YAZILIM ERİŞİM KODU PAYLAŞIMI HAKKINDA DUYURU

T.C.
SAĞLIK BAKANLIĞI
Sağlık Bilgi Sistemleri Genel Müdürlüğü

Sayı: 75730711-719-1782     21/03/2019
Konu: Yazılım Erişim Kodu Paylaşımı 

DAĞITIM YERLERİNE

Bakanlığımız kayıt ve tescil süreçleri kapsamında, belgelerini eksiksiz teslim eden Sağlık Bilgi Yönetim Sistemi (SBYS) firmaları Kayıt Tescil Sistemi’ne (KTS) kaydedilmekte ve e-Nabız sistemine veri gönderimini sağlayabilmeleri için SBYS firmalarına söz konusu yazılım erişim kodları (HBYS kodu ve firma kodu) teslim edilmektedir. 2015/17 sayılı “Sağlık Bilgi Sistemleri Uygulamaları” konulu Genelgeye göre yazılım erişim kodlarının muhafazasından SBYS firma yetkilisinin sorumlu olduğu da belirtilmektedir.

13.03.2019 tarihinde Bakanlığımıza ulaşan şikâyette, bazı sigorta şirketlerinin tamamlayıcı sağlık sigortası hizmeti alan vatandaşların provizyon sorgulamalarının yapılması hususu gerekçe gösterilerek, Bakanlığımız tarafından KTS’de kayıtlı SBYS firmalarına teslim edilen yazılım erişim kodlarının ve sağlık hizmeti sunucularına ait MEDULA tesis kodu ile şifrelerinin talep edildiği tespit edilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12 nci maddesinde veri güvenliğine ilişkin yükümlülükler düzenlenmektedir. Bu maddenin ilk fıkrası uyarınca veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu bulunmaktadır. İlgili maddenin ikinci fıkrası uyarınca ise kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu ile birlikte veri işleyen sıfatını haiz tarafın müşterek sorumluluğu bulunmaktadır. Diğer taraftan maddenin dördüncü fıkrası uyarınca; veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Yukarıda anılan mevzuat hükümleri çerçevesinde hem veri sorumlusu sıfatını haiz sağlık hizmeti sunucularının, hem de ilgili sağlık hizmeti sunucularında veri işleyen sıfatım haiz olarak faaliyet göstermekte olan SBYS firmalarının, kişisel verilerin hukuka aykırı olarak erişilmesini önlemeye yönelik her türlü teknik ve idari tedbiri alma yükümlülüğü bulunmaktadır.

Bu yükümlülüğe riayet etmeyenler hakkında; 5237 sayılı Türk Ceza Kanunu’nun 136 ncı ve 137 nci maddeleri uyarınca 3 yıldan 6 yıla kadar hapis cezası ile soruşturma ve kovuşturma yürütülmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 1 milyon TL’ye kadar idari para cezası kesilmesi, 4721 sayılı Türk Medeni Kanununun 24 ve 25 nci maddeleri uyarınca maddi ve manevi tazminat davası açılması ve Özel Hastaneler Yönetmeliğinin 50 nci maddesinin üçüncü fıkrası ve 67 nci maddesi uyarınca poliklinik faaliyetlerinin beş gün süre ile durdurulmasına ulaşan idari yaptırımların uygulanması söz konusu olabilecektir.

Sonuç olarak, Bakanlığımız tarafından SBYS firmalarına tahsis edilen yazılım erişim kodlarının ve ayrıca sağlık hizmeti sunucularına ait MEDULA tesis kodu ve şifrelerinin, özel sigorta şirketleri ile hiçbir gerekçe ile paylaşılmama gereğini rica ederim.

Dr. Şuayip BİRİNCİ
Bakan a.
Bakan Yardımcısı

Dağıtım:
Gereği:                                       Bilgi:
81 İl Valiliğine                             Sosyal Güvenlik Kurumuna
KTS’de Kayıtlı SBYS Firmalarına    Türkiye Sigorta Birliğine

Yazının aslı için tıklayınız

Sağlık Aktüel - www.saglikaktuel.com

YASAL UYARI: Yayınlanan köşe yazısı/haberin tüm hakları Sağlık Aktüel’e (www.saglikaktuel.com) aittir.  www.saglikaktuel.com biçiminde aktif bağlantı kurulabilir, açık kaynak gösterilmek kaydıyla içerik kullanılabilir. Açık kaynak göstermeden yapılan alıntılar için yasal işlem uygulanacaktır.