Sosyal Güvenlik Kurumu Başkanlığı Genel Sağlık Sigortası Genel Müdürlüğü tarafından "Sosyal Güvenlik Kurumu Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Usul ve Esaslar" yayımlanmıştır;
T.C.
SOSYAL GÜVENLİK KURUMU GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN USUL VE ESASLAR
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – Bu Usul ve Esasların amacı; Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanında yer alan kişisel ve kurumsal verilerin, kişinin ya da kurumun mahremiyeti, maddi ve manevi varlığı ile temel hak ve özgürlüklerini koruyarak, paylaşım esaslarının belirlenmesi ve güvenliğinin sağlanmasına ilişkin usul ve esasları belirlemektir.
Kapsam
MADDE 2 ––(1) Bu usul ve esaslar;
a) Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanlarındaki sağlık verilerinin korunması ile güvenliğinin sağlanmasına,
b) Sosyal Güvenlik Kurumu ve diğer kamu Kurum ve kuruluşları ile gerçek ve tüzel kişiler arasında sağlık verilerinin elektronik veya manyetik kayıt ortamında paylaşılmasına,
ilişkin düzenlemeleri kapsar.
Dayanak
MADDE 3 – Bu Usul ve Esaslar, 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 78 inci ve 100 üncü maddeleri ile 11/07/2012 tarihli ve 28350 sayılı Resmi Gazetede yayımlanan Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Yönetmeliğe dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Usul ve Esaslarda geçen;
a) Alıcı: Paylaşıma açılacak verilerden, yapılacak sözleşme çerçevesinde yararlanan kamu Kurum ve kuruluşları ile özel sektör kuruluşları ve gerçek ve tüzel kişileri,
b) Bakanlık: Çalışma ve Sosyal Güvenlik Bakanlığını,
c) Genel sağlık sigortalısı: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 60 ıncı maddesinde sayılan kişileri,
ç) Genel Sağlık Sigortası: Kişilerin öncelikle sağlıklarının korunmasını, sağlık riskleri ile karşılaşmaları halinde ise oluşan harcamaların finansmanını sağlayan sigortayı,
d) GSSGM: Genel Sağlık Sigortası Genel Müdürlüğünü,
e) HSGM: Hizmet Sunumu Genel Müdürlüğünü,
f) Kurul: Bu Usul ve Esaslarda açıkça tanımlanan yetkilileri,
g) Kurum: Sosyal Güvenlik Kurumunu,
h) Kanun: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununu,
i) Sağlık hizmeti: Genel Sağlık sigortalısı ve bakmakla yükümlü olduğu kişilere Kanunun 63 üncü maddesi gereği finansmanı sağlanacak tıbbi ürün ve hizmetleri,
j) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler ile kamu ve özel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayan şubelerini,
k) Sağlık verisi: Genel sağlık sigortalısı ve bunların bakmakla yükümlü olduğu kişiler için Kanunun 63 üncü maddesi gereği finansmanı sağlanan sağlık hizmetlerine ilişkin her türlü veriyi,
ifade eder.
İKİNCİ BÖLÜM
Sağlık Verilerinin Güvenliği ve Dağıtımı
Kişisel ve ticari sır niteliğindeki verilerin korunması
MADDE 5- (1) Genel sağlık sigortalısına ait sağlık bilgilerinin gizliliği esastır.
(2) Sağlık verilerinin paylaşımında; Anayasada, Kanunlarda ve uluslararası sözleşmelerde yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.
Kurum veri tabanında yer alan bilgilerin güvenliğinin sağlanması
MADDE 6- (1) Kurum, veri tabanında tutulan sağlık verilerinin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla, Kurumumuzda uygulanan bilgi güvenliği standartları ve bilgi güvenliği politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.
a) Kurum bünyesinde test ve üretim ortamlarındaki sağlık verilerine, HSGM’de; yazılım geliştirme çalışmaları, sistem veri tabanı yönetimi, yedekleme işlemi, sağlık veri ambarı işlemleri görevlerinin gereği olarak belirli yetkiler (okuma, ekleme, çıkarma, değiştirme, yedekleme vb.) çerçevesinde erişimi istenen personeli için Kurum Başkanlığından onay alınarak erişim gerçekleştirilecektir.
b) Kurum bünyesinde test ve üretim ortamlarındaki sağlık verilerine HSGM personeli haricinde erişim yapılmayacaktır.
c) Kurum sağlık veri ambarına, veri analizi, istatistik üretme amaçları için Kurum personeline istenen erişim yetkisi (okuma), performans, sistem kaynak, yetkinlik kısıtları vb. dikkate alınarak GSSGM’ ye yapılan başvurular, GSSGM ve HSGM koordinesi ile Kurum Başkanlığından onay alınarak verilecektir.
d) Kaynak sağlık veri tabanına, veri ambarına erişimler gerçek kişi (ad, soyad) kullanıcı/şifreleri kullanılarak güvenlik politikaları çerçevesinde yapılacaktır. Erişimler HSGM tarafından güvenlik politikaları çerçevesinde loglanacaktır ve loglar belirli aralıklarla saklanacaktır.
e) Kurum kaynak sistemlerinde sadece test edilmiş ve onaylanmış Kurum uygulamaları aracılığı ile toplanan sağlık verileri esastır. Hatalar sonucu veya farklı nedenlerle verilerde değiştirilme, silinme, eklenme ihtiyacı oluşursa veriler GSSGM onayı ile HSGM tarafından değiştirilecektir.
f) HSGM Bilgi Sistemleri ve Güvenliği Daire Başkanlığı yedekleme politikaları çerçevesinde mutat bir şekilde kaynak sağlık verilerinin yedekleme işlemi sistem personeli tarafından yapılacaktır.
(2) Kurumca veriye erişim yetkisi verilmiş personelin Kurumdan ayrılması veya görev yeri değişikliği durumunda personelin veri tabanına erişim yetkileri iptal edilir. Personelin üzerinde çalıştığı veri ile ilgili sorumluluğu Kurumdan ayrıldıktan sonra da devam eder.
Sağlık hizmet sunucularında kaydı tutulan verilerin güvenliğinin sağlanması
MADDE 7- (1) Sağlık hizmet sunucularının genel sağlık sigortalısına sunmuş olduğu sağlık hizmetlerine ilişkin kaydı tutulan sağlık verileri dahil her türlü kişisel bilgiler, ilgili mevzuatla izin verilen haller dışında veya kişilerin açıkça rızası olmaksızın, başka kurum, kuruluş ve üçüncü kişilerle paylaşılamaz.
(2) Sağlık hizmet sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını sağlayan gerçek ve tüzel kişiler de yukarıda belirtilen hükümlere tabidir.
Paylaşılmayacak Veriye İlişkin Hükümler
MADDE 8 – (1) Aşağıda yer alan bilgiler paylaşılmaz:
a) Paylaşılması ulusal güvenliği tehdit edebilecek nitelikte olan bilgiler,
b) Milli İstihbarat Teşkilatı Müsteşarlığı personeli ile bakmakla yükümlü oldukları kişilere ait her türlü veriler,
c) Genel sağlık sigortalısına ait kişisel bilgileri içeren sağlık verileri,
ç) Rekabet hukuku ilkelerine aykırılık teşkil eden firma, ürün, marka ve ilgili diğer bilgileri içeren veriler.
(2) Sağlık hizmet sunucularına ait veriler, ancak Kurum adı belirtilmeden, doğrudan veya dolaylı tanımlamaya yol açmayacak şekilde bölge veya alan adı olarak verilebilir.
(3) Sağlık hizmet sunucuları ya da yazılım firmaları kendi veri tabanlarında bulunan sağlık verilerini Kurum izni olmaksızın hiçbir şekilde gerçek ya da tüzel kişiler ile paylaşamaz.
İstisnai durumlar
MADDE 9- (1) Aşağıda belirtilenlerin veri talebinde bulunması halinde 8inci madde hükümleri uygulanmaz.
a) Cumhuriyet Başsavcılıkları, mahkemeler ve Sayıştay Başkanlığı,
b) Kurumun denetim ve kontrol ile görevlendirdiği personel,
c) Yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu Kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortası uygulamaları ile yapacakları soruşturma, inceleme ve teftişlerle ilgili görevlendirilen personele inceleme ve teftiş konusu ile ilgili talep ettiği veriler,
ç) Kurum sağlık politikalarıyla ilgili olarak iş ve işlemleri yürüten veya bununla ilgili çalışma yapan Kurum personeli.
(2) Firma, ürün veya marka ismi yer alan veriler, talep halinde firmanın kendisine verilebilir. Ayrıca bu veriler sınırları açıkça belirtilmiş olmak ve veri talep eden firma tarafından rekabete aykırı olmadığına dair Rekabet Kurumundan bir karar alınmak kaydıyla ve ilgili firmanın noterlikçe onaylanan açık rızası ve muvafakati çerçevesinde Kurum, kuruluş ve üçüncü kişiler ile paylaşılabilir.
Veri Dağıtım Prosedürü
MADDE 10- (1) Veri paylaşımından yararlanmak isteyen alıcı, GSSGM’ye yazılı olarak başvurur. Yapılan başvurularda talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal dayanağının açıkça belirtilmesi zorunludur.
(2) Kurum dışı (Kamu Kurum/Kuruluşları, Gerçek Kişiler ve Özel Hukuk Tüzel Kişileri) veri paylaşımı;
Veri talepleri karşılanırken (bu Usul ve Esasların 9. maddesinde belirtilenler hariç) taleplerin uygunluğu GSSGM tarafından incelenip uygun görülen talepler, verilerin üretilmesi amacıyla HSGM’ye iletilecektir.
Alıcının verileri teslim alabilmesi için noter aracılığı ile gizlilik taahhüt belgesi imzalaması ve Kuruma vermesi zorunludur.
Protokol / Sözleşme metni, en az üç nüsha olmak üzere önce veri talebinde bulunan kurum/kuruluşa gönderilecek, imzayı müteakip GSSGM ve HSGM’nin koordine parafı açılmak suretiyle en son Kurum adına Kurum Başkanı veya yetkilendireceği personel tarafından imzalanacaktır. İmzalı nüshalardan birisi veri talep eden kurum/kuruluşa, diğeri GSSGM’ye gönderilecek ve son imzalı nüsha ise HSGM’de muhafaza edilecektir.
(3) Kurum içi veri paylaşımı;
Kurum içi talepler karşılanırken (Kurumun denetim ve kontrol ile görevlendirdiği personel hariç), taleplerin uygunluğu GSSGM tarafından incelenip, uygun görülen talepler HSGM’ ye iletilecektir.
Verilerin İletildiği Kişi, Kurum/Kuruluşlara Düşen Görevler
MADDE 11– (1) Alıcının Yükümlülükleri;
a) Alıcı, verilerin istenilen amaç dışında kullanılmaması için her türlü önlemi alır ve verinin incelenip değerlendirilmesi aşamasındaki verinin bulunduğu ortama yetkisiz kimselerin fiziksel veya elektronik yollarla erişiminin engellenmesi için gerek duyulan güvenlik sistemini kurar veya gerekli tedbirleri alır.
b) Kurumumuz tarafından elektronik ya da benzeri usullerle gönderilen veriler, 5429 sayılı Türkiye İstatistik Kanunu hükümleri çerçevesinde, bireysel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılacak olup, paylaşılan verilerin yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınacaktır.
c) Veri güvenliğinin sağlanması konusunda, her türlü sorumluluk süre ile sınırlandırılmaksızın veri talebinde bulunan kişi, kurum/kuruluşlara ait olacak, alıcı taraf paylaşılan verileri üçüncü şahısların kullanımına sunmayacak ve yayımlamayacaklardır.
(2) Uygulanacak Müeyyideler;
a) Taraflarca alınacak verilerin kullanılmasının hukuki sonuçlarından alıcı sorumludur. Bu kapsamda verilerin kullanılmasında ve paylaşımında Anayasa, uluslararası sözleşmeler ve ulusal mevzuatta yer alan özel ve ticari hayatın gizliliğine ilişkin hükümler uygulanır.
b) Kurumumuz tarafından sağlanan verilerin alıcının güvenlik açıkları nedeniyle yetkisiz kişilerin eline geçmesi ve yetkisiz kullanımından doğacak her türlü hukuki, mali ve cezai zararın tazmini veri talebinde bulunan kişi, kurum/kuruluş tarafından yapılacaktır.
c) Paylaşılmayacak verilerin korunması fıkralarını ihlal eden kişiler Türk Ceza Kanununun Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar Bölümünün 135 inci, 136 ncı ve 137 nci maddelerince suç işlemiş sayılacaktır.
ç) Kurumumuz tarafından kendilerine erişim yetkisi verilen kişilerden, gizli verileri değiştiren veya bütünlüğünü bozanlar Türk Ceza Kanununun Bilişim Suçları Bölümünde yer alan 243 üncü ve 244 üncü maddelerince suç işlemiş sayılacaktır.
ÜÇÜNCÜ BÖLÜM
Veri Taleplerinin Yönetimi ve Birimlerin Cevap Verme Yükümlülüğü
Veri Taleplerinin Yönetimi
MADDE 12- (1) Veri toplama ve işlenmesinde amacın belirginliği ilkesi;
Veriler istenmeden önce, bu veri taleplerinin amaçlarının belli olması, açık ve net bir şekilde talebe konu olan yazıda belirtilmesi, sonraki kullanımların da bu amaçlarla sınırlı tutulması gereğine değinilmesi ve talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal dayanağının belirtilmesi zorunludur.
(2) Veri taleplerinde isteğin kurgulanması ilkesi;
a) Verinin doğru üretilebilmesi için resmi yazı ile veriler talep edilmeden önce GSSGM ile ön görüşme yapılır. Gerekli fizibilite çalışması yapılmaksızın iletilen taleplerdeki geri dönüşlerde ve aynı talebe dair değişikliklerde ikinci bir resmi yazı olmadan cevap verilmeyecektir.
b) İlgili talepler sadece resmi yazı ile istenmelidir. Aksi durumda taleplere kesinlikle cevap verilmeyecektir.
c) Kurum içi birimler tarafından Kurumsal Raporlama ve İstatistik Sisteminde bulunan istatistik amaçlı veriler talep edilemez.
ç) Veri tabanı kullanım performansını artırmak ve daha etkin veriye ulaşabilmek amacıyla, talebe konu olan resmi yazıda yer alan veri deseninde aşağıdaki hususlar mutlaka bulunmalıdır:
- Tarih: Yıl, ay
- Tarih aralığı: Başlangıç – Bitiş tarihi
- Şahıs: T.C. Kimlik Numarası, sicil numarası
- Firma: Vergi numarası, işyeri sicil numarası
- Ürün Kodu
- Tesis Kodu
Gerektiğinde Kurum bu başlıklar dışında da veri desenine eklemeler yapabilir.
DÖRDÜNCÜ BÖLÜM
Verilerin Güvenliği, İletilmesi ve Ücretlendirilmesi
Verilerin Güvenliği
MADDE 13- (1) Kurumsal raporlama sistemine giriş yetkisi;
a) Tüm rapor ekranlarına giriş yetkileri, GSSGM’nin onayı alındıktan sonra HSGM tarafından verilecektir.
b) Uygulamayı kullanacak kişilere yetki düzeylerine göre kullanım amaçları dahilinde şifreler verilir. Bu şifreler belirli aralıklarla değiştirilir.
c) Raporların kullanımı sırasında karşılaşılan sorunlar süpervizörler tarafından veri sağlayıcıya iletilir.
(2) Protokol veya sözleşme ile paylaşılan verilerin güvenliği hususunda 11 inci madde esas alınır.
Verilerin İletilmesi
MADDE 14 – (1) Doküman Yönetim Sistemi (DYS) ortamında veri iletme: Kurum içi veri talepleri karşılanırken hazırlanan veriler DYS üzerinden ilgili birimlere iletilir.
(2) Elektronik posta ile veri iletme: Veriler elektronik ortamda iletilirken sadece ‘gov.tr’ uzantılı e-posta adreslerine gönderilir ve veri ulaştıktan sonra bilgi verilmesi istenir.
(3) Posta ile veri iletme: Posta ile iletilecek veriler şifrelenerek CD ile kapalı bir zarf içerisinde gönderilir. Zarf taahhütlü olarak gönderilir ve alıcısına ulaşıp ulaşmadığı kontrol edilir.
(4) Telefonla veri iletme: Telefonla hiçbir veri bilgisi iletilmez.
Veri paylaşımı hizmetlerinin ücretlendirilmesi
MADDE 15- (1) Bu Usul ve Esasların kapsamına giren ve Kurum tarafından paylaşımı onaylanan verilere ilişkin;
a) Üniversitelerin kurumsal projelerinde,
b) 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa göre genel yönetim kapsamındaki kamu idareleri ile Bakanlığın ilgili ve bağlı kuruluşlarının yayımladıkları süreli istatistik bültenlerinde,
c) Uluslararası kuruluşların Kurumun işbirliği yaptığı çalışmalarda kullanılmak üzere, 9/10/2003 tarihli ve 4982 sayılı Bilgi Edinme Hakkı Kanunu çerçevesinde gerçek ve tüzel kişilerin spesifik analize gerek olmaksızın karşılanabilecek basit veri talepleri ve mütekabiliyet ilkesi çerçevesinde diğer ülkelerin resmi kurumlarının talepleri ücretsiz olarak karşılanır.
(2) GSSGM, veri talepleri ile ilgili ücretlendirmeye ilişkin teknik çalışmaları yaparak karar verilmek üzere Kurula teklifte bulunur.
(3) Ücret talep edilecek kurum ve kuruluşların belirlenmesi konusunda ortaya çıkabilecek ihtilafları çözmeye Kurul yetkilidir.
(4) Veri paylaşımı ile ilgili her türlü vergi yükümlülüğü alıcıya aittir.
BEŞİNCİ BÖLÜM
Veri Paylaşımı Kurulunun Oluşumu ve Görevleri
Kurulun Oluşumu
MADDE 16 – (1) Kurul; Kurum Başkanı veya görevlendireceği Başkan Yardımcısı başkanlığında Genel Sağlık Sigortası Genel Müdürü, Hizmet Sunumu Genel Müdürü, Rehberlik ve Teftiş Başkanı, Aktüerya ve Fon Yönetimi Daire Başkanı, Strateji Geliştirme Başkanı, 1. Hukuk Müşavirinden oluşur.
(2) Kurul, Başkanın uygun göreceği zamanlarda asgarî dört üye ile toplanır. Kararlar toplantıya katılan üyelerin çoğunluğu ile alınır. Oylarda eşitlik olması halinde, Başkanın bulunduğu taraf çoğunluk sayılır. Gerekli görüldüğünde Başkanın veya en az dört üyenin talebi üzerine Başkanın uygun görmesi halinde Kurul olağanüstü toplantıya çağrılabilir.
(3) Kurulun sekretarya işlemleri GSSGM tarafından yürütülür. Taleplerin gündeme alınıp alınmayacağına dair hazırlanan konu başlıklarını gündeme alınması için Kurul Başkanlığına sunmak ve toplantı tarihi ve yeri ile ilgili süreçleri takip etmek ve ön hazırlık çalışmalarını yapma görevi GSSGM’ye aittir.
Kurulun Görevleri
MADDE 17 – Kurulun görevleri şunlardır:
a) Veri paylaşım taleplerini karara bağlamak.
b) Münferit veri taleplerini konu başlıkları itibariyle tasnif ederek karara bağlamak.
c) Veri paylaşımının hangi yolla yapılacağına karar vermek.
d) Veri paylaşımı ile ilgili ücret alınıp alınmamasına karar vermek ve alınacak ücretin miktarını belirlemek.
ALTINCI BÖLÜM
Son Hükümler
MADDE 18- (1) Bu Usul ve Esasların uygulanmasına ilişkin her türlü uyuşmazlıklarda Ankara Mahkemeleri yetkilidir.
Yürürlük
MADDE 19 - (1) Bu Usul ve Esaslar 26/07/2012 tarihinde yürürlüğe girer.
(2) Bu Usul ve Esasların yürürlüğe girdiği tarihten itibaren 08/02/2011 tarihli ve 2011/14 sayılı Genelge yürürlükten kalkar.
Yürütme
MADDE 20 - Bu Usul ve Esas hükümlerini Sosyal Güvenlik Kurumu Başkanı yürütür.