Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Usul ve Esaslar
T.C.
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 — Bu Usul ve Esasların amacı;
Kapsam
MADDE 2 — (1) Bu usul ve esaslar;
a)
b)
ilişkin
Dayanak
MADDE 3 — Bu Usul ve Esaslar, 31(5/2006
Tanımlar
MADDE 4 — (1) Bu Usul ve Esaslarda geçen;
a) Alıcı:
b) Doğrudan Tanınma: Genel
c) Dolaylı Tanınma: Genel
ç) Teknik
d) Genel
e) Genel
f) Gizli
g) GSSGM: Genel
h) HSGM:
i)
j)
k)
l) Kanun: 31/5/2006
m)
n)
k)
ifade eder.
İKİNCİ BÖLÜM
MADDE 5 - (1)
(2)
MADDE 6 - (1)
a)
b) Gerektiğinde Kurulu toplantıya davet etmek,
(2) Kurul, Başkanın uygun göreceği zamanlarda ayda en az bir defa olmak üzere Kurul Başkanının uygun göreceği zamanlarda asgari dört üye ile toplanır.
(3) Kurul, acil durumlarda Kurul Başkanının veya Kurul Başkanının uygun görmesi halinde en az dört üyenin talebi üzerine olağanüstü toplantıya çağrılabilir.
(4) Kararlar toplantıya katılan üyelerin çoğunluğu ile alınır. Oylarda eşitlik olması halinde, Başkanın bulunduğu taraf çoğunluk sayılır.
(5) Kurulun görevleri şunlardır:
a) Veri paylaşım taleplerini tutanak altına alarak karara bağlamak,
b) Veri paylaşım taleplerini mevzuata uygunluk yönünden değerlendirerek karar vermek, mevzuata açıkça aykırı olan veri taleplerini reddetmek,
c) Veri paylaşımının, hangi yolla yapılacağına HSGM nün vereceği alternatifler üzerinden karar vermek,
ç) Veri paylaşımı ile ilgili ücret alınıp alınmamasına karar vermek,
d) Paylaşılmasına karar verilen veri taleplerinin, fiyatlandırılması için Teknik Alt Komisyondan çalışma istemek ve Teknik Alt Komisyon tarafından sunulan fiyatları göz önünde bulundurarak alınacak ücretin miktarını belirlemek.
e) Veri paylaşım talepleri Kurulda ilk görüşüldüğü tarihten itibaren en geç 3 (üç) ay içerisinde sonuçlandırır.
Teknik Alt Komisyon ve Görevleri
MADDE 7 — (1) Teknik Alt Komisyon; Hizmet Sunumu Genel Müdürlüğü, Genel Sağlık Sigortası Genel Müdürlüğü, Rehberlik ve Teftiş Başkanlığı, Aktüerya ve Fon Yönetimi Daire Başkanlığı, Strateji Geliştirme Başkanlığı ve I. Hukuk Müşavirliği tarafından görevlendirilen birer üyenin katılımı ile oluşur. Teknik Alt Komisyon tüm üyelerin katılımı ile toplanır.
(2) Teknik Alt Komisyon Hizmet Sunumu Genel Müdürlüğü başkanlığında toplanarak, Kurul tarafından talep edilen verilere ilişkin fiyatlandırma çalışmalarını yapar ve en geç bir sonraki ayın ilk toplantı tarihine kadar sonuçlandırır.
(3) HSGM gerektiğinde, diğer kamu Kurum ve Kuruluşlarından fiyat tespiti konusunda görüş alabilir.
(4) Bu birim, Kurul tarafından iletilen taleplerle ilgili veri şablonunun oluşturulmasını, veri içeriğinin teknik uygunluğunu koordineli olarak değerlendirerek kararlaştırır.
Sekreterya işlemleri
MADDE 8 — (1) Kurulun sekreterya işlemleri GSSGM tarafından yürütülür. GSSGM toplantı tarihinden en az 5 gün önce, toplantı tarihi ve yeri ile ilgili süreçleri takip ederek, bu Usul ve Esasların Madde 16 nın (3) üncü bendi kapsamındaki veri taleplerini GSSGM evrak tarihine göre sıralayarak kurul üyelerine bildirir.
ÜÇÜNCÜ BÖLÜM
Sağlık Verilerinin Güvenliği
Kişisel ve ticari sır niteliğindeki verilerin korunması
MADDE 9 - (1) Genel sağlık sigortalısına ait sağlık bilgilerinin gizliliği esastır. Sağlık verilerinin paylaşımında; Anayasada, Kanunlarda ve uluslararası sözleşmelerde yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.
Gizli verilerin tanımlanması ve korunması
MADDE 10 - (1) Doğrudan veya dolaylı tanınma şeklinde kişisel bilgilerin açığa çıkarılmasına imkân sağlayan veriler gizli verilerdir.
(2) Genel sağlık sigortalısı, sağlık hizmet sunucularının kimliği ile sağlık veri tabanında yer alan firma, ürün veya marka isminin yer aldığı verilerin toplulaştırılması ile oluşturulan:
a) Tablonun herhangi bir hücresindeki bilginin ait olduğu sayının üçten az olması,
b) Üç ve daha fazla olduğu halde herhangi bir birime ait bilginin o hücredeki toplam bilginin yüzde sekseninden, iki birime ait bilginin o hücredeki toplam bilginin yüzde doksanından fazlasını oluşturması,
durumunda ilgili hücredeki veri gizli kabul edilir.
(3) Gizli verilerin bulunduğu hücre, ancak gizli veriler ortaya çıkmayacak şekilde başka hücre veya hücrelerle birleştirildikten sonra paylaşılabilir.
(4) Bu madde belirtilen hususlar açısından; Cumhuriyet Savcılıkları, Mahkemeler ve Sayıştay Başkanlığı, Yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortası uygulamaları ile ilgili yapacakları soruşturma, inceleme ve teftişlerle görevlendirilen personel, Kurumun denetim ve kontrol ile görevlendirdiği personel ile Genel sağlık sigortalısının kendisine ait olan sağlık verilerinin kendisi veya varis / varisleri tarafından istenen veriler hariç olmak üzere HSGM'ce oluşturulan tüm veriler GSSGM tarafından gizlilik açısından kontrol edilerek paylaşılır.
Kurum veri tabanında yer alan bilgilerin güvenliğinin sağlanması
MADDE 11 - (1) Kurum, veri tabanında tutulan sağlık verilerinin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla, Kurumumuzda uygulanan bilgi güvenliği standartları ve bilgi güvenliği politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.
b) Kurum bünyesinde test ve üretim ortamlarındaki sağlık verilerine HSGM personeli haricinde erişim yapılmayacaktır.
c) Kurum sağlık veri ambarına, veri analizi, istatistik üretme amaçları için Kurum personeline istenen erişim yetkisi (okuma), performans, sistem kaynak, yetkinlik kısıtları vb. dikkate alınarak GSSGM' ye yapılan başvurular, GSSGM ve HSGM koordinesi ile Kurum Başkanlığından onay alınarak verilecektir.
d) Kaynak sağlık veri tabanına, veri ambarına erişimler gerçek kişi (ad, soyad) kullanıcı/şifreleri kullanılarak güvenlik politikaları çerçevesinde yapılacaktır. Erişimler HSGM tarafından güvenlik politikaları çerçevesinde loglanacaktır ve loglar belirli aralıklarla saklanacaktır.
e) Kurum kaynak sistemlerinde sadece test edilmiş ve onaylanmış Kurum uygulamaları aracılığı ile toplanan sağlık verilen esastır. Hatalar sonucu veya farklı nedenlerle verilerde değiştirilme, silinme, eklenme ihtiyacı oluşursa veriler GSSGM onayı ile HSGM tarafından değiştirilecektir.
f) HSGM Bilgi Sistemleri ve Güvenliği Daire Başkanlığı yedekleme politikaları çerçevesinde mutat bir şekilde kaynak sağlık verilerinin yedekleme işlemi sistem personeli tarafından yapılacaktır.
g) HSGM, kurum dışı gizli veri taleplerini karşılarken gerekli güvenlik önlemlerini alacaktır.
(2) Kurumca veriye erişim yetkisi verilmiş personelin Kurumdan ayrılması veya görev yeri değişikliği durumunda personelin veri tabanına erişim yetkileri iptal edilir. Personelin üzerinde çalıştığı veri ile ilgili sorumluluğu Kurumdan ayrıldıktan sonra da devam eder. Personelin Kurumdan ayrılması veya görev yeri değişikliği durumunda en son çalıştığı birim tarafından ayrılma/değişiklik tarihi itibariyle HSGM'ne yazılı olarak bildirilmesi, yetkisiz kullanımın önlenebilmesi için telefon ile bilgi verilmesi gerekmektedir. Bu hususlara aykırı hareket edilmesi nedeniyle oluşacak sorumluktan ilgili birim amiri de yürürlükteki mevzuat çerçevesinde sorumludur.
Sağlık Hizmet Sunucularında Kaydı Tutulan Verilerin Güvenliğinin Sağlanması
MADDE 12 - (1) Sağlık hizmet sunucuları genel sağlık sigortalısına sunmuş olduğu sağlık hizmetleri gereği kaydı tutulan sağlık verileri dahil her türlü kişisel bilgileri, ilgili diğer mevzuatlarla izin verilen haller dışında veya Kurum izni olmaksızın başka kurum, kuruluş ve üçüncü kişilerle paylaşamaz.
(2) Sağlık hizmet sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını sağlayan gerçek ve tüzel kişiler de yukarıda belirtilen hükümlere tabidir. Bu konunun sağlanması için sağlık hizmet sunucuları gerekli tedbirleri almakla yükümlüdür.
Paylaşılmayacak Veriye ilişkin Hükümler
MADDE 13 — (1) Aşağıda yer alan bilgiler paylaşılmaz:
a)Paylaşılması ulusal güvenliği tehdit edebilecek nitelikte olan bilgiler,
b)Milli İstihbarat Teşkilatı Müsteşarlığı personeli ile bakmakla yükümlü oldukları kişilere ait her türlü veriler,
c) Rekabet hukuku ilkelerine aykırılık teşkil eden firma, ürün, marka ve ilgili diğer bilgileri içeren veriler,
ç) Bu Usul ve Esasların Madde 10 un (1) ve (2) bentlerinde tanımlanan gizli veriler.
İstisnai durumlar
MADDE 14 - (1) Aşağıda belirtilenlerin veri talebinde bulunması halinde; 13 üncü madde hükümleri uygulanmaz.
a) Cumhuriyet Savcılıkları, Mahkemeler ve denetim konusu ile sınırlı olmak şartıyla Sayıştay Başkanlığı,.
(2) Aşağıda belirtilenlerin veri talebinde bulunması halinde; 13 üncü maddenin c ve ç bentleri hükümleri uygulanmaz.
a)Denetim konusu ile sınırlı olmak şartıyla Kurumun denetim ve kontrol ile görevlendirdiği personel,
b)Denetim konusu ile sınırlı olmak şartıyla yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu Kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortası uygulamaları ile yapacakları soruşturma, inceleme ve teftişlerle ilgili görevlendirilen personel,
c) Çalışma konusu ile sınırlı olmak şartıyla Kurum sağlık politikalarıyla ilgili olarak iş ve işlemleri yürüten veya bununla ilgili çalışma yapan Kurum personeli,
ç) Gerçek kişilerin kendilerine ait sağlık verileri veya varisleri,
tarafından talep edilen veriler.
(2) Firma, ürün veya marka ismi yer alan veriler, talep halinde firmanın kendisine verilebilir. Ayrıca bu veriler sınırları açıkça belirtilmiş olmak ve veri talep eden firma tarafından rekabete aykırı olmadığına dair Rekabet Kurumundan bir karar alınmak kaydıyla ve ilgili firmanın noterlikçe onaylanan açık rızası ve muvafakati çerçevesinde Kurum, kuruluş ve üçüncü kişiler ile paylaşılabilir.
DÖRDÜNCÜ BÖLÜM
Veri Taleplerine Başvuru, Veri Taleplerinin Değerlendirilmesi
Veri Taleplerine Başvuru
MADDE 15 - (1) Veri Paylaşımı Kuruluna girmesi gereken taleplerde veri paylaşımından yararlanmak isteyen alıcı, GSSGM'ne yazılı olarak başvurur. Bunun dışındaki talepler bu usul ve esasların 16 nci maddesinin birinci ve ikinci fıkralarındaki veri taleplerinin değerlendirileceği birimlere yazılı olarak yapılır. Yazılı olarak başvurulmayan talepler işleme alınmaz.
(2) Yapılan başvurularda veri taleplerinin amaçlarının belli olması, açık ve net bir şekilde talebe konu olan yazıda belirtilmesi, sonraki kullanımların da bu amaçlarla sınırlı tutulması gereğine değinilmesi ve talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal dayanağının açıkça belirtilmesi zorunludur.
(3) Veri paylaşımından yararlanmak isteyen alıcı, resmi yazıda talep ettiği verinin tarih aralığını mutlaka belirtmelidir. Veri tabanı kullanım performansını artırmak ve daha etkin veriye ulaşabilmek amacıyla konu ile ilgili olarak Kurum ilave bilgi talep edebilir.
Veri Taleplerinin Değerlendirilmesi
MADDE 16 - 1) Kurum sağlık politikalarıyla ilgili olarak iş ve işlemleri yürüten veya bununla ilgili çalışma yapan Kurum personeli,
2) Tez, yüksek lisans ve doktora çalışmaları alanında kullanılmak amacı ile Kurum personeli, tarafından talep edilen veriler GSSGM onayı ile,
3) Cumhuriyet Savcılıkları, Mahkemeler ve Sayıştay Başkanlığı,
4) Yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortası uygulamaları ile ilgili yapacakları soruşturma, inceleme ve teftişlerle görevlendirilen personel,
5) Kurumun denetim ve kontrol ile görevlendirdiği personel,
6) Genel sağlık sigortalısının kendisine ait olan sağlık verilerinin kendisi veya varis / varisleri tarafından talep edilen veriler Kurula girmeden bu usul ve esaslarda belirtilen hükümler çerçevesinde ücretsiz olarak paylaşılabilir. Kurumun MEDULA uygulama ekranlarından karşılanabilen veriler merkez ve taşra birimlerince, karşılanamayan veriler ise HSGM tarafından karşılanır.
Yukarıda yer alan taleplerin dışında kalan tüm veri talepleri Kurulun sekreterya işlemlerini yürüten GSSGM tarafından Kurula sunulacak ve Kurul tarafından değerlendirilecektir.
BEŞİNCİ BÖLÜM
Veri Taleplerinin Dağıtım Prosedürü, Verilerin İletilmesi
Veri Taleplerinin Dağıtım Prosedürü
MADDE 17 - (1) Kurum dışı (kamu kurum ve kuruluşları, gerçek ve tüzel kişileri) veri paylaşımı;
a) Veri paylaşımı talepleri karşılanırken kurum/kuruluşların verileri alabilmesi için protokol veya sözleşme imzalamaları zorunludur.
b) Bu usul ve esaslarda belirtilen hükümler çerçevesinde Kurul tarafından paylaşılmasına karar verilen taleplerde, Alıcının verileri teslim alabilmesi için noter aracılığı ile gizlilik taahhüt belgesi imzalaması ve Kuruma vermesi zorunludur. Ancak kamu kurum ve kuruluşları tarafından gizlilik taahhüt belgesinin imzalanmasında noter aracılığı şartı aranmaz.
c) Protokol /Sözleşme metni, en az üç nüsha olmak üzere önce veri talebinde bulunan kurum/kuruluşa gönderilecek, imzayı müteakip Genel Sağlık Sigortası Genel Müdürlüğünce Kurum adına imzalanacaktır. İmzalı nüshalardan birisi veri talep eden kurum/kuruluşa, diğeri Hizmet Sunumu Genel Müdürlüğüne gönderilecek ve son imzalı nüsha Genel Sağlık Sigortası Genel Müdürlüğü’nde muhafaza edilecektir.
ç) Protokollerin/sözleşmelerin süresini belirlemeye, yenilenip yenilenmemesine karar vermeye ve protokolleri/sözleşmeleri feshetmeye Kurum Başkanlığı yetkilidir.
Verilerin iletilmesi
MADDE 18 - (1) Doküman Yönetim Sistemi (DYS) ortamında veri iletme: Kurum içi veri talepleri karşılanırken hazırlanan veriler DYS üzerinden ilgili birimlere iletilir.
(2) Elektronik posta ile veri iletme: Veriler elektronik ortamda iletilirken sadece ‘gov.tr’ uzantılı e-posta adreslerine gönderilir ve veri ulaştıktan sonra bilgi verilmesi istenir.
(3) Posta ile veri iletme: Posta ile iletilecek veriler şifrelenerek CD, DVD vb. ile kapalı bir zarf içerisinde gönderilir. Zarf taahhütlü ya da iadeli taahhütlü olarak gönderilir ve alıcısına ulaşıp ulaşmadığı kontrol edilir.
(4) Telefonla veri iletme: Telefonla hiçbir veri bilgisi iletilmez.
ALTINCI BÖLÜM
Verilerin iletildiği Kişi, Kurum/Kuruluşlara Düşen Görevler
Verilerin İletildiği Kişi, Kurum/Kuruluşlara Düşen Görevler
MADDE 19 - (1) Alıcının Yükümlülükleri;
a) Alıcı, verilerin istenilen amaç dışında kullanılmaması için her türlü önlemi alır ve verinin incelenip değerlendirilmesi aşamasındaki verinin bulunduğu ortama yetkisiz kimselerin fiziksel veya elektronik yollarla erişiminin engellenmesi için gerek duyulan güvenlik sistemini kurar veya gerekli tedbirleri alır.
b) Veri güvenliğinin sağlanması konusunda, her türlü sorumluluk süre ile sınırlandırılmaksızın veri talebinde bulunan kişi, kurum/kuruluşlara ait olacak, alıcı taraf paylaşılan verileri üçüncü şahısların kullanımına sunmayacak ve yayımlamayacaklardır.
c) Bu Usul ve Esasların Madde 16 da yer alan taleplerin istenilen amaç dışında kullanılmaması, veri güvenliğinin sağlanması konusunda, her türlü sorumluluk süre ile sınırlandırılmaksızın veri talebinde bulunan kişi, kurum/kuruluşlara ait olacak, alıcı paylaşılan verileri GSSGM’nin izni olmaksızın üçüncü şahısların kullanımına sunmayacak ve yayımlanmayacaktır.
ç) Kurumumuz tarafından elektronik ya da benzeri usullerle gönderilen veriler, 5429 sayılı Türkiye İstatistik Kanunu hükümleri çerçevesinde, bireysel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılacak olup, paylaşılan verilerin yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınacaktır.
d) Veri paylaşımı ile ilgili her türlü vergi, harç vb. yasal yükümlülükler alıcıya aittir.
(2) Uygulanacak müeyyideler;
a) Taraflarca alınacak verilerin kullanılmasının hukuki sonuçlarından alıcı sorumludur. Bu kapsamda verilerin kullanılmasında ve paylaşımında Anayasa, uluslararası sözleşmeler ve ulusal mevzuatta yer alan özel ve ticari hayatın gizliliğine ilişkin hükümler uygulanır.
b) Kurumumuz tarafından sağlanan verilerin alıcının güvenlik açıkları nedeniyle yetkisiz kişilerin eline geçmesi ve yetkisiz kullanımından doğacak her türlü hukuki, mali ve cezai zararın tazmini veri talebinde bulunan kişi, kurum/kuruluş tarafından yapılacaktır.
c) Paylaşılmayacak verilerin korunması fıkralarını ihlal eden kişiler Türk Ceza Kanununun Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar Bölümünün 135 inci, 136 ncı ve 137 nci maddelerince suç işlemiş sayılacaktır.
ç) Kurumumuz tarafından kendilerine erişim yetkisi verilen kişilerden, gizli verileri değiştiren veya bütünlüğünü bozanlar Türk Ceza Kanununun Bilişim Suçları bölümünde yer alan 243 üncü ve 244 üncü maddelerince suç işlemiş sayılacaktır.
d) Sağlık verileri, analiz ve değerlendirme amaçlı olarak kullanılacak olup bu usul ve esasların 16 nci maddesi ikinci fıkrası kapsamında istenen veriler hariç olmak üzere hiçbir surette delil olarak kullanılmayacaktır.
YEDİNCİ BÖLÜM
Son Hükümler
MADDE 20 – (1) Bu Usul ve Esasların uygulanmasına ilişkin her türlü uyuşmazlıklarda Ankara Mahkemeleri yetkilidir.
Yürürlük
MADDE 21 – (1) Bu Usul ve Esaslar Yönetim Kurulunca uygun görüldüğü 06/06/2013 tarihinde yürürlüğe girer. (Yönetim Kurulunun 15/08/2013 tarihli ve 2013/300 sayılı kararı ile değiştirilmiştir.)
(2) Bu Usul ve Esasların yürürlüğe girdiği tarihten itibaren Yönetim Kurulunun 26/07/2012 tarihli ve 2012/269 sayılı kararı ile uygun görülen ve 27.07.2012 tarihinde Kurum web sayfasında yayımlanan T.C. Sosyal Güvenlik Kurumu Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Usul ve Esaslar yürürlükten kalkar.
Yürütme
MADDE 22 – Bu Usul ve Esas hükümlerini Sosyal Güvenlik Kurumu Başkanı yürütür.