T.C.SOSYAL GÜVENLİK KURUMU GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN USUL VE ESASLAR
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – Bu Usul ve Esasların amacı; Sosyal Güvenlik Kurumu ve sözleşmeli
sağlık hizmet sunucularına ait bilgi işlem veri tabanında yer alan kişisel ve kurumsal verilerin,
kişinin ya da kurumun mahremiyeti, maddi ve manevi varlığı ile temel hak ve özgürlüklerini
koruyarak, paylaşım esaslarının belirlenmesi ve güvenliğinin sağlanmasına ilişkin usul ve
esasları belirlemektir.
Kapsam
MADDE 2 ––(1) Bu usul ve esaslar;
a) Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem
veri tabanlarındaki sağlık verilerinin korunması ile güvenliğinin sağlanmasına,
b) Sosyal Güvenlik Kurumu ve diğer kamu Kurum ve kuruluşları ile gerçek ve tüzel
kişiler arasında sağlık verilerinin elektronik veya manyetik kayıt ortamında paylaşılmasına,
ilişkin düzenlemeleri kapsar.
Dayanak
MADDE 3 – Bu Usul ve Esaslar, 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve
Genel Sağlık Sigortası Kanununun 78 inci ve 100 üncü maddeleri ile 11/07/2012 tarihli ve
28350 sayılı Resmi Gazetede yayımlanan Genel Sağlık Sigortası Verilerinin Güvenliği ve
Paylaşımına İlişkin Yönetmeliğe dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Usul ve Esaslarda geçen;
a) Alıcı: Paylaşıma açılacak verilerden, yapılacak sözleşme çerçevesinde yararlanan
kamu Kurum ve kuruluşları ile özel sektör kuruluşları ve gerçek ve tüzel kişileri,
b) Bakanlık: Çalışma ve Sosyal Güvenlik Bakanlığını,
c) Genel sağlık sigortalısı: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel
Sağlık Sigortası Kanununun 60 ıncı maddesinde sayılan kişileri,
ç) Genel Sağlık Sigortası: Kişilerin öncelikle sağlıklarının korunmasını, sağlık riskleri
ile karşılaşmaları halinde ise oluşan harcamaların finansmanını sağlayan sigortayı,2
d) GSSGM: Genel Sağlık Sigortası Genel Müdürlüğünü,
e) HSGM: Hizmet Sunumu Genel Müdürlüğünü,
f) Kurul: Bu Usul ve Esaslarda açıkça tanımlanan yetkilileri,
g) Kurum: Sosyal Güvenlik Kurumunu,
h) Kanun: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası
Kanununu,
i) Sağlık hizmeti: Genel Sağlık sigortalısı ve bakmakla yükümlü olduğu kişilere
Kanunun 63 üncü maddesi gereği finansmanı sağlanacak tıbbi ürün ve hizmetleri,
j) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler ile
kamu ve özel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayan şubelerini,
k) Sağlık verisi: Genel sağlık sigortalısı ve bunların bakmakla yükümlü olduğu kişiler
için Kanunun 63 üncü maddesi gereği finansmanı sağlanan sağlık hizmetlerine ilişkin her
türlü veriyi,
ifade eder.
İKİNCİ BÖLÜM
Sağlık Verilerinin Güvenliği ve Dağıtımı
Kişisel ve ticari sır niteliğindeki verilerin korunması
MADDE 5- (1) Genel sağlık sigortalısına ait sağlık bilgilerinin gizliliği esastır.
(2) Sağlık verilerinin paylaşımında; Anayasada, Kanunlarda ve uluslararası
sözleşmelerde yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına
ilişkin hükümler esas alınır.
Kurum veri tabanında yer alan bilgilerin güvenliğinin sağlanması
MADDE 6- (1) Kurum, veri tabanında tutulan sağlık verilerinin her türlü tehlikeye
karşı güvenliğinin sağlanması amacıyla, Kurumumuzda uygulanan bilgi güvenliği standartları
ve bilgi güvenliği politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini
ve denetlenmesini sağlamakla yükümlüdür.
a) Kurum bünyesinde test ve üretim ortamlarındaki sağlık verilerine, HSGM’de;
yazılım geliştirme çalışmaları, sistem veri tabanı yönetimi, yedekleme işlemi, sağlık veri
ambarı işlemleri görevlerinin gereği olarak belirli yetkiler (okuma, ekleme, çıkarma,
değiştirme, yedekleme vb.) çerçevesinde erişimi istenen personeli için Kurum Başkanlığından
onay alınarak erişim gerçekleştirilecektir.
b) Kurum bünyesinde test ve üretim ortamlarındaki sağlık verilerine HSGM personeli
haricinde erişim yapılmayacaktır.
c) Kurum sağlık veri ambarına, veri analizi, istatistik üretme amaçları için Kurum
personeline istenen erişim yetkisi (okuma), performans, sistem kaynak, yetkinlik kısıtları vb.
dikkate alınarak GSSGM’ ye yapılan başvurular, GSSGM ve HSGM koordinesi ile Kurum
Başkanlığından onay alınarak verilecektir.
d) Kaynak sağlık veri tabanına, veri ambarına erişimler gerçek kişi (ad, soyad)
kullanıcı/şifreleri kullanılarak güvenlik politikaları çerçevesinde yapılacaktır. Erişimler
HSGM tarafından güvenlik politikaları çerçevesinde loglanacaktır ve loglar belirli aralıklarla
saklanacaktır.
e) Kurum kaynak sistemlerinde sadece test edilmiş ve onaylanmış Kurum
uygulamaları aracılığı ile toplanan sağlık verileri esastır. Hatalar sonucu veya farklı
nedenlerle verilerde değiştirilme, silinme, eklenme ihtiyacı oluşursa veriler GSSGM onayı ile
HSGM tarafından değiştirilecektir.
f) HSGM Bilgi Sistemleri ve Güvenliği Daire Başkanlığı yedekleme politikaları
çerçevesinde mutat bir şekilde kaynak sağlık verilerinin yedekleme işlemi sistem personeli
tarafından yapılacaktır.
(2) Kurumca veriye erişim yetkisi verilmiş personelin Kurumdan ayrılması veya görev
yeri değişikliği durumunda personelin veri tabanına erişim yetkileri iptal edilir. Personelin
üzerinde çalıştığı veri ile ilgili sorumluluğu Kurumdan ayrıldıktan sonra da devam eder.
Sağlık hizmet sunucularında kaydı tutulan verilerin güvenliğinin sağlanması
MADDE 7- (1) Sağlık hizmet sunucularının genel sağlık sigortalısına sunmuş olduğu
sağlık hizmetlerine ilişkin kaydı tutulan sağlık verileri dahil her türlü kişisel bilgiler, ilgili
mevzuatla izin verilen haller dışında veya kişilerin açıkça rızası olmaksızın, başka kurum,
kuruluş ve üçüncü kişilerle paylaşılamaz.
(2) Sağlık hizmet sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını
sağlayan gerçek ve tüzel kişiler de yukarıda belirtilen hükümlere tabidir.
Paylaşılmayacak Veriye İlişkin Hükümler
MADDE 8 – (1) Aşağıda yer alan bilgiler paylaşılmaz:
a) Paylaşılması ulusal güvenliği tehdit edebilecek nitelikte olan bilgiler,
b) Milli İstihbarat Teşkilatı Müsteşarlığı personeli ile bakmakla yükümlü oldukları
kişilere ait her türlü veriler,
c) Genel sağlık sigortalısına ait kişisel bilgileri içeren sağlık verileri,
ç) Rekabet hukuku ilkelerine aykırılık teşkil eden firma, ürün, marka ve ilgili diğer
bilgileri içeren veriler.
(2) Sağlık hizmet sunucularına ait veriler, ancak Kurum adı belirtilmeden, doğrudan
veya dolaylı tanımlamaya yol açmayacak şekilde bölge veya alan adı olarak verilebilir.
(3) Sağlık hizmet sunucuları ya da yazılım firmaları kendi veri tabanlarında bulunan
sağlık verilerini Kurum izni olmaksızın hiçbir şekilde gerçek ya da tüzel kişiler ile
paylaşamaz.
İstisnai durumlar
MADDE 9- (1) Aşağıda belirtilenlerin veri talebinde bulunması halinde 8inci madde
hükümleri uygulanmaz.
a) Cumhuriyet Başsavcılıkları, mahkemeler ve Sayıştay Başkanlığı,
b) Kurumun denetim ve kontrol ile görevlendirdiği personel,
c) Yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı
Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu Kurum ve kuruluşlarının
denetim birimleri tarafından genel sağlık sigortası uygulamaları ile yapacakları soruşturma,
inceleme ve teftişlerle ilgili görevlendirilen personele inceleme ve teftiş konusu ile ilgili talep
ettiği veriler,
ç) Kurum sağlık politikalarıyla ilgili olarak iş ve işlemleri yürüten veya bununla ilgili
çalışma yapan Kurum personeli.
(2) Firma, ürün veya marka ismi yer alan veriler, talep halinde firmanın kendisine
verilebilir. Ayrıca bu veriler sınırları açıkça belirtilmiş olmak ve veri talep eden firma
tarafından rekabete aykırı olmadığına dair Rekabet Kurumundan bir karar alınmak kaydıyla
ve ilgili firmanın noterlikçe onaylanan açık rızası ve muvafakati çerçevesinde Kurum, kuruluş
ve üçüncü kişiler ile paylaşılabilir.
Veri Dağıtım Prosedürü
MADDE 10- (1) Veri paylaşımından yararlanmak isteyen alıcı, GSSGM’ye yazılı
olarak başvurur. Yapılan başvurularda talep edilen bilgilerin kullanılma gerekçesi ve varsa
yasal dayanağının açıkça belirtilmesi zorunludur.
(2) Kurum dışı (Kamu Kurum/Kuruluşları, Gerçek Kişiler ve Özel Hukuk Tüzel
Kişileri) veri paylaşımı;
Veri talepleri karşılanırken (bu Usul ve Esasların 9. maddesinde belirtilenler
hariç) taleplerin uygunluğu GSSGM tarafından incelenip uygun görülen talepler, verilerin
üretilmesi amacıyla HSGM’ye iletilecektir.
Alıcının verileri teslim alabilmesi için noter aracılığı ile gizlilik taahhüt belgesi
imzalaması ve Kuruma vermesi zorunludur.
Protokol / Sözleşme metni, en az üç nüsha olmak üzere önce veri talebinde bulunan
kurum/kuruluşa gönderilecek, imzayı müteakip GSSGM ve HSGM’nin koordine parafı
açılmak suretiyle en son Kurum adına Kurum Başkanı veya yetkilendireceği personel
tarafından imzalanacaktır. İmzalı nüshalardan birisi veri talep eden kurum/kuruluşa, diğeri
GSSGM’ye gönderilecek ve son imzalı nüsha ise HSGM’de muhafaza edilecektir.
(3) Kurum içi veri paylaşımı;
Kurum içi talepler karşılanırken (Kurumun denetim ve kontrol ile görevlendirdiği
personel hariç), taleplerin uygunluğu GSSGM tarafından incelenip, uygun görülen talepler
HSGM’ ye iletilecektir.
Verilerin İletildiği Kişi, Kurum/Kuruluşlara Düşen Görevler
MADDE 11– (1) Alıcının Yükümlülükleri;
a) Alıcı, verilerin istenilen amaç dışında kullanılmaması için her türlü önlemi alır ve
verinin incelenip değerlendirilmesi aşamasındaki verinin bulunduğu ortama yetkisiz
kimselerin fiziksel veya elektronik yollarla erişiminin engellenmesi için gerek duyulan
güvenlik sistemini kurar veya gerekli tedbirleri alır.
b) Kurumumuz tarafından elektronik ya da benzeri usullerle gönderilen veriler, 5429
sayılı Türkiye İstatistik Kanunu hükümleri çerçevesinde, bireysel verilerin gizliliği ilkesine
bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği
yükümlülüklere göre kullanılacak olup, paylaşılan verilerin yetkisi olmayan kişi, kurum ve
kuruluşların eline geçmemesi için gerekli tüm tedbirler alınacaktır.
c) Veri güvenliğinin sağlanması konusunda, her türlü sorumluluk süre ile
sınırlandırılmaksızın veri talebinde bulunan kişi, kurum/kuruluşlara ait olacak, alıcı taraf
paylaşılan verileri üçüncü şahısların kullanımına sunmayacak ve yayımlamayacaklardır.
(2) Uygulanacak Müeyyideler;
a) Taraflarca alınacak verilerin kullanılmasının hukuki sonuçlarından alıcı sorumludur.
Bu kapsamda verilerin kullanılmasında ve paylaşımında Anayasa, uluslararası sözleşmeler ve
ulusal mevzuatta yer alan özel ve ticari hayatın gizliliğine ilişkin hükümler uygulanır.
b) Kurumumuz tarafından sağlanan verilerin alıcının güvenlik açıkları nedeniyle
yetkisiz kişilerin eline geçmesi ve yetkisiz kullanımından doğacak her türlü hukuki, mali ve
cezai zararın tazmini veri talebinde bulunan kişi, kurum/kuruluş tarafından yapılacaktır.
c) Paylaşılmayacak verilerin korunması fıkralarını ihlal eden kişiler Türk Ceza
Kanununun Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar Bölümünün 135 inci, 136 ncı
ve 137 nci maddelerince suç işlemiş sayılacaktır.
ç) Kurumumuz tarafından kendilerine erişim yetkisi verilen kişilerden, gizli verileri
değiştiren veya bütünlüğünü bozanlar Türk Ceza Kanununun Bilişim Suçları Bölümünde yer
alan 243 üncü ve 244 üncü maddelerince suç işlemiş sayılacaktır.
ÜÇÜNCÜ BÖLÜM
Veri Taleplerinin Yönetimi ve Birimlerin Cevap Verme Yükümlülüğü
Veri Taleplerinin Yönetimi
MADDE 12- (1) Veri toplama ve işlenmesinde amacın belirginliği ilkesi;
Veriler istenmeden önce, bu veri taleplerinin amaçlarının belli olması, açık ve net bir
şekilde talebe konu olan yazıda belirtilmesi, sonraki kullanımların da bu amaçlarla sınırlı
tutulması gereğine değinilmesi ve talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal
dayanağının belirtilmesi zorunludur.
(2) Veri taleplerinde isteğin kurgulanması ilkesi;
a) Verinin doğru üretilebilmesi için resmi yazı ile veriler talep edilmeden önce
GSSGM ile ön görüşme yapılır. Gerekli fizibilite çalışması yapılmaksızın iletilen taleplerdeki
geri dönüşlerde ve aynı talebe dair değişikliklerde ikinci bir resmi yazı olmadan cevap
verilmeyecektir.
b) İlgili talepler sadece resmi yazı ile istenmelidir. Aksi durumda taleplere kesinlikle
cevap verilmeyecektir.
c) Kurum içi birimler tarafından Kurumsal Raporlama ve İstatistik Sisteminde
bulunan istatistik amaçlı veriler talep edilemez.
ç) Veri tabanı kullanım performansını artırmak ve daha etkin veriye ulaşabilmek
amacıyla, talebe konu olan resmi yazıda yer alan veri deseninde aşağıdaki hususlar mutlaka
bulunmalıdır:
- Tarih: Yıl, ay
- Tarih aralığı: Başlangıç – Bitiş tarihi
- Şahıs: T.C. Kimlik Numarası, sicil numarası
- Firma: Vergi numarası, işyeri sicil numarası
- Ürün Kodu
- Tesis Kodu
Gerektiğinde Kurum bu başlıklar dışında da veri desenine eklemeler yapabilir.
DÖRDÜNCÜ BÖLÜM
Verilerin Güvenliği, İletilmesi ve Ücretlendirilmesi
Verilerin Güvenliği
MADDE 13- (1) Kurumsal raporlama sistemine giriş yetkisi;
a) Tüm rapor ekranlarına giriş yetkileri, GSSGM’nin onayı alındıktan sonra HSGM
tarafından verilecektir.
b) Uygulamayı kullanacak kişilere yetki düzeylerine göre kullanım amaçları
dahilinde şifreler verilir. Bu şifreler belirli aralıklarla değiştirilir.
c) Raporların kullanımı sırasında karşılaşılan sorunlar süpervizörler tarafından veri
sağlayıcıya iletilir.
(2) Protokol veya sözleşme ile paylaşılan verilerin güvenliği hususunda 11 inci
madde esas alınır.
Verilerin İletilmesi
MADDE 14 – (1) Doküman Yönetim Sistemi (DYS) ortamında veri iletme: Kurum
içi veri talepleri karşılanırken hazırlanan veriler DYS üzerinden ilgili birimlere iletilir.
(2) Elektronik posta ile veri iletme: Veriler elektronik ortamda iletilirken sadece
‘gov.tr’ uzantılı e-posta adreslerine gönderilir ve veri ulaştıktan sonra bilgi verilmesi istenir.
(3) Posta ile veri iletme: Posta ile iletilecek veriler şifrelenerek CD ile kapalı bir zarf
içerisinde gönderilir. Zarf taahhütlü olarak gönderilir ve alıcısına ulaşıp ulaşmadığı kontrol
edilir.
(4) Telefonla veri iletme: Telefonla hiçbir veri bilgisi iletilmez.
Veri paylaşımı hizmetlerinin ücretlendirilmesi
MADDE 15- (1) Bu Usul ve Esasların kapsamına giren ve Kurum tarafından
paylaşımı onaylanan verilere ilişkin;
a) Üniversitelerin kurumsal projelerinde,
b) 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa göre
genel yönetim kapsamındaki kamu idareleri ile Bakanlığın ilgili ve bağlı kuruluşlarının
yayımladıkları süreli istatistik bültenlerinde,
c) Uluslararası kuruluşların Kurumun işbirliği yaptığı çalışmalarda kullanılmak üzere,
9/10/2003 tarihli ve 4982 sayılı Bilgi Edinme Hakkı Kanunu çerçevesinde gerçek ve tüzel
kişilerin spesifik analize gerek olmaksızın karşılanabilecek basit veri talepleri ve
mütekabiliyet ilkesi çerçevesinde diğer ülkelerin resmi kurumlarının talepleri ücretsiz olarak
karşılanır.
(2) GSSGM, veri talepleri ile ilgili ücretlendirmeye ilişkin teknik çalışmaları
yaparak karar verilmek üzere Kurula teklifte bulunur.
(3) Ücret talep edilecek kurum ve kuruluşların belirlenmesi konusunda ortaya
çıkabilecek ihtilafları çözmeye Kurul yetkilidir.
(4) Veri paylaşımı ile ilgili her türlü vergi yükümlülüğü alıcıya aittir.
BEŞİNCİ BÖLÜM
Veri Paylaşımı Kurulunun Oluşumu ve Görevleri
Kurulun Oluşumu
MADDE 16 – (1) Kurul; Kurum Başkanı veya görevlendireceği Başkan Yardımcısı
başkanlığında Genel Sağlık Sigortası Genel Müdürü, Hizmet Sunumu Genel Müdürü,
Rehberlik ve Teftiş Başkanı, Aktüerya ve Fon Yönetimi Daire Başkanı, Strateji Geliştirme
Başkanı, 1. Hukuk Müşavirinden oluşur.
(2) Kurul, Başkanın uygun göreceği zamanlarda asgarî dört üye ile toplanır. Kararlar
toplantıya katılan üyelerin çoğunluğu ile alınır. Oylarda eşitlik olması halinde, Başkanın
bulunduğu taraf çoğunluk sayılır. Gerekli görüldüğünde Başkanın veya en az dört üyenin
talebi üzerine Başkanın uygun görmesi halinde Kurul olağanüstü toplantıya çağrılabilir.
(3) Kurulun sekretarya işlemleri GSSGM tarafından yürütülür. Taleplerin gündeme
alınıp alınmayacağına dair hazırlanan konu başlıklarını gündeme alınması için Kurul
Başkanlığına sunmak ve toplantı tarihi ve yeri ile ilgili süreçleri takip etmek ve ön hazırlık
çalışmalarını yapma görevi GSSGM’ye aittir.
Kurulun Görevleri
MADDE 17 – Kurulun görevleri şunlardır:
a) Veri paylaşım taleplerini karara bağlamak.
b) Münferit veri taleplerini konu başlıkları itibariyle tasnif ederek karara bağlamak.
c) Veri paylaşımının hangi yolla yapılacağına karar vermek.
d) Veri paylaşımı ile ilgili ücret alınıp alınmamasına karar vermek ve alınacak
ücretin miktarını belirlemek.
ALTINCI BÖLÜM
Son Hükümler
MADDE 18- (1) Bu Usul ve Esasların uygulanmasına ilişkin her türlü
uyuşmazlıklarda Ankara Mahkemeleri yetkilidir.
Yürürlük
MADDE 19 - (1) Bu Usul ve Esaslar 26/07/2012 tarihinde yürürlüğe girer.
(2) Bu Usul ve Esasların yürürlüğe girdiği tarihten itibaren 08/02/2011 tarihli ve
2011/14 sayılı Genelge yürürlükten kalkar.
Yürütme
MADDE 20 - Bu Usul ve Esas hükümlerini Sosyal Güvenlik Kurumu Başkanı
yürütür.
İVEK Derneği