Bir hastanın adı-soyadı bile kişisel veridir; sağlık bilgisi ise "özel nitelikli" kişisel veridir ve kanun ona en yüksek korumayı tanır. Buna rağmen sahada en yaygın alışkanlıklardan biri, tetkik sonuçlarının, hasta görsellerinin ve tedavi bilgilerinin WhatsApp üzerinden paylaşılması. Bu yazıda hekimler için KVKK'nın pratik karşılığını, gerçek kurul kararlarını ve güvenli iletişim önerilerini derledik.
Temel çerçeve: sağlık verisi kim tarafından, nasıl işlenebilir?
KVKK'ya göre sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis-tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması/finansmanı amacıyla, sır saklama yükümlülüğü altındaki kişilerce işlenebilir. Yani tedavi amacıyla hastanızın verisini işlemeniz için ayrıca açık rıza gerekmez — ama bu izin amaçla sınırlıdır: aynı veriyi tanıtımda, sosyal medyada veya tedaviyle ilgisiz bir kanalda kullanmak bu kapsama girmez.
Gerçek kurul kararlarından dersler
- Hastaneden ayrılan doktorun SMS'i (2022/923): Bir hekim, önceki kurumundan edindiği hasta telefonuna yeni adresini SMS ile duyurdu; Kurul bunu hukuka aykırı veri işleme saydı ve idari para cezası uygulandı. Ders: hasta iletişim listesi hekimin "kendi" verisi değildir; kurum değişiminde listeyi taşıyıp toplu mesaj atmak ihlaldir.
- Tanıtım için "açık rıza" toplayan hastane (2023/787): Reklam/tanıtım amaçlı veri işlemeyi tedavi sürecinin önkoşulu gibi sunmak hukuka aykırı bulundu. Ders: rıza, hizmeti şarta bağlayamaz ve amaç bazında ayrıştırılmalıdır.
- Hizmeti açık rızaya bağlayan kuruluş (2023/692): "Rıza vermezsen muayene yok" yaklaşımı geçersiz ve cezalık.
WhatsApp neden riskli?
- Kişisel WhatsApp hesabı kurumsal denetim dışıdır: telefon kaybolursa, cihaza başkası erişirse veya yedekler buluta düşerse hasta verisi korumasız kalır.
- Veriler yurt dışı sunucularda işlenir — sağlık verisinin yurt dışına aktarımı ayrıca izin/koşul gerektirir.
- Sekreterle, meslektaşla veya hastayla yapılan paylaşımlar silinmez bir kopya zinciri oluşturur; "grupta yanlış kişiye gitti" vakaları sahada en sık ihlal senaryosudur.
- Hasta görselini (ör. yara/lezyon fotoğrafı) danışma amaçlı meslektaş grubunda paylaşmak, kimliksizleştirme yapılmadıysa ihlaldir.
İşin ceza boyutu: KVKK'dan ibaret değil
- İdari para cezaları: Veri güvenliği ihlallerinde KVKK kapsamında yüksek tutarlı cezalar uygulanabiliyor.
- TCK 136 (verileri hukuka aykırı verme/ele geçirme): Sosyal medyada veya mesajlaşma uygulamalarında hasta verisini hukuka aykırı paylaşmak hapis cezası gerektiren bir suç olabilir.
- Meslek etiği: Sır saklama yükümlülüğünün ihlali tabip odası disiplin sürecine de konu olur.
Pratik öneriler: güvenli iletişim düzeni
- Hasta iletişimini kurumsal kanallara taşıyın: muayenehane hattı, kurumsal randevu/mesaj sistemi, KVKK uyumlu hasta iletişim platformları.
- Tetkik/rapor paylaşımında hastanın kendisine güvenli link/şifreli erişim sunan sistemleri tercih edin; dosyayı sohbet uygulamasına atmayın.
- Meslektaş konsültasyonunda görseli kimliksizleştirin (ad, protokol no, yüz, dövme gibi tanıtıcı öğeleri çıkarın).
- Sekreterinizin eriştiği veri kapsamını yazılı olarak tanımlayın; kişisel telefonlardan hasta verisi çıkışını yasaklayan kısa bir iç politika yazın.
- Aydınlatma metnini bekleme salonuna asmak yetmez — kayıt anında sunun, web sitenize koyun.
- Kurum değiştirirken hasta listesi taşımayın; hastalarınız sizi güncel dijital profiliniz üzerinden zaten bulabilir (bu, mevzuata uygun yoldur).
Altın kural: "Bu mesajı bir denetçi veya hâkim okusa ne derdi?" sorusunu geçemeyecek hiçbir hasta verisini sohbet uygulamasına yazmayın.
Bu yazı bilgilendirme amaçlıdır; hukuki danışmanlık yerine geçmez. Karar örnekleri KVKK'nın yayımlanmış karar özetlerinden derlenmiştir.