Sağlık ve Kişisel Veri Koruması – 2
Geçtiğimiz hafta, ülkemizde son 10 yıldır yasalaşması beklenen “Kişisel Verilerin Korunması Hakkında Kanun Tasarısı”nın Bakanlar Kurulu’nda imzaya açılacağı haberi, bu konuyla ilgilenen her kesimde ciddi heyecan yarattı. Ancak, ilk taslağı 2002 yılında hazırlanan, son gözden geçirme ve değişikliklerinin üzerinden de en azından 3-4 sene geçmiş bulunan Tasarı’nın güncelliğini fazlasıyla yitirdiği gözetilerek, yeniden görüşülmesine karar verildi. Tasarı’nın yasalaşması sürecinin, en iyi ihtimalle 1-2 sene kadar daha devam etmesi olası.
Elbette ülkemizde, özellikle kişisel verilerin sağlık sektöründe ele alınmasına ilişkin, bazı düzenlemeler ve tasarılar mevcut. Örneğin, 11 Temmuz 2012’de yayınlanmış olan “Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Yönetmelik” ile ‘sağlık verisi’ kavramı Türk mevzuatına girmiş, bu verilerin ne şekilde korunup hangi şartlarla paylaşılabileceği düzenlenmiştir. Genel itibari ile, sağlık verilerinin gizliliği esastır ve anılan Yönetmelik özelinde, Sosyal Güvenlik Kurumu bu verilerin içeriğini kayıt altına almak ve bunları muhafaza etmekle yükümlüdür. Ancak, söz konusu düzenlemede birçok hukuki boşluk ve belirsizlik bulunmakta, dolayısıyla hastaların sağlık verilerinin güvenliği ile ilgili kaygılar sürmektedir. Bir örnekle açıklamak gerekirse; Yönetmelik’te paylaşılmayacak veriler kapsamında genel sağlık sigortalısına ait kişisel bilgiler içeren verilerden bahsedilmiştir. Buradaki sorun kişisel verinin ve kişisel bilginin kapsamının ne olduğunun nasıl belirleneceğidir; zira bu konudaki Tasarı henüz yasalaşmamıştır. Bu bilgilere kişinin sağlık geçmişi gibi “hassas” nitelikte verilerin de dahil olması gerektiği düşünüldüğünde, paylaşımları konusundaki düzenlemenin ne kadar önemli olacağı bir kez daha ortaya çıkacaktır. Zira, normal vatandaş yanında, halk tarafından bilinen, saygı duyulan ve hatta örnek alınan kimselerin sağlık geçmişlerine ilişkin (örneğin geçmişte bağımlılık tedavisi gördüklerine, veya tehlikeli bir virüs taşıdıklarına, yahut ölümcül bir hastalıkları bulunduğunda) bilgilere sınırlar çizilmeden ulaşılabilir olması, sadece verinin sahibini değil, etrafını da etkileyecek ve herkes açısından kuvvetle muhtemel, olumsuz sonuçlar yaratabilecektir.
Ülkemiz açısından “Kişisel Verilerin Korunması Hakkında Kanun Tasarısı” ve “Kişisel Sağlık Verilerinin İşlenmesi ve Veri Mahremiyetinin Sağlanması Hakkında Yönetmelik Taslağı” rafta kaladursun; Avrupa Birliği nezdinde kişisel veriler konusunda yaklaşım giderek hassaslaşıyor, tüm teknolojik ve güncel gelişmeler takip ederek, hukukun günü yakalaması amaçlanıyor. Bu bağlamda, Birlik mevzuatında daha genel nitelikte düzenlemelere gidildiği gibi, yeni düzenlemelerin etkileyeceği sektörlerde konunun aktörleri ilgili sektörün özellikleri ve ihtiyaçlarını gözeterek, görüşleriyle sürece etkin bir şekilde katılıyor. Kişisel verilerin sağlık sektöründeki kullanımı, bu konuda en dikkat çeken ve katkı yapılan noktalardan bir tanesi.
Avrupa Birliği Komisyonu 25 Ocak 2012 tarihinde “Genel Veri Koruması Nizamnamesi Teklifi”ni yayımlayarak; kişisel veri korumasını konu eden 1995 Direktifi ve 2008 Konsey çerçeve kararını takiben teknolojinin gelişmesi ve güncel hayattaki değişiklikleri dikkate alarak, konunun yeniden irdelenmesi ve düzenlenmesi gerektiğini ifade etmiştir. (1) Teklif’te kişisel verilerle ilgili genel olarak yeni hükümler gündeme getirilmiş; bu anlamda sağlık sektörünü ilgilendiren, verilerin işlenmesi ve özellikle AR-GE faaliyetlerinin ilerlemesini amaçlayan düzenleme ve önlemler düşünülmüştür. Bu açıdan Teklif, aslen hasta haklarını koruyan birtakım hükümler de öngörmüş, bunlar arasında son zamanların en çok konuşulan kavramı olan ‘unutulma hakkı’nı da dikkate almıştır.
Bu Teklif’e istinaden, kişisel verilerin sağlık sektöründeki kullanımı ve işlenmesi konularında Veri Koruması Konusunda Sağlık Sektörü Koalisyonu geçtiğimiz günlerde ortak bir bildiri yayımladı. (2) Teklif’e istinaden yayımlanan bildiriye değinmeden önce, Koalisyonun oldukça heterojen görünen yapısına kısaca bakmakta fayda var. Zira, Koalisyonun üyeleri sadece sağlık sektörünün değişik taraflarından değil, aynı zamanda konuyla dirsek teması olan teknoloji şirketlerinden de oluşuyor. Şöyle ki; Koalisyon CED (“Council of European Dentists” – Avrupalı Diş Hekimleri Konseyi), HOPE (“European Hospital and Healthcare Federation” – Avrupa Hastane ve Sağlık Federasyonu), FEAM (“Federation of European Academies of Medicine” – Avrupa Tıp Akademileri Federasyonu), EFPIA (“European Federation of Pharmaceutical Industries and Associations” – İlaç Endüstrileri ve Birlikleri Avrupa Federasyonu), CPME (“Standing Committee of European Doctors” – Avrupa Doktorları Daimi Komitesi), Continua Health Alliance (kar amacı gütmeyen, sağlık sektörü ve teknoloji şirketlerine dair açık endüstri organizasyonu) gibi üyelere sahip olduğu gibi, COCIR (Avrupa’da radyoloji, elektromedical ve sağlık sektörü odaklı bilişim endüstrisini temsil eden bir oluşum) ve özellikle GSMA (dünya çapında mobil operatörlerin çıkarlarını temsil eden bir oluşum) gibi üyeleri de var.
Koalisyonun heterojen yapısı, kendisini 29 Ocak 2013 tarihli Ortak Bildirisi’sindeki dille ortaya koymuş durumda. Şöyle ki; Komisyon, Teklif’e sağlık sektörü açısından eleştiriler ve iyileştirme tavsiyeleri getirirken, Teklif’in bu hali ile medikal AR-GE’yi kolaylaştırmayacağını, sağlık hizmetlerinin kamu yararına sunumunda arzu edilen ilerlemenin sağlanamayacağı görüşünü ciddi biçimde ortaya koyuyor. Öyle ki, Komisyon Teklif’teki birtakım hükümlerin sağlık verisi paylaşımını engelleyeceğini, böylelikle de buluşların ertelenebileceğini, hukuki belirsizlikler yaratılabileceğini ve en önemlisi, sürecin herkes için daha pahalıya mal olabileceğini ifade ediyor. Bunlar açısından kanımca dikkate en değer olanı, Teklif’te dikkate alınan “unutulma hakkı”na ilişkin, Komisyon görüşü.
Kişisel verilerin talebe bağlı olarak silinmesi ve/veya belli bir zamanaşımı süresi sonrasında verilerin talep olmaksızın, daimi suretle silinmesi ile veri sahibiyle irtibata geçmenin önlenmesi olarak tanımlanabilecek “unutulma hakkı”, sağlık sektörü söz konusu olduğunda farklı bir boyut kazanıyor. Zira, elektronik sağlık kayıtlarından veri silinmesi durumunda hastaya ilişkin tıbbi geçmiş ve tedavi süreçlerinin kaybolabileceği gibi, sağlıkçılar hastalarla ilgili hayati öneme sahip bilgilere artık ulaşamayabilecek. Buradan hareketle Koalisyon, kişisel verilerle ilgili yapılacak yeni düzenlemede, sağlık sektörüne ilişkin açık bir istisnaya yer verilmesi gerektiğini vurguluyor.
Her ne kadar ülkemizde kişisel veri koruması ve konunun sağlık sektörüne dair yansımaları arzu edildiği ölçüde ve detayda düzenlenmemiş olsa da; bir bakıma ülkemiz geç kalmanın avantajını da yaşıyor. Mevzuatımızdaki boşluklar ve düzenleme eksiklikleri, ülkemizin AB üyeliği amacı da gözönünde bulundurularak, hızla ve etkin bir şekilde AB mevzuatındaki örnekler dikkate alınarak kapatılabilir. Sadece Meclis’imizin, verinin ciddi bir değer olduğunu unutmadan, bu konuya biraz daha hızlı ve etkin şekilde eğilmesi gerekiyor.
(1) Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Brussels, 25.1.2012
(2) Joint Statement of the Healthcare Commission on Data Protection
Submit a Comment