03.12.2025 tarihli ve 33096 sayılı Resmi Gazete’de yayımlanan “Kişisel Sağlık Verileri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” (“Yönetmelik”), kişisel sağlık verilerinin işlenmesi, korunması ve erişimine yönelik önemli güncellemeler getirmiştir.
Yönetmelik ile birlikte, sağlık verilerinin işlenmesinde ana kriterin, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 6. maddesinin üçüncü fıkrasında yer alan işleme şartları ile sınırlı tutulması esası netleştirilmiştir. Ayrıca Yönetmeliğin uygulama alanı, daha önce yer alan genel bir ifade yerine, açıkça Sağlık Bakanlığına bağlı ve ilgili kuruluşlar şeklinde kesin bir ifade ile sınırlandırılmıştır.
Önemli bir diğer değişiklik ise, Yönetmeliğe eklenen "Bakım veren kişi" tanımı ile gelmiştir; bu tanım, çocuğun velisi veya vasisi ya da bakım ve gözetiminden sorumlu olarak yetkilendirilmiş gerçek ya da tüzel kişileri ifade etmekte olup, engelli raporu bulunan kişilerin sağlık verilerine, bu bakım veren kişiler tarafından da erişim sağlanabilmesinin önünü açmıştır.
A- Avukatların Erişim Yetkisinde “Özel Yetki” Şartının Kaldırılması
Yönetmeliğin avukatları ilgilendiren en önemli değişikliği, eski yönetmeliğin 10. maddesinin yürürlükten kaldırılmasıdır. Bu değişiklikle, avukatların müvekkillerine ait sağlık verilerini talep edebilmeleri için vekaletnamede "özel yetki" bulunması zorunluluğu kaldırılmıştır. Artık avukatlar, genel dava vekaletnamesi ile müvekkillerinin sağlık verilerine (epikriz, tahlil sonuçları vb.) erişim sağlayabilecektir.
B- Geçmiş Sağlık Verilerini Göstermeye Zorlama Yasağı
Yönetmelik ile getirilen en kapsamlı koruma tedbirlerinden biri, bireylerin mahremiyetini ilgilendirmektedir. Kanunlarda belirtilen zorunlu haller dışında, hiç kimse geçmiş sağlık verilerinin dökümünü (e-Nabız geçmişini vb.) üçüncü kişilere sunmaya veya göstermeye zorlanamaz. Bu düzenleme, özellikle işe alım süreçlerinde adaylardan veya sigorta poliçesi tanziminde sigortalılardan elden veri dökümü istemeyi hukuka aykırı hale getirmiştir.
C- Sigorta Şirketlerinin Veriye Erişim Usulü
Sigorta, reasürans ve emeklilik şirketlerinin sağlık verilerine erişimi daha sıkı kurallara bağlanmıştır. Şirketler, sağlık verilerine yalnızca Sigorta Bilgi ve Gözetim Merkezi (SBGM) ile Bakanlık arasında kurulan güvenli hat üzerinden erişebilecektir. Sigorta şirketleri, sigortalıdan doğrudan sağlık verisi talep edemeyecek veya e-Nabız şifresi/görüntüsü isteyemeyecektir. Veri akışı sadece sistemsel entegrasyonla sağlanacaktır.
D- Hekimlerin Sağlık Verilerine Erişim Yetkisi
Yönetmelik, hekimlerin hastalara ait geçmiş sağlık verilerine erişimini süre ve kapsam açısından yeniden düzenlemiştir. Buna göre, aile hekimleri kayıtlı oldukları kişilerin sağlık verilerine süre sınırı olmaksızın erişebilirken; hastanın muayene olduğu veya yatarak hizmet aldığı sağlık hizmeti sunucusundaki hekimlerin erişimi, hizmetle doğrudan bağlantılı işlemlerin (konsültasyon dahil) tamamlanmasına veya hasta taburcu olana kadar sınırlı olacaktır. Ayrıca acil servis üzerinden girişi yapılan kişilerin verilerine ise, ilgili acil sağlık hizmeti ile sınırlı olmak üzere, tesisin tüm hekimleri taburcu olana kadar erişim sağlayabilecektir. Veri güvenliğini ihlal eden personel hakkında "yetki iptali" yerine "disiplin amirince işlem yapılması" hükmü getirilmiştir.
E- e-Nabız Güvenlik Ayarları ve Kod ile Erişim Mekanizması
Kişisel veri gizliliğini güçlendiren bir adım olarak, e-Nabız güvenlik ayarları ve bu ayarlara ilişkin istisnalar da Yönetmelik kapsamında belirlenmiştir. Kişiler, kendi güvenlik ayarları çerçevesinde geçmiş verilerine erişimi düzenleyebilir, ancak bu ayarlar nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Sağlık Bakanlığı sorumlu tutulmayacaktır.
Geçmiş verilerini gizlemeyi tercih edenlerin verilerine erişim, kişinin beyan ettiği telefon numarasına gönderilen kodun hekim ile paylaşılması şartına bağlanmıştır. Bununla birlikte Yönetmelik yatış ve acil servis girişi gibi kritik durumlarda güvenlik ayarı kontrolünün uygulanmayacağını hüküm altına almıştır. Bu hallerde, hastanın yaptığı gizlilik tercihi, KVKK m.6/3 şartlarıyla sınırlı olmak kaydıyla uygulanmaz.
Ayrıca, kişiler e-Nabız güvenlik ayarlarını kullanmış olsalar dahi, tutukluluk ve hükümlülük gibi koda ulaşamayacakları durumlarda herhangi bir güvenlik ayarı kontrolü yapılmayacak; kişinin sağlık verilerine aile hekimi ve muayene olduğu tüm hekimler KVKK şartlarıyla erişim sağlayabilecektir. Bu istisnai hallerin ortadan kalkması durumunda kişi yeniden güvenlik ayarları tercihinde bulunabilir. Bu düzenlemeler, kişisel gizlilik haklarını korurken, hayati tehlike veya hukuki zorunluluk durumlarında sağlık hizmeti kalitesinden ödün verilmemesini amaçlamaktadır.
F- Ebeveynlerin Sağlık Verilerine Erişiminde Velayet Kriteri
Çocukların sağlık verilerine erişim konusunda ise velayet durumları dikkate alınmıştır. Boşanma davası devam ederken velâyet hakkı tedbiren üzerine bırakılan taraf veya boşanmanın gerçekleşmesi durumunda velâyet hakkı üzerine bırakılan taraf, çocuğun sağlık verilerine erişebilecektir. Velâyet hakkı üzerinde bırakılmayan ebeveynin başvurusu üzerine ise, Genel Müdürlük tarafından yapılacak değerlendirme sonucu, yalnızca çocuğun sağlığına ilişkin çıkarımlar yapılabilecek veriler, lokasyon ve iletişim bilgileri gibi verilerden arındırılmış olarak talep sahibi ebeveyn ile paylaşılabilecektir.
G- Ölünün Sağlık Verilerine Erişim
Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir. Yönetmelikteki değişiklikle, vefat eden kişilerin, sağlık verilerinin saklanma süresi, 20 yıldan 30 yıla çıkarılmıştır.
H- Hukuki Değerlendirme ve Sonuç
Yapılan değişiklikler bir bütün olarak incelendiğinde, düzenlemenin KVKK’nın "Veri Minimizasyonu" ve "Bilme Gereği" prensiplerini sağlık sistemine daha sıkı entegre etmeyi amaçladığı görülmektedir.
Avukatların genel vekaletle veri alabilmesi ve ölen kişilerin verilerinin 30 yıl saklanması, delil toplama süreçlerini kolaylaştıracaktır.
"Geçmiş veriyi göstermeye zorlama yasağı", işe alım süreçlerini ve sigorta poliçesi tanzim süreçlerini doğrudan etkilemektedir. Şirketlerin adaylardan/müşterilerden manuel veri talep etme uygulamalarını sonlandırması gerekmektedir.
Hastanın gizlilik tercihleri nedeniyle oluşabilecek tıbbi zararlarda Bakanlığın sorumluluğunun bertaraf edilmesi, malpraktis iddialarında hekimler için önemli bir savunma argümanı oluşturacaktır. Hekim, hastanın veriyi gizlemesi nedeniyle teşhisi koyamadığını ispatlayabilecektir.
Değişiklikler, sağlık hizmeti sunucularının kullandığı HBYS yazılımlarında, erişim sürelerinin "taburcu olma" anına göre otomatik kısıtlanmasını sağlayacak teknik güncellemeler yapılmasını zorunlu kılmaktadır.
Boşanma vakalarında velayeti bulunmayan ebeveynin çocuğun sağlık verilerine "arındırılmış" (maskelenmiş) şekilde erişebilmesi, ebeveynin bilgi alma hakkı ile çocuğun güvenliği arasında adil bir denge kurmuştur.
Söz konusu Yönetmeliğe bu link üzerinden ulaşabilirsiniz.