Sağlık sektöründe faaliyet gösteren klinikler, hastaneler, diş klinikleri, psikolog merkezleri ve muayenehaneler için hasta verileri en kritik kurumsal varlıklardan biridir. Ancak birçok sağlık kuruluşu, hasta verisini toplarken dikkatli davransa da veri saklama süreçlerinde ciddi KVKK riskleri taşımaktadır.

Çünkü 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında önemli olan yalnızca veriyi almak değil;
veriyi nerede sakladığınız, kimlerin eriştiği, ne kadar süre tuttuğunuz ve ne zaman imha ettiğinizdir.

Peki hasta verileri KVKK’ya uygun şekilde nasıl saklanmalı?
Bu rehberde sağlık kuruluşları için tüm süreci detaylı şekilde ele alıyoruz.

---

Hasta Verisi Neden Özel Koruma Altındadır?

Hasta verileri, KVKK kapsamında özel nitelikli kişisel veri olarak kabul edilir.

Bu kapsamda:

• Hastalık geçmişi
• Tanı ve teşhis bilgileri
• Tedavi kayıtları
• Psikolojik değerlendirmeler
• Laboratuvar sonuçları
• Röntgen ve görüntü kayıtları
• Genetik bilgiler
• Biyometrik veriler

yüksek hassasiyet taşıyan veri sınıfına girer.

Bu nedenle bu verilerin korunması için standart veri güvenliği önlemleri çoğu zaman yeterli değildir.

---

Hasta Verileri Nerelerde Saklanıyor?

Birçok sağlık kuruluşu farkında olmadan verileri birden fazla noktada depoluyor.

Örneğin:

• Hasta kayıt programları
• Klinik yazılımları
• E-posta kutuları
• WhatsApp yazışmaları
• Bilgisayar masaüstleri
• Harici diskler
• USB bellekler
• Bulut depolama sistemleri
• Kamera kayıt sistemleri
• Basılı dosya arşivleri

Sorun şu:
Veri ne kadar dağınık tutulursa risk o kadar artar.

---

KVKK Uyumlu Veri Saklamanın Temel Şartları

Hasta verilerinin saklanması belirli ilkelere dayanmalıdır.

Yetkisiz Erişim Engellenmeli

Her çalışan her veriye ulaşmamalıdır.

Örneğin:

• Sekreter yalnızca randevu ekranına erişmeli
• Muhasebe yalnızca ödeme kayıtlarını görebilmeli
• Doktor yalnızca ilgili hasta dosyasına erişebilmeli

Bu erişim modeli veri sızıntısını azaltır.

---

Veriler Şifrelenmeli

Hasta kayıtları düz dosya olarak tutulmamalıdır.

Şifreleme:

• veri tabanında
• yedeklerde
• taşınabilir cihazlarda
• e-posta aktarımında

uygulanmalıdır.

Özellikle laptop kaybı durumunda şifreleme büyük koruma sağlar.

---

Bulut Sistemleri Kontrol Edilmeli

Birçok klinik verilerini bulut ortamında tutuyor.

Ancak:

• sunucu nerede?
• hangi ülke altyapısı?
• kim erişiyor?
• yedekleme nasıl yapılıyor?

bunlar değerlendirilmeden kullanılan sistemler ciddi risk oluşturabilir.

---

Fiziksel Arşiv Güvenliği Sağlanmalı

Basılı dosyalar da KVKK kapsamındadır.

Dosyalar:

• kilitli dolaplarda tutulmalı
• erişim sınırlandırılmalı
• giriş çıkış kayıtları tutulmalı
• süresi dolunca imha edilmeli

---

Log Kayıtları Tutulmalı

Kim hangi hasta verisine erişti?

Bu kayıt altına alınmalıdır.

Böylece:

• iç denetim yapılır
• ihlal tespit edilir
• hukuki delil oluşur

---

Hasta Verileri Ne Kadar Süre Saklanmalı?

Bu çok önemli bir konudur.

En sık yapılan hata:

“Lazım olur” diyerek süresiz veri saklamak.

KVKK yaklaşımı:

Amaç ortadan kalktıysa veri sonsuza kadar tutulamaz.

Bu nedenle:

• saklama süreleri belirlenmeli
• politika hazırlanmalı
• süre sonunda silme / anonimleştirme yapılmalı

---

Veri İmha Süreci Nasıl Olmalı?

Veri silmek yalnızca dosyayı çöpe atmak değildir.

İmha yöntemleri:

• güvenli silme
• fiziksel yok etme
• anonim hale getirme
• yedeklerden temizleme

şeklinde planlanmalıdır.

---

Sağlık Kuruluşlarında En Sık Yapılan Hatalar

En çok karşılaşılan problemler:

• Hasta bilgisini WhatsApp’ta tutmak
• USB bellekte kayıt taşımak
• Ortak bilgisayarda veri bırakmak
• Güçsüz parola kullanmak
• Yetkisiz personele erişim vermek
• Veriyi süresiz saklamak
• Eski hard diskleri imha etmeden elden çıkarmak

Bu hatalar veri ihlaline yol açabilir.

---

Klinik Yazılımları KVKK’ya Uygun mu?

Her yazılım uygun değildir.

Şu kriterler incelenmelidir:

• erişim logu tutuyor mu
• rol bazlı yetki var mı
• veri şifreleniyor mu
• yedekler korunuyor mu
• dış veri aktarımı yapıyor mu

Yazılım güvenliği KVKK uyumunun merkezindedir.

---

Personel Eğitimi Şarttır

Teknik önlem kadar insan faktörü de önemlidir.

Çalışanlara:

• veri paylaşımı kuralları
• ekran güvenliği
• parola yönetimi
• phishing farkındalığı
• fiziksel evrak güvenliği

konularında eğitim verilmelidir.

---

KVKK Danışmanlığı Neden Gerekli?

Hasta veri saklama süreci:

• teknik altyapı,
• hukuki uyum,
• kurumsal politika,
• operasyonel süreç

birlikte ele alınarak kurulmalıdır.

Profesyonel destek sayesinde:

• açıklar tespit edilir
• veri akışı analiz edilir
• güvenlik modeli kurulur
• süreç hukuka uygun hale gelir

---

Sıkça Sorulan Sorular

Hasta bilgileri WhatsApp’ta tutulabilir mi?

Yüksek risklidir ve çoğu durumda önerilmez.

USB bellekte hasta verisi saklamak uygun mu?

Şifreleme ve sıkı kontrol yoksa ciddi risk taşır.

Basılı hasta dosyaları da KVKK kapsamında mı?

Evet. Fiziksel arşivler de kişisel veri işleme kapsamındadır.

Hasta verileri süresiz saklanabilir mi?

Hayır. Amaç ve mevzuat çerçevesinde belirlenen süre kadar saklanmalıdır.

Klinik personeli tüm hasta kayıtlarını görebilir mi?

Hayır. Erişim görev tanımına göre sınırlandırılmalıdır.

---

Sonuç

Hasta verisini toplamak kadar doğru saklamak da önemlidir.

KVKK uyumlu veri saklama:

• hasta güvenini artırır
• veri ihlali riskini azaltır
• denetim süreçlerinde güvence sağlar
• kurumsal itibarı korur

Özellikle sağlık sektöründe veri güvenliği artık teknik konu değil, doğrudan kurumsal sorumluluktur.