VERBİS Hakkında Soru ve Yanıtlar
VERBİS nedir?
VERBİS ne değildir?
VERBİS ile e-Nabız uygulaması birbiri ile ilişkili midir?
e-Nabız uygulaması ise, Sağlık Bakanlığı tarafından oluşturulan bir bilgi işlem sistemine bütünüyle hasta kayıtlarının girilmesini içeren bir uygulamadır.
VERBİS’e hasta bilgileri girilecek mi?
VERBİS’e kimler kayıt olmalı?
VERBİS kaydı için aracı kullanmak gerekli mi?
İşyeri hekimleri veri sorumlusu mu?
Ortak Sağlık ve Güvenlik Birimi (OSGB) bünyesinde/adına işyeri hekimliği yapanlar veri sorumlusu mu?
OSGB veri sorumlusu mu?
Özel sağlık kuruluşlarında çalışan hekimler veri sorumlusu mu?
Alt işveren konumundaki hekimler veri sorumlusu mu?
Söz konusu çalışma, verilerin işlenmesine ilişkin kararın asıl işveren olan özel sağlık kuruluşu sahibinin verdiği biçimde ise veri sorumlusu asıl işverendir. Bir başka ifadeyle, görünürde alt işveren olarak çalışan hekim esasen bordrolu bir çalışan gibi bütünüyle işverenin iş organizasyonu içinde verilen görevleri yerine getiriyor ve bunun için kendisi bir organizasyon kurmuyor, yanında kimseyi istihdam etmiyor, hasta verilerinin kaydına ilişkin ayrı bir sistem kullanmıyor vb. ise bu hekim veri sorumlusu değildir.
Alt işveren benzeri çalışma bir şirket bünyesinde sunuluyor ise bu şirketin istihdam ettiği kişiler ve/veya ortağı olan kişilerin verilerini işlemesi sebebiyle -asıl işverenden bağımsız olarak- bu nedenle veri sorumlusu olması ve dolayısıyla VERBİS’e kayıt olması gerektiği kabul edilebilir.
Hekimin sağlık kuruluşundaki çalışması belli bir birimin kiralanıp işletilmesi veya özel sağlık kuruluşu ile çeşitli mali anlaşmalarla ortak kullanılması niteliğinde ise bu işe ilişkin organizasyonun kısmen de olsa hekim tarafından yapılması; çalışanların ve hastaların kayıtlarının asıl işveren olan sağlık kuruluşundan farklı ya da bu sağlık kuruluşunun yanı sıra hekim veya kurduğu şirket tarafından da tutulması halinde hekim veya sahibi olduğu şirket veri sorumlusudur. Bu durumda, özel sağlık kuruluşu gibi hekimin sahibi veya ortağı olduğu şirket de veri sorumlusu olarak VERBİS’e kayıt yaptırmalıdır.
Muayenehane sahibi hekimler veri sorumlusu mu?
Hekimlerin KVKK açısından yükümlülüğü nedir?
Kişisel Verilerin Korunması Kanununda veri işlenmesinde uyulması zorunlu olan temel ilkeler aşağıdaki gibi belirlenmiştir:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bütün veri işlemelerinin bu beş ilkeye uygunluk bakımından değerlendirilmesi gerekir.
VERBİS'le birlikte alınması gereken önlemler, eğitimler neler?
Kişisel Veri İşleme Envanteri nedir, nasıl hazırlanır?
Veri Sorumluları Sicili Hakkında Yönetmeliğe göre Envanterde asgari olarak;
-Veri kategorisi,
-Kişisel veri işleme amaçları ve hukuki sebebi,
-Aktarılan alıcı / alıcı grupları,
-Veri konusu kişi grupları,
-Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,
-Yabancı ülkelere aktarımı öngörülen kişisel veriler,
-Veri güvenliğine ilişkin alınan teknik ve idari tedbirler,
yer alması gerekir.
Belirtilen 7 temel bilgiyi içermesi koşuluyla, Envanterin şekline ilişkin herhangi bir kısıtlama yoktur; bir çizelge şeklinde olabileceği gibi düzyazı biçiminde de olabilir.
Hazırlanan Envanter, herhangi bir yere gönderilmez; Veri Sorumlusu tarafından saklanır. Kişisel Verileri Koruma Kurulu tarafından talep edilmesi durumunda Kurul’a ibraz edilir.
Envanter hazırlanmasında, KVKK tarafından yayınlanan Rehber’den yararlanılabilir; örnek Envanter iş süreçlerine göre kişiselleştirilerek kullanılabilir. Her iki belgeye https://www.kvkk.gov.tr/Icerik/5445/Kisisel-Veri-Isleme-Envanteri-Hazirlama-Rehberi-Kurum-Internet-Sayfasinda-Yayinlanmistir adresinden erişilebilir.
KİŞİSEL VERİ İŞLEME ENVANTERİ ÖRNEĞİ MUAYENEHANE FAALİYET : Sağlık hizmeti VERİ KATEGORİSİ: Ad, Soyad, TCKN, iletişim bilgileri ve adres, banka hesap bilgisi, özel nitelikli kişisel sağlık verisi İŞLEME AMACI: Sağlık hizmeti sunumu için mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, sağlık hizmeti sunumunda takibin sağlanması, sözleşmenin yerine getirilmesi. VERİ KONUSU KİŞİ: Sağlık hizmeti alan kişiler, çalışan kişiler HUKUKİ SEBEBİ: Kanunlarda öngörülmesi SAKLAMA VE İMHA: Mevzuatta ve etik bildirgelerde belirlenen süre AKTARMA: Açık rızaya dayalı olarak anlaşmalı özel sağlık sigortası kuruluşu, bildirimi zorunlu durumlarda kanunla yetkilendirilmiş ilgili birim. ALINAN TEDBİRLER: Kişisel sağlık verisi ortak erişimi olan bilgisayar ve sistemlerde tutulmamakta, ilgisiz kişilerin erişimini önlemek için bilgisayarlara özel parola ile giriş yapılmakta,log kaydı tutulmakta, aktarım yapılmamakta, çalışanlar meslek sırrı konusunda eğitilmekte |
VERBİS'e kayıt için son tarih nedir?
Kayıt olmaması durumunda yaptırım nedir?
Kişisel verilerin korunması mevzuatına uyum çerçevesinde muayenehane hekimlerinin yerine getirmesi gerekli temel yükümlülükleri nelerdir?
1-) 31.03.2021 tarihine kadar VERBİS kaydının yapılması gerekmektedir.
2-) VERBİS kaydı öncesinde, kanundan kaynaklanan yükümlülüklerinin belirlenmesi, VERBİS kaydına esas kategorik bilgilerin tespit edilmesi ve alınması gerekli önlemlerin tespiti için yapılması gerekli işlemler vardır.
3-) Kişisel veri işleme envanterinin oluşturulması gerekmektedir. Kişisel veri işleme envanteri, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında, işyerinin genel profilinin çıkarılmasına yönelik bir çalışmadır. Bu envarter ile aşağıda sıralanan başlıklarda bir liste oluşturulması ve alınması gerekli önlemlere ilişkin bir çerçeve çizilmesi beklenir.
- Kişisel veri işleme amaçları
- Kişisel veri işleminin hukuki sebebi
- Veri kategorisi
- Kişisel verilerin aktarıldığı alıcı grubu
- Kişisel verilerin azami saklama süresi
- Yabancı ülkelere aktarım
- Veri güvenliğine ilişkin tedbirler
Veri envanteri ile, muayenehanede işlenen kişisel verilerin neler olduğu; kimlere ait ( hasta, çalışan, hizmet alımı vb) kişisel verilerin alındığı, muayenehane toplanan kişisel verilerin hangi kişi ve kurumlara aktarıldığı, aktarımı yapılan bu verilerin hukuka uygun gerekçelerle aktarılıp aktarılmadığının tespiti amaçlanır. Örneğin, bir hastanın bilgisinin sigorta şirketi ile paylaşılması; muayenehanede çalışan sekreter veya hemşirenin bilgisinin SGK veya mali müşavir ile paylaşılması gibi….
4-) Kişisel verilerin işlenmesi ve aktarılması kişinin açık rızasına bağlıdır. Kişisel verilerin işlenmesi ve aktarılmasının kişilerin açık rızasına bağlı olmadığı kanunda sayılı haller dışında, kişisel verilerin işlenmesi ve aktarılması için ilgili kişilere aydınlatma yapılması ve açık rızalarının alınması gerekmektedir.
Bu nedenle, aydınlatma ve rıza metinleri hazırlanmalı ve verisi işlenen kişilerin imzalarının alınması gereklidir. Bu konuda, çalışma ekinde paylaştığımız metinden faydalanabilirsiniz.
5-) Kişisel verilerin saklandığı bilgi işlem sistemlerinin dışarıdan müdahalelere karşı korumalı hale getirilmelii, bu konuda teknik önlemlerin alınmalı, yetkisiz kişilerin girişleri önlenmeli, kişisel verilerin saklandığı fiziki ortamlara (arşiv) yetkisiz kişilerin erişiminin engellenmesi için gerekli teknik ve fiziki önlemler alınmalıdır.
Bu önlemlerin belirlenmesinde, Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu kararında yer verilen teknik ve fiziki kriterler dikkate alınmalıdır.
5-) Muayenehanede görevli hemşire, sekreter vb. çalışanların özlük dosyaları ve sözleşmeleri gözden geçirilmeli, kişisel verilerin korunması ile ilgili mevzuat çerçevesinde çalışanların dikkat etmesi gerekli noktalarda çalışanlara eğitim/bilgi verilmelidir.
6-) Hekime ait WEB sitesi olması halinde, WEB sitesinin mevzuata uygunluğu denetlenmelii, çerez ve gizlilik politikası hazırlanması gereklidir. Sosyal medya hesaplarının mevzuata uygun hale getirilmesi sağlanmalıdır.
7-) Kişisel verilerin saklanmasına ve imha edilmesine ilişkin kişisel veri saklama ve imha politikası hazırlanmalıdır.
8-) Muayenehanelerin giriş ve bekleme alanlarının kameralar ile kayıt alınıyor olması halinde bu konuya ilişkin bilgilendirme metinleri ve tabelalar hazırlanmalıdır.
İlgili bağlantılar
- Kişisel Verilerin İşlenmesi ve Veri Sorumluları Siciline Kayıt
https://www.ttb.org.tr/haber_goster.php?Guid=89168a4e-3de4-11eb-8e42-c2bb61b361c8
https://www.istabip.org.tr/6388-kisisel-veriler-ve-verbis-e-kayit-zorunlulugu-hakkinda-soru-cevap.html
http://www.izmirtabip.org.tr/news/4908 - VERBİS’e Kayıt İşlemleri ve Süreç Basamakları Kılavuzu
https://www.ttb.org.tr/haber_goster.php?Guid=72a6c2e2-6bb6-11eb-88fd-c02d9f991fd1 - Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih, 2018/10 sayılı kararı
https://kisiselveri.saglik.gov.tr/TR,55774/31012018-tarihli-ve-201810-sayili-karar-ozel-nitelikli-kisisel-verilere-yonelik-yeterli-onlemler.html - Veri Sorumluları Sistemi Bilgi Sistemi Kılavuzu
https://verbis.kvkk.gov.tr/UploadedFiles/VER%C4%B0%20SORUMLULARI%20S%C4%B0C%C4%B0L%C4%B0%20B%C4%B0LG%C4%B0%20S%C4%B0STEM%C4%B0%20KILAVUZU%20V2.pdf - Kişisel Veri İşleme Envanteri Hazırlama Rehberi
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/224af10e-ff71-4cc9-9e18-c6c142f8da05.pdf - Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi
https://www.kvkk.gov.tr/Icerik/2038/Kisisel-Verilerin-Silinmesi,-Yok-Edilmesi-veya-Anonim-Hale-Getirilmesi