Bilginin gizliliği (confidentiality), bütünlüğü (integrity) ve erişilebilirliğinin (availability) sağlanması olarak ifade edebileceğimiz “bilgi güvenliği” konusunda ISO 27000 familyası oldukça kapsamlı süreçler öngörmektedir. Bu familya içerisinde yer alan ISO/IEC 27001:2005 bir Bilgi Güvenliği Yönetim Sistemi için Spesifikasyonları belirlerken, ISI/IEC 27002:2005 ise Bilgi Güvenliği Yönetimi için uygulama kodu niteliğindedir. ISO 27799:2008 standardı ise, sağlık bilişimine ilişkin olup, ISO/IEC 27002 kullanılarak sağlık sektöründe bilgi güvenliği yönetiminin nasıl gerçekleştirileceğini düzenlemektedir. Tüm bu standartlarda yer alan önemli iki hüküm mevcuttur: Bunlardan ilki; kişisel verilerin veya kişisel sağlık verilerinin elektronik iletişim yöntemleriyle iletimi halinde, yetkisiz erişimlere ve değişikliklere karşı koruma sağlayacak yöntemlerin (örneğin; şifreleme gibi) kullanılması ve ikincisi ise; düzenleyici uyumdur (regulatory compliance). Düzenleyici uyum kavramı kapsamına standartlar dışında örneğin, kişisel sağlık verilerine ilişkin yasal düzenlemeler, meslek kuralları, etik ilkeler, iyi uygulama örnekleri, tavsiye kararları gibi metinler girmektedir. Sağlık kurum ve kuruluşlarının ilgili standartlara uygun hizmet vermelerinin temini için düzenleyici uyumun mutlaka yasal anlamda geniş çerçevede dikkate alınması ve standartlarda tanımlanan süreçlerin yasal düzenlemeler çerçevesinde uygulamaya konulması gerekmektedir. Aşağıda her iki konuya ilişkin bazı güncel gelişmeler ışığında değerlendirmeler yapılmıştır. Giriş ISO 27799 sağlık kuruluşlarına ve kişisel sağlık bilgisi ile iş yapan diğer kurum/kişilere, bu bilgilerin gizlilik, bütünlük ve erişilebilirliklerini ISO/IEC 27002’yi uygulayarak en iyi nasıl ve ne şekilde sağlayabilecekleri konusunda rehberlik etmektedir . Spesifik olarak bu uluslar arası standart, sağlık sektörü ve iş ortamının özel bilgi güvenliği ihtiyaçlarına çözüm sunmaktadır. Kişisel bilgilerin korunması ve güvenliği tüm bireyler, kurumlar ve devletler için özel önem taşımaktadır. Bu anlamda kişisel sağlık bilgilerinin gizliliği, bütünlüğü, denetlenebilirliği ve erişilebilirliğini sağlamak için sağlık sektöründe yerine getirilmesi gereken özel isterler söz konusudur. Kişisel sağlık verileri, kişisel veri kategorisi içinde “hassas” veya “özel niteliği olan” veriler kategorisinde yer almaktadır. Bu gizliliği korumak tıbbi tedavinin ve verilerin sahibi olan veri öznesinin özel hayatın gizliliği (mahremiyet) hakkının korunması bakımından gereklidir. Sağlık bilgisinin bütünlüğü hasta güvenliğini sağlamak açısından korunmalıdır ve bu korumanın en önemli bileşeni de sağlık bilgisinin tüm yaşam döngüsü boyunca bu bilginin denetlenebilirliğini (audit) sağlamaktır. Sağlık bilgisinin erişilebilir olması, efektif bir sağlık hizmeti sunulması bakımından kritik öneme sahiptir. Sağlık bilişim sistemlerinin bu nedenle doğal afetler, sistem çökmeleri ve ddos saldırıları karşısında operasyonel kalmalarının sağlanması son derece önemlidir. Sağlık bilgisinin gizlilik, bütünlük ve erişilebilirliği bu nedenle sağlık sektörüne özgü uzmanlığı gerektirmektedir. Korunması Gereken Sağlık Bilgileri (ISO 27799, 5.4.) Gizliliği, bütünlüğü ve erişilebilirliğinin korunması gereken birçok bilgi çeşidi mevcuttur: a) Kişisel sağlık bilgileri b) Kişisel sağlık bilgilerinden kimlik bilgilerinden arındırma yöntemleri ile elde edilmiş olan veriler c) Kişisel sağlık bilgilerinden elde edilen anonimleştirilmiş veriler de dahil olma üzere, istatistiksel ve araştırma verileri d) Klinik karar destek de dahil olmak üzere, herhangi bir spesifik tedavi öznesine ilişkin olmayan klinik/tıbbi bilgiler (örneğin; ilaç etkileşimine ilişkin veriler gibi) e) Sağlık uzmanları ve personele ilişkin bilgiler f) Kamu sağlığı gözlemlerine ilişkin bilgiler g) Sağlık bilgi sistemleri tarafından üretilen kişisel sağlık bilgilerini ihtiva eden veya bu bilgilerden türetilen kimlik bilgilerinden arındırılmış veriler veya kişisel sağlık bilgilerine ilişkin olarak kullanıcı hareketlerine ilişkin işlem geçmişi verileri h) Erişim kontrol verileri ve güvenlikle ilişkili diğer sistem konfigürasyon verileri de dahil olmak üzere, sağlık bilgi sistemleri için sistem güvenliği verileri. Elektronik iletişim ve Bilgi Güvenliği ve Düzenleyici Uyum Açısından Dikkat edilmesi gereken hususlar Kişisel sağlık bilgilerinin korunmasına ilişkin olarak başta ISO 27799:2008 olmak üzere diğer ilgili standartlara göre son derece iyi işleyen bir alt yapı, sistem ve süreç öngörmüş olmalarına rağmen, sağlık kurumlarının bu konuda dikkat etmeleri gereken en önemli zayıf noktalarını elektronik iletişim oluşturmaktadır. Şöyle ki; kurum içinde kişisel sağlık bilgileri ne kadar iyi korunursa korunsun, sağlık personeli tarafından elektronik iletişim yöntemleri (örneğin; e-posta, SMS, MMS gibi) ile paylaşıldığında bilgi güvenliği veya sağlık bilişimi standartlarında öngörülen ancak uygulamada çok da fazla dikkat edilmeyen çok önemli bir bilgi güvenliği açığı ortaya çıkmaktadır. Az sonra değineceğimiz teknolojik önlemler alınmadan gerçekleştirilen elektronik iletişim gerek teknik gerek hukuki açıdan güvensiz bir paylaşım platformu olduğu için, sağlık kurum ve kuruluşlarının bilgi güvenliği standartlarına ve düzenlemelerine uyumlarında sorun yaratacaktır. Kişisel sağlık bilgilerini elektronik iletişim yöntemleriyle ileten sağlık kuruluşlarının bu mesajların gizlilik ve bütünlüğünü sağlayacak adımları atmış olmaları gereklidir. Sağlık uzmanları arasında iletilen ve kişisel sağlık verileri ihtiva eden e-postaların şifrelenmesi gerekir. Bu kapsamda kullanılabilecek olan teknolojilerden biri dijital sertifikalardır. Türk Hukukunda 5070 sayılı Elektronik İmza Kanunu dijital sertifikaların şifreleme ve imzalama özelliklerinden sadece imzalama özelliğini seçmiş ve hukuken ıslak imza ile aynı sonuçları doğuran “güvenli elektronik imza”’nın sadece bireylerin kimliklerinin tespiti amacıyla imzalama fonsiyonunu yerine getireceğini hükme bağlamıştır. Dolayısıyla sağlık kuruluşları güvenli elektronik imza ve zaman damgası kullandıklarında bununla elektronik iletişimin taraflarının kim olduğu ve bu iletişimin ne zaman yapılmış olduğu sorularının cevabını almış olacaklardır. E-posta yoluyla yapılan iletişim internette üçüncü kişilerin müdahalesine ve mesajın içeriğinde değişiklik yapabilme olanaklarına açık hem teknik hem de hukuken güvenli olmayan bir haberleşme şeklidir. Kişisel sağlık bilgilerini içeren ve sağlık uzmanları arasında teati edilen e-posta veya SMS, MMS gibi elektronik haberleşme yöntemlerinin üçüncü kişilere karşı korunaklı olmasını, hukuki ve teknik olarak güvenli olmasını sağlamanın yolu “kayıtlı elektronik posta (certified or registered e-mail)” kullanmaktır. Kayıtlı elektronik posta, bu konuya özel standartlar kapsamında güvenli e-imza ve zaman damgası kullanarak elektronik iletiyi gönderenin ve alıcının kimliklerini kanıtlamak, iletinin gönderildiği ve alındığı zamanı kesin olarak belirlemek, elektronik iletinin orijinini ve bütünlüğünü sağlamak, gerçekleştirilen tüm bu işlemleri tarafların inkar etmesini sağlamak ve nihayet iletim sırasında haberleşmenin veya mesajın gizliliğini ve güvenliğini korumak şeklinde işlevlere sahiptir. Hemen tüm bilgi güvenliği ve sağlık bilişimi standartlarının en önemli bileşenlerinden biri de düzenleyici uyumdur (regulatory compliance). Diğer bileşenler kadar önemli olan bu konunun standartlar çerçevesinde süreçler geliştiren sağlık kurum ve kuruluşları tarafından da atlanmaması gerekmektedir. Nitekim kayıtlı elektronik posta da düzenlemelere uyum konusunda takip edilmesi gereken önemli bir teknolojidir. Az sonra değineceğimiz yasa tasarısı bu teknolojinin hem teknik hem de hukuki sonuçlarını düzenlemektedir. Kayıtlı elektronik posta konusunda Türkiye’deki son durum şudur: Halihazırda Meclis önünde bulunan ve kısa sürede yasalaşması beklenen “Kamu Hizmetlerinin Hızlandırılması Amacıyla Bazı Kanun Ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun Tasarısı ”’nda bu konuda aşağıdaki hüküm yer almaktadır: MADDE 28- 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununa; b) 67 nci maddesinden sonra gelmek üzere aşağıdaki madde eklenmiştir. “Kayıtlı elektronik posta sistemi EK MADDE 1- (1) Kayıtlı elektronik posta sistemi, elektronik posta haberleşmesinin, kayıtlı elektronik posta hizmet sağlayıcıları vasıtasıyla, 5070 sayılı Elektronik İmza Kanununda tanımlanan güvenli elektronik imza ve zaman damgası kullanılarak gerçekleştirilmesini ve bu haberleşmenin göndericisinin, alıcısının ve zamanının tespit edilmesini sağlayan haberleşme sistemidir. (2) Resmî veya ticarî bilgi ya da belge paylaşımı, ilgili taraflar arasında bildirim, ihtar, ihbar ve benzeri hukukî sonuç doğuran beyan ve yazışmalar, kayıtlı elektronik posta sistemi vasıtasıyla yapılabilir. (3) Kayıtlı elektronik posta hizmet sağlayıcı, kayıtlı elektronik posta sistemini kuran ve işleten kamu tüzel kişisi veya özel hukuk tüzel kişisidir. Bunlar; güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek, hizmetlerin belirlenen kalitede sunulabilmesini teminen gerekli idarî ve teknik imkân ve kabiliyetlere sahip olmak ve bu sistemlerde kişisel verilerin korunmasına ve bilgi güvenliğinin sağlanmasına ilişkin mevzuat çerçevesinde Kurum tarafından belirlenen kurallara uymakla yükümlüdür. Kayıtlı elektronik posta hizmet sağlayıcı olmak isteyenler, Kuruma bildirimde bulunarak faaliyete geçer. (4) Kayıtlı elektronik posta hizmet sağlayıcı, işlettiği sistem vasıtasıyla yapılan iş ve işlemlerin veya haberleşmenin taraflarını ve zamanını, 5070 sayılı Elektronik İmza Kanununda tanımlanan güvenli elektronik imza ve zaman damgası kullanarak kayıt altına alır. Bu kayıtlar senet hükmünde olup, aksi ispat edilinceye kadar kesin delil sayılır. (5) Kayıtlı elektronik posta sistemine, bu sistemin idarî, teknik ve hukukî gereklilikleri ile işleyişine, kayıtlı elektronik posta hizmet sağlayıcıların kuruma yapacakları bildirim ile bunların haklarına, yükümlülüklerine, faaliyetlerine son verilmesine ve denetlenmelerine ilişkin hususlar, kurum tarafından yönetmelikle düzenlenir.” Sonuç Kişisel sağlık verisi işleyen ve elektronik iletişim araçlarıyla bu verileri ileten sağlık kurum ve kuruluşlarının, bilgi güvenliği veya sağlık bilişimi standartlarında öngörülen teknik önlemler ve düzenlemelere uyum kapsamında kayıtlı elektronik postaya ilişkin olarak, Bilgi Teknolojileri ve İletişim Kurumu tarafından çıkartılacak düzenlemeler doğrultusunda uygulama başlatmaları gerekecektir. Bu uygulama sayesinde iyi kurgulanmış bir bilgi güvenliği ve sağlık bilişimi sisteminin, elektronik iletişim tarafı da güçlendirilmiş ve sistemde bu anlamda söz konusu olabilecek kişisel sağlık verilerine ilişkin ihlallerin önüne geçilmiş olacaktır.

• Kişisel sağlık verilerinin Elektronik İletişim Yöntemleriyle İletimi, standartları ve çözüm yolları -- 05 Mayıs 2010