Yasal · Sağlıkta AI Pillar

KVKK ve Hasta Verisi — AI Çağında Mahremiyet

Hasta verisinin AI ile işlenmesi, anonimleştirme, açık rıza, veri sorumluluğu ve KVKK uyumlu klinik AI mimarisinin pratik rehberi.

Neden KVKK ve hasta verisi konusu hekim için kritik?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016'da yürürlüğe girdi ve sağlık verisini **özel nitelikli kişisel veri** olarak tanımlar. Özel nitelikli veri, normal kişisel veriden daha sıkı korumalara tabidir: işleme için açık rıza, çoğunlukla anonimleştirme zorunluluğu, sınır ötesi aktarımda ek koşullar.

AI ürünleri hasta verisi işlerse: hekim ya da hekimin çalıştığı kurum 'veri sorumlusu' olur; AI sağlayıcısı 'veri işleyen' olur. İkili arasında KVKK 8. madde gereği veri işleme sözleşmesi (DPA) yapılması zorunlu.

KVKK ihlalleri Kişisel Verileri Koruma Kurulu (KVKK Kurumu) tarafından 5 milyon TL'ye kadar idari para cezası ile cezalandırılır. Sağlık verisinde tekrar eden ihlaller TCK 136 kapsamında suç teşkil edebilir.

Hasta verisi AI'a girilebilir mi?

Cevap: **Çoğunlukla hayır, doğrudan girilemez.** Ancak şu üç koşul karşılanırsa girilebilir:

  • **1. Anonimleştirilmiş veri**: hastanın kim olduğu geri çıkarılamayacak şekilde (T.C. kimlik, isim, tarih, kurum) çıkarılmış. Yaş aralığı, cinsiyet, ana tanı kalabilir.
  • **2. Hasta açık rızası alınmış**: hastaya 'verileriniz [şu] AI sistemine girilecek, [şu] amaçla, [şu] sağlayıcı tarafından işlenecek' bildirimi yapılmış ve yazılı/dijital onay alınmış.
  • **3. KVKK uyumlu AI sağlayıcısı**: AI sağlayıcısı Türkiye'de KVKK uyumluluk taahhüdü vermiş, verileri Türkiye sınırları içinde işliyor, veri işleme sözleşmesi (DPA) imzalanmış.

Pratik kural: DOKGPT, OpenEvidence, UpToDate gibi klinik karar destek araçlarına **klinik soru olarak yazın**, hasta tanımlayıcı verisi olarak değil. 'Diyabet hastasının kreatinin 1.4 ise GFR' sorusu KVKK problemine girmez; 'Hasta Ahmet Y.'nin son tahlilinde GFR' sorusu girer.

Anonimleştirme nasıl yapılır?

KVKK Kurumu 2018 kararıyla 'Anonim Hale Getirme Rehberi'ni yayımladı. Anonimleştirme şu adımları gerektirir:

  • **Tanımlayıcı çıkarma**: ad, soyad, T.C. kimlik, doğum tarihi (yıl ve ay), tam adres, telefon, e-posta, dosya numarası, hastane id, fotoğraf, ses kaydı çıkarılır.
  • **Quasi-identifier yönetimi**: yaş tam değil ('45 yaş' yerine '40-49'), şehir tam değil ('İstanbul' yerine 'Marmara'), tarih kabaca ('2024 Q3').
  • **k-anonymity kontrolü**: anonimleştirilmiş veri setinde her bireyin en az k-1 başka bireyle aynı quasi-identifier kombinasyonunu paylaşması. Türkiye için tipik öneri k=5 ya da daha yüksek.
  • **Tekrar tanımlama testi**: bağımsız bir uzman, anonimleştirilmiş veriyle hastanın kim olduğunu çıkarmaya çalışır; başarısız olursa anonim sayılır.

Tek tek hasta vakası için anonimleştirme bireysel hekim seviyesinde yapılabilir. Toplu veri seti analizi için kurumsal seviyede ve KVKK uzmanı katkısıyla yapılması önerilir.

Veri sorumlusu kim — hekim mi, kurum mu, AI sağlayıcısı mı?

Bu sorunun cevabı klinik bağlama göre değişir:

  • **Solo hekim muayenehanesinde**: hekim hem veri sorumlusu hem veri işleyenidir. Tüm KVKK yükümlülükleri hekime aittir.
  • **Hastane içinde**: hastane veri sorumlusu, hekim veri işleyeni. KVKK ihlali olursa hastane öncelikli muhatap.
  • **AI sağlayıcısıyla çalışırken**: hekim/kurum veri sorumlusu, AI sağlayıcısı veri işleyen. İkili arasında DPA (veri işleme sözleşmesi) zorunlu.
  • **Sponsorlu klinik araştırmada**: sponsor (genelde ilaç şirketi) veri sorumlusu, araştırmacı hekim veri işleyen.

Hekim olarak siz hastanın verisinin hangi sistemlere aktığını bilmek zorundasınız. Bilmiyorsanız, hastaya 'KVKK uyumluluk denetimi yapılmamış' bir AI sistemini önermeyin.

AI sağlayıcısını KVKK uyumluluk açısından nasıl değerlendirilir?

Bir AI ürününü hasta bakımına dahil etmeden önce sağlayıcıya şu 7 soruyu sorun:

  • 1. KVKK Kurumu'na kayıtlı mısınız? (VERBİS kaydı var mı?)
  • 2. Veri Türkiye sınırları içinde mi işleniyor, yoksa AB/ABD/Asya'ya aktarılıyor mu?
  • 3. Sorgu sonrası veri saklama süreniz nedir? (En iyi cevap: hemen silinir)
  • 4. Sorgular AI model eğitiminde kullanılır mı? (En iyi cevap: hayır)
  • 5. Veri ihlali olursa 72 saat içinde bana ve KVKK Kurumu'na bildirim taahhüdünüz var mı?
  • 6. Standart bir DPA (veri işleme sözleşmesi) sağlıyor musunuz?
  • 7. KVKK uyumluluk denetimi raporunuzu paylaşır mısınız?

DOKGPT için bu 7 sorunun yanıtları DoktorClub'ın gizlilik politikası sayfasında kamuya açık olarak yayımlanmıştır: /gizlilik ve /kvkk

Sıkça Sorulanlar

Hastanın T.C. kimlik no'sunu AI'ya girdim, ne yapmalıyım?

Acil 3 adım: (1) AI sağlayıcısından sorgu kaydının silindiğini yazılı teyit alın, (2) Hastaya KVKK 11. madde gereği bildirim yapın, (3) Eğer kurumsal yapıda çalışıyorsanız KVKK irtibat kişisine durumu raporlayın. Tek sefer için cezai yaptırım nadirdir ama dökümante edin ki tekrarı önleyin.

KVKK açık rıza şablonu var mı?

Evet. T.C. Sağlık Bakanlığı 'Sağlık Sektörü Açık Rıza Beyanı Şablonu' (2019) yayımladı. DoktorClub Akademi bu şablonun pratik kullanımıyla ilgili 1 saatlik CME modülü sunar.

Yabancı AI ürünü (ChatGPT, Claude) KVKK uyumlu mu?

Çoğu yabancı AI ürünü KVKK uyumlu değildir. Verileri ABD/AB sunucularında işlerler, açık rıza süreçleri Türkçe değildir, DPA imzalama süreçleri yoktur. Klinik hasta verisi için kullanmayın. Genel klinik soru-cevap için (hasta verisi olmadan) kullanılabilir.

AI ile yapılan hekim notu adli rapor yerine geçer mi?

Hayır. Adli rapor için hekimin imzalı ve mühürlü yazısı gereklidir. AI tarafından üretilen şablon hekim tarafından okunup düzeltilip imzalanırsa adli rapor olarak kabul edilir. Sadece AI çıktısı kabul edilmez.

DoktorClub topluluğuna katılın

115.000+ doğrulanmış hekim, DOKGPT tıbbi AI asistanı, TUS soru bankası, AI sağlık haberleri ve daha fazlası — ücretsiz hesapla.

Ücretsiz Hesap Aç →