09 Eyl, 2020

Sağlık Sektöründe Uzaktan Çalışma ve KVKK

Son zamanlarda yaşanan salgın dolayısıyla tüm sektörlerde olduğu gibi sağlık sektöründe de uzaktan çalışmaya gidildi. Fakat bilindiği üzere kişisel veri ve özel nitelikli kişisel verilerin korunması oldukça önem arz etmekte regülasyonlar ve kanunlardan dolayı. Veri artık sözlük anlamının çok daha ötesinde anlamlar taşıyor. Neredeyse tüm yeni teknolojilerde yapay zeka ve makine öğrenmesi kullanılıyor ve veriye bağlı olarak geliştiriliyorlar. Bu yüzden veri ihlalleri, alınan cezalardan çok daha büyük anlamlar içeriyor.

Uzaktan çalışma kurgusu toplantıların ve görüşmelerin de sanal olarak gerçekleştirilmesini zorunlu kılıyor. Bu amaçla kullanılan platformlarda oluşacak herhangi bir sistem açığı görüşmelerde aktarılan verilere üçüncü taraflarca erişilmesine neden oluyor. Bu yüzden özellikle sağlık sektöründe kullanılan platformların KVKK açısından hangi riskleri taşıdığını ve hangi önlemlerin alınması gerektiğinin belirlenmesi oldukça kritik. Bu platformların KVKK açısından ne şekilde düzenlenmesi gerektiğini aşağıdaki gibi inceledik.

KVKK Açısından öncelikli olarak dikkat edilmesi gereken hususlar;

  • Danışman-danışan görüşmelerinin kesinlikle şifreli bir şekilde iletiminin yapılması gerekmektedir.
  • KVKK ve GDPR’daki Unutulma Hakkı kapsamında hem ilgili kişinin hesabı belli bir süre sonra deaktive edilmeli hem de tutulan tüm kişisel veriler imha edilmelidir.
  • KVKK ve GDPR’daki İlgili Kişinin Aydınlatılması kapsamında; kullanılan sistemin nasıl çalıştığı, verilerin ne şekilde alındığı, tutulduğu ve hangi taraflara aktarıldığı konuları ile ilgili kişi, aydınlatma metinleriyle bilgilendirilmeli özel nitelikli kişisel verilerin (Sağlık verisi, biyometrik veri vb.) işlenmesi durumunda ise ilgili kişiden açık rıza alınmalıdır.
  • Kullanılan ve saklanan kişisel verilerin 3. Taraflara aktarımı olabildiğince kısıtlanmalıdır. Aktarım yapılması halinde ise taraflarca veri işleme sözleşmesi yapılıp aktarılan kişisel verilerin ne şekilde tutulduğu veri sorumlusu tarafından takip ve kontrol edilmelidir.
  • Kullanılacak olan platformun sunucularının yurt içinde olması tercih sebebidir. Henüz kurulun güvenli ülkeler açıklamasını yapmadığını göz önünde bulundurduğumuzda yurt dışında tutulacak her veri ilerleyen süreçlerde sorun yaşatabilme potansiyeline sahip olacaktır.
  • Görüşmeyi yapan tarafların görüşmeyi kaydetme özelliğinin bulunmaması kullanılan verinin takibini ve kontrolünü kolaylaştıracaktır.
  • Sistemde güvenlik açığı olup olmadığı belirli periyotlarda (Sağlık verisi olduğu için en azından 6 ayda bir) sızma testleri ile manuel olarak tespit edilmelidir.
  • Sistemi düzenli tarayan bir saldırı tespit önleme sistemi kullanılmalıdır. Bu sistemin ise yapay zeka ile çalışıyor olması sıfırıncı gün saldırılarını tespit edebilmesi açısından kritiktir.
  • Aynı zamanda kişisel verilerin tutulduğu sistemlerin güvenliğinin sağlanması da Veri Sorumlusunun yükümlülüğündedir. O yüzden platformda mevcut olan ve ileride oluşma potansiyeli yüksek olan tüm açıkların da veri sorumlusu tarafından uygun çözümlerle kapatılması gerekmektedir.
  • Platform için alınması gereken KVKK teknik tedbirleri risk skorlaması yapılarak belirlenmelidir.

Buradaki kritik bir diğer konu platformun yaratıcıları ile platformu kullanacak olan taraflar arasında yapılacak olan sözleşmelerdir. Bu sözleşmelerde platformu kullanacak olan tarafın hangi güvenlik çözümleri ile sistemi güçlendirmesi gerektiğinin platformun sahipleri tarafından sözleşmelerde açıkça belirtilmiş olması gerekmektedir.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram