Binlerce yıldır insanların sağlıkla ilgili ihtiyaçlarının giderilmesini sağlayan sağlık kurumları, güncel teknolojinin kullanımı ile belirgin bir yetkinlik artışına kavuşmuştur. Ancak bu yetkinlik artışı, güncel teknolojinin getirdiği bazı risklerin sağlık sektörünü tehdit etmesi gibi bir bedelle sağlanmaktadır.
Sağlık kurumlarında elektronik sistemlerin kullanılmasına 1970’li yıllarda başlanmış olsa da, hastaların sağlık verilerinin tamamına yakınının sayısal ortamlarda tutulması ve işlenmesi hayatımıza yeni giren bir yöntemdir. Hasta verilerinin tamamına yakınının sayısal olarak tutulması teşhis, tedavi, takip, planlama, faturalama, ödeme gibi konularda sağlık sektöründe çok ciddi atılımlar gerçekleştirilmesini sağlarken, hasta verilerinin güvenliğini kurum ve hastalar için her zamankinden daha önemli hale getirmiştir.Hastaların sağlığını binlerce yıldır koruyan sağlık kurumlarının artık hasta verilerinin “sağlığını” da korumak için yeterli çabayı göstermeleri hastaların, sigorta kuruluşlarının ve otoritelerin ciddi bir beklentisi haline gelmiştir.
Sağlık kurumlarında toplanan, saklanan ve kullanılan hasta verileri içerisinde:
• Kimlik Bilgileri (İsim, Soyisim, TC Kimlik No, Doğum Tarihi, Doğum Yeri, gibi)
• İletişim Bilgileri
• Sigorta Bilgileri (SGK veya özel sigorta bilgisi)
• Ödeme Bilgileri (Kredi kartı bilgisi, hesap bilgileri, gibi)
• Tıbbi Veriler (Tıbbi Geçmiş, Alerjiler, Teşhis, Tedavi, gibi)
yukarıdaki listedeki bilgilerin bir kısmı veya tamamı bulunmaktadır. Söz konusu hasta verilerinin uygun şekilde kullanılmaması ve saklanmaması halinde hastaların, sağlık kurumlarının ve sigorta kurumlarının zarar gördüğü kötü örnekler tüm dünyada olduğu gibi maalesef ülkemizde de yaşanmaktadır.
Hasta verilerine yönelik ihlallere örnek olarak yetkisiz kişilerin hasta bilgilerini incelemesi (meraklı bir sağlık kurumu çalışanının komşusunun sağlığı ile ilgili bilgi edinmesi gibi), sigorta kurumları çalışanlarının hastalarla ilgili ihtiyaç duyulandan daha fazla bilgiye erişmesi veya sağlık kurumu çalışanlarının hastaların bilgilerini kullanarak kimlik hırsızlığı gibi nitelikli suçlar işlemesi verilebilir.
HIMMS Analytics ve Kroll tarafından Nisan 2008 yılında gerçekleştirilen “Hasta Verilerinin Güvenliği” araştırmasının* sonuçlarında kurumlarda bilgi güvenliği ihlali olaylarında:
• Yetkililerin % 62’si olayın sebebinin yetkisiz erişim olduğunu,
• Yetkililerin % 32’si olayın sebebinin kayıtlara yanlışlıkla erişim olduğunu,
• Yetkililer veri çalınması veya sahtekârlık şüphelerinin çok az olduğunu,
• Yetkililer ihlal edilen verilerin çoğunlukla hasta ismi ve teşhis gibi yüksek seviyeli veri olduğunu belirttiler.
Aynı araştırmaya katılan yöneticilerin büyük kısmı kurumlarında bilgi güvenliğinin sağlandığına inanırken kurumlardaki bilgi güvenliği farkındalığı ve HIPAA (Health Insurance Portability and Accountability Act) farkındalığı düşüktür. Araştırma sonucunda ortaya çıkan iki ihlal örneği son derece düşündürücüdür:
• 2007 yılında Philadelphia’da bir sağlık kurumunda suçun ortaya çıkmasından önce 2 yıl boyunca sözleşmeli olarak çalışan veznedar, yaşlı hastaların kimliklerini çalmak ve ayrıntılarını kişisel çıkarları için kullanmak suçundan hüküm giydi.
• Yine 2007 yılında Los Angeles’ta bir sağlık kurumunun acil servisinde suçun ortaya çıkmasından önce 12 yıl çalışan bir hasta bakıcının hayati tehlikesi olan hastaların servise geldiğinde, oğluna cep telefonu mesajları gönderdiği gözlemlendi.
Yapılan incelemede bu mesajların içeriğini hayati tehlikede olan hastaların kimlik bilgileri ve sosyal güvenlik numaralarının oluşturduğu tespit edildi.
Araştırmanın bir diğer önemli sonucu da, bilgi ihlal olayları gerçekleşmesinin ardından sağlık kurumlarının (HIPAA’e tabii olduklarından) hastaları söz konusu ihlal ile ilgili bilgilendirmeleri gerekirken araştırmaya katılan kurumların yalnızca %56’sı hastaları konu ile ilgili bilgilendirmiştir.
Ülkemizde sağlık sektöründe hastaların verilerinin korunması ile ilgili kanunlar, “Kişisel Verilerin Korunması” kanun taslağının hala kanun olarak çıkmamış olması sebebiyle şimdilik güncel ihtiyaçları karşılamaktan uzaktır. Hasta verilerinin “sağlığının” sağlanabilmesi için sağlık kurumlarının bilgi güvenliğini kurum kültürlerine eklemeleri ve ilgili teknik önlemleri alması gerekmektedir.
Sağlık sektöründe hasta güvenliği uygulamalarının bir uzantısı olarak veya ayrı bir alan olarak hasta verilerinin güvenliği kurumlarının standart prosedürlerinde yer almalıdır. Bilgi güvenliğinin sağlanması için kurumlardaki bilgi güvenliği yetkililerinin belirlenmesi ve bilgi güvenliğinin beşeri ve teknik olarak sağlanması için projelendirilmesi şarttır. Sağlık sektöründeki bilgi ihlallerinin büyük kısmının kurumlara doğrudan ekonomik etkisi olmasa da dolaylı olarak oluşacak ekonomik etkilerin büyük olabileceği göz ardı edilmemelidir. Yurtdışında benzer bilgi ihlalleri sonucunda sağlık kurumlarının anlaşmalarının feshedilmesi, tazminat davalarının açılması söz konusu olabilmektedir.
Siz sağlık kurumunuzda hasta verilerinin güvenliği için neler yapıyorsunuz?
*: 2008 HIMSS Analytics Report: Security of Patient Data Commissioned by Kroll Fraud Solutions April 2008