17.11.2020 tarihinde Avrupa Veri Koruma Denetçisi tarafından 2020/8 sayılı Sağlık Veri Alanı ile ilgili görüş yayımlandı. Özellikle kişisel verilerin korunması alanında Türkiye’nin Avrupa Birliği’ne üye ülkeler ile ticari alanı ve iş hacmi gözetildiğinde veri koruma yasasını yeniden gözden geçirmesi ve gündemde olan 108 + sayılı Sözleşme’yi onaylamak için çalışmalarını hızlı bir şekilde tamamlaması bekleniyor.
Yasal zeminde değerlendirme yaparken veri korumanın endüstriyel boyutunu da yok sayamıyoruz. Elbette Avrupa ile ticari ilişkilerin durmaması için ticari şirketlerin veri koruma yasalarına uyumlarını hızlı bir şekilde tamamlamaları gerekiyor. Şirketlerin veri koruma yasalarına uyum sağlamaması durumunda, ürünlerinin de Avrupa ticari alanına kabulünde olumsuzluklar yaşanması yüksek ihtimal olarak gözlemlenmektedir.
Sağlık alanı için de durum farklı görünmemektedir. Sağlık ile ilgili üretilen ürün ve hizmetlerin, yapay zekalı robotların, tüm tıbbi teçhizatların ya da tele tıp hizmetleri gibi tüm alanların veri koruma yasalarına uyumlarını sağlaması ve gizlilik konusunda kendilerini yeniden inşa etmeleri gereklidir.
Avrupa Sağlık Alanı ile ilgili Avrupa Veri Koruma Denetçisi (EDPS) tarafından yayımlanan görüşler oldukça önemlidir.
Verilerin endüstriyel bir değer ifade etmesi ve tekrar tekrar kullanımı ile ilgili ortak bir kurallar bütünü oluşturmak, devletlerin altyapılarını bu alanda güçlendirme çalışmalarını hızlandırmaları gibi hususlar dikkat çekicidir. Petrol gerçek bir ekonomi için ne kadar önemli ise “Dijital Ekonomi” için de veri üretimi o kadar önemli hale gelmiştir. Bu çerçeveden değerlendirildiğinde daha gerçekçi bir yaklaşımla dijital ekonomi alanı ile veri korumasını dengelemek de önceliklerimiz arasında yer almalıdır.
Siber güvenlik için de verilerin ortak standartlarda işlenmesi gereklidir.
2020/8 sayılı Avrupa Veri Koruma Denetçisi’nin görüşünde verilerin anonimleştirilmesi ile ilgili net standartların getirilmesi gerektiğinin altı çizilmiştir. Anonimleştirme ile ilgili bugüne kadar çeşitli teknikler sunulmuş olsa da bu tekniklerin standartlarının belirlenmesi ve standartların veri koruma alanında tüm ülkelerde benimsenmesi önem kazanmaktadır.
Bu bağlamda sonuç ve tavsiye bölümü şu şekilde özetlenebilir:
1- Ortak bir Avrupa Sağlık Veri Alanı oluşturulmalı ve sağlık hizmetlerine erişimde kalite arttırılmalıdır.. Verilerin korunması ile ilgili de asgari ölçütlerin benimsenmesi için gerekli yasal düzenlemeler hızlı bir şekilde yapılmalıdır.
Avrupa Veri Koruma Otoritelerini birleştiren bir denetim makamı oluşturulmalı ve standartların kesin denetimi sağlanmalıdır.
2- Sağlık verilerinin işlenmesinde AB Veri Koruma Yasası’na uygun sağlam bir temel oluşturulmalı ve GDPR 6/1 ve 9. Madde hükümlerine uygun yasal düzenlemeleri tamamlanmalıdır.
3- Avrupa Sağlık Verileri Alanında işlenen verilerin anonimleştirilmesi yöntemlerinin tanımlanmalı ve yeni yöntemler geliştirilmesinin sağlanması için çalışmalar yapılmalıdır.
4- Sağlık verilerinin işlenmesinde hangi işleme şartlarının yasal olarak kabul edileceği ile ilgili net düzenlemeler yapılmalıdır.
5- Veri şeffaflığı ilkesi benimsenmeli ve işlenen sağlık verileri şeffaf olarak yayımlanmalıdır.
6- Özel nitelikli sağlık verilerinin ne olduğu, kişisel veri olmayan alanlar net bir şekilde belirlenmeli ve verileri işleme aktörleri duyurulmalıdır.
7- Kapsamlı bir güvenlik altyapısı kurulmalı ve güvenliğin sağlanması için devletler gerekli önlemi almalıdır ve teknolojilerle işbirliği yapmalıdır. Son teknolojik gelişmelerin takibi yapılmalı ve organizasyonu düzenmelidir.
8- Veri Koruma Etki Değerlendirmeleri etkin şekilde uygulanmalı ve bu değerlendirmeler kamuoyu ile şeffaf bir şekilde paylaşılmalıdır.
9- Güçlü bir veri yönetişim mekanizması kurulması için çağrıda bulunulmalı ve kurulması desteklenmelidir. İşlenen verilerin etik ilkelere uygun ve yasal bir zeminde yönetilmesi için yeterli güvenceler sağlanmalıdır.
10- Avrupa standartlarını uygulayan kuruluşlar tarafından işlenen verilerin tercih edilmesi için bir mekanizma kurulmalıdır. Gizlilik ve veri koruması konusunda da standartlara uyulması zorunlu tutulmalıdır.
11- Endüstriyel veri elde edilmesi sağlanmalı ve verinin bir değere dönüşmesi desteklenmelidir. Bunun için standartlar oluşturulmalıdır.
12- Verilerin aktarılmasında çeşitli güvencelerin sağlanacağı bir mekanizma kurulmalıdır. Üçüncü bir ülkeye aktarılmasında korunması ile ilgili taahhütler sunulmalıdır.
13- Sağlık verilerinin tüm araştırmalar, bilimsel çalışmalar ve endüstriyel alanda ikincil kullanımı teşvik edilmeli ve yeterli korumanın sağlanması için de uygun zemin hazırlanmalıdır.
14- Veri taşınabilirliliği hakkının kullanılabilmesi için tüm teknik önlemler alınmalıdır ve yasal düzenlemeler yapılmalıdır. Diğer yasalarda gerekli değişiklikler gözden geçirilmelidir. (Örneğin rekabet yasası vb.)
Türkiye’nin veri koruma otoritesinin diğer bütün ilgili kurumlarla birlikte veri koruması ile ilgili ortak standartları belirlemesi, Avrupa Veri Koruma Standartlarına yükseltmesi ve gerekli yasal düzenlemeler için görüşlerini hazırlaması gerekmektedir. 108 + sayılı sözleşmenin onaylanması da öncelikler arasında yerini almalıdır.
Türkiye’nin AB ilişkilerinin ve ticaretinin, sağlık sisteminin olumsuz etkilenmemesi için Avrupa Veri Koruma Denetçisi’nin görüşlerinin üzerinden geçmek ve uyarlamak her anlamda önemlidir. Dijital ekonominin mutlak bir veri korumasından etkilenmesi şirketlerin geleceğini etkileyecektir.