VERBİS’e kayıt yükümlülüğü süresi, Kişisel Verileri Koruma Kurulu kararı ile, 31 Aralık 2021 tarihine kadar uzatılmıştır. 31.12.2021 tarihine kadar VERBİS kaydının yapılması gerekmektedir. Kişisel Verilerin Korunması Kanunu’ndan kaynaklı diğer yükümlülüklerin yerine getirilmesi zorunluluğu devam etmektedir
İçindekiler
VERBİS nedir?
VERBİS ne değildir?
VERBİS ile e-Nabız uygulaması birbiri ile ilişkili midir?
VERBİS’e kimler kayıt olmalı?
VERBİS kaydı için aracı kullanmak gerekli mi?
İşyeri hekimleri veri sorumlusu mu?
Ortak Sağlık ve Güvenlik Birimi (OSGB) bünyesinde/adına işyeri hekimliği yapanlar veri sorumlusu mu?
OSGB veri sorumlusu mu?
Özel sağlık kuruluşlarında çalışan hekimler veri sorumlusu mu?
Alt işveren konumundaki hekimler veri sorumlusu mu?
Muayenehane sahibi hekimler veri sorumlusu mu?
Hekimlerin KVKK açısından yükümlülüğü nedir?
VERBİS'le birlikte alınması gereken önlemler, eğitimler neler?
Kişisel Veri İşleme Envanteri nedir, nasıl hazırlanır?
VERBİS'e kayıt için son tarih nedir?
Kayıt olmaması durumunda yaptırım nedir?
Kişisel verilerin korunması mevzuatına uyum çerçevesinde muayenehane hekimlerinin yerine getirmesi gerekli temel yükümlülükleri nelerdir?
VERBİS’e Kayıt İşlemleri ve Süreç Basamakları Kılavuzu
VERBİS nedir?
Kişisel Verileri Koruma Kurumu tarafından oluşturulmuş olan Veri Sorumluları Sicil Bilgi Sistemi’nin kısaltması VERBİS olarak kullanılmaktadır.
VERBİS ne değildir?
VERBİS hastaların veya sağlık kuruluşunda çalışanların kişisel verilerinin işlendiği bir yer olmadığı gibi sağlık kuruluşunda yürütülen faaliyetin mali olarak takip edildiği bir sistem de değildir.
VERBİS ile e-Nabız uygulaması birbiri ile ilişkili midir?
VERBİS kaydı ile e-Nabız sisteminin birbiri ile ilişkisi yoktur. VERBİS, Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlularının kayıt yaptırmak zorunda olduğu, hasta veya çalışanla ilgili hiçbir kişisel bilginin girilmediği bir sistemdir.
e-Nabız uygulaması ise, Sağlık Bakanlığı tarafından oluşturulan bir bilgi işlem sistemine bütünüyle hasta kayıtlarının girilmesini içeren bir uygulamadır.
VERBİS’e hasta bilgileri girilecek mi?
VERBİS’e kesinlikle hiçbir hasta bilgisi girilmeyecektir.
VERBİS’e kimler kayıt olmalı?
VERBİS’e veri sorumluları kayıt olmalıdır. Veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanununa göre, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişidir. Diğer bir ifadeyle, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
VERBİS kaydı için aracı kullanmak gerekli mi?
Hayır, bir aracı kullanma zorunluluğu yoktur; VERBİS sistemine veri sorumlusu kendisi giriş yapar. Sonrasında isterse, atayacağı bir irtibat kişisi kayıt ve bildirim işlemlerini yürütür. Veri sorumlusu gerçek kişi ise, irtibat kişisi olarak kendisini atayabilir. Böylece bütün süreci kendisi tamamlayabilir.
İşyeri hekimleri veri sorumlusu mu?
İşyeri hekimleri, işverenin organizasyonu içinde çalışmakta; bu çalışmalarında da veri işlemektedir. Ancak verilerin işlenmesine ilişkin amaç ve vasıtaları belirleme hak ve yükümlülüğü işverene aittir. Bu nedenle işyeri hekimleri değil, bağlı oldukları işveren veri sorumlusudur. Dolayısıyla VERBİS’e kayıt ve bildirim yükümlülüğü işverene aittir.
Ortak Sağlık ve Güvenlik Birimi (OSGB) bünyesinde/adına işyeri hekimliği yapanlar veri sorumlusu mu?
İşyerlerinde, işverene bağlı olarak işyeri hekimliği yapılabileceği gibi işverenle anlaşma yapmış olan OSGB çalışanı olarak işyeri hekimliği de yapılabilir. Bu durumda da işyeri hekimi veri sorumlusu değildir. Veri sorumlusu yine işverendir; VERBİS’e kayıt ve bildirim yükümlülüğü işverene aittir.
OSGB veri sorumlusu mu?
OSGB, istihdam ettiği kişiler ve ilişkide olduğu bir kısım işverenlerin verilerine ilişkin olarak veri sorumlusudur. Bu yönüyle OSGB’nin VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmesi gerekir.
Özel sağlık kuruluşlarında çalışan hekimler veri sorumlusu mu?
Özel sağlık kuruluşlarında çalışan hekimler veri işleyen olmakla birlikte veri sorumlusu değildir. Verilerin işlenmesine ilişkin amaç ve vasıtaları belirleme hak ve yükümlülüğü işveren olan özel sağlık kurumuna aittir.
Alt işveren konumundaki hekimler veri sorumlusu mu?
Özel sağlık kurumlarında belirli bir işin veya kliniğin işletilmesine ilişkin anlaşma çerçevesinde hizmet sunan hekimler değilse de onlara kurdurulmuş olan şirketler çalışma biçimlerine bağlı olarak veri sorumlusu olabilirler.
Söz konusu çalışma, verilerin işlenmesine ilişkin kararın asıl işveren olan özel sağlık kuruluşu sahibinin verdiği biçimde ise veri sorumlusu asıl işverendir. Bir başka ifadeyle, görünürde alt işveren olarak çalışan hekim esasen bordrolu bir çalışan gibi bütünüyle işverenin iş organizasyonu içinde verilen görevleri yerine getiriyor ve bunun için kendisi bir organizasyon kurmuyor, yanında kimseyi istihdam etmiyor, hasta verilerinin kaydına ilişkin ayrı bir sistem kullanmıyor vb. ise bu hekim veri sorumlusu değildir.
Alt işveren benzeri çalışma bir şirket bünyesinde sunuluyor ise bu şirketin istihdam ettiği kişiler ve/veya ortağı olan kişilerin verilerini işlemesi sebebiyle -asıl işverenden bağımsız olarak- bu nedenle veri sorumlusu olması ve dolayısıyla VERBİS’e kayıt olması gerektiği kabul edilebilir.
Hekimin sağlık kuruluşundaki çalışması belli bir birimin kiralanıp işletilmesi veya özel sağlık kuruluşu ile çeşitli mali anlaşmalarla ortak kullanılması niteliğinde ise bu işe ilişkin organizasyonun kısmen de olsa hekim tarafından yapılması; çalışanların ve hastaların kayıtlarının asıl işveren olan sağlık kuruluşundan farklı ya da bu sağlık kuruluşunun yanı sıra hekim veya kurduğu şirket tarafından da tutulması halinde hekim veya sahibi olduğu şirket veri sorumlusudur. Bu durumda, özel sağlık kuruluşu gibi hekimin sahibi veya ortağı olduğu şirket de veri sorumlusu olarak VERBİS’e kayıt yaptırmalıdır.
Muayenehane sahibi hekimler veri sorumlusu mu?
Kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişi veri sorumluları Veri Sorumluları Bilgi Sistemine (VERBİS) kayıt ve bildirim yükümlülüğüne tabi tutulmuştur. Bu bağlamda, muayenehanede hasta verilerinin bilgisayarda tutulması, bunların gerektiğinde sigorta şirketi veya hastanın işvereniyle ödeme işlemleri bakımından paylaşılması, alınan ücret sebebiyle elektronik serbest meslek makbuzu kesilmesi; istihdam edilen sekreter ve/veya yardımcı personelin kişisel verilerinin sosyal güvenlik ve mali mevzuat uyarınca işlenmesi ya da kullanılan güvenlik kameraları nedeniyle işlenen kişisel veriler sebebiyle muayenehane sahibi hekimler de veri sorumlusudur. Bu nedenle, muayenehane sahibi hekimler, kural olarak, VERBİS’e kayıt ve bildirim yükümlülüğü altındadır.
Hekimlerin KVKK açısından yükümlülüğü nedir?
Kişisel verilerin işlenmesinde genel olarak var olan yükümlülükler, özel nitelikli kişisel veriler içinde en yüksek korumaya tabi olan sağlık verilerini işleyen hekimler için de geçerlidir. Genel olarak, veri sahibinin açık rızasını almadan veri işlememek, zorunlu olmadıkça verileri paylaşmamak, gerektiğinden daha fazla veri almamak ve gerektiğinden uzun süre muhafaza etmemek gibi yükümlülükler belirtilebilir.
Kişisel Verilerin Korunması Kanununda veri işlenmesinde uyulması zorunlu olan temel ilkeler aşağıdaki gibi belirlenmiştir:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bütün veri işlemelerinin bu beş ilkeye uygunluk bakımından değerlendirilmesi gerekir.
VERBİS'le birlikte alınması gereken önlemler, eğitimler neler?
Kişisel verilerin korunması için gerekli önlemlerin alınmasını sağlamak veri sorumlusunun yükümlülüğüdür. Bu yükümlülüğün yerine getirilmesinde, kişisel verilerin hukuka aykırı olarak işlenmesini önleyecek bütün tedbirlerin alınması, çalışanlara bu kapsamda gerekli eğitimin verilmesi gereklidir. Alınacak tedbirler her yer için farklıdır. Dosyaların ortalıkta kalmamasından, bilgisayarlara izinsiz erişimlerin önlenmesine ve çalışanların verileri gerekmedikçe işlememesine kadar pek çok önlem bu bağlamda düşünülebilir. Bu bakımdan, tedbir veya eğitim yönünden standart bir uygulama kuralı bulunmamaktadır. KVKK’nın 2018/10 sayılı kararı, bu konuda yol göstericidir.
Kişisel Veri İşleme Envanteri nedir, nasıl hazırlanır?
Veri envanteri, iş süreçlerinde veri işleme faaliyetleriyle ilgili ayrıntılı bir tespit yapılmasını sağlayan, küçük bir rapordur. VERBİS’e kayıtta yapılacak bildirimler, Veri Envanterinden yararlanılarak yapılabileceği için bu Envanterin doğru bilgilerle ve eksiksiz hazırlanması önemlidir.
Veri Sorumluları Sicili Hakkında Yönetmeliğe göre Envanterde asgari olarak;
-Veri kategorisi,
-Kişisel veri işleme amaçları ve hukuki sebebi,
-Aktarılan alıcı / alıcı grupları,
-Veri konusu kişi grupları,
-Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,
-Yabancı ülkelere aktarımı öngörülen kişisel veriler,
-Veri güvenliğine ilişkin alınan teknik ve idari tedbirler,
yer alması gerekir.
Belirtilen 7 temel bilgiyi içermesi koşuluyla, Envanterin şekline ilişkin herhangi bir kısıtlama yoktur; bir çizelge şeklinde olabileceği gibi düzyazı biçiminde de olabilir.
Hazırlanan Envanter, herhangi bir yere gönderilmez; Veri Sorumlusu tarafından saklanır. Kişisel Verileri Koruma Kurulu tarafından talep edilmesi durumunda Kurul’a ibraz edilir.
Envanter hazırlanmasında, KVKK tarafından yayınlanan Rehber’den yararlanılabilir; örnek Envanter iş süreçlerine göre kişiselleştirilerek kullanılabilir. Her iki belgeye https://www.kvkk.gov.tr/Icerik/5445/Kisisel-Veri-Isleme-Envanteri-Hazirlama-Rehberi-Kurum-Internet-Sayfasinda-Yayinlanmistir adresinden erişilebilir.
KİŞİSEL VERİ İŞLEME ENVANTERİ ÖRNEĞİ
MUAYENEHANE
FAALİYET : Sağlık hizmeti
VERİ KATEGORİSİ: Ad, Soyad, TCKN, iletişim bilgileri ve adres, banka hesap bilgisi, özel nitelikli kişisel sağlık verisi
İŞLEME AMACI: Sağlık hizmeti sunumu için mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, sağlık hizmeti sunumunda takibin sağlanması, sözleşmenin yerine getirilmesi.
VERİ KONUSU KİŞİ: Sağlık hizmeti alan kişiler, çalışan kişiler
HUKUKİ SEBEBİ: Kanunlarda öngörülmesi
SAKLAMA VE İMHA: Mevzuatta ve etik bildirgelerde belirlenen süre
AKTARMA: Açık rızaya dayalı olarak anlaşmalı özel sağlık sigortası kuruluşu, bildirimi zorunlu durumlarda kanunla yetkilendirilmiş ilgili birim.
ALINAN TEDBİRLER: Kişisel sağlık verisi ortak erişimi olan bilgisayar ve sistemlerde tutulmamakta, ilgisiz kişilerin erişimini önlemek için bilgisayarlara özel parola ile giriş yapılmakta,log kaydı tutulmakta, aktarım yapılmamakta, çalışanlar meslek sırrı konusunda eğitilmekte
VERBİS'e kayıt için son tarih nedir?
VERBİS’e kayıt için son tarih 31.03.2021’dir.
Kayıt olmaması durumunda yaptırım nedir?
Kayıt ve bildirim yükümlülüğünü süresinde yerine getirmemenin yaptırımı yaklaşık 40 bin liradan başlayan para cezasıdır.
Kişisel verilerin korunması mevzuatına uyum çerçevesinde muayenehane hekimlerinin yerine getirmesi gerekli temel yükümlülükleri nelerdir?
1-) 31.03.2021 tarihine kadar VERBİS kaydının yapılması gerekmektedir.
2-) VERBİS kaydı öncesinde, kanundan kaynaklanan yükümlülüklerinin belirlenmesi, VERBİS kaydına esas kategorik bilgilerin tespit edilmesi ve alınması gerekli önlemlerin tespiti için yapılması gerekli işlemler vardır.
3-) Kişisel veri işleme envanterinin oluşturulması gerekmektedir. Kişisel veri işleme envanteri, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında, işyerinin genel profilinin çıkarılmasına yönelik bir çalışmadır. Bu envarter ile aşağıda sıralanan başlıklarda bir liste oluşturulması ve alınması gerekli önlemlere ilişkin bir çerçeve çizilmesi beklenir.
Kişisel veri işleme amaçları
Kişisel veri işleminin hukuki sebebi
Veri kategorisi
Kişisel verilerin aktarıldığı alıcı grubu
Kişisel verilerin azami saklama süresi
Yabancı ülkelere aktarım
Veri güvenliğine ilişkin tedbirler
Veri envanteri ile, muayenehanede işlenen kişisel verilerin neler olduğu; kimlere ait ( hasta, çalışan, hizmet alımı vb) kişisel verilerin alındığı, muayenehane toplanan kişisel verilerin hangi kişi ve kurumlara aktarıldığı, aktarımı yapılan bu verilerin hukuka uygun gerekçelerle aktarılıp aktarılmadığının tespiti amaçlanır. Örneğin, bir hastanın bilgisinin sigorta şirketi ile paylaşılması; muayenehanede çalışan sekreter veya hemşirenin bilgisinin SGK veya mali müşavir ile paylaşılması gibi….
4-) Kişisel verilerin işlenmesi ve aktarılması kişinin açık rızasına bağlıdır. Kişisel verilerin işlenmesi ve aktarılmasının kişilerin açık rızasına bağlı olmadığı kanunda sayılı haller dışında, kişisel verilerin işlenmesi ve aktarılması için ilgili kişilere aydınlatma yapılması ve açık rızalarının alınması gerekmektedir.
Bu nedenle, aydınlatma ve rıza metinleri hazırlanmalı ve verisi işlenen kişilerin imzalarının alınması gereklidir. Bu konuda, çalışma ekinde paylaştığımız metinden faydalanabilirsiniz.
5-) Kişisel verilerin saklandığı bilgi işlem sistemlerinin dışarıdan müdahalelere karşı korumalı hale getirilmelii, bu konuda teknik önlemlerin alınmalı, yetkisiz kişilerin girişleri önlenmeli, kişisel verilerin saklandığı fiziki ortamlara (arşiv) yetkisiz kişilerin erişiminin engellenmesi için gerekli teknik ve fiziki önlemler alınmalıdır.
Bu önlemlerin belirlenmesinde, Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu kararında yer verilen teknik ve fiziki kriterler dikkate alınmalıdır.
5-) Muayenehanede görevli hemşire, sekreter vb. çalışanların özlük dosyaları ve sözleşmeleri gözden geçirilmeli, kişisel verilerin korunması ile ilgili mevzuat çerçevesinde çalışanların dikkat etmesi gerekli noktalarda çalışanlara eğitim/bilgi verilmelidir.
6-) Hekime ait WEB sitesi olması halinde, WEB sitesinin mevzuata uygunluğu denetlenmelii, çerez ve gizlilik politikası hazırlanması gereklidir. Sosyal medya hesaplarının mevzuata uygun hale getirilmesi sağlanmalıdır.
7-) Kişisel verilerin saklanmasına ve imha edilmesine ilişkin kişisel veri saklama ve imha politikası hazırlanmalıdır.
8-) Muayenehanelerin giriş ve bekleme alanlarının kameralar ile kayıt alınıyor olması halinde bu konuya ilişkin bilgilendirme metinleri ve tabelalar hazırlanmalıdır.
İlgili bağlantılar
Kişisel Verilerin İşlenmesi ve Veri Sorumluları Siciline Kayıt
https://www.ttb.org.tr/haber_goster.php?Guid=89168a4e-3de4-11eb-8e42-c2bb61b361c8
https://www.istabip.org.tr/6388-kisisel-veriler-ve-verbis-e-kayit-zorunlulugu-hakkinda-soru-cevap.html
http://www.izmirtabip.org.tr/news/4908
VERBİS’e Kayıt İşlemleri ve Süreç Basamakları Kılavuzu
https://www.ttb.org.tr/haber_goster.php?Guid=72a6c2e2-6bb6-11eb-88fd-c02d9f991fd1
Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih, 2018/10 sayılı kararı
https://kisiselveri.saglik.gov.tr/TR,55774/31012018-tarihli-ve-201810-sayili-karar-ozel-nitelikli-kisisel-verilere-yonelik-yeterli-onlemler.html
Veri Sorumluları Sistemi Bilgi Sistemi Kılavuzu
https://verbis.kvkk.gov.tr/UploadedFiles/VER%C4%B0%20SORUMLULARI%20S%C4%B0C%C4%B0L%C4%B0%20B%C4%B0LG%C4%B0%20S%C4%B0STEM%C4%B0%20KILAVUZU%20V2.pdf
Kişisel Veri İşleme Envanteri Hazırlama Rehberi
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/224af10e-ff71-4cc9-9e18-c6c142f8da05.pdf
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi
https://www.kvkk.gov.tr/Icerik/2038/Kisisel-Verilerin-Silinmesi,-Yok-Edilmesi-veya-Anonim-Hale-Getirilmesi