Sağlık sektöründe dijitalleşmenin hızla artmasıyla birlikte hasta bilgileri artık yalnızca fiziksel dosyalarda değil; klinik yazılımlarında, bulut sistemlerinde, mobil cihazlarda ve online randevu platformlarında da saklanıyor. Ancak birçok sağlık kuruluşu için en kritik soru hâlâ aynı:

Tıbbi veriler nasıl saklanmalı ve KVKK açısından nelere dikkat edilmeli?

Çünkü 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında sağlık verileri, en hassas veri kategorilerinden biri olarak kabul edilmektedir.

Yanlış saklanan veya yeterince korunmayan hasta verileri:

• ciddi idari para cezalarına,
• veri ihlali süreçlerine,
• hasta şikayetlerine,
• itibar kaybına

neden olabilir.

Bu yazıda tıbbi verilerin saklanması konusunda sağlık kuruluşlarının dikkat etmesi gereken temel KVKK yükümlülüklerini detaylı şekilde ele alıyoruz.

---

Tıbbi Veri Nedir?

Tıbbi veriler, kişinin sağlık durumuna ilişkin her türlü bilgiyi kapsar.

Örneğin:

• teşhis bilgileri,
• laboratuvar sonuçları,
• reçeteler,
• ameliyat kayıtları,
• psikolojik değerlendirmeler,
• MR ve röntgen görüntüleri,
• genetik veriler,
• ilaç geçmişi,
• hasta muayene notları

tıbbi veri kapsamına girer.

Bu veriler sıradan kişisel veri değil, “özel nitelikli kişisel veri” olarak değerlendirilir.

---

Tıbbi Veriler Neden Daha Sıkı Korunur?

Sağlık verileri kişinin:

• mahremiyetini,
• sosyal hayatını,
• iş yaşamını,
• psikolojik durumunu

doğrudan etkileyebilecek hassas bilgilerdir.

Bu nedenle KVKK, sağlık verileri için daha yüksek güvenlik standartları öngörür.

Özellikle:

• yetkisiz erişim,
• yanlış paylaşım,
• veri sızıntısı,
• hacklenme

durumlarında risk çok daha büyüktür.

---

Tıbbi Veriler Nerelerde Saklanıyor?

Birçok sağlık kuruluşu farkında olmadan verileri farklı alanlarda tutmaktadır.

Örneğin:

• hastane otomasyon sistemleri,
• klinik yazılımları,
• e-posta sistemleri,
• bulut depolama alanları,
• cep telefonları,
• WhatsApp yazışmaları,
• harici diskler,
• USB bellekler,
• fiziksel arşiv dosyaları

tıbbi veri depolama alanlarına örnektir.

Veri ne kadar fazla noktaya yayılırsa risk de o kadar artar.

---

KVKK’ya Uygun Tıbbi Veri Saklama Nasıl Olmalı?

Yetki Sınırlandırması Yapılmalı

Her çalışan tüm hasta verilerine erişmemelidir.

Örneğin:

• sekreter yalnızca randevu bilgilerini,
• muhasebe yalnızca ödeme kayıtlarını,
• doktor yalnızca ilgili hasta dosyalarını

görebilmelidir.

Bu sistem veri sızıntısını azaltır.

---

Veriler Şifrelenmeli

Hasta verileri:

• bilgisayarlarda,
• sunucularda,
• taşınabilir cihazlarda,
• yedekleme alanlarında

şifreli şekilde tutulmalıdır.

Şifreleme, cihaz kaybı veya siber saldırı durumunda önemli koruma sağlar.

---

Güçlü Parola Politikası Oluşturulmalı

Basit şifreler ciddi risk oluşturur.

Örneğin:

• “123456”
• “klinik2026”
• doğum tarihi kullanımı

gibi zayıf şifreler kolayca ele geçirilebilir.

Çok faktörlü doğrulama sistemleri tercih edilmelidir.

---

Log Kayıtları Tutulmalı

Kim hangi veriye ne zaman erişti?

Bu hareketlerin kayıt altına alınması gerekir.

Bu kayıtlar:

• ihlal tespiti,
• iç denetim,
• hukuki süreçler

açısından önemlidir.

---

Fiziksel Arşivler de Korunmalı

KVKK yalnızca dijital sistemleri kapsamaz.

Basılı hasta dosyaları da korunmalıdır.

Bunun için:

• kilitli dolap sistemi,
• yetkili erişim,
• kamera güvenliği,
• evrak takip sistemi

uygulanmalıdır.

---

Hasta Verileri Ne Kadar Süre Saklanabilir?

En sık yapılan hatalardan biri verileri süresiz saklamaktır.

KVKK yaklaşımına göre:

Amaç sona erdiğinde veya yasal süre dolduğunda veriler:

• silinmeli,
• anonim hale getirilmeli,
• güvenli şekilde imha edilmelidir.

“Belki lazım olur” mantığıyla süresiz veri saklamak risklidir.

---

Veri İmha Süreci Nasıl Yapılmalı?

Tıbbi verilerin silinmesi profesyonel şekilde yönetilmelidir.

Örneğin:

• hard disk formatlama,
• güvenli veri silme,
• fiziksel imha,
• anonimleştirme,
• yedek sistem temizliği

planlı şekilde yapılmalıdır.

---

Sağlık Kuruluşlarında En Sık Yapılan KVKK Hataları

En yaygın problemler şunlardır:

• WhatsApp üzerinden hasta sonucu göndermek
• USB bellekte hasta verisi taşımak
• Ortak bilgisayarda açık ekran bırakmak
• Yetkisiz personele erişim vermek
• Güçlü parola kullanmamak
• Eski cihazları verileri silmeden satmak
• Bulut sistemlerini kontrolsüz kullanmak

Bu hatalar veri ihlaline yol açabilir.

---

Bulut Sistemleri Güvenli mi?

Bulut sistemleri tamamen yasak değildir ancak dikkatli kullanılmalıdır.

Şu sorular değerlendirilmelidir:

• Veri hangi ülkede tutuluyor?
• Sunucu güvenliği nasıl sağlanıyor?
• Erişim logları tutuluyor mu?
• Veri üçüncü kişilerle paylaşılabiliyor mu?
• Yedekleme sistemi güvenli mi?

Bu analiz yapılmadan kullanılan sistemler ciddi risk oluşturabilir.

---

Personel Eğitimi Neden Bu Kadar Önemli?

Birçok veri ihlali teknik değil insan kaynaklıdır.

Personelin bilinçli olması gerekir.

Öğretilmesi gereken konular:

• ekran güvenliği,
• şifre kullanımı,
• sahte e-posta saldırıları,
• veri paylaşım sınırları,
• fiziksel evrak güvenliği,
• mobil cihaz kullanımı

olmalıdır.

---

KVKK Danışmanlığı Neden Gereklidir?

Tıbbi veri yönetimi yalnızca IT konusu değildir.

Bu süreç:

• hukuki,
• teknik,
• operasyonel,
• kurumsal politika

birlikte değerlendirilerek kurulmalıdır.

Profesyonel danışmanlık sayesinde:

• riskler analiz edilir,
• veri akışı belirlenir,
• eksikler tespit edilir,
• güvenlik politikaları oluşturulur,
• süreç sürdürülebilir hale gelir.

---

Sıkça Sorulan Sorular

Hasta verileri WhatsApp üzerinden paylaşılabilir mi?

Yüksek risk taşır ve dikkatli yönetilmelidir.

Eski hasta kayıtları süresiz saklanabilir mi?

Hayır. Saklama süresi sonunda güvenli imha yapılmalıdır.

Basılı hasta dosyaları da KVKK kapsamında mı?

Evet. Fiziksel arşivler de kişisel veri işleme kapsamındadır.

Klinik çalışanları tüm hasta kayıtlarını görebilir mi?

Hayır. Yetki sınırlandırması yapılmalıdır.

USB bellekte tıbbi veri taşımak güvenli mi?

Şifreleme yoksa ciddi risk oluşturabilir.

---

Sonuç

Tıbbi verilerin korunması yalnızca yasal zorunluluk değil, aynı zamanda hasta güveninin temelidir.

KVKK uyumlu veri saklama sistemi:

• veri ihlali riskini azaltır,
• kurumsal itibarı korur,
• denetim süreçlerinde güven sağlar,
• hasta mahremiyetini güçlendirir.

Özellikle sağlık sektöründe veri güvenliği artık profesyonelliğin en önemli parçalarından biridir.