin kapsamı son derece geniştir:

  • Tıbbi kayıtlar: Hasta dosyaları, anamnez, epikriz raporları, ameliyat notları
  • Tanı ve tedavi bilgileri: ICD kodları, ilaç reçeteleri, tedavi planları
  • Laboratuvar ve görüntüleme: Kan tahlilleri, MR/BT görüntüleri, patoloji sonuçları
  • Genetik ve biyometrik veriler: DNA analizleri, parmak izi, yüz tanıma kayıtları
  • Psikolojik veriler: Psikiyatrik değerlendirmeler, psikoterapi notları
  • Dijital sağlık verileri: e-Nabız kayıtları, tele-tıp görüşme kayıtları, mobil sağlık uygulaması verileri

Bunların her biri, ister fiziksel dosyada ister HBYS'de dijital ortamda tutunsun, KVKK'nın özel nitelikli veri koruması altındadır.

Açık Rıza: Sağlık Verisi İşlemenin Birincil Hukuki Dayanağı

KVKK'da özel nitelikli kişisel verilerin işlenmesi için temel şart açık rıza (explicit consent) alınmasıdır. Açık rızanın geçerli sayılabilmesi için üç kritik unsuru bir arada taşıması gerekir:

  1. Belirlilik: Hangi verilerin, hangi amaçlarla işleneceği açıkça belirtilmelidir. "Tüm verileriniz işlenecektir" şeklinde genel ifadeler geçersizdir.
  2. Bilgilendirmeye dayanma: Hasta, verilerinin nasıl işleneceği, kimlere aktarılacağı ve hakları konusunda önceden aydınlatılmış olmalıdır.
  3. Özgür irade: Rıza, tedavinin ön koşulu olarak dayatılamaz. Hasta rıza vermese dahi tedavi hizmetinden mahrum bırakılmamalıdır.

Açık Rıza Olmadan İşlenebilen Durumlar

Kanun, belirli hallerde açık rıza aranmaksızın sağlık verisi işlenmesine izin verir: kanunlarda açıkça öngörülme (zorunlu bildirim hastalıkları gibi), fiili imkansızlık (bilinci kapalı hasta acil müdahale), kamu sağlığının korunması ve koruyucu hekimlik/tıbbi teşhis amaçlı işleme — ancak bu son istisna yalnızca sır saklama yükümlülüğü bulunan kişi veya kuruluşlar tarafından kullanılabilir.

Mart 2024 Değişikliği: 7499 Sayılı Kanun ile Gelen Yenilikler

Mart 2024'te yürürlüğe giren 7499 sayılı Kanun, KVKK Madde 6'da önemli değişiklikler getirmiştir. Bu değişiklikle özel nitelikli kişisel verilerin işlenmesine yeni hukuki dayanak koşulları eklenmiştir:

  • Sözleşmenin ifası: Tarafların hak ve yükümlülüklerinin yerine getirilmesi için zorunlu olan durumlarda özel nitelikli veri işlenebilir.
  • Hukuki yükümlülük: Veri sorumlusunun yasal yükümlülüklerini yerine getirmesi için gerekli işleme faaliyetleri meşrulaştırılmıştır.
  • Meşru menfaat: Haklar dengesi gözetilmek kaydıyla veri sorumlusunun meşru menfaatleri doğrultusunda işleme imkanı tanınmıştır.

Bu değişiklik, sağlık kuruluşları için özellikle sigorta şirketleriyle veri paylaşımı, taşeron laboratuvar hizmetleri ve tedarikçi entegrasyonları açısından daha net bir hukuki zemin oluşturmuştur. Ancak her yeni dayanak için Kişisel Verileri Koruma Kurulu'nun rehber ilkelerine uyum şarttır.

Dikkat: Yeni İstisnalar Otomatik Muafiyet Değildir

7499 sayılı Kanun'la gelen yeni işleme koşulları, açık rıza yükümlülüğünü tamamen ortadan kaldırmaz. Her somut veri işleme faaliyeti için hangi hukuki dayanağın uygulanacağı ayrıca değerlendirilmeli ve belgelenmelidir. "Meşru menfaat" gibi geniş yorumlanabilecek istisnaların orantılılık ve gereklilik testlerinden geçmesi zorunludur.

Veri Sorumlusu Olarak Sağlık Kuruluşunun Yükümlülükleri

KVKK kapsamında her sağlık kuruluşu bir veri sorumlusudur. Bu statü, verilerin işlenme amaç ve yöntemlerini belirleyen taraf olarak aşağıdaki yükümlülükleri beraberinde getirir:

Uyumluluk Kontrol Listesi

  • Aydınlatma Metni hazırlama — Hastalar, ilk temas anında verilerin hangi amaçlarla, ne süreyle, kimlere aktarılacağı konusunda proaktif olarak bilgilendirilmelidir.
  • Açık Rıza Formu düzenleme — Her veri işleme amacı için ayrı, belirli ve anlaşılır rıza metinleri oluşturulmalıdır.
  • VERBİS kaydı — Veri Sorumluları Sicil Bilgi Sistemi'ne kayıt yükümlülüğünün yerine getirilmesi (yıllık çalışan ve ciro eşiklerine göre).
  • Kişisel Veri İşleme Envanteri — İşlenen tüm veri kategorileri, amaçları, saklama süreleri ve aktarım yapılan tarafların detaylı dökümü.
  • Veri Saklama ve İmha Politikası — Saklama sürelerinin tanımlanması, süre sonunda güvenli imha prosedürlerinin belirlenmesi.
  • Teknik tedbirler — Veri şifreleme (at rest ve in transit), erişim kontrolü, rol bazlı yetkilendirme, güvenlik duvarları ve sızma testleri.
  • İdari tedbirler — Personel farkındalık eğitimleri, gizlilik sözleşmeleri, denetim logları, ihlal müdahale prosedürleri.
  • İlgili Kişi Başvuru Mekanizması — Hastaların veri erişim, düzeltme, silme ve itiraz haklarını kullanabilecekleri prosedür ve iletişim kanalları (30 gün içinde yanıt zorunluluğu).

Ceza Riskleri: Madde 18 Yaptırımları

KVKK Madde 18, veri koruma yükümlülüklerini ihlal eden kuruluşlara uygulanacak idari para cezalarını düzenler. Sağlık kuruluşları için en sık karşılaşılan ihlal türleri ve güncel ceza aralıkları şu şekildedir:

İhlal Türü Ceza Aralığı
Aydınlatma yükümlülüğünü yerine getirmeme 147.177 – 1.471.805 TL
Veri güvenliği yükümlülüklerini yerine getirmeme 441.540 – 29.436.070 TL
Kurul kararlarını yerine getirmeme 735.901 – 29.436.070 TL
VERBİS kayıt yükümlülüğüne aykırı davranma 294.360 – 29.436.070 TL

* Ceza tutarları yıllık olarak yeniden değerleme oranıyla güncellenir. Güncel tutarlar için Kişisel Verileri Koruma Kurumu web sitesini kontrol edin.

Ceza Dışı Riskler

İdari para cezalarının ötesinde, KVKK ihlalleri itibar kaybı, hasta güveni erozyonu, sigorta tazminat davaları ve ağır vakalarda TCK 136 kapsamında hapis cezası (1-4 yıl) risklerini de beraberinde getirir. Özellikle veri sızıntısı yaşayan sağlık kuruluşlarının medya yansıması, mali etkinin çok ötesinde kurumsal hasar oluşturabilir.

Pratik Uygulama: 8 Adımda KVKK Uyum Yol Haritası

Sağlık kuruluşunuzu KVKK ile uyumlu hale getirmek sistematik bir yaklaşım gerektirir. Aşağıdaki adımlar, hastaneden muayenehaneye her ölçekteki kuruluş için uygulanabilir bir yol haritası sunar:

  1. Mevcut Durum Analizi (Gap Analysis): Kuruluşunuzdaki tüm veri işleme süreçlerini haritalayın. Hangi veriler, nerede, neden ve nasıl işleniyor?
  2. Hukuki Dayanak Tespiti: Her veri işleme faaliyeti için uygun hukuki dayanağı (açık rıza, kanuni zorunluluk, meşru menfaat vb.) belirleyin ve belgeleyin.
  3. Aydınlatma Metinlerini Hazırlayın: Hasta kabul, web sitesi, mobil uygulama ve çalışan süreçleri için ayrı ayrı aydınlatma metinleri oluşturun.
  4. Açık Rıza Formlarını Tasarlayın: Tedavi, araştırma, pazarlama ve üçüncü taraf aktarımı gibi her amaç için ayrı, katmanlı rıza formları hazırlayın.
  5. VERBİS Kaydını Tamamlayın: Veri işleme envanterinizi oluşturun ve VERBİS'e kayıt sürecini başlatın.
  6. Teknik Altyapıyı Güçlendirin: HBYS ve dijital sistemlerde şifreleme, erişim logları, rol bazlı yetkilendirme ve düzenli yedekleme mekanizmalarını kurun.
  7. Personeli Eğitin: Doktor, hemşire, sekreter ve IT personelini kapsayan düzenli KVKK farkındalık eğitimleri planlayın.
  8. İhlal Müdahale Planı Oluşturun: Veri ihlali durumunda 72 saat içinde Kurul'a bildirim yapılması dahil tüm müdahale adımlarını prosedürleştirin.

Uzman İpucu

KVKK uyumu bir defaya mahsus bir proje değil, sürekli bir süreçtir. Yılda en az bir kez iç denetim yapın, mevzuat değişikliklerini takip edin ve veri işleme envanterinizi güncel tutun. Özellikle yeni bir dijital sistem (HBYS değişikliği, tele-tıp modülü, yapay zeka destekli tanı aracı gibi) devreye alındığında Veri Koruma Etki Değerlendirmesi (DPIA) yapılması kritik önem taşır.

Pixie Consulting Editör Ekibi

Sağlık regülasyonu, ruhsatlandırma süreçleri ve dijital sağlık uyumluluğu alanlarında uzmanlaşmış danışmanlardan oluşan ekibimiz, sektörün en güncel gelişmelerini analiz ederek siz değerli okuyucularımızla paylaşmaktadır.

İlgili İçerikler

Yapay Zeka
AI ve Sağlık Uyumu
 Dijital Sağlık
HBYS ve e-Nabız Entegrasyon
 Mevzuat Rehberi
Sağlık Mevzuatı Rehberi

KVKK Uyum Sürecinizi Başlatın

Gap analizinden aydınlatma metinlerine, teknik altyapıdan personel eğitimlerine — sağlık kuruluşunuzun KVKK uyum sürecini uçtan uca yönetiyoruz. Ücretsiz ön görüşme ile mevcut durumunuzu birlikte değerlendirelim.

Ücretsiz KVKK Değerlendirmesi Al