(Bu yazı GENÇ İVEK SAĞLIK BİLİM VE TEKNOLOJİLERİ DERGİSİ’nin 8. sayısında yayımlanmıştır.)
Ecz. Av. İBRAHİM ANKARA
Son yıllarda global internet ağının yaygınlaşması ve birçok hizmet sunumunun online mecraya entegre olması sebebiyle ciddi kapasitede bir kişisel veri havuzu oluşmuştur. Devletlerin de artık birçok hizmeti bu ağa entegre etmesiyle olayın derinliği daha da ciddi hale gelmiştir. Zira uluslararası veya ulusal bazı yapıların kişisel veriler üzerinden menfaat sağladığı haberlerini sıklıkla duymaktayız.
Tam bu noktada 2010 yılında yapılan Anayasa değişikliği ile kişisel verilerin korunması hususunda devlet otoritesi adım atmıştır. 2016 yılında da yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile bu alanı denetleme ve düzenleme yetkisini eline almıştır. Bu regülasyon sisteminin işlerliği amacıyla mezkur Kanuna dayalı olarak Kişisel Verileri Koruma Kurumu ve icrai organı olan Kurul oluşturulmuştur.
Her ne kadar mezkur Kanun öncesi dönemde hem özel hukuk ve ceza hukuku hem de mesleki mevzuatta birtakım yaptırımlar öngörülmüş olsa da bunların caydırıcılığı ve kişisel veri tanımında yaşanan eksiklikler sebebiyle etkili sonuçlar alınamamıştır.
KVKK’ya göre kişisel veriler birtakım sınıflandırmaya tabi tutulmuş ve özel nitelikli kişisel veriler adı altında alt kırılımlar oluşturulmuştur. Özel nitelikli kişisel veriler kanunda tahdidi olarak sayılmış olup eczacılık mesleğinin mahiyeti uygun düşen en önemli iki veri ise sağlık verileri ve cinsel hayat verileridir. Mezkur veriler eczanelerde en çok işlenen verilerdir. Bu veriler üzerinden gerek farkındalığın az olması gerekse tecrübesizlik kaynaklı birçok ihlal meydana gelmektedir.
Sağlık verileri eczanelerde; eczane otomasyonu ve SGK Medula sistemine işlenmektedir. Öyle ki pratikte kullanılan birçok eczane otomasyon sistemi SGK Medula sistemine entegre olup otomatik veri kaydı yapmaktadır. Bu otomasyon sistemlerinin denetlenebilirliği tartışmalı olmakla birlikte veri ihlali ve güvenliği noktasında büyük riskler taşıdığı aşikardır.
Pratikte eczanelerde veri ihlali SGK Medula çıktılarının üçüncü kişiler ile paylaşımı noktasında gündeme gelmektedir. Ayrıca eczanelerde hastaya teslim edilen ilaçların ispatı konusunda da büyük sıkıntılar yaşanmaktadır. Bu sebeple konumuz içeriğine de paralel olarak eczanelerde özel nitelikli kişisel veri statüsünde sayılan ve son yıllarda gündeme gelen biyometrik veri işleme konusunu ele alacağız. Zira eczacılık alanı ile ilgili değişen paradigmaların başında bu tip veri işleme tarzının değişkenliği de gündeme gelmektedir.
Biyometrik Veri Nedir?
Özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmaktadır. Burada eczane pratiğinde daha çok gündeme gelecek biyometrik veriler retina taraması ve parmak izidir.
Eczanede Uygulanmakta mıdır?
Günümüzde eczanelerde herhangi bir biyometrik veri işlenmemektedir. Eczane ve SGK arasında yapılan ilaç teminine ilişkin protokolün 3.2.2. maddesine göre okuma yazma bilmeyen reçete sahibi veya ilacı/ilaçları alan kişinin reçeteye parmak izi alma yükümlülüğü eczacıya atfedilmiş olsa da burada alınan parmak izi biyometrik veri statüsünde sayılmayacaktır. Zira emniyet müdürlükleri ve nüfus müdürlüklerinde pasaport ve ehliyet işlemleri için özel tarama cihazlarıyla alınan 5 parmağın izi ile eczanede okuma yazma bilmeyen kişiden mürekkep boyama ile alınan parmak izinin niteliksel farkları vardır.
Eczanelerde Biyometrik Veri İşlemenin Gerekliliği
Eczane ve SGK arasında yapılan protokol m.5.3.5’e göre reçete sahibi veya ilacı alan kişiye teslim edilmeyen ilaçlara ait reçetelerin Kuruma fatura edildiğinin tespiti halinde mali cezai yaptırımlar uygulanmaktadır. Bunun yanı sıra hastanın ilacı almadığını beyan etmesi üzerine ortada bir suç oluşmakta ve SGK tarafından savcılığa suç duyurusunda bulunulmaktadır. Bu sebeple hastanın beyanı üzerine mesul müdür eczacı bir anda Kamu Kurum ve Kuruluşlarının Zararına Dolandırıcılık suçlamasıyla ağır ceza yargılaması ile karşı karşıya kalmaktadır. Bu süreçte hastaya ilacı teslim ettiğinin ispat külfeti de eczacıya yüklenmektedir. Her ne kadar e-reçetede bu yükümlülük olmasa da özellikle sahte ilaç, sahte reçete ve ilaç çetecilerinin faaliyetleri neticesinde eczacı bunu ispatlamak zorunda bırakılmaktadır. Çoğu zaman bunu ispatlama zorluğu çeken eczacı beraat etmiş olsa bile zorlu bir psikolojik sürecin içinden geçmektedir.
İşte tam burada hastaya teslim edilen ilaçlar konusunda biyometrik veri işleme faaliyetinin gerekliliği düşünülmelidir. Manuel(el yazısı) reçetelerde hali hazırda reçete arkasına hasta imzası alınmaktadır. Fakat e-reçetelerde böyle bir yükümlülük yoktur. Günümüzde reçetelerin %99’u e-reçete olduğu düşünüldüğünde bu reçetelerin teslimi esnasında birtakım süreçler için biyometrik veri işlenebilmelidir. Bunlar;
-Hastanın doğru kişi olup olmadığı, (Kimlik tespit yükümlülüğü)
-İlaçların teslim edilip edilmediğidir.
Eczanelerde kimlik doğrulama metodu olarak önerilen proje “Retina Tarama Sistemi”dir. Bu sistem sayesinden hastanın kimlik bilgilerinin doğruluğu teyit edilmektedir. Bunun dışında parmak izi sistemleri de kullanılabilir.
Eczanelerde Biyometrik Veri İşlemenin Sakıncaları
Eczanelerde, biyometrik veri işleme altyapısının kurulması zor olmamakla birlikte en büyük sorun elde edilen verilerin güvenliği noktasında yaşanacaktır. Zira biyometrik veriler özel nitelikli kişisel veriler olup ifşası halinde hastada mağduriyet hali ve toplum içinde ayrımcılığa maruz kalabileceği akıldan çıkarılmamalıdır. Eczanelerin günümüzde bu verileri tutabilecek ve veri güvenliğini sağlayabilecek altyapıları pek mümkün görülmemektedir. Elbette profesyonel çalışmalarla bu veri güvenliği sağlanabilecek olsa da bu birçok eczane için ağır bir mali külfet getirecektir.
Biyometrik veri işleme faaliyetlerinin amaçları ve sınırları mutlaka mesleki mevzuatta düzenlenmelidir. Bu düzenleme esnasında KVKK’nın altını çizdiği ölçülülük ilkesi temel kıstas olmalıdır. Amacı dışında ve ölçülülük ilkesini aşan veri kayıtları hem eczaneleri hem hastaları hem de idareyi zor durumda bırakabilecektir.
KVKK gündemi önümüzdeki süreçte birçok kez karşımıza çıkacaktır. Çağın gerekliliğinden dolayı teknolojik imkanlardan kaçınmak neredeyse imkansızdır. Eczane hizmetleri de bu inovasyondan etkilenecektir.
Eczanelerde veri konusunda yaşanabilecek en büyük sıkıntı veri ihlalleri ve alınan verilerin muhafazası noktasındadır. Bu sebeple eczanelerde ileri düzey güvenlik sistemlerinin kullanılması kaçınılmazdır. Özellikle hastanın kimlik tespiti ve ilaç takip sistemine entegre olacak şekilde ilaç teslim süreçlerinde(ilacın fabrikadan son kullanıcı hastaya ulaştığına dair) biyometrik yöntemlerin kullanımı gerekli hale gelecektir. Günümüzde eczacılık hizmetleri ile ilgili açılan davalara baktığımızda genel olarak; hastaya ilaç teslimi, sahte reçete ve sahte rapor gibi eczacının sürece müdahil olma şansı olmayan konular olduğunu görmekteyiz. Bu tip sorunların bertarafı için alınan biyometrik güvenlik sistemleri eczacıların hukuki anlamda işlerini kolaylaştıracaktır. Bu tip güvenlik sistemlerinin kurulması sadece eczane menfaati olmayıp sahte reçete, sahte ilaç, çetecilik faaliyetleri ve kurum zararı sebebiyle SGK’nın yani dolaylı olarak kamunun menfaatinedir. Bu sebeple eczanelere kurulabilecek bu güvenlik sistemlerinin mali yükü sadece eczanelere yansıtılmamalı, buradan menfaati olan tüm paydaşların bu mali yükü müteselsil olarak üstlenmesi gerekmektedir.
Kaynaklar
- Kişisel Verileri Koruma Kurulunun 25.03.2019 tarihli ve 2019/81 sayılı Karar ve 31.05.2019 tarihli ve 2019/165 sayılı Karar Özeti
- Kişisel Verileri Koruma Kurulunun 27.08.2020 tarihli ve 2020/649 sayılı Karar Özeti
- Kişisel Veri Güvenliği Rehberi
- Yargıtay 22.HD., E.2015/28830, K.2018/15646, T.25.06.2018
- Erdinç, Göksu Hazar, “Ölçülülük İlkesi ve Açık Rıza Kapsamında Biyometrik Verilerin İşlenmesi”, Kişisel Verileri Koruma Dergisi 2/1 (Haziran 2020): 1-19