Sağlık Bakanlığı, Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından “Yazılım Erişim Kodu Paylaşımı” hakkında duyuru yayımlandı.
Duyurunun aslı için: Yazılım Erişim Kodu Paylaşımı Hakkında Duyuru
T.C. SAĞLIK BAKANLIĞI
Sağlık Bilgi Sistemleri Genel Müdürlüğü
Sayı: 75730711-719
Konu: Yazılım Erişim Kodu Paylaşımı
Dağıtım Yerlerine
Bakanlığımızın kayıt ve tescil süreçleri kapsamında, belgelerini eksiksiz teslim eden Sağlık Bilgi Yönetim Sistemi (SBYS) firmaları Kayıt Tescil Sistemi’ne (KTS) kaydedilmekte olup e-Nabız sistemine veri gönderimini sağlayabilmeleri için SBYS firmalarına söz konusu yazılım erişim kodları (HBYS kodu ve firma kodu) teslim edilmektedir. 2015/17 sayılı “Sağlık Bilgi Sistemleri Uygulamaları” konulu Genelgeye göre yazılım erişim kodlarının muhafazasından SBYS firma yetkilisinin sorumlu olduğu da belirtilmektedir.
13.03.2019 tarihinde Bakanlığımıza ulaşan şikayette, bazı sigorta şirketlerinin tamamlayıcı sağlık sigortası hizmeti alan vatandaşların provizyon sorgulamalarının yapılması hususu gerekçe gösterilerek, Bakanlığımız tarafından KTS’de kayıtlı SBYS firmalarına teslim edilen yazılım erişim kodlarının ve sağlık hizmeti sunucularına ait MEDULA tesis kodu ile şifrelerinin talep edildiği tespit edilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde veri güvenliğine ilişkin yükümlülükler düzenlenmektedir. Bu maddelerin ilk fıkrası uyarınca veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu bulunmaktadır.
İlgili maddenin ikinci fıkrası uyarınca ise kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu ile birlikte veri işleyen sıfatına haiz tarafın müşterek sorumluluğu bulunmaktadır. Diğer taraftan maddenin dördüncü fıkrası uyarınca; veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Yukarıda anılan mevzuat hükümleri çerçevesinde hem veri sorumlusu sıfatını haiz sağlık hizmeti sunucularının, hem de ilgili sağlık hizmeti sunucularında veri işleyen sıfatını haiz olarak faaliyet göstermekte olan SBYS firmalarının, kişisel verilerin hukuka aykırı olarak erişilmesini önlemeye yönelik her türlü teknik ve idari tedbiri alma yükümlülüğü bulunmaktadır.
Bu yükümlülüğe riayet etmeyenler hakkında; 5237 sayılı Türk Ceza Kanunu’nun 136’ncı ve 137’nci maddeleri uyarınca 3 yıldan 6 yıla kadar hapis cezası ile soruşturma ve kovuşturma yürütülmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18’inci maddesinin birinci fıkrasının (b) bendi uyarınca 1 milyon TL’ye kadar idari para cezası kesilmesi, 4721 sayılı Türk Medeni Kanunu’nun 24 ve 25’inci maddeleri uyarınca maddi ve manevi tazminat davası açılması ve Özel Hastaneler Yönetmeliğinin 50’nci maddesinin üçüncü fıkrası ve 67’nci maddesi uyarınca poliklinik faaliyetlerinin beş gün süre ile durdurulmasına ulaşan idari yaptırımların uygulanması söz konusu olabilecektir.
Sonuç olarak, Bakanlığımız tarafından SBYS firmalarına tahsis edilen yazılım erişim kodlarının ve ayrıca sağlık hizmeti sunucularına ait MEDULA tesis kodu ve şifrelerinin, özel sigorta şirketleri ile hiçbir gerekçe ile paylaşılmaması gerektiği hususunda bilgilerinizi ve gereğini rica ederim.
Dr. Şuayip BİRİNCİ
Bakan a.
Bakan Yardımcısı
Dağıtım:
Gereği:
81 İl Valiliğine
KTS’de kayıtlı SBYS Firmalarına
