Sağlık hizmetlerinde veriler nasıl korunur?

Verilerin korunması, kişisel verilerin kötüye kullanımdan ve yetkisiz depolama ve işlemeden korunması anlamına gelir. Kavram ayrıca, her bireyin kendi kişisel verilerinin ifşa edilmesi ve kullanımı konusunda kendi kararını verme hakkı olan bilgisel özerklik hakkını da kapsar.

Sağlık sisteminde her gün çok büyük miktarlarda kişisel veri toplanmakta ve yönetilmektedir. Tıbbi ortamda, örneğin hastalıklar ve tedavilerle ilgili veriler de toplanır ve bunlar tıbbi gizliliğe tabidir. Hastalar bu konuda doktorlarına güvenebilmelidir.

Kurumların artan ağ bağlantısı ve kişisel ve tıbbi verilerin dijital olarak iletilmesi ve saklanması, verilerin korunması düzenlemelerinin verilerin korunmasını her zaman garanti altına alacak şekilde uygulanmasını gerektirmektedir.

Dijital ağ geliştirilirken özel koruma standartları dikkate alınmış ve telematik altyapısı (TI) oluşturulmuştur: Sadece kayıtlı kişi ve kuruluşların erişebildiği, sağlık sistemine özel güvenli bir ağ. TI, güvenli iletişim ve veri iletimini sağlar.

Alman sağlık sisteminin güvenli veri ağının nasıl organize edildiğini Telematik altyapısı yazısından öğrenebilirsiniz.

Hastalar, elektronik hasta dosyası (ePA) veya elektronik ilaç planı (eMP) gibi telematik altyapısındaki dijital hizmetleri isteğe bağlı olarak kullanabilirler. ePA, tıbbi verileriniz üzerinde kontrol sahibi olmanızı sağlar ve örneğin raporları ve tedavi önerilerini istediğiniz zaman görüntülemenize olanak tanıyarak bu verilere erişim sağlar. Hizmetleri kullanmak isteyip istemediğinize ve erişim haklarını kimin alması gerektiğine kendiniz karar verebilirsiniz.

Elektronik hasta dosyası hakkındaki yazımızda "erişim hakları" konusu hakkında ayrıntılı bilgi edinebilirsiniz.

Gerçek dünyada, bir kişinin kimliği fiziksel özelliklerle, örneğin yüzünün fotoğrafı, parmak izi ve kimlik kartı gibi bir belgeyle bağlantılı kişisel verilerle kanıtlanabilir.

Sanal dünyada ise dijital kimlik doğrulama için kullanıcı adı ve parola, akıllı kartlar, tokenler veya biyometrik veriler gibi tanımlayıcılar kullanılır. Güvenli kimlik doğrulama için bu tür tanımlayıcılar kişinin kimliğine bağlanır. Bu amaçla, tahsis öncesinde kimliğin, örneğin kimlik kartı kullanılarak doğrulanması gerekebilir.

Telematik altyapısında kimlikler nasıl doğrulanıyor? 

Sağlık sektöründe telematik altyapısı (TI) üzerinden veri alışverişi yapabilmek için ilgili tüm tarafların kimliklerini doğrulaması gerekir:

• Elektronik sağlık kartı veya sağlık kimliği olan sigortalılar
• Sağlık meslek mensupları, sağlık meslek mensupları kartlarıyla

Örneğin, elektronik hasta dosyasına erişmek için sigortalıların önce elektronik sağlık kartı ve ilgili PIN veya sağlık kimlik numarası ile kimlik doğrulaması yapmaları gerekmektedir. Daha sonra diğer yöntemleri kullanarak (örneğin parmak izinizi kullanarak) oturum açabilirsiniz.

Saklanan anahtarların ve sertifikanın birleşimi, kimlik doğrulama türüne bakılmaksızın bireysel bir dijital kimlik oluşturur.

Bu şifreler aynı zamanda TI'deki farklı yetkilendirmelerle de bağlantılıdır: örneğin bir doktor, sağlık hizmetlerinde bir eczacıdan farklı görevleri yerine getirir ve bu nedenle tıbbi verilere erişme konusunda farklı haklara sahiptir. Sağlık sigortası şirketleri ePA'ya tıbbi verileri girebilir, ancak bu veriler için okuma hakları yoktur. Eski bulguların yayınlanması bir istisnadır. Hastanın talebi üzerine bunlar sağlık sigortası şirketi tarafından dijital ortama aktarılarak elektronik hasta dosyasına girilebilmektedir.

Yalnızca sigortalı bireyler kendi elektronik hasta dosyalarına (ePA) erişim hakkına sahiptir ve başka hiç kimse bu hakkı taşımamaktadır, ancak bu erişimi, dosyanın tamamına, belirli alt dosyalara veya içindeki özel belgelere izin vererek genişletebilirler.

Bu, her ePA'ya ait ayrı bir elektronik "dosya şifresi" ve dosyadaki münferit belgeler için "belge şifreleri" aracılığıyla sağlanır.

Bir hasta bir muayenehaneye elektronik hasta dosyasındaki (ePA) belgelere erişim yetkisi verirse, muayenehane ilgili şifreleri alır. Muayenehanenin ePA'daki veri ve belgeleri okuyabilmesinin veya saklayabilmesinin tek yolu budur.

Görüntülü danışmanlık ve diğer telemedikal hizmetlerin sağlayıcıları, veri koruma ve bilgi güvenliğine ilişkin yasal gereksinimleri karşıladıklarını kanıtlamalıdır. Doktorun muayenehanesi tarafından seçilen video servis sağlayıcısı, online görüntülü muayene içeriğinin en son teknoloji kullanılarak ve uçtan uca şifrelenerek iletilmesini sağlar. Sağlayıcı ayrıca içeriğin görüntülenememesini veya kaydedilmemesini sağlamalıdır. Ancak bunlar telematik altyapısının güvenli ağı üzerinden değil, normal bir İnternet bağlantısı üzerinden gerçekleşir.

Telematik altyapısına entegre edilmeyen hizmetler, yasal gereklilikleri karşılamasına rağmen veri koruma sorunlarına maruz kalabilmektedir. Kullanıcının onayı ile harici takip sağlayıcılarının kullanılması mümkündür. Bu, platformda verilerin toplanmasına olanak tanır ve bu veriler daha sonra pazarlama, kullanıcı profilleri oluşturma, sosyal medya veya kullanım analizi için kullanılır. Sağlayıcıların verileri gerçekte gerekenden daha uzun süre saklaması da mümkündür.

Video danışmayı kullanırken kişisel verilerin işlenmesine ilişkin ipuçlarını tüketici merkezi web sitesinde bulabilirsiniz.

Sağlık verilerinin geliştirilmiş kullanımına ilişkin yasa, araştırma kurumlarının ePA'dan ve kanser kayıt defteri gibi diğer kaynaklardan alınan verileri belirli koşullar altında kullanmasına izin veriyor. Sağlık verileri ancak hastanın buna izin vermesi durumunda araştırma amacıyla açıklanabilir. Bu amaçla, verilerin hangi sigortalı kişiden geldiğinin belirlenmesinin mümkün olmaması için verilerin takma ad verilmiş biçimde olması gerekir. Bakım sağlayıcıların bakım verilerini araştırma amaçları, kalite güvencesi ve hasta güvenliği amacıyla kullanmasına da izin verilir. 

Takma ad verilen veriler, Sağlık Veri Araştırma Merkezi'ndeki Federal İlaç ve Tıbbi Cihaz Enstitüsü (BfArM) tarafından derlenip kullanıma sunulmaktadır.

Sağlık ve bakım sigortası şirketleri, örneğin sigortalıların dikkatini erken kanser teşhisine yönelik muayenelere çekmek için yaş ve cinsiyet gibi sağlıktan bağımsız bilgileri daha önce kullanıyordu. Gelecekte sağlık sigortası şirketleri de fatura verilerini sigortalılarına kişiselleştirilmiş bilgiler göndermek için kullanabilmelidir. Kanser taraması durumunda, bunun yüksek risk altındaki kişilere daha da özel olanaklar sunulmasını sağlayacağı umulmaktadır. Öte yandan düşük riskli bireylerin gereksiz muayenelerinin de önüne geçilebilir. Bu tür bilgiler ancak bireysel sağlığın korunmasına hizmet ettiği kanıtlanabildiği takdirde verilebilir.

Veri güvenliğini artırmak için çeşitli önlemler kullanılabilir. Yasal gerekliliklere uygun olarak Gesellschaft für Telematik (gematik GmbH), ilgili hizmet sağlayıcıların hangi güvenlik önlemlerini alması gerektiğini belirler.

Örneğin kimlik doğrulama, şifreleme ve imza gibi temel güvenlik fonksiyonları TI altyapısı tarafından sağlanmaktadır. Sunulan hizmetler bu işlevleri kullanmalıdır.

Tüm teknik bileşenler ve hizmetler Gesellschaft für Telematik (gematik GmbH) tarafından onaylanmalı ve gematik GmbH'nin Federal Bilgi Güvenliği Dairesi (BSI) ile istişarede bulunarak geliştirdiği spesifikasyonlara göre önceden kontrol edilmelidir. Potansiyel güvenlik açıkları, tehditler ve riskler sürekli olarak izlenir. Bu, verilerin korunması ve veri güvenliğinin her zaman en son gereksinimleri karşılamasını sağlar. 

Buna ek olarak, dijital bir danışma kurulu Telematik Topluluğu'na diğer konuların yanı sıra veri koruma ve bilgi güvenliği konularında tavsiyelerde bulunacaktır. Bu nedenle Dijital Danışma Kurulu, diğerlerinin yanı sıra Federal Veri Koruma ve Bilgi Özgürlüğü Komiseri (BfDI) ve Federal Bilgi Güvenliği Ofisi'nin (BSI) temsilcilerini içerir.

Telematik altyapısı ve verilerin korunması ile ilgili teknik özellikler gematik özel portalında görülebilir.

BfArM web sitesinde dijital sağlık uygulamalarına ilişkin veri koruma düzenlemeleri hakkında ayrıntılı bilgi edinebilirsiniz.