Veri Gizliliği, Güvenliği ve Mevzuata Uygunluk

Tanım

Veri gizliliği, güvenliği ve mevzuata uygunluk; kişisel sağlık bilgilerinin nasıl gizli tutulduğunu, yetkisiz erişim veya kayıptan nasıl korunduğunu ve yürürlükteki yasalara uygun olarak nasıl kullanıldığını düzenleyen ilke, teknik ve organizasyonel önlemler ile yasal yükümlülüklerin birleşik bir bütünüdür.

Kapsam

Bu konu, gizlilik ve mahremiyet ilkelerini, güvenlik önlemlerinin ana kategorilerini, sağlık verilerinin karşı karşıya olduğu tehdit ortamını ve mevzuat çerçevelerinin yükümlülükleri belirlemedeki rolünü kapsamaktadır. Konu, kavramsal bir referans olarak ele alınmaktadır; yasal tavsiye, güvenlik yapılandırma talimatları veya belirli bir kuruluş için uygunluk belirlemeleri sağlamamaktadır ve burada bir düzenlemeden bahsedilmesi, bağlayıcı olmaktan ziyade açıklayıcı niteliktedir.

Temel sorular

• Kişisel sağlık bilgileri için gizlilik ve mahremiyet ne anlama gelmektedir?
• Sağlık verilerini koruyan güvenlik önlemleri hangi kategorilerdedir?
• Sağlık verileri hangi tehditlerle karşı karşıyadır ve sektör neden sıkça hedef alınmaktadır?
• Mevzuat çerçeveleri, sağlık verilerinin izin verilen kullanımlarını nasıl şekillendirmektedir?

Anahtar kavramlar

• Gizlilik ve mahremiyet
• İdari, fiziksel ve teknik önlemler
• Kimliksizleştirme (de-identification) ve yeniden kimliklendirme riski
• Siber güvenlik tehditleri ve ihlalleri
• Mevzuat çerçeveleri ve uygunluk
• Veri minimizasyonu ve amaç sınırlaması
• Onay ve ikincil kullanım

Mekanizmalar

Gizlilik, meşru bir ihtiyacı ve tanımlanmış bir amacı olanların erişimini sınırlamaya dayanmaktadır. Güvenlik, katmanlı önlemler aracılığıyla uygulanmaktadır: idari (politikalar, eğitim), fiziksel (tesis ve cihaz kontrolleri) ve teknik (erişim kontrolü, şifreleme, denetim kaydı). Kimliksizleştirme (de-identification) mahremiyet riskini azaltmakla birlikte tamamen ortadan kaldırmamaktadır, çünkü zengin veri kümeleri bazen yeniden kimliklendirilebilmektedir; bu durum, veriler analiz için toplandıkça daha da belirginleşen bir gerilimi ortaya koymaktadır. Sağlık sektörü, sağlık verilerinin değerli olması ve sistemlerin genellikle karmaşık ve birbirine bağlı olması nedeniyle siber saldırıların sıkça hedefi olmaktadır; bu nedenle tehdit ortamı ve ihlal riski, güvenlik uygulamalarının merkezinde yer almaktadır. Mevzuat çerçeveleri, bu ilkeleri, verilerin nasıl toplanabileceğini, saklanabileceğini, paylaşılabileceğini ve yeniden kullanılabileceğini kısıtlayan uygulanabilir yükümlülüklere dönüştürmektedir.

Klinik önem

Mahremiyet ve güvenlik korumaları, hastaların güvenini ve bilgi paylaşma istekliliğini etkilemekte olup, ihlaller gerçek zararlara yol açabilmektedir. Bu madde, ilke, önlem ve düzenleyici rolü referans materyali olarak tanımlamaktadır; yasal tavsiye veya uygunluk değerlendirmesi niteliğinde değildir ve belirli yükümlülükler yargı yetkisine ve nitelikli hukuki yorumlamaya bağlıdır.

Kanıt ve kılavuzlar

Kanıtlar, mahremiyete ilişkin politika ve etik analizlerini, siber güvenlik tehdit ortamına yönelik sistematik derlemelerle birleştirmektedir. Tıbbi büyük veri çağında mahremiyet analizleri ve sağlık hizmetleri siber güvenliğine ilişkin sistematik derlemeler, ilke ve riskleri tanımlamaktadır; belirli yükümlülükler klinik kılavuzlardan ziyade yasalar ve düzenleyiciler tarafından belirlenmekte olup, bu araçlar yargı yetkisine bağlıdır.

Tarihçe

Gizlilik, tıbbın köklü bir ilkesi olmakla birlikte, sağlık verilerinin dijitalleşmesi ve ağ bağlantılı hale gelmesi, bu ilkenin ölçeğini ve risklerin doğasını dönüştürmüştür. Kayıtlar elektronik hale geldikçe ve veriler analiz için toplandıkça, dikkat bireysel gizlilikten büyük ölçekli mahremiyete, yeniden kimliklendirme riskine ve siber güvenliğe doğru genişlemiş, bu arada mevzuat çerçeveleri, bu kullanımları farklı yargı bölgelerinde düzenlemek üzere geliştirilmiş ve revize edilmiştir.

Tartışmalar

Sağlık verileri hem analizler için faydalı hem de yeterince mahrem olabilir mi?

Analiz ve araştırma için veri toplamak değeri artırmakla birlikte, yeniden kimliklendirme ve ihlal riskini de yükseltmektedir; yorumcular, özellikle veri kümeleri zenginleştikçe, kimliksizleştirme ve yönetişimin veri faydası ile mahremiyeti uzlaştırıp uzlaştıramayacağını tartışmaktadır.

Öne çıkan isimler

• I. Glenn Cohen
• W. Nicholson Price
• Clemens Scott Kruse

İlgili konular

• Sağlık Bilgi Sistemleri ve Teknolojisi
• Elektronik Sağlık Kayıtları ve Birlikte Çalışabilirlik
• Sağlık Verisi Yönetimi ve Analitiği
• Dijital Sağlık ve Sağlık Teknolojisi İnovasyonu
• Hastane Öncesi Bakımda Gizlilik, Mahremiyet ve HIPAA
• Sağlık Veri İhlalleri ve Olay Müdahalesi
• Uluslararası Sağlık Verileri Düzenlemeleri ve Yönetişimi

Temel eserler

• price-cohen-2019
• kruse-2017

Sıkça sorulan sorular

Sağlık verileri için mahremiyet ve güvenlik arasındaki fark nedir?

Mahremiyet, verilere kimlerin hangi amaçla erişebileceği ve kullanabileceği ile ilgilenirken; güvenlik, verileri yetkisiz erişim veya kayıptan koruyan teknik ve organizasyonel önlemleri ele almaktadır; her ikisi de gereklidir ve uygunluk yükümlülükleri tarafından düzenlenmektedir.

Kimliksizleştirilmiş sağlık verileri neden otomatik olarak risksiz değildir?

Tanımlayıcıların kaldırılması riski azaltmakla birlikte tamamen ortadan kaldırmamaktadır, çünkü zengin veri kümeleri bazen diğer bilgilerle birleştirilerek yeniden kimliklendirilebilmektedir; bu nedenle kimliksizleştirme, eksiksiz bir çözüm olarak ele alınmak yerine yönetişimle birlikte kullanılmaktadır.

Bu kavram için yöntemler

• Data Protection and Privacy in Research
• Informed Consent in Research
• k-Anonymity
• Digital Health Acceptance Scale
• Belmont Report
• Waiver of Informed Consent in Research
• Institutional Review Board
• Differential Privacy

İlgili kavramlar

• Sağlık Bilişimi Gizliliği, Güvenliği ve Uyumluluğu
• Uluslararası Sağlık Verileri Düzenlemeleri ve Yönetişimi
• Sağlık Veri İhlalleri ve Olay Müdahalesi
• Kimliksizleştirme ve Gizliliği Koruyan Veri Analizi
• HIPAA Gizlilik ve Güvenlik Kuralları
• Sağlık Bilgi Sistemleri ve Teknolojisi