KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) Türkiye'deki tüm klinikleri, muayenehaneleri ve sağlık profesyonellerini bağlar. Hasta verisi özel nitelikli kişisel veri olduğundan ceza riskleri de yüksektir. İyi haber: Doğru kurulmuş bir süreç, küçük bir muayenehanede bile haftada 1–2 saat ile sürdürülebilir.
KVKK'nın temelleri: 5 dakikalık özet
KVKK, kişisel verilerin işlenmesinde dürüstlük, ölçülülük ve amacına uygunluk ilkelerini getirir. Bir diş kliniği için bu şu demek:
Hangi veriyi neden topluyorsunuz, hasta biliyor olmalı (aydınlatma)
Sağlık verisi için ek olarak açık rıza almalısınız
Gerekmeyen veriyi toplamamalı, gerektiği kadar saklamalısınız
Verinin güvenliğini donanım + yazılım + süreç ile sağlamalısınız
Hastanın silme, düzeltme, aktarım taleplerine 30 gün içinde cevap vermelisiniz
Aydınlatma metni: Hasta kaydında ilk adım
Her hasta ilk geldiğinde aydınlatma metninizi okuyup anlayıp kabul etmelidir. Bu metin şunları içermeli:
Veri sorumlusunun kimliği (klinik adı, adresi)
Hangi verilerin toplandığı (kimlik, iletişim, sağlık verisi, görsel)
Hangi amaçla işlendiği (tedavi takibi, randevu, SGK, pazarlama)
Hangi üçüncü taraflara aktarıldığı (SGK, laboratuvar, bulut yedek)
Toplama yöntemi (elden, form, telefon)
KVKK madde 11 kapsamındaki hakların listesi
Aydınlatma metni bir kere hazırlanır; 1–2 yılda bir güncellenir. Bir hukukçudan kontrol ettirmek ~1.500–3.000 TL civarı masraftır ve çok değer. Klinik yazılımınız bu metni hasta kaydına otomatik eklemeli.
Açık rıza: Aydınlatmadan farklı
Aydınlatma bilgilendirmedir, açık rıza ise izindir. Sağlık verisi işlemek için açık rıza zorunludur. Açık rıza:
Özgür iradeyle verilmelidir (hizmet şartı yapılamaz)
Belirli bir amaç için olmalıdır (genel rıza geçersiz)
Yazılı veya kayıtlı elektronik ortamda olmalıdır
Hasta istediği zaman geri çekebilmelidir
Veri işleme envanteri: En çok atlanan kısım
Veri Sorumluları Sicili (VERBİS) kaydı gerekmiyor olsa bile, küçük bir klinik bile veri işleme envanteri tutmak zorundadır. Envanter bir Excel veya Google Sheets dosyası olabilir; sütunlar şunlar:
Veri kategorisi (ör: kimlik, sağlık, iletişim, finansal)
Hukuki dayanak (ör: sağlık hizmeti sunumu, açık rıza)
Saklama süresi (ör: tedavi bitiminden sonra 15 yıl)
Aktarılan üçüncü taraflar
Güvenlik tedbirleri (ör: disk şifreleme, 2FA)
Silme ve unutulma hakkı
Hasta "verimi silin" dediğinde, 30 gün içinde:
Aktif DB'den hasta kaydı silinmeli veya anonimleştirilmeli
Yedeklerde de rotasyonla kaybolması kontrol edilmeli
Yasal saklama süresi varsa (tedavi faturalarında 10+ yıl) bilgi verilmeli
İşlem kaydı tutulmalı (kim sildi, ne zaman)
Diş Hekimi Pro'da hasta silme işlemi günlük tutar ve tedavi faturalarını anonimleştirerek saklar (yasal zorunluluk).
Teknik tedbirler: Zorunlu minimum
Disk şifreleme (Windows'ta BitLocker, Mac'te FileVault)
Güçlü kullanıcı şifreleri ve rol bazlı yetki
Ekran kilidi (5 dakika inaktiviteden sonra)
Düzenli yedekleme (3-2-1 kuralı: 3 kopya, 2 farklı medya, 1 offsite)
Güncel antivirüs ve güvenlik duvarı
Hasta dosyalarını bulut paylaşımı servislerine (Google Drive, Dropbox) yüklememe
İdari tedbirler
Personel ile gizlilik sözleşmesi
Yıllık KVKK eğitimi (1 saat yeterli)
Veri ihlali müdahale planı (7 gün içinde KVK Kurumu'na bildirim)
Ziyaretçi defteri ve hasta dosyası fiziksel erişim kontrolü
Veri ihlali: Ne yapmalı?
Bilgisayar çalındı, disk bozuldu, çalışan izinsiz indirme yaptı — bunlar veri ihlalidir. KVKK şu akışı şart koşar:
72 saat içinde KVK Kurumu'na bildirim (kvkk.gov.tr üzerinden)
Etkilenen hastalara bildirim (uygun yolla, ör: SMS + e-posta)
İç soruşturma ve önlem
Kayıt + belgeleme
KVKK, hastalarınızla aranızdaki güvenin yazılı halidir. Cezadan kaçınmak için değil, profesyonel bir klinik olmak için uygulanır.
Bu rehberdeki maddelerin çoğunu yazılımınız sizin yerinize yapmalı: aydınlatma metni yönetimi, açık rıza kaydı, silme talebi akışı, yedekleme. Diş Hekimi Pro tüm bu süreçleri KVKK mevzuatına göre otomatikleştirir.
