Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Yönetmelik
Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Yönetmelik 11 Temmuz 2012 tarihli ve 28350 sayılı Resmî Gazete’de yayımlanmıştır.
11 Temmuz 2012 ÇARŞAMBA |
Resmî Gazete |
Sayı : 28350 |
YÖNETMELİK |
Çalışma ve Sosyal Güvenlik Bakanlığından:
GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİVE
PAYLAŞIMINAİLİŞKİN YÖNETMELİK
BİRİNCİBÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1-(1) Bu Yönetmeliğin amacı, Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanındaki sağlık verilerinin korunmasıile güvenliğinin sağlanmasıve paylaşılmasına ilişkin usul ve esaslarıdüzenlemektir.
Kapsam
MADDE 2-(1) Bu Yönetmelik
a) Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanlarındaki sağlık verilerinin korunmasıile güvenliğinin sağlanmasına,
b) Sosyal Güvenlik Kurumu ve diğer kamu kurum ve kuruluşlarıile gerçek ve tüzel kişiler arasında sağlık verilerinin elektronik veya manyetik kayıt ortamında paylaşılmasına,
ilişkin usul ve esaslarıkapsar.
Dayanak
MADDE 3-(1) Bu Yönetmelik 31/5/2006 tarihli ve 5510 sayılıSosyal Sigortalar ve Genel Sağlık SigortasıKanununun 78 inci ve 100üncümaddelerine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4-(1) Bu Yönetmelikte geçen
a) Alıcı: Paylaşıma açılacak verilerden, yapılacak sözleşmeçerçevesinde yararlanan kamu kurum ve kuruluşlarıileözel sektör kuruluşlarıve gerçek ve tüzel kişileri,
b) Bakanlık:Çalışma ve Sosyal Güvenlik Bakanlığını,
c) Genel sağlık sigortalısı: 31/5/2006 tarihli ve 5510 sayılıSosyal Sigortalar ve Genel Sağlık SigortasıKanununun 60ıncımaddesinde sayılan kişileri,
ç) Genel Sağlık Sigortası: Kişilerinöncelikle sağlıklarının korunmasını, sağlık riskleri ile karşılaşmalarıhalinde ise oluşan harcamaların finansmanınısağlayan sigortayı,
d) Kurum: Sosyal Güvenlik Kurumunu,
e) Kanun: 31/5/2006 tarihli ve 5510 sayılıSosyal Sigortalar ve Genel Sağlık SigortasıKanununu,
f) Sağlık hizmeti: Genel Sağlık sigortalısıve bakmakla yükümlüolduğu kişilere Kanunun 63üncümaddesi gereği finansmanısağlanacak tıbbiürün ve hizmetleri,
g) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veyaüreten gerçek kişiler ile kamu veözel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayanşubelerini,
ğ) Sağlık verisi: Genel sağlık sigortalısıve bunların bakmakla yükümlüolduğu kişiler için Kanunun 63üncümaddesi gereği finansmanısağlanan sağlık hizmetlerine ilişkin her türlüveriyi,
ifade eder.
İKİNCİBÖLÜM
Sağlık Verilerinin Güvenliği
Kişisel ve ticari sır niteliğindeki verilerin korunması
MADDE 5-(1) Genel sağlık sigortalısına ait sağlık bilgilerinin gizliliği esastır. Sağlık verilerinin paylaşımında Anayasada, kanunlarda ve uluslararasısözleşmelerde yer alanözel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.
Kurum veri tabanında yer alan bilgilerin güvenliğinin sağlanması
MADDE 6-(1) Kurum, veri tabanında tutulan sağlık verilerinin her türlütehlikeye karşıgüvenliğinin sağlanmasıamacıyla, güvenlik politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.
(2) Kurumda yazılım geliştirmeüzerineçalışan personel, verileceközel izin dışında veri tabanına erişemez.
(3) Veri talebinde bulunan kamu kurum ve kuruluşları,özel sektör kuruluşlarıve gerçek ve tüzel kişilerin kurum veri tabanının tamamına doğrudan erişimine izin verilmez. Talep edilen verinin aktarımısağlanır.
Sağlık hizmet sunucularında kaydıtutulan verilerin güvenliğinin sağlanması
MADDE 7-(1) Sağlık hizmet sunucularının genel sağlık sigortalısına sunmuşolduğu sağlık hizmetlerine ilişkin kaydıtutulan sağlık verileri dahil her türlükişisel bilgiler, ilgili mevzuatla izin verilen haller dışında veya kişilerin açıkça rızasıolmaksızın, kurum, kuruluşveüçüncükişilerle paylaşılmaz. Kişiyi doğrudan veya dolaylıolarak tanımlamayan genel veya anonim veriler paylaşılabilir.
(2) Sağlık hizmet sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımınısağlayan gerçek ve tüzel kişiler de yukarıda belirtilen hükümlere tabidir.
Veriüreten birimin sorumluluğu
MADDE 8-(1) Veriüretimi, kurum veri tabanında yetkilendirilmişkişiler tarafından yapılır. Veriüreten kişiler kurumca belirlenecek olan yöntemlere göre farklıdüzeylerde yetkilendirilebilir.Üretilen veriler sadece veri talebinde bulunanözel sektör veya kamu kurumunun ilgili birimine iletilir.Üretilen verilerin muhafazasıve güvenliği veriüreten ve talep eden birimler tarafından sağlanır.
(2) Kurum, paylaşılan verilerin içeriğini kayıt altına almak ve muhafaza etmekten sorumludur.
Alıcının sorumluluğu
MADDE 9-(1) Alıcı, kurumdan aldığıverilerin gizliliğini korumakla ve güvenliğini sağlamakla yükümlüdür. Alınan veriler talebe esas gerekçe dışında hiçbir amaçla kullanılamaz. Alıcıtarafın verileri teslim alabilmesi için noter aracılığıile”Gizlilik Taahhüt Belgesi”imzalamasıve Kuruma vermesi zorunludur.
(2) Alıcı, Kurumdan alınan verileri mevzuata aykırıkullanmasıveya güvenliğini sağlayamamasıdurumunda doğacak hukuki sonuçlardan sorumludur. Alıcı, verilerin yetkisi olmayan kurum, kuruluşveüçüncükişilerin eline geçmemesi için gerekli tüm tedbirleri almakla yükümlüdür.
ÜÇÜNCÜBÖLÜM
Verilerin Paylaşımı
Paylaşılmayacak veriler
MADDE 10-(1) Genel sağlık sigortalısına ve sağlık hizmet sunucularına ait verilerin gizliliği esastır. Bu verilerin paylaşımında uluslararasısözleşmeler, Anayasa, kanunlar ve diğer mevzuatta yer alanözel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.
(2) Aşağıda yer alan bilgiler paylaşılmaz:
a) Paylaşılmasıulusal güvenliği tehdit edebilecek nitelikte olan bilgiler,
b) Milliİstihbarat TeşkilatıMüsteşarlığıpersoneli ile bakmakla yükümlüolduklarıkişilere ait her türlüveriler,
c) Genel sağlık sigortalısına ait kişisel bilgileri içeren veriler,
ç) Rekabet hukuku ilkelerine aykırılık teşkil eden firma,ürün, marka ve ilgili diğer bilgileri içeren veriler.
(3) Sağlık hizmet sunucularına ait veriler, ancak kurum adıbelirtilmeden, doğrudan veya dolaylıtanımlamaya yol açmayacakşekilde bölge veya alan adıolarak verilebilir.
İstisnai durumlar
MADDE 11-(1) Aşağıda belirtilenlerin veri talebinde bulunmasıhalinde 10 uncu madde hükümleri uygulanmaz.
a) Cumhuriyet Başsavcılıkları, mahkemeler ve Sayıştay Başkanlığı,
b) Kurumun denetim ve kontrol ile görevlendirdiği personel,
c) Yasal görev ve yetkilerine uygun olmakşartıyla 10/12/2003 tarihli ve 5018 sayılıKamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortasıuygulamalarıile yapacaklarısoruşturma, inceleme ve teftişlerle ilgili görevlendirilen personel,
ç) Kurum sağlık politikalarıyla ilgili olarak işve işlemleri yürüten veya bununla ilgiliçalışma yapan kurum personeli.
(2) Firma,ürün veya marka barındıran veriler, talep halinde firmanın kendisine verilebilir. Ayrıca bu veriler sınırlarıaçıkça belirtilmişolmak ve veri talep eden firma tarafından rekabete aykırıolmadığına dair Rekabet Kurumundan bir karar alınmak kaydıyla ve ilgili firmanın noterlikçe onaylanan açık rızasıve muvafakatiçerçevesinde kurum, kuruluşveüçüncükişiler ile paylaşılabilir.
DÖRDÜNCÜBÖLÜM
Veri Taleplerine Başvuru ve Veri Taleplerinin Karşılanması
Başvuru ve anlaşma
MADDE 12-(1) Veri paylaşımından yararlanmak isteyen alıcı, Kuruma yazılıolarak başvurur. Yapılan başvurularda talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal dayanağının açıkça belirtilmesi zorunludur.
(2) Kurum, veri tabanında tutulan bilgileri, mevzuat ile getirilen sınırlamalar ve bu Yönetmelikte belirtilen usul ve esaslara göre alıcıyla yapacağısözleşmeçerçevesinde paylaşabilir.
Veri taleplerinin karşılanması
MADDE 13-(1) Veri taleplerine ilişkin başvurular yazılıolarak Kuruma yapılır.
(2) Verilerin paylaşımıhizmetlerinin koordinasyonu Kurum tarafından yapılır.
(3) Bu Yönetmeliğin kapsamına giren ve Kurum tarafından paylaşımıonaylanan verilere ilişkin
a)Üniversitelerin kurumsal projelerinde,
b) 10/12/2003 tarihli ve 5018 sayılıKamu Mali Yönetimi ve Kontrol Kanununa göre genel yönetim kapsamındaki kamu idareleri ile Bakanlığın ilgili ve bağlıkuruluşlarının yayımladıklarısüreli istatistik bültenlerinde,
c) Uluslararasıkuruluşların Kurumun işbirliği yaptığıçalışmalarda,
kullanılmaküzere, 9/10/2003 tarihli ve 4982 sayılıBilgi Edinme HakkıKanunuçerçevesinde gerçek ve tüzel kişilerin spesifik analize gerek olmaksızın karşılanabilecek basit veri talepleri ve mütekabiliyet ilkesiçerçevesinde diğerülkelerin resmi kurumlarının talepleriücretsiz olarak karşılanır.
Sözleşme kapsamındaki veri taleplerinin karşılanması
MADDE 14-(1) Bu Yönetmeliğin kapsamına giren veri talepleri, Kurumunön değerlendirmesine tabidir.Ön değerlendirme sonrasında uygun görülen veri taleplerinin karşılanmasıiçin alıcı, sözleşme yapmaküzere davet edilir.
(2) Sözleşmeler Kurum Başkanıveya yetkilendireceği personel tarafından imzalanır.
(3) Veriler, CD, DVD, sabit disk, taşınabilir bellek gibi elektronik veya manyetik kayıt ortamındaşifrelenerek alıcıya gönderilir.
(4) Veri paylaşımıkapsamında edinilen bilgilerin her türlükullanımında alıcının Kurumu kaynak göstermesi zorunludur.
BEŞİNCİBÖLÜM
Çeşitli ve Son Hükümler
Sorumluluk
MADDE 15-(1) Kurum tarafından sağlanan verilerin herhangi bir biçimde yetkisiz kişilerin eline geçmesi ve/veya amacıdışında kullanımından doğacak her türlühukuki, mali veya cezai sorumluluk alıcıya aittir.
(2) Alıcının edindiği verileri kaynak göstermeden kullanmasıhalinde Kurum tazminat isteme hakkına sahiptir.
Düzenleme yetkisi
MADDE 16-(1) Bu Yönetmeliğin uygulanmasına ilişkin usul ve esaslar Kurum Yönetim Kurulunca belirlenir.
Yürürlük
MADDE 17-(1) Bu Yönetmelik yayımıtarihinde yürürlüğe girer.
Yürütme
MADDE 18-(1) Bu Yönetmelik hükümleriniÇalışma ve Sosyal Güvenlik Bakanıyürütür.
ÖZEL HASTANELER PLATFORMU