Sağlık Verileri için HDS Uyumluluğu: Dernekler İçin Rehber...

Hayır kurumları dernekleri, insani yardım STK'ları, kar amacı gütmeyen tıbbi-sosyal yapılar sıklıkla hafife alınan ortak bir noktaya sahiptir: kişisel sağlık verilerini işledikleri veya barındırdıkları andan itibaren, sağlık verileri barındırma (HDS) yasal çerçevesinin kapsamına girmektedirler. Ancak, bu sektor uyumluluğun arkasında kalmış durumda olup, bu durum içsel adanmış kaynakların eksikliğine ve yetersiz bilinçlendirmeye bağlıdır. Bu makale, HDS sertifikasyonunun ne ifade ettiğini anlamanız, gerçek yükümlülüklerinizi belirlemeniz ve sınırlı bir BT ekibiyle bile işlevsel bir uyumluluk sağlamanız için sizi adım adım yönlendirmektedir.

HDS Sertifikasyonu Nedir ve Neden Dernekler İlgilidir?

Sağlık Verilerinin Yasal Tanımı

GDPR açısından (madde 4, §15), sağlık verileri bir kişinin fiziksel veya zihinsel sağlığıyla ilgili kişisel verilerdir ve sağlık durumu hakkında bilgileri açığa çıkarır. Bu tanım kasıtlı olarak geniş tutulmuştur. Yalnızca klinik anlamda tıbbi kayıtları değil, aynı zamanda şunları da kapsamaktadır:

• Tarama kampanyaları sırasında toplanan yararlanıcı verileri
• Sosyal yardım dosyalarında bildirilen engelli olma bilgileri
• Psikososyal destek bağlamında toplanan beslenme veya ruh sağlığı verileri
• İnsani yardım programları çerçevesinde tıbbi test veya değerlendirme sonuçları

Bağımlılıkla mücadele dernekleri, yaşlı bakım ağları veya sahada tıbbi muayeneler yapan STK'lar hepsi bu kategoriye giren veriler toplayıcıdırlar.

HDS Mekanizması: Seçenek Değil, Yasal Yükümlülük

26 Ocak 2016 tarihli 2016-41 sayılı Kanun (sağlık sistemi modernizasyon yasası), üçüncü taraflar için sağlık verilerini barındıran herhangi bir işletme için (dâhil olmak üzere dernekler ve STK'lar) sertifikalı HDS barındırma yükümlülüğünü getirmiştir. Sertifikasyon referansları, 26 Şubat 2018 tarihli 2018-137 sayılı kararname tarafından tanımlanmış olup, kapsanan faaliyetleri ve yerine getirilmesi gereken teknik ve örgütsel gereklilikleri belirtmektedir.

Yaygın bir yanlış kanıya karşın, muafiyet, kâr amacı gütmeyen bir yapı olmaktan dolayı geçerli değildir. Önemli olan, işlenen verilerin niteliği ve barındırmanın bir üçüncü taraf adına (bir doktor, hasta, ortak yapı) gerçekleştirilmesidir.

Dernekler için Altı HDS Faaliyeti ve Kapsamları

HDS sertifikasyonu iki blok olarak düzenlenmiş altı ayrı faaliyeti kapsamaktadır:

Altyapı Bloğu (Faaliyetler 1-3)

• Faaliyet 1: Fiziksel yerlerin (veri merkezleri) sağlanması ve operasyonel koşulların sağlanması
• Faaliyet 2: Donanım altyapısının sağlanması ve operasyonel koşulların sağlanması
• Faaliyet 3: Sanal altyapının sağlanması ve operasyonel koşulların sağlanması

Yazılım ve Yönetilen Hizmetler Bloğu (Faaliyetler 4-6)

• Faaliyet 4: Uygulama barındırma platformunun sağlanması ve operasyonel koşulların sağlanması
• Faaliyet 5: Sağlık bilgi sistemi yönetimi ve işletilmesi
• Faaliyet 6: Sağlık verilerinin dışsallaştırılmış yedeklemesi

Bir dernek için en sıklıkla ilgili faaliyetler 4-6'dır, özellikle yararlanıcı dosyalarını yönetmek için bir SaaS çözümü kullandığında veya veritabanı yedeklemesini dışsallaştırdığında. Bu nedenle, sağlık verileriniz manipule eden herhangi bir SaaS veya bulut sağlayıcısının ilgili faaliyetler için HDS sertifikalı olduğunu doğrulamak gereklidir.

Bu bağlamda, sağlık sektöründe HDS sertifikalı bir elektronik imza çözümü kullanmak, hassas belge akışlarını (bilgilendirilmiş rızalar, giriş formları, dijitalleştirilmiş reçeteler) güvenli hale getirirken, derneği uyumsuzluk riskine maruz bırakmamaktadır.

Derneğinizde Pratik Olarak HDS Uyumluluğu Nasıl Etkinleştirilir?

Adım 1: Sağlık Verisi İşlemlerinizi Haritalandırın

Herhangi bir teknik adım atılmadan önce, sağlık verileri içeren tüm işlemlerin kesin bir envanterinin yapılması gerekmektedir. Bu alıştırma, GDPR'nin 30. maddesi tarafından öngörülen veri işlemeleri kayıt defterinin tutulması yükümlülüğü doğrultusunda yapılmaktadır.

Her işlem için belgelendirin:

• Toplanan verilerin niteliği (GDPR anlamında özel kategori)
• İşlemenin amaçları
• Alıcılar ve veri işlemciler
• Barındırma yöntemleri (dahili sunucu, bulut, SaaS)
• Hazır olan güvenlik önlemleri

Bu haritalama, risk alanlarını ve denetlenmesi gereken sağlayıcıları hızlı bir şekilde tanımlamaya olanak sağlar.

Adım 2: Sağlayıcılarınızı Denetleyin ve Sertifikasyon İsteyin

HDS sertifikasyonu COFRAC (Fransız Akreditasyon Komitesi) tarafından akredite edilen kuruluşlar tarafından verilmektedir. Bir barındırma sağlayıcısının sertifikasyon durumunu ANS (Sağlık Dijital Ajansı) web sitesinde doğrulayabilirsiniz; burada HDS sertifikalı barındırıcıların halka açık bir listesi tutulmaktadır.

Sağlayıcılarınızdan sistematik olarak isteyin:

• Geçerli HDS sertifikasının bir kopyası
• Kapsanan faaliyetlerin tam kapsamı
• Sağlık verileri korumasına özgü sözleşme şartları

Bir niyetin açıklanmasıyla yetinmeyin: sertifikasyon doğrulanabilir ve güncel olmalıdır.

Adım 3: Sözleşmelerinizi ve DPA'yı Güncelleyin

GDPR'nin 28. maddesi, sizin hesabınıza kişisel veriler işleyen herhangi bir veri işlemcisiyle Veri İşleme Anlaşması (DPA) imzalanmasını zorunlu kılmaktadır. HDS bağlamında, bu DPA şunları kapsayan özgü maddelerle tamamlanmalıdır:

• Güçlendirilmiş gizlilik taahhütleri
• 72 saat içinde olayın bildirilmesi yükümlülükleri
• Verilerin iade ve silinme koşulları
• Veri konumu (zorunlu olarak EEE topraklarında veya yeterlilik kararına sahip bir ülkede)

Bazı dernekler yararlanıcılarının rızasını almak için hâlâ kâğıt formları kullanmaktadırlar. Bu işlemlerin uygun bir elektronik imza çözümü aracılığıyla dijitalleştirilmesi, rızaları zaman damgası ve kimlik doğrulaması ile destekleyerek, yasal olarak kanıt niteliği taşıyan bir delil üretir.

Adım 4: Ekiplerinizi Eğitin ve Uyumluluk Referanı Atayın

HDS uyumluluğu, bir kerelik bir proje değil: bu bir devamlı işlemdir. Dahili bir referans atayın (eğer sahip ederseniz, GDPR'nin 37. maddesi uyarınca sağlık verilerini büyük ölçekte işleyen kuruluşlar için yükümlü olan DPO olabilir) ve hassas verilerle temas halinde olan ekipler için düzenli bilinçlendirme oturumları planlayın.

CNIL tarafından 2024'te yayımlanan bir araştırmaya göre, bildirilen sağlık verisi ihlallerinin %60'ından fazlası insan hatasını (yanlış alıcıya gönderme, şifreleme eksikliği) içermektedir. Bu nedenle eğitim, teknik önlemler kadar risk azaltma açısından önemli bir kaldıraç noktasıdır.

Dernek Sektörüne Özgü Sorunlar: Sınırlı Kaynaklar ve Bütçe Kısıtlamaları

Hassas Veriler ve Sınırlı Bütçe Paradoksu

Dernekler ve STK'lar, özellikle hassas bir konumdadırlar: sık sık en hassas veriler (savunmasız kişilerin sağlık durumu, mülteciler, yalnız başına kalan çocuklar) ile hastane sektörü veya özel sağlık şirketlerinden çok daha düşük insan ve mali kaynaklarla başa çıkmaktadırlar.

Bu gerçeklik, pragmatik ve önceliklendirilmiş bir uyumluluk stratejisi benimsemeyi zorunlu kılmaktadır. ANS önerileri uyarınca, küçük ve orta ölçekli yapılar için genellikle üç aşamalı bir yaklaşım tavsiye edilmektedir:

1. Acil Faz (0-3 ay): kritik risklerin (sertifikalı olmayan barındırıcılar, şifreleme eksikliği) tanımlanması ve nötrleştirilmesi
2. Konsolidasyon Faz (3-12 ay): sözleşmelerin güncellenmesi, uyumlu araçların uygulanması, eğitim
3. Olgunluk Faz (12-24 ay): dahili denetimler, süreklilik planı, yıllık işlem gözden geçirmesi

Elektronik İmza'nın Dernek HDS Uyumluluğundaki Rolü

Hassas belgelerin dijitalleştirilmesi, dernek sektörü tarafından sıklıkla gözden kaçırılan bir kaldıraç noktasıdır. Ancak, kâğıt formları nitelikli veya gelişmiş elektronik imza süreçleriyle değiştirmek birkaç avantaj sunmaktadır:

• İzlenebilirlik: her imza zaman damgası alır ve doğrulanmış bir kimlikle ilişkilendirilir, bu da işlemenin yasallığını göstermeyi kolaylaştırır
• Hata riskinin azaltılması: hassas belgelerin manuel işlemesinin azalması
• Güvenli arşivleme: elektronik olarak imzalanan belgeler sertifikalı dijital kasa içinde saklanabilir

Seçtiğiniz çözümün seçim kriterlerine ilişkin daha fazla bilgi için, elektronik imza çözümlerinin karşılaştırması sayfasını ziyaret edin; bu sayfada pazardaki çeşitli tekliflerin HDS ve eIDAS uyumluluğu açısından farkları detaylı olarak anlatılmaktadır.

Halihazırda bir İK yönetim aracı veya yararlanıcı dosya yönetim sistemi kullanan dernekler, mevcut çözümlerinin natively elektronik imza uyumluluğu sağladığını doğrulamak için sıklıkla bir avantaj elde etmektedirler. Kurumda elektronik imza rehberi, bu entegrasyon kriterlerini detaylı olarak ele almaktadır.

Son olarak, halihazırda bir imza çözümü uyguladıysanız ancak HDS sertifikalı bir sağlayıcıya geçmek istiyorsanız, göç teklifi verilerinizi ve iş akışlarınızı hizmet kesintisi olmadan aktarmanıza olanak sağlar.

Dernekler ve STK'lar için Sağlık Verilerinin Barındırılmasına Uygulanabilecek Yasal Çerçeve

HDS Çerçevesini Kuran Metinler

Sağlık verilerinin barındırılmasında Fransız mevzuatı, tıbbi veya tıbbi-sosyal veriler işleyen herhangi bir dernek için hakim olan bir metinler birikimi temelinde yapılmıştır.

26 Ocak 2016 tarihli 2016-41 sayılı Kanun (sağlık sistemi modernizasyon yasası): Sağlık Kodunun (L. 1111-8 maddesi) ilgili bölümüne, ilgili kişilerin veya onları işleyen kuruluşların hesabına sağlık verilerini barındıran herhangi bir fiziksel veya tüzel kişinin HDS sertifikalı bir barındırıcı kullanma yükümlülüğünü eklemiştir.

26 Şubat 2018 tarihli 2018-137 sayılı Kararname: sertifikasyona tabi faaliyetleri, sertifikanın verilmesi ve iptali yöntemlerini, sertifike edici kuruluşlara uygulanabilecek gereklilikleri (zorunlu COFRAC akreditasyonu) belirtir.

8 Ağustos 2017 tarihli Emr: sağlık bilgi sistemlerine uygulanabilecek güvenlik referansını belirler ve HDS değerlendirmesinin teknik temelini oluşturur.

GDPR ile Uyumlaştırılması

Düzenleme (AB) 2016/679 (GDPR), kişisel veri korumasının genel çerçevesini oluşturur. Hükümleri HDS gereksinimlerine ek olarak uygulanmaktadır:

• Madde 9: Sağlık verileri, işlemesi ilkesel olarak yasaklanan özel kategoriler veridirler; ancak istisnaların listesi bulunmaktadır (açık rıza, sağlık hizmetinin gerekliliği, kamu yararı vb.)
• Madde 28: Sağlık verilerini barındıran herhangi bir veri işlemciye başvuru, ayrıntılı yazılı sözleşme (DPA) imzalanmasını gerekli kılar
• Madde 32: Dernek, uygun teknik ve örgütsel önlemler (şifreleme, kimliksizleştirme, erişim kontrolü) alması zorunludur
• Madde 33: Herhangi bir sağlık verisi ihlali 72 saat içinde CNIL'e bildirilmelidir
• Madde 35: İşlem, ilgili kişilerin haklarına yüksek risk oluşturma potansiyeline sahip olduğu takdirde, Veri Koruması Etki Değerlendirmesi (AIPD) zorunludur

Uyumsuzluk Halinde Yasal Riskler

HDS çerçevesine uymamak, derneği çeşitli ceza seviyeleri altında bırakmaktadır:

• CNIL İdari Cezaları: en ağır ihlallerle ilgili olarak 20 milyon euro veya yıllık küresel cironun %4'ü kadar (GDPR'nin 83. maddesi §5). Dernekler için, CNIL ceza tutarını mevcut kaynaklar dikkate alarak belirlemektedir, ancak sembolik fakat kamuya açık cezalar küçük yapılara karşı zaten düşülmüştür.
• Cezai Sorumluluk: Ceza Kanununun 226-13. maddesi tıbbi sırra ihlal için bir yıla kadar hapis ve 15.000 euro para cezası öngörmektedir.
• Hukuki Sorumluluk: Zarar gören yararlanıcılar, ispatlanabilir bir zarar meydana geldiğinde, Medeni Kanununun 1240 ve sonraki maddelerine dayalı olarak derneğin sorumluluğunu sorabilir.
• Onay Askıya Alınması: kamu otoriteleri tarafından onaylanan dernekler (ARS, departman konseyi) sağlık verilerine yönelik ciddi ihlaller nedeniyle onaylarını kaybedebilir.

Ayrıca, NIS2 Yönergesi (AB Yönergesi 2022/2555, 21 Mayıs 2024 tarihli 2024-449 sayılı yasa ile Fransa'da aktarılan), siber güvenlik yükümlülüklerini potansiyel olarak sağlık kritik altyapılarını yöneten bazı büyük dernekleri içerecek şekilde genişletmektedir.

Kullanım Senaryoları: Dernekler ve STK'lar için Pratikteki HDS Uyumluluğu

Senaryo 1: 500 Yararlanıcı Dosyası Yöneten Evde Bakım Derneği

Çeşitli departmanlardaki yaşlı bağımlı kişilerin yanında hizmet gösteren bir dernek, yaklaşık 500 aktif dosya yönetmektedir; bu dosyalar mevcut patolojiler, cari reçeteler ve bağımlılık değerlendirmeleri (GIR skoru) hakkında bilgileri içermektedir. Bu veriler HDS sertifikalı olmayan bir bulut sağlayıcısı tarafından barındırılan bir dernek yönetimi yazılımında saklanmaktadır.

Bir yararlanıcının erişim talebine yanıt olarak tetiklenen bir dahili denetimi takiben, dernek bu uyumsuzluğu tanımlar. Faaliyetler 4 ve 5 için HDS sertifikalı bir barındırıcıya geçişe başlayıp, yazılım sağlayıcısıyla uyumlu bir DPA imzalar ve rıza formları ve kişiselleştirilmiş bakım planlarını dijitalleştirmek için bir elektronik imza çözümü uygulamaktadır.

Gözlemlenen Sonuçlar: rıza işleme süresi %70 azaldı (kâğıt ortamında ortalama 12 günden 4 günün altına), belgelerin kaybı veya yanlış gönderilmesiyle ilgili risikler tamamen ortadan kaldırıldı, ve belgelenmiş uyumluluk sayesinde siber sigorta kapsamı iyileştirildi.

Senaryo 2: Sahada Tıbbi Misyon Koordine Eden Uluslararası STK

Acil tıbbi bakımı uzmanlaştıran bir STK, misyonları kapsamında çeşitli ülkelerde yararlanıcı popülasyonlarının sağlık verilerini toplamakta, bunların bir kısmını Fransa'da merkezi bir sunucuya iletmektedir. BT ekibi iki gönüllüden oluşmaktadır.

HDS sertifikalı bir dahili altyapı bakımı yapabilmeme ihtimali karşısında, STK faaliyetleri 1-6 için HDS sertifikalı bir barındırıcı kullanarak %100 SaaS mimarisine karar verir. Tıbbi protokoller ve rıza formları için, bağlantı düşük alanlara uyarlanmış bir elektronik imza süreci kurar (senkronize olmak üzere çevrimdışı imzalama).

Gözlemlenen Sonuçlar: HDS ve GDPR uyumluluğu 6 aydan kısa bir sürede, ek BT işe alımı olmaksızın sağlandı, dahili barındırılmaya kıyasla %40 tasarruf tahmin edildi, ve kurumsal çağrı konularına (AFD, Avrupa Birliği) yanıt verme yeteneği artırıldı; bu çağrıların verilerin uyumluluğunun sertifikasyonunu gerektirmektedir.

Senaryo 3: Toplum Sağlığı Merkezlerini Yöneten Dernek Ağı

Toplum sağlığı merkezlerini federal hale getiren bir dernek gruplaması (yaklaşık 8 000 aktif hasta) siteler arasında kullanılan bir paylaşımlı hasta dosya yazılımı kullanmaktadır. Siteler arasındaki koordinasyon, HDS referansını doğrudan ihlal edecek şekilde güvenli olmayan e-posta aracılığıyla sağlık verisi alışverişini içermektedir.

Dernek, HDS sertifikalı bir sağlayıcının desteğiyle bilgi sistemi reformuna başlayıp, güvenli sağlık mesajlaşması (MSSanté) uygular ve tüm giriş ve rıza formlarını uyumlu eIDAS bir elektronik imza platformu üzerinden dijitalleştirir. Her yüksek riskli işlem için bir AIPD yürütülür.

Gözlemlenen Sonuçlar: uyumluluğu takip eden 18 ayda CNIL'e bildirilen sıfır veri ihlali (önceki dönemde iki küçük olay karşısında), ortalama giriş süresi %35 azaldı, ve kâğıt form olmadan tamamlanmamış hasta dosyaları kaybı nedeniyle %22 iyileştirme gözlemlendi.

Sonuç

Dernek ve STK sektöründe sağlık verilerine yönelik HDS uyumluluğunu etkinleştirmek, yalnızca büyük hastane yapıları için ayrılmış bir seçenek değildir: sağlık verisini barındıran veya işleyen herhangi bir işletme için (boyutu veya yasal statüsü ne olursa olsun) zorunlu bir yasal yükümlülüktür. Çerçevenin bilinmemesi sorumluluktan muaf tutmamaktadır.

İyi haber şu ki: dört adımlı yapılandırılmış bir yaklaşım (haritalama, sağlayıcı denetimi, sözleşme güncelleştirmesi, eğitim) sınırlı kaynaklarla bile sağlam bir uyumluluk seviyesi sağlamaktadır. Rızalar ve hassas belgelerin demateryalizasyonu sertifikalı bir elektronik imza çözümü aracılığıyla riskler azaltırken operasyonel verimliliği iyileştirmek için özellikle etkili bir kaldıraç noktasıdır.

Certyneo, eIDAS uyumlu bir elektronik imza platformu sunmakta, dernek sektörünün sınırlamalarına uygun olup, HDS sertifikalı bir altyapı üzerinde barındırılmaktadır. Ekibimize ulaşın belgelendirme durumunuzun ücretsiz denetimi için ve sağlık verisi akışlarını bugünden güvenli hale getirmeyi öğrenin.