GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN YÖNETMELİK

GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN YÖNETMELİK

 GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN YÖNETMELİK

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1  (1) Bu Yönetmeliğin amacı, Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanındaki sağlık verilerinin korunması ile güvenliğinin sağlanması ve paylaşılmasına ilişkin usul ve esaslarıdüzenlemektir.

Kapsam

MADDE 2  (1) Bu Yönetmelik;

a) Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanlarındaki sağlık verilerinin korunması ile güvenliğinin sağlanmasına,

b) Sosyal Güvenlik Kurumu ve diğer kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler arasında sağlık verilerinin elektronik veya manyetik kayıt ortamında paylaşılmasına,

ilişkin usul ve esasları kapsar.

Dayanak

MADDE 3  (1) Bu Yönetmelik 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık SigortasıKanununun 78 inci ve 100 üncü maddelerine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4  (1) Bu Yönetmelikte geçen;

a) Alıcı: Paylaşıma açılacak verilerden, yapılacak sözleşme çerçevesinde yararlanan kamu kurum ve kuruluşları ileözel sektör kuruluşları ve gerçek ve tüzel kişileri,

b) Bakanlık: Çalışma ve Sosyal Güvenlik Bakanlığını,

c) Genel sağlık sigortalısı: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 60 ıncı maddesinde sayılan kişileri,

ç) Genel Sağlık Sigortası: Kişilerin öncelikle sağlıklarının korunmasını, sağlık riskleri ile karşılaşmaları halinde ise oluşan harcamaların finansmanını sağlayan sigortayı,

d) Kurum: Sosyal Güvenlik Kurumunu,

e) Kanun: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununu,

f) Sağlık hizmeti: Genel Sağlık sigortalısı ve bakmakla yükümlü olduğu kişilere Kanunun 63 üncü maddesi gereği finansmanı sağlanacak tıbbi ürün ve hizmetleri,

g) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler ile kamu ve özel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayan şubelerini,

ğ) Sağlık verisi: Genel sağlık sigortalısı ve bunların bakmakla yükümlü olduğu kişiler için Kanunun 63 üncü maddesi gereği finansmanı sağlanan sağlık hizmetlerine ilişkin her türlü veriyi,

ifade eder.

İKİNCİ BÖLÜM

Sağlık Verilerinin Güvenliği

Kişisel ve ticari sır niteliğindeki verilerin korunması

MADDE 5  (1) Genel sağlık sigortalısına ait sağlık bilgilerinin gizliliği esastır. Sağlık verilerinin paylaşımında; Anayasada, kanunlarda ve uluslararası sözleşmelerde yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.

Kurum veri tabanında yer alan bilgilerin güvenliğinin sağlanması

MADDE 6  (1) Kurum, veri tabanında tutulan sağlık verilerinin her türlü tehlikeye karşı güvenliğinin sağlanmasıamacıyla, güvenlik politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.

(2) Kurumda yazılım geliştirme üzerine çalışan personel, verilecek özel izin dışında veri tabanına erişemez.

(3) Veri talebinde bulunan kamu kurum ve kuruluşlarıözel sektör kuruluşları ve gerçek ve tüzel kişilerin kurum veri tabanının tamamına doğrudan erişimine izin verilmez. Talep edilen verinin aktarımı sağlanır.

Sağlık hizmet sunucularında kaydı tutulan verilerin güvenliğinin sağlanması

MADDE 7  (1) Sağlık hizmet sunucularının genel sağlık sigortalısına sunmuş olduğu sağlık hizmetlerine ilişkin kaydı tutulan sağlık verileri dahil her türlü kişisel bilgiler, ilgili mevzuatla izin verilen haller dışında veya kişilerin açıkça rızasıolmaksızın, kurum, kuruluş ve üçüncü kişilerle paylaşılmaz. Kişiyi doğrudan veya dolaylı olarak tanımlamayan genel veya anonim veriler paylaşılabilir.

(2) Sağlık hizmet sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını sağlayan gerçek ve tüzel kişiler de yukarıda belirtilen hükümlere tabidir.

Veri üreten birimin sorumluluğu

MADDE 8  (1) Veri üretimi, kurum veri tabanında yetkilendirilmiş kişiler tarafından yapılır. Veri üreten kişiler kurumca belirlenecek olan yöntemlere göre farklı düzeylerde yetkilendirilebilir. Üretilen veriler sadece veri talebinde bulunan özel sektör veya kamu kurumunun ilgili birimine iletilir. Üretilen verilerin muhafazası ve güvenliği veri üreten ve talep eden birimler tarafından sağlanır.

(2) Kurum, paylaşılan verilerin içeriğini kayıt altına almak ve muhafaza etmekten sorumludur.

Alıcının sorumluluğu

MADDE 9  (1) Alıcı, kurumdan aldığı verilerin gizliliğini korumakla ve güvenliğini sağlamakla yükümlüdür. Alınan veriler talebe esas gerekçe dışında hiçbir amaçla kullanılamaz. Alıcı tarafın verileri teslim alabilmesi için noter aracılığı ile Gizlilik Taahhüt Belgesi imzalaması ve Kuruma vermesi zorunludur.

(2) Alıcı, Kurumdan alınan verileri mevzuata aykırı kullanması veya güvenliğini sağlayamaması durumunda doğacak hukuki sonuçlardan sorumludur. Alıcı, verilerin yetkisi olmayan kurum, kuruluş ve üçüncü kişilerin eline geçmemesi için gerekli tüm tedbirleri almakla yükümlüdür.

ÜÇÜNCÜ BÖLÜM

Verilerin Paylaşımı

Paylaşılmayacak veriler

MADDE 10  (1) Genel sağlık sigortalısına ve sağlık hizmet sunucularına ait verilerin gizliliği esastır. Bu verilerin paylaşımında uluslararası sözleşmeler, Anayasa, kanunlar ve diğer mevzuatta yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.

(2) Aşağıda yer alan bilgiler paylaşılmaz:

a) Paylaşılması ulusal güvenliği tehdit edebilecek nitelikte olan bilgiler,

b) Milli İstihbarat Teşkilatı Müsteşarlığı personeli ile bakmakla yükümlü oldukları kişilere ait her türlü veriler,

c) Genel sağlık sigortalısına ait kişisel bilgileri içeren veriler,

ç) Rekabet hukuku ilkelerine aykırılık teşkil eden firma, ürün, marka ve ilgili diğer bilgileri içeren veriler.

(3) Sağlık hizmet sunucularına ait veriler, ancak kurum adı belirtilmeden, doğrudan veya dolaylı tanımlamaya yol açmayacak şekilde bölge veya alan adı olarak verilebilir.

İstisnai durumlar

MADDE 11  (1) Aşağıda belirtilenlerin veri talebinde bulunması halinde 10 uncu madde hükümleri uygulanmaz.

a) Cumhuriyet Başsavcılıkları, mahkemeler ve Sayıştay Başkanlığı,

b) Kurumun denetim ve kontrol ile görevlendirdiği personel,

c) Yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortasıuygulamaları ile yapacakları soruşturma, inceleme ve teftişlerle ilgili görevlendirilen personel,

ç) Kurum sağlık politikalarıyla ilgili olarak iş ve işlemleri yürüten veya bununla ilgili çalışma yapan kurum personeli.

(2) Firma, ürün veya marka barındıran veriler, talep halinde firmanın kendisine verilebilir. Ayrıca bu veriler sınırlarıaçıkça belirtilmiş olmak ve veri talep eden firma tarafından rekabete aykırı olmadığına dair Rekabet Kurumundan bir karar alınmak kaydıyla ve ilgili firmanın noterlikçe onaylanan açık rızası ve muvafakati çerçevesinde kurum, kuruluş ve üçüncükişiler ile paylaşılabilir.

DÖRDÜNCÜ BÖLÜM

Veri Taleplerine Başvuru ve Veri Taleplerinin Karşılanması

Başvuru ve anlaşma

MADDE 12  (1) Veri paylaşımından yararlanmak isteyen alıcı, Kuruma yazılı olarak başvurur. Yapılan başvurularda talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal dayanağının açıkça belirtilmesi zorunludur.

(2) Kurum, veri tabanında tutulan bilgileri, mevzuat ile getirilen sınırlamalar ve bu Yönetmelikte belirtilen usul ve esaslara göre alıcıyla yapacağı sözleşme çerçevesinde paylaşabilir.

Veri taleplerinin karşılanması

MADDE 13  (1) Veri taleplerine ilişkin başvurular yazılı olarak Kuruma yapılır.

(2) Verilerin paylaşımı hizmetlerinin koordinasyonu Kurum tarafından yapılır.

(3) Bu Yönetmeliğin kapsamına giren ve Kurum tarafından paylaşımı onaylanan verilere ilişkin;

a) Üniversitelerin kurumsal projelerinde,

b) 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa göre genel yönetim kapsamındaki kamu idareleri ile Bakanlığın ilgili ve bağlı kuruluşlarının yayımladıkları süreli istatistik bültenlerinde,

c) Uluslararası kuruluşların Kurumun işbirliği yaptığı çalışmalarda,

kullanılmak üzere, 9/10/2003 tarihli ve 4982 sayılı Bilgi Edinme Hakkı Kanunu çerçevesinde gerçek ve tüzel kişilerin spesifik analize gerek olmaksızın karşılanabilecek basit veri talepleri ve mütekabiliyet ilkesi çerçevesinde diğerülkelerin resmi kurumlarının talepleri ücretsiz olarak karşılanır.

Sözleşme kapsamındaki veri taleplerinin karşılanması

MADDE 14  (1) Bu Yönetmeliğin kapsamına giren veri talepleri, Kurumun ön değerlendirmesine tabidir. Ön değerlendirme sonrasında uygun görülen veri taleplerinin karşılanması için alıcı, sözleşme yapmak üzere davet edilir.

(2) Sözleşmeler Kurum Başkanı veya yetkilendireceği personel tarafından imzalanır.

(3) Veriler, CD, DVD, sabit disk, taşınabilir bellek gibi elektronik veya manyetik kayıt ortamında şifrelenerek alıcıya gönderilir.

(4) Veri paylaşımı kapsamında edinilen bilgilerin her türlü kullanımında alıcının Kurumu kaynak göstermesi zorunludur.

BEŞİNCİ BÖLÜM

Çeşitli ve Son Hükümler

Sorumluluk

MADDE 15  (1) Kurum tarafından sağlanan verilerin herhangi bir biçimde yetkisiz kişilerin eline geçmesi ve/veya amacı dışında kullanımından doğacak her türlü hukuki, mali veya cezai sorumluluk alıcıya aittir.

(2) Alıcının edindiği verileri kaynak göstermeden kullanması halinde Kurum tazminat isteme hakkına sahiptir.

Düzenleme yetkisi

MADDE 16  (1) Bu Yönetmeliğin uygulanmasına ilişkin usul ve esaslar Kurum Yönetim Kurulunca belirlenir.

Yürürlük

MADDE 17  (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 18  (1) Bu Yönetmelik hükümlerini Çalışma ve Sosyal Güvenlik Bakanı yürütür.