SOSYAL GÜVENLİK KURUMU VERİLERİNİN KULLANIMINA, PAYLAŞILMASINA VE KORUNMASINA İLİŞKİN USUL VE ESASLAR
BİRİNCİ KISIM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 - (1) Bu Usul ve Esasların amacı, Kurumun 16/5/2006 tarihli ve 5502 sayılı Sosyal Güvenlik Kurumu Kanunu ve 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununda belirtilen görev ve yetkileri kapsamında toplanan verilerin, kullanımı, paylaşılması ve paylaşılan verilerin korunmasında uyulacak usul ve esasları belirlemektir.
Kapsam
MADDE 2 - (1) Bu Usul ve Esaslar, Kurumun sosyal sigorta verileri ile genel sağlık sigortası verilerinin kullanımı, paylaşımı ve paylaşılan verilerin korunmasına ilişkin düzenlemeleri kapsar. Bu Usul ve Esaslardaki hükümler. 5502 sayılı Kanunun 35 inci maddesine aykırı olarak yorumlanamaz ve uygulanamaz.
Dayanak
MADDE 3 - (1) Bu Usul ve Esaslar; 5502 sayılı Kanunun 35 inci maddesinden dayanakla hazırlanmıştır.
Tanımlar
MADDE 4 - (1) Bu Usul ve Esaslarda geçen;
a) Alıcı: Paylaşıma açılacak sosyal sigorta verilerinden yararlanan kamu kurum ve kuruluşları ile gerçek ve tüzel kişileri,
b) Anonimleştirme: Verilerin, gerçek ve tüzel kişiler ile kurum ve kuruluşların doğrudan veya dolaylı bir şekilde tanınabilmesine, kişisel verilerin ve ticari sırların açığa çıkarılmasına imkân vermeyecek şekilde toplulaştırılmasını, değiştirilmesini veya düzenlenmesini,
c) Başkanlık: Sosyal Güvenlik Kurumu Başkanlığını,
c) Birim Amiri: 5502 sayılı Kanunda belirtilen ana, danışma ve yardımcı hizmet
birimlerinin en üst amirini, taşra teşkilatında ise sosyal güvenlik il müdürlerini,
ç) Doğrudan tanınma: Gerçek kişiler ile kamu ve özel hukuk tüzel kişilerinin ve bunların tüzel kişiliği olmayan şubelerinin kimliğinin; adı, adresi veya resmen verilmiş ve genel olarak bilinen bir kimlik numarası/kodu, Kurum Bilgi İşlem Sisteminde yer alan firma, ürün veya marka ismi ile ortaya çıkarılmasını,
d) Dolaylı tanınma: Gerçek kişiler ile kamu ve özel hukuk tüzel kişilerinin ve bunlann tüzel kişiliği olmayan şubelerinin kimliğinin, ürün veya marka isminin, "doğrudan tanınma" tanımında yer almayan diğer özelliklerinden faydalanılarak ortaya çıkarılmasını,
e) GSSGM: Genel Sağlık Sigortası Genel Müdürlüğünü,
f) HSGM: Hizmet Sunumu Genel Müdürlüğünü,
g) Kişisel sağlık verisi: Kişilerin, doğrudan veya dolaylı tanınmasına ve bu şekilde kişilerin sağlık hizmeti sunucularına müracaatları dahil sağlık bilgilerinin açığa çıkarılmasına
imkân sağlayan verileri, (www.saglikaktuel.com tarafından hazırlandı)
ğ) Kişisel Veri: Gerçek kişiler ile kamu ve özel hukuk tüzel kişilerinin doğrudan veya dolaylı bir şekilde sahip olduğu özellikleri ile birlikte tanınabilmesine ve bu şekilde kişisel bilgilerin açığa çıkarılmasına imkân sağlayan veriyi ve ticari sırları,
h) Koordinasyon Birimi: GSSGM hariç olmak üzere birimlerin koordinasyon ile ilgili alt birimlerini,
ı) Kurum: Sosyal Güvenlik Kurumunu,
i) Kurum Başkam: Sosyal Güvenlik Kurumu Başkanım.
j) Kurum Bilgi İşlem Sistemi (KBİS): Genel sağlık sigortası ve sosyal sigorta uygulamalarına ilişkin bilgilerin gönderildiği, üretildiği, sağlık hizmeti bedellerinin ödeme işlemlerinin elektronik ortamda yürütüldüğü, veri analizi yapma, istatistik üretme, raporlama amacıyla kurulan ve Hizmet Sunumu Genel Müdürlüğü tarafından işletilen bilgi işlem sistemini,
k) Kurum birimleri: Kurumun merkez ve taşra birimlerini,
1) Merkez birimi: 5502 sayılı Kanunda belirtilen Kurumun ana hizmet birimleri, danışma birimleri ve yardımcı hizmet birimlerini,
m) Sağlık hizmeti: Genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilere 5510 sayılı Kanunun 63 üncü maddesi gereği finansmanı sağlanacak tıbbi ürün ve hizmetleri,
n) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler ile kamu ve özel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayan şubelerini,
o) Sağlık verisi: Genel sağlık sigortası uygulamalarına yönelik her türlü veriyi,
ö) Sosyal sigorta verisi: Sağlık verisi dışında kalan sosyal sigorta uygulamalarına yönelik her türlü veriyi,
p) Taşra birimi: Sosyal güvenlik il müdürlüklerini,
r) Ticari sır niteliğindeki veriler: Bir ticarî işletme veya şirketin kendisine veya muvafakati çerçevesinde gerçek veya tüzel kişilere verilme durumları hariç olmak üzere; bir ticarî isletme veya şirketin herkes tarafından bilinmeyen ve elde edilemeyen, başta rakipleri olmak üzere üçüncü kişilere ve kamuya açıklanması halinde ilgili ticari işletme veya şirketin zarar gönııe ihtimali bulunan ve ticarî işletme veya şirketin ekonomik hayattaki başarı ve verimliliği için ticari önem atfettikleri her türlü bilgi ve belgeyi,
s) Ürün: Beşeri Tıbbi Ürünlerin Sınıflandırılmasına Dair Yönetmelik ile Tıbbi Cihaz Yönetmeliğinde tanımlanan ürünleri,
ş) Veri; Kurumun 5502 sayılı ve 5510 sayılı Kanunlarda belirtilen görev ve yetkileri kapsamında topladığı her türlü bilgi ve/veya belgeyi,
t) Veri Deseni: Tarih, tarih aralığı, şahıs T.C. kimlik numarası, sicil numarası, firma vergi numarası, işyeri sicil numarası, kapsam türü (4/a, 4/b, 4/c) ve benzeri bilgileri.
ifade eder.
İKİNCİ KISIM
GENEL SAĞLIK SİGORTASI VERİLERİ
BİRİNCİ BÖLÜM
Genel Sağlık Sigortasına İlişkin Verilerin Toplanma ve Paylaşılma Amacı
Sağlık verilerinin toplanması
MADDE 5- Kurum, 5502 ve 5510 sayılı Kanunlarda belirtilen genel sağlık sigortası uygulamalarına ilişkin görevleri yerine getirebilmek amacıyla genel sağlık sigortalısına ve bakmakla yükümlü olduğu kişilere verilen sağlık hizmetleri ve sağlık hizmeti sunucularına ilişkin her türlü bilgiyi, Kurumca belirlenen yöntemler ile toplar. Sağlık verilerinin paylaşım amacı
MADDE 6- (1) Kurum bu Usul ve Esasların hükümlerine uygun olmak koşuluyla;
a) Kişilerin kendileriyle ilgili kişisel sağlık verileri hakkında bilgilendirilmesi,
b) Kişi ve toplum sağlığının korunması ve geliştirilmesi,
c) Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesinin desteklenmesi,
ç) Sağlık hizmeti sunucusunun kendisine ait veriler hakkında bilgilendirilmesi,
d) Sağlık hizmetlerinin finansmanı ve yönetimi,
e) Sağlık politikalarının oluşturulması,
f) Sağlık hizmetlerinin planlanması,
g) Sağlık istatistiklerinin hazırlanması,
ğ) Bilimsel ve akademik araştırma ve çalışmaların desteklenmesi,
h) Kamu alacaklarının takip ve tahsili,
ı) Kamu kurum ve kuruluşlarınca denetim görevlerinin yerine getirilebilmesi.
i) Kamu kurum ve kuruluşlarının kanunlarla verilen görevleri yerine getirilebilmelerinin sağlanması, (www.saglikaktuel.com tarafından hazırlandı)
j) Kamu kurum ve kuruluşlarının faaliyetlerinde bürokrasinin azaltılması ve işlemlerin basitleştirilmesi,
amaçlarıyla ihtiyaç duyulan verileri paylaşabilir.
İKİNCİ BÖLÜM
Kurum İçi Uygulamalar
Kurum birimleri ve personeli tarafından sağlık verilerine erişimler
MADDE 7- (1) Kanunlarla Kuruma verilen görevlerin yerine getirilebilmesi için Kurum personelinin ihtiyaç duydukları sağlık verilerine erişimler, veri paylaşımı olarak değerlendirilmez.
(2) Verilere;
a) Sağlık hizmetlerine ilişkin fatura bedellerinin incelenmesi ve ödenmesi,
b) Kurumun alacaklarının takip ve tahsili,
c) Denetim, teftiş ve kontrol,
ç) Verilerin toplanması, saklanması, işlenmesi, korunması, hatalı verilerin düzeltilmesi,
d) Kurum mevzuatında yer alan sağlık hizmetlerine ilişkin kontrol parametrelerinin Kurum bilgi işlem sistemine aktarılması, takibi,
e) Sağlık hizmetlerinin izlenmesi, değerlendirilmesi, istatistik üretme ve risk analizi,
f) Sağlık politikalarının belirlenmesi,
g) HSGM de yazılım geliştirilmesi, sistem işletimi ve verilerin hazırlanması, işlemlerinde görevlendirilen yetkili Kurum personeli tarafından erişilebilir.
(3) Merkez ve taşra biriminde görev yapan personel tarafından verilere erişimler;
a) Kurum bilgi işlem sisteminde yer alan verilere şifre ile "doğrudan erişim yetkisi" verilmesi.
b) Verilerin CD, DVD, sabit disk, taşınabilir bellek gibi elektronik veya manyetik kayıt ortamında şifrelenerek veya basılı ortamda HSGM tarafından hazırlanıp ilgili birime iletilmesi,
c) Kurumsal Raporlama ve İstatistik Sistemi, MEDULA-hastane, MEDULA-eczane, MEDULA-optik gibi KBİS tarafından işletilen uygulamalara şifre ile erişim yetkisinin verilmesi,
yoluyla sağlanabilir.
(4) Üçüncü fıkranın (a) bendi kapsamında verilere erişim yetkileri, personelin görev yaptığı birim ve HSGM koordinesi ile Başkanlık Makamından alman onaya istinaden HSGM tarafından verilir. Üçüncü fıkranın (b) bendi kapsamında yapılacak veri talepleri ilgili birim tarafından doğrudan HSGM ye gönderilir. Üçüncü fıkranın (c) bendi kapsamında verilere erişim yetkileri, personelin görev yaptığı birimin talebine istinaden HSGM tarafından verilir. Verilere erişim yetkileri, personelin görev süresi ve kapsamı ile sınırlıdır.
(5) Personelin verilere erişim yetki düzeyleri, personelin görev süresi ve kapsamı ile yapılacak çalışmanın niteliğinin gerektirdiği erişim ihtiyacı dikkate alınarak belirlenir.
(6) GSSGM dışındaki Kurum birimlerince sağlık hizmetlerine ilişkin araştırma,
planlama ve analiz yapılabilmesi için GSSGM den uygun görüş alınması gereklidir.
Kurum istatistik yayınları
MADDE 8- (1) Kurum mevzuatı doğrultusunda yayınlanacak Kurum istatistik bültenleri, istatistik yıllıkları ve faaliyet raporlarında, gizli veri içenneyecek şekilde anonim hale getirilmiş sağlık verileri yayınlanabilir.
(2) Kurum tarafından kamuya açıklanmış istatistik bültenleri, istatistik yıllıkları, faaliyet raporları vb. yayınlarında yer alan sağlık verilerinin Kurum dışına verilmesi, veri paylaşımı olarak değerlendirilmez.
Kurum personelinin tezleri
MADDE 9- (1) Kurum personelinin; Kurum mevzuatı gereği hazırlayacakları tezlerde kullanılmak amacı ile yazılı olarak talep ettikleri sağlık verilerinden, gizli veri içenneyecek şekilde anonim hale getirilmiş sağlık verileri paylaşılabilir.
(2) Bu madde kapsamında yapılacak sağlık verisi talepleri, ilgili birim tarafından GSSGM ye yapılır. Veri talepleri, verilerin hazırlanması için HSGM ye iletilir. HSGM tarafından CD, DVD, sabit disk, taşınabilir bellek gibi elektronik veya manyetik kayıt ortamında şifrelenerek veya basılı ortamda hazırlanan veriler, GSSGM tarafından ilgili birime iletilir.
Genel sağlık sigortasına yönelik iş ve işlemlerin paydaşlar ile yürütülmesi
MADDE 10- (1) GSSGM nin, genel sağlık sigortası uygulamalarına yönelik iş ve işlemlerinin diğer kamu kurum ve kuruluşları veya üniversiteler gibi ilgili paydaşlar ile birlikte gerçekleştirilmesi amacıyla;
a) Kurumca imzalanan işbirliği protokolü, hizmet alım sözleşmesi/protokolü kapsamındaki çalışmalarda,
b) Genel sağlık sigortası uygulamalarına ilişkin iş ve işlemlerinin yürütümüne yönelik olarak oluşturulan komisyonlarda,
Kurum dışından görev alan kişilerin, görev süresi, kapsamı ve çalışma konusu ile sınırlı olmak üzere; kişisel sağlık verisi içermeyecek şekilde anonim hale getirilmiş sağlık verilerini görmeleri ve kullanımları veri paylaşımı olarak değerlendirilmez.
(2) Kurum dışından görevlendirilen kişilerin bu madde kapsamında sağlık verilerini görebilmeleri/kullanabilmeleri için çalışmadan sorumlu daire başkanlığı tarafından, verilerin korunması ve güvenliğinin sağlanmasına ilişkin taahhütname alınır. Taahhütname imzalamayanlar verilere erişemezler.
(3) Kurum dışından görevlendirilen kişilerin KBİS e doğrudan erişimine izin verilmez.
ÜÇÜNCÜ BÖLÜM
Genel Sağlık Sigortasına İlişkin Verilerin Kullanım Esasları
Kişinin, kendisine ait sağlık veri talepleri
MADDE 11- (1) Herkes, Kuruma başvurarak kendisiyle ilgili;
a) Kişisel sağlık verisinin işlenip işlenmediğini öğrenmek,
b) Verileri işlenmişse buna ilişkin bilgi talep etmek,
c) Verilerin eksik veya yanlış olması hâlinde bunların düzeltilmesini istemek. hakkına sahiptir.
(2) Kurum, kişisel sağlık verilerini;
a) Kişinin kendisi veya kişinin noter onaylı açık rızası ile diğer gerçek veya tüzel kişiler,
b) Mahkeme kararı ile kişinin verilerine erişim izninde yetkilendirilmiş kişiler,
c) Müvekkili tarafından verilen vekâletnamede avukatın kişisel sağlık verilerini talep edebileceğinin belirtilmiş olması şartıyla ilgili avukatı,
ile ücretsiz olarak paylaşabilir veya gerekçesini açıklayarak veri taleplerini reddedebilir.
(3) Bu madde kapsamında sağlık verisi talebi için başvurular taşra birimine yapılır. Sağlık verileri taşra birimince hazırlanır. Taşra birimince hazırlanamaması halinde sağlık verileri taşra birimince HSGM den temin edilerek ilgili kişiye teslim edilir.
Sözleşmeli sağlık hizmeti sunucularının, sundukları hizmetlere ilişkin veri talepleri
MADDE 12- (1) Sağlık hizmetlerinin sağlanmasına yönelik olarak Kurumla sözleşme yapmış sağlık hizmeti sunucularının KBİS e gönderdiği verilerden mücbir sebeplerle Kuruma faturalandırılamayanlar, Veri Paylaşım Komisyonunca değerlendirilerek uygun görülmesi halinde sadece ilgili sağlık hizmeti sunucusuna verilebilir.
(2) Sözleşmeli sağlık hizmeti sunucularının bu madde kapsamında veri talepleri için Kurum birimlerine yapılan başvurular GSSGM ye iletilir. Veri Paylaşım Komisyonunca paylaşılması uygun görülen veriler HSGM den temin edilerek ilgili sağlık hizmeti sunucusuna teslim edilir.
Adli mercilerin sağlık verisi talepleri
MADDE 13- (1) Cumhuriyet savcıları, hâkimlikler veya mahkemeler tarafından talep edilen her türlü sağlık verisi ücretsiz olarak karşılanır.
(2) Adli mercilerin sağlık verisi talepleri için başvurular taşra birimine yapılır. Veriler, ilgili taşra birimince, taşra birimince hazırlanamayanlar ilgisine göre merkez birimlerince veya HSGM tarafından hazırlanır. Hazırlanan veriler, veriyi hazırlayan birim tarafından adli mercilere gönderilir.
Kamu idarelerinin kanunlarında belirtilen görevleri yapabilmelerine yönelik sağlık verisi talepleri
MADDE 14- (1) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununun eki (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu idarelerinin kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları verilerden;
a) Kişisel sağlık verisi hiçbir şekilde paylaşılmaz.
b) Kişisel sağlık verisi içermeyecek şekilde anonim hale getirilmiş veriler ile kişisel sağlık verisi dışındaki ticari sır niteliğindeki veriler ücretsiz paylaşılabilir veya gerekçesi açıklanarak reddedilebilir.
(2) Bu madde kapsamında; sürekli veri talebinde bulunulacak olması veya yapılacak veri paylaşımının web servis aracılığıyla gerçekleştirilecek olması halinde ilgili kamu kurum veya kuruluşu ile Kurum arasında sözleşme/protokol yapılması zorunludur.
(3) Kamu idarelerinin bu madde kapsamında veri talepleri için başvurular, veri paylaşımına ilişkin Kurumla yapılan sözleşme/protokol kapsamında talep edilecek ise GSSGM ye, diğer durumlarda ise taşra birimine yapılır. Veriler, başvurunun yapıldığı birim tarafından hazırlanır. Bu birimce hazırlanamaması halinde HSGM den temin edilerek ilgili kamu idaresine gönderilir.
Araştırma, planlama ve istatistik amaçlı sağlık verisi talepleri MADDE 15- (1) Kamu idarelerinin 14 üncü madde kapsamına girmeyen araştırma, planlama ve istatistik amaçlı veri talepleri ile bilimsel araştırma yapan kamu personeli, bilimsel dernekler, kamu kurumu niteliğindeki meslek kuruluşları veya üniversitelerin araştırma, planlama ve istatistik amaçlı ihtiyaç duydukları sağlık verisi talepleri;
a) Veri talebine esas çalışmanın, Ülkemiz ve Kurum sağlık stratejileri ve hedeflerinin gerçekleştirilmesine katkısı, genel sağlık sigortası uygulamalarının geliştirilmesine etkisi ve Kurumsal öncelikler, verilerin ayrı veya özel bir çalışma, araştırma, inceleme ya da analiz neticesinde oluşturulabilecek nitelikte olup olmadığı gibi ölçütlere göre Veri Paylaşım Komisyonunca değerlendirilerek uygun görülmesi,
b) Kişisel sağlık verisi ve ticari sır niteliğinde veri içermemesi,
şartıyla ücretsiz karşılanır.
(2) Bu madde kapsamında; sürekli veri talebinde bulunulacak olması halinde Kurum ile sözleşme/protokol yapılması zorunludur.
(3) Bu madde kapsamında veri talepleri için başvurular, GSSGM ye yapılır.
Tüzel kişilere ait olan verilerin tüzel kişinin kendisi veya diğer kişilerle paylaşımı
MADDE 16- (1) Tüzel kişilerin, 5510 sayılı Kanunun 63 üncü maddesinin birinci fıkrasının (f) bendinde belirtilen sağlık hizmetlerinden ruhsat veya satış iznine sahip olduklarına ait veriler; Veri Paylaşım Komisyonu tarafından değerlendirilerek uygun görülmesi halinde tüzel kişinin kendisi veya tüzel kişinin noter onaylı muvafakati alınmak kaydıyla gerçek veya tüzel kişiler ile ücretli olarak paylaşılır.
(2) Bu madde kapsamında paylaşılacak veriler;
a) Kişisel sağlık verisi içeremez,
b) Sağlık hizmeti sunanların doğrudan ya da dolaylı tanınmasına yol açamaz.
(3) Bu madde kapsamında veri paylaşılabilmesi için veri talebinde bulunanlar ile Kurum arasında sözleşme imzalanması zorunludur.
(4) Bu madde kapsamında veri talepleri için başvurular GSSGM ye yapılır. Veri Paylaşım Komisyonunca paylaşılması uygun görülen veriler, İzleme ve Sağlık Teknolojileri Değerlendirme Daire Başkanlığı tarafından gerektiğinde HSGM den istenilmek suretiyle temin edilir.
Veri paylaşım komisyonu
MADDE 17 - (1) Veri Paylaşım Komisyonu; Genel Sağlık Sigortası Genel Müdürü veya görevlendireceği Genel Müdür Yardımcısı başkanlığında, HSGM den 1 (bir) Daire Başkanı, İzleme ve Sağlık Teknolojileri Değerlendirme Daire Başkanı. Genel Müdür tarafından belirlenecek GSSGM bünyesindeki 2 (iki) daire başkanı olmak üzere 5 (beş) üyeden oluşur.
(2) Veri Paylaşım Komisyonunun görevleri şunlardır:
a) Bu Usul ve Esaslarda, Veri Paylaşım Komisyonunca değerlendirileceği belirtilen veri paylaşım taleplerini karara bağlamak,
b) Veri paylaşımının, hangi yolla yapılacağına HSGM nün vereceği alternatifler üzerinden karar vermek,
c) Veri talepleri için alınacak ücretlerin belirlenmesine yönelik danışmanlık firmalarından hizmet alımı yapılmasını sağlamak, hizmet alınacak firma tarafından düzenlenen raporu incelemek ve raporda önerilen ücretleri karara bağlanmak,
(3) Veri Paylaşım Komisyonu, Komisyon Başkanı Başkanlığında, İzleme ve Sağlık Teknolojileri Değerlendirme Daire Başkanı ile HSGM den görevlendirilen daire başkanının toplantıya katılımı şartıyla, ayda en az bir kez olmak üzere toplanır. Veri Paylaşım Komisyonu kararları, en az 4 (dört) üyenin katılımı ve toplantıya katılan üyelerin çoğunluğu ile alınır. Oyların eşit olması halinde başkanın bulunduğu taraf çoğunluk sayılır. (www.saglikaktuel.com tarafından hazırlandı)
(4) Veri Paylaşım Komisyonu üyelerinin hastalık ya da yıllık izin vb. nedenlerden dolayı toplantılarına katılmaması durumunda yerine vekâlet eden kişiler aynı yetki ile toplantıya katılır.
(5) Veri Paylaşımı Komisyonu, talep edilen verilerin niteliği, iş yükü, birimlerin yoğunluğu, bilgi işlem sisteminin özellikleri gibi nedenlerden dolayı veri paylaşım taleplerini öteleyebilir veya reddedebilir.
(6) Veri Paylaşım Komisyonunun sekretarya hizmetleri İzleme ve Sağlık Teknolojileri Değeri endi mı e Daire Başkanlığınca yürütülür.
(7) Bu madde kapsamında paylaşılacak veriler HSGM den istenilmek suretiyle temin edilir. Ancak GSSGM bünyesinde paydaşlarla yapılacak protokole dayalı analiz, araştırma ve projelerde kullanılacak veriler GSSGM tarafından temin edilebilir.
Sağlık verilerinin anonimleştirilmesi
MADDE 18- (1) Sağlık verilerinin anonimleştirilmesi için her bir veri talebine yönelik anonimleştirme kurallarının belirlenmesi ve HSGM tarafından anonimleştirılmiş verilerin gereken gizliliği sağlayıp sağlamadığı açısından kontrol edilmesi için GSSGM bünyesinde "Veri Kontrol Komisyonu" oluşturulur.
(2) Veri Kontrol Komisyonu; biri komisyon başkanı olmak üzere İzleme ve Sağlık Teknolojileri Değerlendirme Daire Başkanlığından 2 kişi, Risk Yönetimi Daire Başkanlığı, İlaç ve Eczacılık Daire Başkanlığı, Tıbbi Malzeme Daire Başkanlığı ile Sağlık Hizmetleri Daire Başkanlığından 1 er kişi ve HSGM den 2 kişi olmak üzere 8 (sekiz) asil üyeden oluşur. Asil üye' sayısı kadar yedek üye belirlenir. Asil üyelerin hastalık ya da yıllık izin vb. nedenlerden dolayı toplantılarına katılmaması durumunda toplantıya yedek üye katılır.
(3) Veri Kontrol Komisyonu, en az ayda bir kez olmak üzere ihtiyaca göre İzleme ve Sağlık Teknolojileri Değerlendirme Daire Başkanlığı tarafından belirlenen tarihlerde ve İzleme ve Sağlık Teknolojileri Değerlendirme Daire Başkanlığı tarafından, talep edilen verinin ilaç, tıbbi malzeme veya tetkik/tedavi kapsamında olmasına göre komisyon üyeleri arasından belirlediği üyelerin katılımı ile toplanır. Kararlar, en az 5 (beş) üyenin katılımı ve toplantıya katılan üyelerin çoğunluğu ile alınır. Oyların eşit olması halinde başkanın bulunduğu taraf çoğunluk sayılır.
(4) Kurum, gerekli görmesi halinde verilerin anonimleştirmc yöntemlerinin belirlenmesi işlemlerini kamu kurumları ile işbirliği veya kamu kurumlarından hizmet alımı yapmak suretiyle sağlayabilir.
Sağlık verisi paylaşımına ilişkin sözleşmeler/protokoller
MADDE 19- (1) Veri paylaşımına ilişkin sözleşmeler/protokoller, paylaşımda bulunulan taraf ve Kurumun hukuki sorumlulukları ile cezai yaptırımları içerecek şekilde GSSGM tarafından hazırlanır.
(2) Sözleşmeler/protokoller GSSGM Genel Müdürü veya görevlendireceği Genel Müdür Yardımcısı tarafından imzalanır.
(3) Sözleşmelerde/protokollerde, verilerin paylaşımına ilişkin olarak erişilen verilerin gizliliğinin korunması ve güvenliğinin sağlanması, verilerin yetkisiz kişilerin görmesinin öğrenmesinin, eline geçirmesinin ve paylaşılan verilerin amacı dışında kullanılmasının önlenmesi ve gerekli tedbirlerin alınmasına yönelik olarak, hukuki, mali ve cezai düzenlemelere yer verilir.
Sağlık verisi başvurularına ilişkin genel hükümler
MADDE 20- (1) Sağlık verisi paylaşım talepleri, verilerin kullanım amacı ve gerekçesi belirtilmek şartıyla Kuruma yazılı olarak yapılır.
(2) Kamu kurum ve kuruluşlarının, kanunlarla verilen görevlerini yerine getirebilmeleri amacıyla talep ettikleri sağlık verilerinin paylaşılabilmesi için, talebe ilişkin kanuni dayanağın Kuruma yapılacak yazılı talepte belirtilmesi zorunludur.
(3) Başvuru veya veri paylaşım talebinin değerlendirilmesi sürecinde ihtiyaç duyulması halinde Kurumca ayrıca bilgi ve belge istenebilir.
(4) Sağlık verisi talebine ilişkin başvuruların bu Usul ve Esaslarda belirtilen Kurum birimleri dışında başka birime yapılması halinde, başvurular verileri hazırlayacak veya teslimini yapacak birime iletilir.
ÜÇÜNCÜ KISIM
SOSYAL SİGORTA VERİLERİ
BİRİNCİ BÖLÜM
Sosyal Sigorta Verilerinin Paylaşımı ve Korunması
Sosyal sigorta verilerinin paylaşımı
MADDE 21- (1) Kurum, kanunlarla kendisine verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verilen, veri sahibinin noter onaylı muvafakati olmadan gerçek veya tüzel kişilerle paylaşamaz.
(2) 10/12/2003 tarihli ve 501 S sayılı Kamu Mali Yönetimi ve Kontrol Kanununun eki (1), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu kurum ve kuruluşlarının kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları sağlık verisi dışındaki kişisel ve ticari sır niteliğindeki veriler paylaşılabilir.
(3) Kurum, kimliği belirli veya belirlenebilir bir gerçek veya tüzel kişiyle ilişkilendirilemeyecek şekilde anonim hale getirdiği verileri araştırma, planlama ve istatistik gibi amaçlar için kamu idareleri, bilimsel araştırma yapan kamu personeli, bilimsel dernekler. Kamu kurumu niteliğindeki meslek kuruluşları veya üniversiteler ile ücretsiz olarak paylaşabilir.
Sosyal sigorta verisi paylaşımı sayılmayan haller
MADDE 22 - (1) Birimlerin;
a) Görevlerinin ifası için görev, yetki ve sorumluluk alanları ile ilgili olarak sunduğu hizmetlerin devamlılığı ve geliştirilmesi amacıyla hizmet gereği talep ettikleri veriler,
b) Birimlerce resmi internet sitelerinde periyodik olarak yayımlanan faaliyet raporları ve istatistiki veriler,
c) Kurumun iş ve işlemlerinin yürütümünde hizmetin gereği olarak üçüncü kişiler aracılığıyla sağladığı ödeme ve bilgilendirme işlemlerine ilişkin sorgular,
veri paylaşımı olarak değerlendirilmez.
Kişisel veri kapsamı
MADDE 23- (1) Kurumun ilgili birimlerine yapılan tüm veri talepleri kapsamında; sigortalıların sosyal güvenlik sicil numarası, kimlik numarası, öğrenim, adres bilgilen, sosyal güvenlik bilgileri, işveren, işyeri, vergi dairesi, esnaf sanatkâr sicil memurluğu, ziraat odası. tarım il/ilçe müdürlüğü, şirket bilgileri, sigortalıların ve hak sahiplerinin emeklilik bilgileri, tahsis numaralan ile gelir ve aylık durumları, bunlardan yapılan kesintiler, işverenlerin işyeri sicil numaraları, toplam sigortalı bilgileri ile tahakkuk bilgileri, çalıştırdığı sigortalılar ve bunlara ait prime esas kazanç, eksik gün ve işten çıkış nedenleri, unvanı, adresi, borç durumu ve benzeri bilgiler kişisel veri niteliğinde değerlendirilir.
İKİNCİ BÖLÜM
Sosyal Sigorta Verilerin Paylaşım Usulü ve İletildiği Kişi, Kurum/Kuruluşların Yükümlülükleri
Kişisel veri paylaşım usulü
MADDE 24- (1) Kamu kurum/kuruluşları tarafından talep edilen tek seferlik kişisel nitelikteki veriler, bu Usul ve Esasların 21 inci maddesinin ikinci fıkrasındaki şartları taşıdığının koordinasyon birimi tarafından belirlenmesi halinde, birim amirinin onayı ile paylaşılabilir.
(2) Kamu kurum/kuruluşları tarafından talep edilen sürekli ve kişisel nitelikteki veriler, bu Usul ve Esasların 21 inci maddesinin ikinci fıkrasındaki şartları taşıdığı koordinasyon birimlerince belirlenmesi halinde, Kamu kurum/kuruluşları ile yapılacak olan protokol kapsamında paylaşılır. Protokol metni, ilgili birim sayısına göre en az üç nüsha olmak üzere önce veri paylaşım talebi olan kurum/kuruluşa gönderilir. İmzayı müteakip ilgili birimlerin koordine parafı açılmak suretiyle en son Kurum adına Kurum Başkam veya mütekabiliyet esasına göre yetkili personel tarafından imzalanır. Islak imzalı nüshalardan birisi veri talep eden kurum/kuruluşa, diğeri/diğerleri ilgili koordinasyon birimine gönderilir ve son imzalı nüsha ise HSGM'de muhafaza edilir.
(3) Talepte bulunan kamu kurum veya kuruluşu, veriyi işleyecek olan personelinden gizlilik taahhüt belgesi alarak, talep edilmesi halinde bu belgeleri ibraz edilmek üzere muhafaza etmekle yükümlüdür.
(4) Kişisel veriler; kişinin kendisi, kişiler adına vesayet/vekâlet ile yetkilendirilenler tarafından mahkeme kararı ve/veya usulüne uygun düzenlenmiş vekâletnamenin Kuruma ibraz edilmesi koşuluyla, birim amirinin onayı ile paylaşılabilir.
(5) Paylaşılmasına karar verilen veriler, talepte bulunan gerçek kişiler veya özel hukuk tüzel kişileri ile imzalanacak olan gizlilik sözleşmesi dâhilinde paylaşılır.
Anonimleştirilmiş sosyal sigorta verilerinin paylaşım usulü
MADDE 25- (1) Bu Usul ve Esasların 21 inci maddesinin üçüncü fıkrası kapsamına giren veriler, araştırma, planlama ve istatistik gibi amaçlar için kamu idareleri, bilimsel araştırma yapan kamu personeli, bilimsel dernekler, kamu kurumu niteliğindeki meslek kuruluşları veya üniversiteler tarafından resmi yazı ile talep edilmesi ve söz konusu çalışma tamamlandığında bir örneğinin Kuruma verilmesi şartıyla ücretsiz olarak birim amirinin onayı ile paylaşılabilir.
(2) Kurumumuz personeli tarafından sosyal güvenlik uzmanlığı ve müfettişlik kadrosuna atanabilmek için yapılacak tez çalışmalarında kullanılmak üzere ihtiyaç duyulan anonimlcştirilmiş sosyal sigorta verileri, talep eden personelin bağlı bulunduğu birim amirleri vasıtasıyla resmi yazı ile talep edilmeleri halinde, birim amirinin onayıyla paylaşılabilir.
ÜÇÜNCÜ BÖLÜM
Sosyal Sigorta Verisi Taleplerinin Yönetimi ve Birimlerin Görevleri
Sosyal sigorta veri taleplerinin yönetimi
MADDE 26- (1) Veri talep yazılarında, açık ve net bir şekilde amacın belli olması. sonraki kullanımların da bu amaçlarla sınırlı tutulması gereğine değinilmesi, talep edilen bilgilerin kullanım gerekçesi ve varsa yasal dayanağının belirtilmesi zorunludur.
(2) Veri tabanı kullanım performansını artırmak ve veriye daha etkin ulaşabilmek amacıyla, veri talep yazısında yer alan veri deseninde:
a) Tarih: Yıl. ay,
b) Tarih aralığı: Başlangıç - Bitiş tarihi,
c) Şahıs: T.C. kimlik numarası, sicil numarası,
ç) Firma: Vergi numarası, işyeri sicil numarası,
d) Kapsam türü (4/a, 4/b. 4/c) bilgilerinden talep ile ilgili olanların bulunması, zorunludur. Gerektiğinde Kurum bu bentlerde belirtilenler dışında da veri deseninde değişiklikler yapabilir.
(3) Talep edilen verilerin koordinasyon birimlerince değerlendirilmesi aşamasında, gerektiği hallerde, bu verilerin temininin mümkün olup olmadığı hakkında ilgili birim ile ön görüşme yapılır.
(4) Kurum içi birimler tarafından Kurumsal Raporlama ve İstatistik Sisteminde bulunan istatistik amaçlı veriler talep edilemez.
Birimlerin görevleri
MADDE 27- (1) Sosyal sigorta verisi taleplerinin değerlendirilmesi aşamasında;
a) Bu Usul ve Esasların 21 inci maddesinde belirtilen ve 5018 sayılı Kanunun eki cetvellerde yer alan Kurum ve Kuruluşların talepleri ilgili merkez/taşra birimi tarafından, sadece veri tabanından üretilebilecek veriler ise HSGM'den temin edilerek paylaşılır.
b) Koordinasyon birimleri; Talep edilen verilerin paylaşılmasının uygun görülmemesi halinde durum talepte bulunana yazılı olarak bildirilir. Veri paylaşımının uygun görülmesi halinde ise 24 üncü maddesi hükümleri çerçevesinde işlem yapılır.
DÖRDÜNCÜ KISIM
SOSYAL SİGORTA VE GENEL SAĞLIK SİGORTASI VERİLERİNE İLİŞKİN GENEL HÜKÜMLER
Verilerin teslimine ilişkin genel hükümler
MADDE 28- (1) Paylaşılmak üzere hazırlanan veriler, doküman yönetim sistemi (DYS) ortamında CD. DVD, sabit disk. taşınabilir bellek gibi elektronik veya manyetik kayıt ortamında şifrelenerek, talebi yapan gerçek veya tüzel kişiye yazılı olarak, taahhütlü veya iadeli taahhütlü posta ile veya tutanak karşılığı elden teslim edilir. Verilerin tutanak karşılığı elden tüzel kişiye teslimi, tüzel kişilik tarafından noter aracılığıyla vekaletname verilmiş kişiye de yapılabilir.
(2) Verilerin kamu kurum ve kuruluşlarına teslimi, talepleri halinde şifrelenmiş dosya ile gov.tr uzantılı e-posta adreslerine yapılabilir.
(3) Gizli verilerin tesliminde, resmî yazışmalarda uygulanacak esas ve usullere ilişkin mevzuat hükümlerine uyulur.
(4) Telefonla hiçbir veri iletilemez.
(5) Veri paylaşımının gerçekleştirilmesinde kurumsal elektronik alt yapı vasıtasıyla \veb servis, VPN, XML vb. uygulamalar kullanılabilir.
Verilerin iletildiği kişi, kurum/kuruluşlara düşen «örevler
MADDE 29- (1) Verilere erişen Kurum personeli dâhil olmak üzere, verilere erisen veya veri paylaşımı yapılan kamu kurum ve kuruluşları dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını sağlayan gerçek ve tüzel kişiler:
a) Veri talebine uygun olarak yaptığı çalışmaların, kişisel verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar. Verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlemi alır. (www.saglikaktuel.com tarafından hazırlandı)
b) Kurum tarafından görüntülenmesi sağlanan ve bu Usul ve Esasların 28 inci maddesinde sayılan iletim usulleri ile gönderilen verileri. 5429 sayılı Türkiye İstatistik Kanunu hükümleri çerçevesinde, bireysel verilerin gizliliği ilkesine bağlı kalmak şartıyla iluili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere "öre kullanılır. Paylaşılan verilerin yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirleri alır.
(2) Bu Usul ve Esaslar hükümlerine göre; verilere erişen Kurum personeli dâhil olmak üzere, veri paylaşımı yapılan gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını sağlayan gerçek ve tüzel kişiler;
a) Elde ettikleri verilerin gizliliğini korumak ve güvenliğini sağlamak, verilerin yetkisiz kişilerin görmesini, öğrenmesini, eline geçirmesini ve amacı dışında kullanılmasını önlemek ve gerekli tedbirleri almak.
b) Verilerin paylaşımı ve korunması hususundaki Anayasada, kanunlarda ve uluslararası sözleşmelerde ve Kurum mevzuatında yer alan hükümlere uymak.
zorundadır.
Uygulanacak müeyyideler
MADDE 30 - (1) Kurum tarafından sağlanan verilerin yetkisiz kişilerin eline geçmesinden ve yetkisiz kullanımından doğacak her türlü hukuki, mali ve cezai sorumluluk verilere erişen veya veri paylaşımı yapılan tarafa aittir.
(2) Kişisel verilerin korunması hususu ile ilgili hükümlere aykırı hareket eden hakkında Türk Ceza Kanununun ilgili maddeleri uyarınca suç duyurusunda bulunulur.
(3) Kurum tarafından kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren veya bütünlüğünü bozanlar hakkında Türk Ceza Kanununun ilgili maddeleri uyarınca suç duyurusunda bulunulur.
(4) Bu Usul ve Esaslar gereği, verilerin kullanımı için Kurumun kaynak gösterilmesi gerektiği halde aksine davranılması halinde Kurum ilgiliden tazminat isteme hakkına sahiptir.
Verilerin korunmasına ilişkin Kurumca yürütülecek işlemler
MADDE 31- (1) Kurum, KBİS te tuttuğu verilerin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla, güvenlik politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.
(2) Veri talebinde bulunan gerçek ve tüzel kişilerin KBİS e doğrudan erişimine izin verilmez. Talep edilen verinin aktarımı sağlanır.
(3) HSGM. veri talepleri karşılanırken güvenlik politikaları çerçevesinde gerekli güvenlik önlemlerini alır. KBİS e şifre ile erişimler, gerçek kişi (ad-soyad) kullanıcı/şifreleri kullanılarak güvenlik politikaları çerçevesinde yapılır. Erişimler. HSGM tarafından güvenlik politikaları çerçevesinde kayıt altına alınır.
(4) KBIS'te sadece test edilmiş ve onaylanmış Kurum uygulamaları aracılığı ile toplanan veriler esas alınır. Hatalar sonucu veya farklı nedenlerle verilerde değiştirilme. silinme, eklenme ihtiyacı oluşursa, bu durum ilgili koordinasyon birimi ile HSGM'deki ilgili yazılım biriminden yetkilendirilmiş kişiler ile tutanak altına alınmak suretiyle gerekli işler yapılır.
(5) Kurumca veriye erişim yetkisi verilmiş personelin Kurumdan ayrılması veya görev yeri değişikliği halinde yetkisiz kullanımın önlenebilmesi amacıyla erişim yetkileri ilgili birim tarafından resmi yazı ile HSGM tarafından sona erdirilmeden ayrılış işlemleri yapılamaz.
Birim amirleri gerekli bildirim ve iptal etme işlemlerinin yerine getirilmesinden sorumludur.
Personelin üzerinde çalıştığı veri ile ilgili sorumluluğu Kurumdan ayrıldıktan sonra da devam eder.
BEŞİNCİ KISIM
Çeşitli ve Son Hükümler
Geçiş hükümleri
MADDE 32- (1) Bu Usul ve Esasların yürürlüğe girdiği tarihten önce yapılan ancak sonuçlandırılmamış veri paylaşımı talepleri, bu Usul ve Esaslar hükümlerine göre sonuçlandırılır.
(2) 23/04/2015 tarihinden önce Kurum ile yapılan verilerin paylaşımına ilişkin sözleşmelerden/protokollerden bu Usul ve Esaslara aykırı olduğuna karar verilenlere sözleşmenin/protokolün sona erdiği bildirilir.
(3) Teşkilat yapısında sonradan değişiklik meydana gelen kurum/kuruluşlar ile sosyal sigorta verilerinin paylaşımına ilişkin yapılan protokoller güncellenir.
Yürürlükten kaldırılan mevzuat
MADDE 33- (1) 6/6/2013 tarihinde yürürlüğe giren "Sosyal Güvenlik Kurumu Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Usul ve Esaslar" ile 20/09/2013 Tarihli ve 3466908 Sayılı Makam Oluru ile yürürlüğe giren "Sosyal Güvenlik Kurumu Başkanlığı Sosyal Sigorta Verilerinin Paylaşımı ve Paylaşılan Verilerin Gizliliği İle Koordinasyonuna İlişkin Usul Ve Esaslar" yürürlükten kaldırılmıştır.
Yürürlük
MADDE 34- (1) Bu Usul ve Esaslar yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 35- (1) Bu Usul ve Esasların hükümlerini Kurum Başkanı yürütür.
Sağlık Aktüel - www.saglikaktuel.com
