Giriş

Avrupa Birliği (AB), dijital tek pazar stratejisi kapsamında sağlık verilerinin güvenli ve etkili paylaşımını sağlamak amacıyla 2025 yılında Avrupa Sağlık Veri Alanı (European Health Data Space - EHDS) adını taşıyan kapsamlı bir düzenlemeyi kabul etmiştir. 11 Şubat 2025 tarihli ve Reglamento (AB) 2025/327 sayılı bu Tüzük, sınır ötesi sağlık hizmetlerini ve sağlığın geliştirilmesi için veri kullanımını kolaylaştıracak ortak bir yasal çerçeve oluşturmayı hedeflemektedir. EHDS düzenlemesi, AB genelinde sağlık verilerinin birincil kullanımı (hastanın tedavisi için kullanımı) ile ikincil kullanımı (araştırma, politika geliştirme gibi ilk toplama amacının dışında kullanımı) konusunda detaylı kurallar getirmektedir. Bu makalede, EHDS’nin kavramsal çerçevesi ve getirilen yenilikler açıklanacak; hasta ve veri sahibi hakları, verilere erişim ve paylaşım kuralları ile yönetişim yapısı incelenecektir. Ayrıca Türkiye’deki mevcut sağlık verisi altyapısı ve mevzuatı (e-Nabız, Medula, Sağlık-Net gibi sistemler; KVKK, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, Türk Ceza Kanunu ve ikincil düzenlemeler) analiz edilerek, Türk hukukundaki eksiklikler ve uyumlaştırma gereklilikleri tartışılacaktır. Almanya, Estonya, Finlandiya ve Fransa’daki uygulamalar karşılaştırmalı olarak ele alınarak, Türkiye için çıkarılabilecek dersler vurgulanacaktır. Son olarak, EHDS’nin Türkiye’ye uyarlanmasına yönelik teknik, kurumsal ve hukuki düzlemde aşamalı bir yol haritası önerilecektir. Bu çalışma, akademik derinlikte hazırlanmış olmakla birlikte, konuya ilgi duyan geniş bir okur kitlesinin (örneğin LinkedIn kullanıcıları gibi) de erişebileceği anlaşılır bir dil kullanmayı amaçlamaktadır.

EHDS Nedir? Tanımlar ve Kapsam

EHDS, AB çapında ortak bir sağlık verisi alanı oluşturmayı hedefleyen ilk sektörel veri alanı girişimidir. Bu düzenleme, AB’nin genel veri stratejisinin sağlık özelindeki ayağını oluşturur ve hem vatandaşların sağlık verileri üzerindeki kontrolünü artırmayı, hem de sağlık verilerinin araştırma, yenilik ve politika yapımında kullanımını teşvik etmeyi amaçlar. EHDS Tüzüğü ile getirilen temel tanımlar ve kapsam şu şekilde özetlenebilir:

Birincil Kullanım (Primary Use): Kişisel sağlık verilerinin bireyin tedavisi ve bakımında kullanılması anlamına gelir. EHDS, birincil kullanım bağlamında elektronik sağlık kayıtlarının tutulması, paylaşılması ve sağlık hizmeti sunumunda kullanılması için yeni hak ve yükümlülükler tanımlamaktadır. Örneğin, bir hastanın teşhis ve tedavisi amacıyla elektronik sağlık kayıtlarına erişim, verilerin bir sağlık profesyonelinden diğerine aktarılması gibi işlemler birincil kullanıma girer.
İkincil Kullanım (Secondary Use): Sağlık verilerinin ilk toplama amacının dışında, araştırma, yenilik, halk sağlığı, politika oluşturma, eğitim veya düzenleyici faaliyetler gibi amaçlarla kullanılmasıdır. Bu kapsamda, başlangıçta tedavi için toplanmış olan verilerin sonradan anonimleştirilerek veya uygun güvenlik önlemleriyle bilimsel araştırmalar, istatistiksel analizler, yapay zekâ algoritmalarının eğitilmesi ya da sağlık sisteminin planlanması amacıyla değerlendirilmesi mümkündür.
Elektronik Sağlık Verisi (Electronic Health Data): EHDS Tüzüğü, elektronik ortamda işlenen her türlü sağlık verisini kapsamına almaktadır. Sağlık verisi kavramı geniş tutulmuş olup tıbbi kayıtlar, e-reçeteler, laboratuvar sonuçları, tıbbi görüntüler, genomik veriler, giyilebilir cihazların ürettiği veriler, klinik araştırma verileri, geri ödeme ve sigorta kayıtları gibi çok çeşitli veri kategorilerini içermektedir. Tüzüğe göre belirlenen öncelikli veri kategorileri arasında hasta özeti, elektronik reçete ve eczane bilgileri, radyoloji görüntü ve raporları, laboratuvar ve genetik test sonuçları ile epikriz (taburcu özeti) raporları yer almaktadır.
Sağlık Verisi Sahipleri ve Kullanıcıları: Tüzük, sağlık verilerini elinde bulunduran tarafları sağlık verisi sahipleri (health data holders), bu verilere ikincil kullanım amacıyla erişim talep edenleri ise sağlık verisi kullanıcıları (health data users) olarak tanımlamıştır. Sağlık verisi sahibi; sağlık veya bakım sektöründe faaliyet gösteren, sağlık hizmeti sunan ya da sağlıkla ilgili ürün/hizmet geliştiren kamu veya özel kurumlar, sağlık sigortaları, araştırma kuruluşları gibi veri işleme hakkı veya yükümlülüğü olan tüm kişi ve kurumları kapsar. Buna karşın, sağlık verisi kullanıcısı ise kanunda öngörülen meşru bir ikincil kullanım amacı için gerekli izinleri alarak verilere erişim hakkı elde eden taraflardır. Örneğin, bir üniversite araştırmacısı veya bir ilaç şirketi, belirli bir araştırma projesi için ikincil kullanıma yönelik veri talebinde bulunduğunda, gerekli izin/izinleri aldığında “sağlık verisi kullanıcısı” sıfatını kazanacaktır.
EHR Sistemleri ve Yazılım Sertifikasyonu: EHDS, Elektronik Sağlık Kaydı (Electronic Health Record – EHR) sistemlerini ve bazı sağlık uygulamalarını da düzenleme kapsamına almıştır. Sağlık hizmeti sunucularının kullandığı EHR yazılımları ve wellness uygulamaları için AB çapında ortak standartlar ve uyumluluk kriterleri getirilmiştir. Tüzüğe göre EHR sistemleri belirlenen birlikte işlerlik (interoperability) ve güvenlik gerekliliklerini karşılamak zorundadır; aksi takdirde AB pazarında kullanım onayı alamayacaktır. Bu kapsamda, standart veri formatları, kodlama sistemleri (ör. SNOMED CT, ICD-10, LOINC vb.) ve veri güvenliği için zorunlu yazılım bileşenleri (ör. Avrupa birlikte işlerlik modülü ve Avrupa kayıt tutma/log modülü) tanımlanmıştır. Her üye devlette, bu sistemlerin uygunluğunu denetleyecek bir Piyasa Gözetim Otoritesi kurulacak, böylece EHR yazılım üreticileri AB genelinde CE işareti benzeri bir sertifikasyon sürecine tabi olacaktır.
Yönetişim Mekanizmaları: EHDS, gerek birincil gerek ikincil kullanım alanında çok katmanlı bir yönetişim yapısı öngörmektedir. AB düzeyinde Avrupa Sağlık Veri Alanı Kurulu (EHDS Board) kurulacak ve üye devletler arasında koordinasyon sağlanacaktır. Ulusal düzeyde ise her ülkede Dijital Sağlık Otoritesi (birincil kullanım için) ve Sağlık Verisi Erişim Kurumu (ikincil kullanım için) olarak adlandırılabilecek yapılar teşkil edilecektir. Dijital Sağlık Otoritesi, ülke içinde birincil kullanım kurallarının (ör. hasta hakları, EHR sistemlerinin uyumu) uygulanmasını denetlerken; Sağlık Verisi Erişim Kurumları, ikincil kullanım başvurularını değerlendirerek izin/izin verme, veri taleplerini yönetme ve ihlalleri yaptırımlandırma görevlerini üstlenecektir.

Özetle, EHDS Tüzüğü sağlık verilerinin tanımından kullanım amaçlarına, teknik standartlardan yönetişim yapısına kadar kapsamlı bir düzenleme getirerek AB genelinde uyumlu bir sağlık veri ekosistemi kurmayı hedeflemektedir. Aşağıda, Tüzüğün getirdiği yenilikler birincil ve ikincil kullanım ayrımında daha detaylı ele alınacaktır.

EHDS Düzenlemesinin İçeriği ve Getirdiği Yenilikler

Birincil Kullanım: Hasta Hakları ve Sağlık Hizmetlerinde Veri Paylaşımı

EHDS, birincil kullanım alanında bireylerin kendi sağlık verileri üzerindeki haklarını güçlendiren hükümler getirmiş ve sağlık hizmeti sunucularına da veri paylaşımı konusunda yeni yükümlülükler yüklemiştir. Bu kapsamda doğal kişiler (hastalar), sağlık verileri konusunda Genel Veri Koruma Tüzüğü (GDPR) ile zaten sahip oldukları erişim ve taşıma haklarının ötesine geçen ilave haklara kavuşmaktadır. Öne çıkan hasta/veri sahibi haklarını şöyle sıralayabiliriz:

Verilerine Erişim Hakkı: Bireyler, kendilerine ait elektronik sağlık verilerine derhal, ücretsiz ve kolayca erişebilme hakkına sahiptir. Bu hak, hasta özetleri, tahlil sonuçları, reçeteler gibi öncelikli kategorilerdeki tüm sağlık verilerini kapsamaktadır. Tüzük, üye ülkelerin her birinde vatandaşların bu verilere çevrimiçi erişimini sağlayacak en az bir elektronik sağlık verisi erişim hizmeti (ör. e-Nabız benzeri portal) kurulmasını zorunlu tutmaktadır. Nitekim Estonya gibi öncü dijital sağlık sistemlerinde 2008’den beri tüm vatandaşlar merkezi e-Sağlık portalı üzerinden tıbbi kayıtlarına erişebilmektedir ve tüm erişimler hastanın görebileceği şekilde kaydedilmektedir.
Veri Aktarımı ve Paylaşımı: Birey, kendi sağlık verilerinin bir sağlık hizmeti sağlayıcısından diğerine elektronik ortamda ivedilikle ve engel olmaksızın aktarılmasını talep edebilir. Örneğin bir hasta, tedavisinin devamı için laboratuvar sonuçlarının veya görüntülerin bir başka hastaneye gönderilmesini istediğinde, bu işlem ücretsiz ve gecikmeksizin yapılmalıdır. Bu hüküm, sağlık verilerinde taşınabilirlik ilkesini somutlaştırmakta ve veri silolarını azaltmayı hedeflemektedir. Ayrıca sağlık profesyonellerinin, hastanın rızasıyla, hastanın diğer kurumlardaki kayıtlarına doğrudan erişebilmesi de sağlanacaktır. Örneğin bir AB ülkesindeki doktor, hastanın önceki tedavi öyküsüne başka bir ülkedeki EHR sistemi üzerinden gerçek zamanlı ulaşabilecektir. MyHealth@EU adı verilen merkezi birlikte işlerlik platformu, bu tür sınır ötesi veri paylaşımını mümkün kılacak altyapıyı sunacaktır.
Kayıt Ekleme ve Düzeltme Hakkı: EHDS kapsamında hastalar, elektronik sağlık kayıtlarına kendi notlarını veya ölçümlerini ekleme ve yanlış/verişiz bilgilerin düzeltilmesini talep etme hakkına sahiptir. Örneğin kronik hastalar kendi tuttukları kan şekeri ölçümlerini EHR sistemine yükleyebilir; veya dosyalarında tıbbi bir hata varsa, çevrimiçi hizmet üzerinden bunu düzeltilmesi için talepte bulunabilirler. Bu hak, hastaların sağlık kayıtlarının pasif nesnesi olmaktan çıkıp, verilerinin yönetimine aktif katılımını teşvik etmektedir.
Erişimi Kısıtlama (Mahremiyet) Hakkı: Bireyler, belirli sağlık verilerinin sağlık profesyonelleri tarafından görülmesini sınırlayabilme hakkına sahiptir. Bu sayede hasta, mahrem gördüğü bazı kayıtları (ör. geçmişteki psikolojik tedavi bilgileri gibi) diğer hekimlerin erişimine kapatabilecek veya ancak özel izniyle açılmasını sağlayabilecektir. Türkiye’de e-Nabız sistemi üzerinden benzer şekilde vatandaşların belirli ziyaret veya reçetelerini “gizli” modda işaretleyerek diğer sağlık tesislerince görünmez kılabildiği belirtilmektedir. EHDS bu mahremiyet seçeneğini tüm üye ülkelerde standart bir hak haline getirmektedir.
Opt-Out (Dijital Sistemde Yer Almama) Hakkı: Tüzüğe göre üye devletler, bireylere kendi elektronik sağlık verilerinin birincil kullanım kapsamında erişime sunulmamasını talep etme hakkı tanıyabilirler. Bir başka deyişle, hasta “opt-out” beyanında bulunarak sağlık verilerinin ulusal dijital sağlık sisteminde paylaşılmasını tamamen engelleyebilir. Bu hak ulusal mevzuata bırakılmış olup, Almanya gibi veri mahremiyetine önem veren ülkelerin vatandaşlarına dijital sağlık kayıtlarından tamamen çekilme seçeneği sunmasının önü açılmıştır. Öte yandan, Fransa ve Türkiye gibi merkezî sağlık kayıt sistemlerini benimsemiş ülkelerde opt-out hakkının kapsamı tartışma konusudur. Türkiye’de halihazırda her vatandaşın bir e-Nabız profili oluşturulmakta, ancak birey e-Nabız’ı aktif hale getirmediği sürece doktorların profilini görüntüleyemediği bir uygulama söz konusudur. EHDS ise opt-out hakkını daha genel bir biçimde ele almakta ve ister birincil ister ikincil kullanım olsun, bireyin istemediği durumda verilerinin kullanılmamasını talep edebileceğini belirtmektedir. Nitekim Tüzük madde metninde, herhangi bir gerekçe göstermeksizin ve istenildiği anda geri dönülebilir biçimde birincil veya ikincil kullanımdan çıkma hakkı tanındığı açıkça vurgulanmıştır.
Temsilci Atama ve Tazminat Hakları: EHDS, bireylerin kendi adlarına haklarını savunması için sivil toplum kuruluşlarına vekâlet verebilmesini (kolektif hak arama) öngörmektedir. Ayrıca, Tüzüğün ihlali sonucu kişilerin uğrayacağı maddi veya manevi zararlara karşı tazminat talep etme hakkı da tanınmıştır. Bu hükümler, EHDS’nin GDPR ile uyumlu şekilde, veri ihlallerine karşı bireylerin hukuki korunmasını pekiştirmektedir.

Birincil kullanım tarafında sağlık hizmeti sunucularının yükümlülükleri de önemli yer tutar. EHDS’ye göre sağlık hizmeti sunan tüm kuruluşlar, sundukları bakım kapsamında ortaya çıkan kişisel sağlık verilerini elektronik ortamda kaydetmek ve belirlenen standartlara uygun şekilde dijital sistemlere işlemek zorundadır. Artık AB genelinde kağıt ortamında tutulan veya dijital sistemlere aktarılmayan tıbbi kayıt kalmaması hedeflenmektedir. Örneğin bir hastane, hastanın taburculuk raporunu veya tetkik sonuçlarını elektronik sağlık kayıt sistemine girmekle yükümlüdür; aksi halde yaptırıma tabi olacaktır. Nitekim Türkiye’de de 3359 sayılı Sağlık Hizmetleri Temel Kanunu Ek 11. maddesi uyarınca Sağlık Bakanlığı’nca belirlenen kayıtları usulüne uygun tutmayan ve merkezi sisteme bildirmeyen sağlık kuruluşlarına önce uyarı, devamı halinde gelirlerinin %1’i oranında idari para cezası verilmektedir. Bu düzenleme, Türkiye’nin de benzer şekilde sağlık verilerinin merkezi dijital sistemlere gönderilmesini zorunlu kıldığını göstermektedir. EHDS ise bunu bir AB standardı haline getirmektedir.

Ayrıca sağlık hizmeti sunucuları, sınır ötesi veri paylaşımına katılmak durumundadır. MyHealth@EU altyapısı üzerinden, üye ülke vatandaşlarının temel sağlık verilerinin diğer AB ülkelerindeki sağlık profesyonellerince görüntülenebilmesi amaçlanmaktadır. Bu kapsamda hasta özeti, e-reçete, tetkik sonuçları gibi öncelikli verilerin diğer ülkelere güvenli biçimde iletilebilmesi için her ülkenin ulusal temas noktaları kurulmuştur. Örneğin Fransa’da Dijital Sağlık Ajansı (ANS), Sesali adlı hizmet ile yabancı bir hastanın AB formatındaki özeti ve reçetesinin Fransız hekimlerce görüntülenmesini test etmektedir. EHDS ile bu tür hizmetler tüm üye ülkelerde yaygınlaşacak, Türkiye de gelecekte bu ağa entegre olmayı hedeflerse benzer teknik hazırlıkları yapması gerekecektir.

Son olarak, birincil kullanım alanında AB çapında birlikte işlerlik ve güvenlik standartları hukuken bağlayıcı hale gelmiştir. Tüzüğün ekinde listelenen öncelikli veri kümeleri için Avrupa EHR değişim formatı tüm ülkelerde uygulanacaktır. Örneğin bir “hasta özeti” belgesinin asgari hangi alanları içereceği, ilaç adlarının hangi kod sistemine göre yazılacağı (ATC kodları vb.) gibi hususlar standartlaştırılmaktadır. Ayrıca her EHR sisteminin bir Avrupa birlikte işlerlik modülü içermesi ve verilerin değişiminde bu modülün kullanılması zorunlu kılınmıştır. Benzer şekilde, Avrupa log tutma modülü ile sağlık profesyonellerinin her erişim işleminin kayıt altına alınması ve hastanın talebi halinde bu erişim loglarının kendisine sunulması sağlanacaktır. Bu teknik düzenlemeler, ulusal sistemlerin birbiriyle konuşabilmesini ve hasta mahremiyetinin güvence altına alınmasını amaçlayan somut önlemlerdir.

İkincil Kullanım: Veri Erişim Amaçları, İzin Mekanizması ve Güvenlik

EHDS’nin belki de en yenilikçi yönü, sağlık verilerinin ikincil kullanımına ilişkin getirdiği ayrıntılı çerçevedir. Tüzük, hangi amaçlarla sağlık verilerinin ikincil olarak kullanılabileceğini, bu kullanım için nasıl izin alınacağını, veri paylaşım sürecini ve veri güvenliğine dair koşulları detaylandırmıştır. Bu yönüyle EHDS, sağlık verilerinin araştırma ve inovasyonda kullanımına dair AB genelinde birlikte işler ve güvenilir bir sistem inşa etmektedir.

İkincil Kullanım Amaçları: EHDS’ye göre kişisel sağlık verileri, ikincil kullanım kapsamında yalnızca belirli izin verilen amaçlar doğrultusunda işlenebilir. Tüzük bu amaçları sınırlı bir liste halinde saymıştır. Başlıca izin verilen ikincil kullanım amaçları şunlardır:

Kamu Sağlığı, Hasta Güvenliği ve Sağlık Tehditlerine Hazırlık: Halk sağlığının korunması, salgın hastalıkların izlenmesi, iş sağlığı, hasta güvenliğinin artırılması gibi kamusal yarar odaklı kullanımlar.
Politika Oluşturma ve Düzenleyici Faaliyetler: Sağlık politikalarının geliştirilmesi, sağlık hizmetlerinin planlanması, istatistiksel analizler, düzenleyici otoritelerin (ilaç/cihaz onay süreçleri gibi) veri temelli karar alması.
Bilimsel Araştırma ve AR-GE: Geniş anlamda sağlıkla ilgili her türlü araştırma faaliyeti bu kapsama girer. Temel ve uygulamalı tıbbi araştırmalar, klinik çalışmalar, inovasyon projeleri, yapay zekâ algoritmalarının eğitilmesi vb. bilimsel araştırma sayılmaktadır. EHDS, bilimsel araştırma kavramını özellikle geniş yorumlamakta; kamu yararına teknolojik geliştirme, ürün ve hizmet inovasyonu, halk sağlığına katkı sağlayacak her türlü AR-GE faaliyetini bu kapsamda değerlendirmektedir.
Eğitim ve Öğretim: Sağlık alanında eğitim faaliyetlerinde (örneğin tıp eğitiminde istatistiksel verilerin kullanımı gibi) verilerin kullanılması da izin verilen amaçlardandır.
Bakım Kalitesinin ve Tedavi Optimizasyonunun Geliştirilmesi: Sağlık hizmet sunumunun iyileştirilmesi amacıyla, örneğin klinik kalite göstergelerinin analizi, tedavi protokollerinin etkinlik analizleri gibi faaliyetler de ikincil kullanım kapsamında meşru görülmüştür.

Bu amaçlar dışında, sağlık verilerinin ikincil kullanımı yasak olacak veya en azından EHDS’in getirdiği kolaylaştırıcı mekanizmalardan yararlanamayacaktır. Örneğin, reklam veya doğrudan pazarlama, sigorta şirketlerinin risk fiyatlaması gibi ticari çıkar amaçlı kullanım veya kişinin aleyhine sonuç doğurabilecek karar destek sistemleri (ör. kredilendirme, işe alım) EHDS kapsamında izin verilen amaçlar arasında değildir. Böylece Tüzük, verilerin ancak kamu yararı ve sağlık ekosisteminin gelişimi ile uyumlu alanlarda kullanılabileceği yönünde bir ilk prensip ortaya koymuştur.

Sağlık Verisi Erişim Kurumları ve İzin Süreci: EHDS, ikincil kullanım için veriye erişmek isteyen taraflar ile veriyi elinde tutan taraflar arasında bir aracılık ve denetim mekanizması kurmaktadır. Her üye ülkede kurulacak Sağlık Verisi Erişim Kurumu (Health Data Access Body), o ülkenin yetkili otoritesi olarak faaliyet gösterecektir. Bu kurum, gelen veri taleplerini inceleyecek, uygun bulduklarını onaylayacak ve verinin güvenli şekilde ilgili tarafa sağlanmasını koordine edecektir.

Veri talebinde bulunmanın iki temel yolu vardır: sağlık verisi talebi ve sağlık verisi başvurusu (data application). Aralarındaki fark, talep edilen verinin niteliği ve erişim formatı ile işlem süresinde ortaya çıkar:

Basit Veri Talebi: Eğer amaç, istatistiki sonuçlar elde etmek üzere toplu veriye erişim ise, başvuru sağlık verisi talebi (data request) şeklinde yapılır. Bu durumda veriler kişisel olmayan, anonimleştirilmiş istatistiksel çıktı olarak sunulur; örneğin “2024 yılında ülke genelinde X hastalığı insidansı” gibi bir sorgu olabilir. Sağlık Verisi Erişim Kurumu, talebi alındıktan sonra en geç 6 ay içinde sonuçlandırır ve onay verirse talep sahibine ilgili anonim istatistiki veriyi sağlar. Bu yöntemde kişisel veri düzeyine inilmeksizin toplu analiz çıktıları paylaşılır.
Geniş Veri Başvurusu: Eğer araştırma amacıyla pseudonymize (kimliksizleştirilmiş ancak birleştirilebilir) veya ayrıntılı veri gerekiyorsa, başvuru sağlık verisi başvurusu (data application) olarak yapılır. Bu durumda erişim onayı çıkarsa kurum, başvuru sahibine anonimleştirilmiş veya gerekçeli hallerde pseudonymize veri setine erişim izni verir. Bu izin, “veri kullanım izni” (data permit) şeklinde resmi bir belgeyle verilir ve genellikle 3 ila 6 ay içinde sonuçlandırılması öngörülür. Verilen izinler, projenin niteliğine göre en fazla 10 yıl süreyle geçerli olacak, gerektiğinde bir 10 yıl daha uzatılabilecektir.
Basitleştirilmiş Prosedür: EHDS, belirli güvenilir veri tutucular (trusted data holder) üzerinden hızlı erişim imkânı da tanımaktadır. Eğer veri, ulusal otorite tarafından güvenilir sağlık verisi tutucusu olarak tanınan bir kurumun elinde ise (ör. belirli araştırma merkezleri), başvuru sahibi doğrudan bu kuruma başvurabilir. Güvenilir kurum, ön inceleme yaparak Sağlık Verisi Erişim Kurumuna bir tavsiye iletir; süreç böylece hızlanır ve yaklaşık 4 ay içinde tamamlanabilir. Sonuçta nihai onay yine yetkili kurumdan çıkar, ancak sürecin teknik değerlendirmesi hızlanmış olur.

Veri taleplerinin değerlendirilmesinde Sağlık Verisi Erişim Kurumu, başvurunun meşru bir amaca dayanıp dayanmadığını, talep edilen veri setinin amaca uygun ve minimal olup olmadığını, gerekli güvenlik önlemlerinin öngörülüp öngörülmediğini ve GDPR ile uyumlu bir işleme zemini bulunup bulunmadığını inceler. Ayrıca eğer ilgili ülkede vatandaşlara opt-out hakkı tanınmışsa, veri talebi değerlendirilirken bu hakka saygı gösterilip gösterilmediği de kontrol edilir. Örneğin, eğer bir hasta verilerinin ikincil kullanımına onay vermemiş (opt-out yapmış) ise, o hastaya ait veriler talep sahibine sağlanmayacaktır.

Sağlık Verisi Erişim Kurumu onayı verdikten sonra, ilgili veri sorumlusu/tutucusu kurum, talep edilen veriyi en geç 3 ay içinde bu kuruma iletmek zorundadır. Tüzük, veri tutucuların onaylanmış taleplere uymasını bir yükümlülük olarak düzenlemiş ve gecikme halinde yaptırımlar öngörmüştür. Bu anlamda, örneğin bir üniversite hastanesi elindeki kanser hastaları kayıtlarını (kimliksizleştirerek) araştırmacıya sunmak üzere 3 ay içinde erişim otoritesine teslim etmelidir. Veri erişim otoritesi de verileri güvenli bir ortamda araştırmacının erişimine açacaktır. EHDS, mümkün olduğunca verilerin uzaktan erişim yöntemiyle, güvenli bir analiz ortamında kullanılmasını tercih etmektedir; doğrudan ham verinin indirilmesi istisnai durumlara mahsustur. Finlandiya’nın 2019 yılında kurduğu Findata sistemi bu konuda örnek alınmıştır: Findata, araştırmacılara gerektiğinde verileri kendi kurduğu güvenli analiz platformu (Kapseli) üzerinden sunmakta, verinin dışarı çıkarılmasına ancak çok sıkı şartlarla izin vermektedir.

Ulusal ve Avrupa Kataloğlar: EHDS, veri keşfini kolaylaştırmak için her ülkede bir ulusal veri seti kataloğu oluşturulmasını ve ayrıca Avrupa genelinde bir AB veri kataloğu yayınlanmasını öngörmüştür. Sağlık verisi tutucuları, ellerinde bulundurdukları veri setlerini tanımlayıcı bilgileriyle bu kataloğa bildirmekle yükümlüdür. Böylece araştırmacılar (veri kullanıcıları), hangi ülkede hangi tür verilerin mevcut olduğunu önceden bilebilecek ve tek bir başvuruyla birden fazla ülkeye ait verilere erişim talep edebilecektir. Örneğin HealthData@EU adı verilen AB çapındaki altyapı üzerinden bir araştırmacı, aynı anda birden çok ülkedeki benzer verileri kapsayan tek bir izin başvurusu yapabilecek; bir ülkede verilen veri izni diğer ülkelerde de tanınabilecektir. Bu, AB içinde tek duraklı veri erişimi ilkesini hayata geçiren önemli bir yeniliktir.

Gizlilik ve Fikri Hakların Korunması: İkincil kullanım söz konusu olduğunda, sağlık verilerinin ticari sır, fikri mülkiyet veya gizlilik nedenleriyle korunması gerekebilir. EHDS, veri tutucuların ellerindeki veri setlerinde eğer fikri mülkiyet hakkı, ticari sır veya düzenleyici veri koruması bulunuyorsa bunu erişim kurumuna bildirmesini ve gerekli koruyucu önlemleri talep etmesini mümkün kılar. Özellikle klinik araştırma verileri gibi değerli datasetler söz konusuysa, erişim kurumu paylaşımı reddetme ya da kısıtlama yoluna gidebilir. Ancak genel ilke olarak, bu tür verilerin de “mümkün olduğunca” paylaşılması, ancak koruma tedbirlerinin azami düzeyde uygulanması benimsenmiştir. Örneğin bir ilaç firmasının yürüttüğü klinik çalışmadan elde edilen yan etki verileri, ticari sırları ifşa etmeyecek şekilde anonimleştirilerek araştırmacılara sunulabilir; eğer bu dahi yüksek riskli görülürse talep reddedilebilir.

Uluslararası Veri Transferleri: EHDS, AB dışı ülkelere veri transferi konusunda da özel kurallar getirmiştir. AB dışından bir araştırmacı veya kurumun EHDS kapsamında veri talep edebilmesi için, o ülkenin de EHDS ile eşdeğer koruma ve karşılıklılık sağlaması şartı aranacaktır. Yani AB, kendi vatandaşlarının verilerini ancak ilgili yabancı ülke benzer düzeyde koruyorsa ve AB’li araştırmacılara da benzer imkânlar tanıyorsa paylaşacaktır. Örneğin 2034 sonrasında üçüncü ülkeler de HealthData@EU ağına katılabilecek olup bunun için Komisyon’un ülke bazında yeterlilik teyidi gerekecektir. Türkiye’nin gelecekte EHDS ile uyumlu hale gelmesi, bu açıdan uluslararası araştırma iş birliklerine dahil olabilmesini de kolaylaştıracaktır.

Veri Güvenliği ve Sonuçların Yayımı: EHDS, ikincil kullanıma sunulan verilerin güvenliğinin sağlanması için teknik ve organizasyonel önlemleri vurgulamıştır. Verilere erişim çoğunlukla pseudonymize (kimlikler kodlanmış) veya anonim veri üzerinden verilecek; doğrudan kimliği belli veriye erişim istisnai olacaktır. Ayrıca, veriyi kullanan araştırmacı veya kurum, çalışması bittikten sonra en geç 18 ay içinde kullanım sonucunda elde ettiği çıktıları anonim şekilde kamuya açık hale getirmek durumundadır. Bu, ikincil kullanımın sonuçlarının toplum yararına geri beslenmesini sağlayacak bir şeffaflık adımıdır. Örneğin kanser kayıtlarını kullanarak bir akademik yayın yapan araştırmacı, 18 ay içinde sonuçları anonim veri halinde paylaşmalıdır.

Yaptırımlar ve Denetim: EHDS, kurallara uyulmaması durumunda uygulanacak yaptırımları da belirlemiştir. Sağlık verisi tutucuları veya kullanıcıları, Tüzük hükümlerini ihlal ederlerse 5 yıla kadar veri erişiminden men, günlük gecikme cezaları ve GDPR’dakine benzer şekilde 20 milyon Avro veya yıllık cironun %4’üne kadar idari para cezası gibi cezalara maruz kalabilecektir. Denetim mekanizması olarak ulusal Sağlık Verisi Erişim Kurumları, hem veri sağlayıcılarını hem de veriyi kullananları izleme, gerekli bilgileri talep etme, şikayetleri inceleme ve gerektiğinde veri izinlerini iptal etme yetkilerine sahip olacaktır.

Genel hatlarıyla, EHDS’nin ikincil kullanım rejimi, Finlandiya gibi öncü ülkelerin tecrübelerinden yararlanarak AB genelinde dengeli bir yapı kurmaktadır: Bireylerin mahremiyetine saygı, araştırmacılar için kolaylaştırılmış erişim, veri kalitesi ve güvenliği, şeffaflık ve hesap verebilirlik prensipleri bir arada gözetilmiştir. Bu yaklaşım, Türkiye için de önemli bir model teşkil edebilir. Zira Türkiye’de halihazırda sağlık verilerinin ikincil kullanımına dair dağınık ve belirsiz bir durum söz konusudur; EHDS’nin getirdiği mekanizmalar bu alandaki boşluğu doldurmak için fikir verebilir.

EHDS Yönetişim Yapısı ve Uygulama Takvimi

EHDS, yukarıda anlatılan hak ve yükümlülüklerin hayata geçmesi için çok katmanlı bir yönetişim ve kademeli uygulama planı öngörmüştür. Bu çerçevede:

EHDS Kurulu (Board): AB düzeyinde üye ülkelerin temsilcilerinden oluşan bir EHDS Kurulu kurulacak, Komisyon’un sekretaryasında çalışacaktır. Bu kurul, hem birincil hem ikincil kullanım alanında uygulamaya ilişkin rehberlikler hazırlayacak, üye ülkeler arası en iyi uygulama paylaşımlarını koordine edecek, teknik standartların güncellenmesini sağlayacaktır. Ayrıca Kurul bünyesinde birincil ve ikincil kullanım için ayrı alt çalışma grupları oluşturularak odaklı çalışmalar yürütülecektir.
Dijital Sağlık Otoriteleri: Her üye devlet, 2025 yılı ortasına kadar ulusal bir Dijital Sağlık Otoritesi belirlemekle yükümlüdür. Bu otorite (çoğu ülkede Sağlık Bakanlığı veya onun yetkilendireceği bir kurum olması beklenmektedir) birincil kullanım hükümlerinin ulusal düzeyde uygulanmasını denetleyecektir. Örneğin sağlık hizmeti sunucularının EHR sistemlerini sertifiye etmesi, hasta haklarının (erişim, düzeltme vs.) portal üzerinden sağlanması gibi konular bu otoritenin sorumluluğunda olacaktır. Türkiye’de halihazırda Bakanlık bünyesinde benzer işlevleri yerine getiren Sağlık Bilgi Sistemleri Genel Müdürlüğü gibi yapılar bulunmaktadır; EHDS uyumu çerçevesinde belki bu yapı “dijital sağlık otoritesi” olarak tanımlanabilir.
Sağlık Verisi Erişim Kurumları: Üye ülkelerin 2029’a kadar ikincil kullanım için gerekli kurumsal yapıları oluşturması beklenir. Bir veya birden fazla kurum bu rolü üstlenebilir (örneğin bir ülke araştırma verileri için ayrı, idari veriler için ayrı erişim otoritesi atayabilir; ancak işleyişin basitleşmesi için genellikle tek kapı tercih edilmektedir). Finlandiya’da Findata bu modelin ilk örneği olup, tek kapı veri erişim izni vermektedir. Almanya’da ise federal yapının getirdiği zorluklar nedeniyle hala bu kurumun nasıl teşkil edileceği tartışılmaktadır. Türkiye’de benzer bir kurumu oluşturmak, verilerin araştırma amaçlı paylaşımında standardizasyon sağlayabilecektir.
Teknik Altyapı: AB Komisyonu, MyHealth@EU (birincil kullanım) ve HealthData@EU (ikincil kullanım) olmak üzere iki merkezi dijital altyapının geliştirilmesinden sorumludur. MyHealth@EU zaten pilot e-sağlık dijital hizmet altyapısı (eHDSI) olarak e-reçete ve hasta özeti değişimi hizmetleriyle faaliyete geçmişti; EHDS ile bunun katılımcı ülkeler için zorunlu hale gelmesi söz konusudur. HealthData@EU ise ikincil kullanım için daha yeni geliştirilmekte olan bir federasyon altyapısıdır. 2025 sonrası EHDS yürürlüğe girince Komisyon bu ağları tam kapasite işletmeye başlayacaktır. Ayrıca EHDS, Avrupa Sağlık Veri Alanı Kataloğu gibi merkezi hizmetlerin de Komisyon tarafından yürütüleceğini belirtmektedir.
Uygulama Takvimi: Tüzük, Mart 2025’te yürürlüğe girse de hükümlerinin çoğu gecikmeli olarak uygulanacaktır. Genel olarak 26 Mart 2027 itibariyle EHDS kuralları devreye girmeye başlayacaktır. Ancak bazı hükümler kademeli geçiş sürecine sahiptir: Örneğin birincil kullanımda öncelikli veri gruplarının sınır ötesi paylaşımı 2029’a kadar tüm ülkelerde başlayacak (ilk etapta hasta özeti ve e-reçete, ikinci etapta görüntü, lab sonuçları ve epikriz 2031’e kadar). İkincil kullanımda ise çoğu veri kategorisi için kurallar 2029’da uygulanmaya başlayacak, genomik veriler gibi hassas bazı verilerde 2031’e kadar ek süre tanınmıştır. Bu kademelendirme, üye ülkelere teknik ve idari hazırlık süresi vermek içindir. Ayrıca 2034 yılında AB dışı ülkelerin HealthData@EU’ya katılımına kapı açılacağı öngörülmüştür. Örneğin Türkiye gibi aday veya komşu ülkeler, 2034’ten sonra gerekli şartları sağlamaları halinde ikincil kullanım ağına dahil olabilecektir.
Kaynak ve Yaptırım: EHDS hükümlerinin uygulanması için ülkelerin hem teknik yatırım yapması (EHR sistemlerini güncelleme, portal geliştirme, güvenli veri merkezleri kurma vb.) hem de insan kaynağı geliştirmesi gerekecektir. AB, EHDS’nin başarılı uygulanması halinde önümüzdeki 10 yılda sağlık verilerinin etkin kullanımı sayesinde 11 milyar Avro tasarruf sağlanabileceğini, dijital sağlık sektöründe %20-30 büyüme tetiklenebileceğini öngörmektedir. Bu beklentiler, ulusal hükümetlerin de projeye yatırım yapmasını teşvik amaçlıdır. Uyum sağlamayan taraflar için ise yukarıda bahsedilen idari para cezaları ve veri erişim yasakları gibi yaptırımlar devreye girecektir. GDPR’da olduğu gibi, veri koruma otoriteleri ve dijital sağlık otoriteleri iş birliğiyle denetimler yapılacak; örneğin bir yazılım firması EHR sistemini sertifikasyon olmadan piyasaya sürerse piyasa gözetim otoritesi tarafından ürün toplatma ve ceza yaptırımları uygulanacaktır.

Sonuç olarak EHDS, AB’de sağlık verilerinin kullanımına dair devrim niteliğinde bir dönüşümü başlatmıştır. Düzenleme; hastaların verileri üzerindeki kontrolünü sağlamlaştırırken, araştırmacılara da geniş ve düzenlenmiş bir veri havuzuna erişim olanağı sunmaktadır. Bu noktada, AB üyesi olmasa da benzer dijital sağlık altyapısına sahip olan Türkiye’nin durumunu incelemek ve EHDS’nin Türkiye’ye olası etkilerini değerlendirmek önem arz etmektedir.

Türkiye’de Sağlık Verisi Altyapısı ve İlgili Mevzuat

Türkiye, son yıllarda dijital sağlık altyapısını güçlendirme yönünde önemli adımlar atmış; e-sağlık sistemleri ve merkezi veri tabanları oluşturma konusunda birçok ülkeye kıyasla hızlı yol almıştır. Özellikle e-Nabız kişisel sağlık kaydı sistemi, Medula geri ödeme ve provizyon sistemi ve Sağlık-Net (Sağlık Bakanlığı’nın ulusal sağlık bilgi ağı) gibi bileşenler, Türkiye’nin sağlık verisi altyapısının temelini oluşturmaktadır. Bu bölümde önce Türkiye’deki mevcut dijital sağlık sistemleri özetlenecek, ardından sağlık verilerine ilişkin yasal çerçeve incelenecektir. KVKK ve özel nitelikli kişisel veri düzenlemeleri, 3359 sayılı Kanun ve diğer ikincil mevzuat ile Türk Ceza Kanunu’nun ilgili hükümleri ele alınarak, Türkiye’de sağlık verilerinin korunması ve paylaşımı rejimi ortaya konacaktır.

Mevcut Dijital Sağlık Sistemleri: e-Nabız, Medula, Sağlık-Net

e-Nabız: Türkiye’nin 2015 yılında hayata geçirdiği e-Nabız, tüm vatandaşların kendi sağlık kayıtlarına çevrimiçi olarak erişebildiği ulusal kişisel sağlık kaydı sistemidir. e-Nabız’da; hastanelerde yapılan muayeneler, tanılar, yazılan ilaçlar, laboratuvar tahlil sonuçları, radyoloji görüntü raporları, aşı bilgileri gibi bir bireyin sağlık geçmişine dair hemen her veri saklanmaktadır. Sistem, vatandaşa ait verileri farklı sağlık tesislerinden merkezi bir havuzda toplayarak tek bir profilde sunar. Vatandaşlar e-Nabız’a e-Devlet üzerinden veya mobil uygulama ile giriş yaparak verilerini görebilir, doktorlarıyla paylaşabilir. Ayrıca e-Nabız, ACİL durum modülü ile kaza/acil durumda sağlık personelinin hastanın kritik bilgilerine (alerji, ilaç vb.) hızlıca erişebilmesini sağlar. e-Nabız, EHDS’in birincil kullanım vizyonuna oldukça paralel bir uygulama olup, Türkiye’nin dijital sağlık dönüşümünde amiral gemisi konumundadır.
Medula: Medula, Sosyal Güvenlik Kurumu (SGK) tarafından işletilen ve sağlık hizmet sunucularıyla SGK arasındaki online provizyon ve faturalama işlemlerini yöneten sistemdir. Medula üzerinden, hastaneler ve eczaneler SGK’ya çevrim içi olarak hizmet kaydı girer, geri ödeme onayı alır ve fatura gönderirler. Bu sayede teşhis kodları, yapılan işlemler, yazılan ilaçlar ve malzeme kullanımları merkezi olarak kayıt altına alınır. Medula verileri esasen idari (idame) amaçlıdır ancak muazzam büyüklükte bir ikincil veri kaynağı teşkil eder: Yıllar içinde milyarlarca hizmet kaydı barındıran Medula, araştırmacılar tarafından anonimleştirilerek kullanıldığında toplum sağlığı ve sağlık ekonomisi açısından çok değerli bilgiler üretebilmektedir. Nitekim Fransa’daki SNIIRAM sistemi (ulusal sağlık sigortası veritabanı) benzeri şekilde, Türkiye’de de SGK verileri kullanılarak çeşitli analizler yapılmaktadır. Medula, EHDS’in bahsettiği sağlık idari verileri kategorisine (reçete, harcama, provizyon) örnek olup, Türkiye’nin elindeki büyük verisetlerinden biridir.
Sağlık-Net ve Diğer Sistemler: Sağlık-Net 2 projesi, Türkiye’de tüm sağlık kurumlarını Sağlık Bakanlığı merkez veri ambarına bağlamayı amaçlayan bir altyapıdır. Bu proje kapsamında hastane bilgi yönetim sistemlerinden (HBYS) çıkan veriler, belirli standartlarla bakanlığın sunucularına aktarılır. Sağlık-Net, e-Nabız’ın arka planını oluşturan veri omurgası olarak değerlendirilebilir. Bunun dışında, Aile Hekimliği Bilgi Sistemi (AHBS), Merkezi Hekim Randevu Sistemi (MHRS), Halk Sağlığı Yönetim Sistemi (HSYS), TÜİK Sağlık Araştırması gibi çeşitli alt sistem ve veri kaynakları da bulunmaktadır. Tüm bu sistemler, Türkiye’de oldukça kapsamlı bir dijital sağlık ekosistemi kurmuş durumdadır. EHDS’in aradığı teknik kapasite bakımından Türkiye, özellikle e-Nabız sayesinde pek çok AB ülkesinden ileridedir denebilir. Örneğin Estonya’da 2008’de başlayan merkezi EHR sisteminin benzeri, Türkiye’de e-Nabız ile gerçekleştirilmiştir; Estonya gibi Türkiye’de de hasta portalı üzerinden vatandaşlar verilerini görmekte, erişim kayıtları (loglar) tutulmaktadır. Estonya farkı olarak, orada loglar doğrudan hastanın görebileceği şekilde portalda sunulur iken, Türkiye’de bu şeffaflık düzeyi henüz tam olarak yoktur (vatandaş e-Nabız’da kimlerin kaydına baktığını otomatik bildirimle öğrenememektedir). Bununla birlikte, teknik altyapı açısından Türkiye, EHDS gereksinimlerine adaptasyon potansiyeli yüksek bir konumdadır.

Türkiye’de Sağlık Verilerine İlişkin Mevzuat: KVKK, Özel Nitelikli Veriler ve Sağlık Kanunları

Türkiye’de kişisel verilerin korunmasına ilişkin temel yasa, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’dur. 2016 yılında yürürlüğe giren KVKK, GDPR’ın pek çok ilkesini benimseyen genel bir çerçeve yasadır. Sağlık verileri, KVKK m.6 uyarınca özel nitelikli kişisel veri kabul edilmiştir. Kanuna göre özel nitelikli veriler, ilgili kişinin açık rızası olmaksızın işlenemez; ancak sağlık verileri söz konusu olduğunda bir istisna getirilmiştir. KVKK 6(3) maddesi gereği, sağlık verileri “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve finansmanı” amacıyla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından ilgili kişinin rızası aranmaksızın işlenebilir. Bu hüküm, sağlık sektörü uygulamasının sürekliliği açısından kritik bir istisnadır ve EHDS’in birincil kullanım mantığıyla paralellik gösterir. Örneğin bir hastanede acil tedavi sağlanırken hastadan ayrıca KVKK rızası almak gerekmeksizin tıbbi kayıtları işlenebilir veya SGK ile paylaşılabilir. Türkiye’de sağlık hizmet sunumunun dijital platformlarda yapılabilmesi büyük ölçüde bu kanuni istisnaya dayanmaktadır.

KVKK yanı sıra, sağlık verilerine özgü ikincil düzenlemeler de mevcuttur: 2019 yılında Sağlık Bakanlığı tarafından çıkarılan Kişisel Sağlık Verileri Hakkında Yönetmelik, sağlık verilerinin işlenmesi ve mahremiyetinin sağlanması konusunda ayrıntılı kurallar getirmiştir. Bu yönetmelik, sağlık verilerinin işlenme amaçlarını ve usullerini belirlerken, verilerin güvenliği ve erişim kontrolüne dair düzenlemeler içermekteydi. Ancak söz konusu yönetmeliğin bazı hükümleri Danıştay ve Anayasa Mahkemesi incelemesine konu oldu. Örneğin, 2019 yönetmeliğinde Sağlık Bakanlığı bünyesinde oluşturulacak Kişisel Sağlık Verileri Komisyonu’nun veri paylaşım kurallarını idari kararla belirleyebilmesine dair hüküm, “mevzuatla düzenlenmesi gereken bir konunun idarenin takdirine bırakılması ve veri güvenliğinin yeterince sağlanmaması” gerekçeleriyle yargı tarafından iptal edilmiştir. Yine 663 sayılı Sağlık Bakanlığı Teşkilat Kanun Hükmünde Kararname’nin (KHK) 47. maddesi, kişisel sağlık verilerinin merkezi toplanmasına olanak tanıyordu; bu madde de Anayasa Mahkemesi tarafından 2014’te iptal edilmiştir. Bu yargı kararları, Türkiye’de sağlık verilerinin merkezi toplanması ve ikincil kullanımı konusunda kişisel verilerin korunması ilkesinin çok güçlü bir şekilde vurgulandığını göstermektedir. Merkezi veri toplama girişimleri, gerekli yasal güvenceler olmadığı takdirde iptal edilmiştir. Bunun sonucunda Sağlık Bakanlığı, söz konusu yetkileri yasal dayanakları güçlendirerek 3359 sayılı Sağlık Hizmetleri Temel Kanunu’na ek maddeler halinde yerleştirmiştir. Nitekim 3359 sayılı Kanun’a 2018’de eklenen Ek Madde 11, artık bakanlığın belirlediği merkezi sağlık veri sistemine veri gönderimini yasa düzeyinde zorunlu kılmıştır.

3359 sayılı Sağlık Hizmetleri Temel Kanunu Ek 11’in üçüncü fıkrası uyarınca: “Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları uyarılır; tekrarı halinde bir önceki aya ait brüt hizmet gelirinin %1’i kadar idari para cezası verilir.”. Bu hükme dayanarak Sağlık Bakanlığı, özel hastaneler ve diğer tüm sağlık sunucularından e-Nabız ve Sağlık-Net sistemlerine düzenli veri akışı yapılmasını şart koşmaktadır. Örneğin Özel Hastaneler Yönetmeliği m.49/4, özel hastanelerin tuttukları kişisel sağlık verilerini KVKK ve ilgili mevzuata uygun şekilde bakanlığın merkezi sistemine aktarmasını zorunlu kılmıştır. Keza Ayakta Teşhis Tedavi Yönetmeliği m.27/8 de benzer biçimde poliklinik ve tıp merkezlerinin verileri Bakanlık sistemine göndermesini öngörür. Bu ikincil düzenlemeler, Türkiye’de birincil kullanım bağlamında verilerin merkezi toplanması ve dijital kayda geçmesi için güçlü bir hukuki zemin oluşturmuştur. Ancak ikincil kullanım (yani bu verilerin araştırma veya istatistik amaçlı paylaşılması) konusunda aynı derecede ayrıntılı ve özel bir yasa bulunmamaktadır. KVKK’nın genel ilkeleri ve istisnaları burada devreye gelse de, pratikte Türkiye’de sağlık verilerinin araştırma amaçlı kullanımı çoğunlukla etik kurul izinleri ve anonimleştirme yoluyla ilerlemektedir. Bir araştırmacı, hastane kayıtlarını retrospektif incelemek istediğinde, ilgili hastaneden veya Sağlık Bakanlığı’ndan proje bazında izin almakta; genellikle veri setleri hastanın kimliği çıkarılarak (anonim) veya en azından T.C. kimlik numarası gibi doğrudan tanımlayıcılar kaldırılarak sağlanmaktadır. Eğer veriler anonim hale getirilmişse KVKK kapsamında kişisel veri olmaktan çıkar ve kısıtlama dışına çıkar. Nitekim Kişisel Sağlık Verileri Yönetmeliği’nde de “KVKK madde 8 ve 9’da belirtilen şartlar sağlanamıyorsa ancak anonim hale getirilerek işlenebilir” ibaresiyle buna atıf yapılmıştır.

Türk hukukunda hasta hakları açısından da önemli düzenlemeler mevcuttur. 1998 tarihli (2014’te revize edilen) Hasta Hakları Yönetmeliği, hastanın kendi sağlık durumu ve kayıtları hakkında bilgi alma hakkını düzenlemektedir. Bu kapsamda hasta, sağlık kuruluşundan tıbbi kayıtlarının bir örneğini isteyebilmekte, yanlış bilgiler varsa düzeltilmesini talep edebilmektedir. Ayrıca Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun ve Tıbbi Deontoloji Nizamnamesi, hekimlere hasta sırlarını gizli tutma yükümlülüğü getirmektedir. Türk Ceza Kanunu (TCK) m.136 ise, kişisel verileri hukuka aykırı olarak başkasına veren, yayan veya ele geçiren kişilerin cezalandırılacağını öngörür. Bu madde, sağlık personelinin veya başka herhangi birinin hastaya ait verileri rıza dışında paylaşması halinde cezai sorumluluk doğurur. Nitekim bir özel hastane çalışanının e-Nabız sistemine hukuka aykırı erişim sağlaması olayı hakkında Kişisel Verileri Koruma Kurulu 2023’te karar almış ve ilgili sağlık tesisine idari yaptırım uygulamıştır. Bu örnek, e-Nabız gibi sistemlerde izinsiz erişimlerin KVKK ve gerekirse ceza kanunu kapsamında yaptırıma tabi olduğunu göstermektedir.

Özetlemek gerekirse, Türkiye’de birincil kullanım alanında (tedavi süreçlerinde veri işlenmesi ve merkezi sistemlere toplanması) güçlü bir yasal altyapı vardır ve fiilen işler durumdadır. Hastanelerin dijital kayıt tutması zorunlu hale getirilmiş, e-Nabız gibi bir ulusal sağlık veri alanı kurulmuştur. İkincil kullanım alanında ise yasal durum daha dağınıktır: KVKK’nın genel ilkeleri ve anonimleştirme şartı geçerli olmakla birlikte, EHDS tarzı izin mekanizmaları, veri taleplerinin tek elden yönetimi, veri seti katalogları gibi yapılar henüz bulunmamaktadır. Bu durum, Türkiye’de araştırmacıların veriye erişiminde belirsizlik ve kurumsal zorluklar yaratabilmektedir. Bir sonraki bölümde, EHDS ile öngörülen yapı ile Türkiye’nin mevcut durumu karşılaştırılarak, Türk hukukundaki eksiklikler ve uyumlaştırma gereklilikleri ele alınacaktır.

Türk Hukukunda Eksiklikler ve EHDS ile Uyumlaştırma Gereklilikleri

Yukarıdaki bölümlerde EHDS’nin getirdiği düzenlemeler ile Türkiye’de halihazırda var olan uygulama ve mevzuat ortaya konmuştur. Bu bağlamda, Türk hukuk sisteminin EHDS karşısındaki durumunu değerlendirdiğimizde bazı önemli boşluklar ve farklılıklar göze çarpmaktadır:

Birincil Kullanımda Hasta Hakları ve Onam Kavramı

EHDS, hastalara sağlık verileri üzerinde geniş haklar tanımaktadır (erişim, düzeltme, paylaşım, kısıtlama, opt-out vb.). Türkiye’de ise hastaların elektronik ortamda kendi verilerine erişimi e-Nabız sayesinde mümkün olsa da, bu hak yasal düzeyde ayrıntılı tanımlanmamıştır. Örneğin, EHDS ile gelen “verileri başka bir sağlık sunucusuna aktarma hakkı” (data portability in healthcare) Türk mevzuatında açıkça düzenlenmiş değildir. Pratikte hekimler arası konsültasyon veya sevk sistemleri bu görevi görse de, hastanın talebiyle dijital veri aktarımı kavramı yeni sayılır. KVKK kapsamında veri taşınabilirliği hakkı yalnızca otomatik işlemler için ve sınırlı uygulanırken, EHDS bunu sağlık özelinde genişletmiştir. Bu nedenle, Türk hukukunda hasta hakları düzenlemelerine EHDS’deki spesifik hakların entegre edilmesi faydalı olacaktır. Özellikle onam (rıza) kavramı üzerinde durulmalıdır. Türkiye’de “onam formu”, tıbbi müdahaleler için hastadan alınan aydınlatılmış onam belgesidir; veri işleme için ise ayrıca “açık rıza” gerekebilir. EHDS, ikincil kullanımda açık rıza aranmaksızın (opt-out esaslı) bir sistem öngördüğü için, Türk hukukunda alışılagelmiş “rıza temelli” yaklaşımı değiştirebilir. Mevcut durumda, klinik araştırmalar veya bilimsel çalışmalar genellikle ya etik kurul kararıyla ve anonim veriyle, ya da ilgili kişilerden rıza alınarak yapılmaktadır. EHDS’nin opt-out yaklaşımını benimsemek, kanunlarda değişiklik gerektirir. Özellikle KVKK m.6(3) sadece kamu sağlığı ve tedavi amacıyla rıza muafiyeti tanıyor; araştırma ve inovasyon için benzer bir muafiyet ancak kanunla getirilebilir. Bu noktada, “ikincil kullanım için genişletilmiş kamu yararı istisnası” getirilmesi ve bunun karşılığında güçlü denetim ve şeffaflık mekanizmaları tesis edilmesi gündeme gelebilir.

İkincil Kullanım Rejimi ve Kurumsal Eksiklikler

EHDS’nin ikincil kullanım çerçevesinde getirdiği yeniliklerin Türkiye’de büyük ölçüde karşılığı yoktur. En belirgin eksiklik, tek noktadan veri erişim izni sağlayan bir ulusal otoritenin bulunmamasıdır. Türkiye’de bir araştırmacı ulusal düzeyde sağlık verisi talep ettiğinde, karşısında başvuracağı net bir Sağlık Veri Erişim Kurumu yoktur. Örneğin Finlandiya’da araştırmacılar tüm sağlık verisi taleplerini Findata’ya yaparken, Türkiye’de veri türüne göre çeşitli makamlara başvurmak gerekir: TÜİK’e, Sağlık Bakanlığı’na, hastanelerin yönetimlerine veya SGK’ya ayrı ayrı yazışmalar yapmak gerekebilir. Bu da süreçleri uzatmakta ve belirsiz kılmaktadır. Ayrıca veri paylaşımında standart bir protokol olmayışı, her kurumun farklı anonimleştirme veya paylaşım prosedürleri uygulamasına yol açar. Bu açıdan, Türkiye’de bir “Ulusal Sağlık Veri Kurulu” veya EHDS tarzı bir Sağlık Bilgi İzin Kurumu kurulması faydalı olacaktır. Böyle bir kurum, veri talebi değerlendirme kriterlerini belirler, etik ve hukuki dengeyi gözeterek izin süreçlerini hızlandırır ve verilerin güvenli ortamda paylaşılmasını sağlar. Almanya da EHDS öncesinde benzer bir dağınıklık yaşamakta olup, şu an bir İkincil Kullanım Kanunu taslağı üzerinde çalışmaktadır. Taslak, farklı veri kaynaklarını tek çatı altında erişime açacak bir Federal Sağlık Veri Merkezi kurulmasını öngörmektedir. Türkiye, Almanya’nın bu hazırlıklarından ders alarak daha bütüncül bir yapı kurabilir.

Bir diğer eksiklik, veri kategorileri ve formatlarının standardizasyonu konusundadır. Türkiye’de e-Nabız ve Sağlık-Net, HL7 tabanlı verileri toplayıp FHIR formatına geçiş yapmaya çalışsa da, henüz tüm sağlık tesislerinde tam entegrasyon sağlanmamıştır. EHDS’nin dayattığı Avrupa EHR değişim formatı ve kodlama standartlarına (SNOMED CT gibi) Türkiye’nin uyum sağlaması gerekecektir. Türkiye halen ICD-10 ve lokal kodlar kullanmakta, SNOMED CT üyeliği bulunmamaktadır. Orta vadede, uluslararası terminolojilere geçiş teknik bir gereklilik olacaktır.

Mahremiyet ve Güvenlik boyutunda, Türkiye’de e-Nabız için çeşitli mahremiyet özellikleri olsa da (örneğin vatandaşın eczaneden aldığı ilacı e-Nabız profilinden silebilmesi gibi), EHDS’nin belirttiği erişim loglarının hasta tarafından görülmesi uygulaması henüz yoktur. Halbuki Estonya’da her vatandaş, e-sağlık sistemine kimin baktığını anlık takip edebilmektedir. Türkiye’de KVKK gereği hastane kayıtlarında erişim logları tutulsa da, bunların proaktif şekilde vatandaşla paylaşımı söz konusu değildir. Bu tür şeffaflık adımları güveni artıracaktır. EHDS ayrıca ihlal durumunda tazminat hakkından bahsetmiştir; Türkiye’de ise KVKK’da genel tazminat imkanı var ancak hasta özelinde fazla gündeme gelmemiştir. Bu konular hasta mahremiyeti kültürünün güçlendirilmesi için ele alınmalıdır.

Mevzuat Uyumlaştırma Gereklilikleri

EHDS’ye uyumlu bir yapı için Türk mevzuatında muhtemel değişiklikler şöyle özetlenebilir:

KVKK ve Özel Nitelikli Veri Düzenlemeleri: KVKK’da sağlık verilerinin ikincil kullanımı için açık rıza aranmaksızın işlenebileceği yeni bir istisna tanımlanması gerekebilir. Örneğin “bilimsel araştırma, istatistik ve kamu sağlığı amacıyla gerekli güvenceler alınarak sağlık verileri ilgili kişinin rızası olmaksızın işlenebilir” şeklinde bir hüküm, EHDS modeline yaklaşmayı sağlar. Bunu destekleyecek şekilde, Kişisel Sağlık Verileri Yönetmeliği güncellenerek Sağlık Bakanlığı bünyesinde bir veri erişim komisyonu (veya kurumu) resmileştirilebilir. Daha önce Danıştay’ın iptal ettiği komisyon yapısı, bu sefer kanunla ve güvencelerle kurulursa Anayasa’ya uygun hale gelebilir.
Sağlık Hizmetleri Temel Kanunu ve İlgili Kanunlar: 3359 sayılı Kanun’a eklenecek maddelerle, dijital sağlık otoritesi ve veri erişim kurumu tanımları yapılabilir. Örneğin Sağlık Bakanlığı’nı dijital sağlık otoritesi, Türkiye İlaç ve Tıbbi Cihaz Kurumu veya TÜİK gibi kurumları veri erişim otoritesi olarak belirleyen maddeler konabilir. Alternatif olarak, tamamen yeni bir “Sağlık Verileri Kanunu” çıkarılarak EHDS’nin getirdiği tüm kavramlar tek bir ulusal çatı altına alınabilir. Bu kanun, EHDS’nin önemli maddelerini Türk hukuk kültürüne adapte ederek içerir: Hasta hakları, veri paylaşım izni süreçleri, veri kategorileri, yaptırımlar vs. Bu tür bir özel kanun, hem KVKK’yı destekler nitelikte olur hem de sağlık özelindeki ihtiyaçlara cevap verir.
İkincil Düzenlemeler: Yeni kanuni düzenlemeler hayata geçerken, mevcut yönetmeliklerin de güncellenmesi gerekecektir. Örneğin Hasta Hakları Yönetmeliği’ne “kişisel sağlık verilerine elektronik erişim”, “veri paylaşımını talep etme” gibi haklar eklenebilir. Özel Hastaneler ve benzeri sağlık kuruluşları yönetmeliklerinde veri gönderimi yanında veri güvenliği ve mahremiyet konusunda standartlar getirilebilir. EHR yazılım üreticilerine, EHDS’nin şart koştuğu birlikte işlerlik modüllerini entegre etme zorunluluğu getirilebilir.
Denetim Yapısı: KVKK’nın uygulayıcısı olan Kişisel Verileri Koruma Kurumu (KVK Kurumu) ile Sağlık Bakanlığı arasında daha entegre bir denetim iş birliği sağlanmalıdır. EHDS, dijital sağlık otoritesi (muhtemelen Sağlık Bakanlığı) ile GDPR denetleyici otoritesi (Türkiye’de KVK Kurumu) arasında koordinasyon gerektiğini vurgular. Türkiye’de de benzer şekilde, sağlık verisi ihlallerinde KVK Kurumu ve Sağlık Bakanlığı birlikte çalışmalıdır. Belki KVK Kurumu bünyesinde sağlık verisi alanına özgü bir ihtisas dairesi kurulabilir.

Onam ve Rıza Konusunda Yaklaşım Değişimi

Türkiye’de tıbbi onam geleneği, her müdahale öncesi hastadan imzalı rıza almak yönündedir. Veri paylaşımı söz konusu olduğunda ise bu genelde ayrık bir süreçtir (örneğin bir araştırma için hastadan ayrı bir form ile veri kullanım izni alınması). EHDS ise tam tersine, varsayılan olarak verinin kullanılabileceği ancak hastanın isterse vazgeçebileceği bir sistem öngörüyor. Bu, “açık rıza” yerine “itiraz ve vazgeçme hakkı” modelidir. Türk hukukunda ve hekimlik etiğinde bu yaklaşım yeni bir zihniyet gerektirir. Vatandaşa verilerinin kamu yararına kontrollü paylaşılacağı anlatılır ve aksi yönde güçlü bir itirazı yoksa veri kullanılabilir. Bu modelin başarılı olması için kamu otoritesine büyük güven ve şeffaflık gerekir. Finlandiya örneğinde, ikincil kullanım kanunu hazırlanırken Anayasa Komisyonu, bu modelin GDPR’a aykırı olmadığını ve veri koruma otoritesi denetiminde meşru olduğunu vurgulamıştır. Türkiye’de de benzer bir tartışma yaşanacak, belki Anayasa Mahkemesi’ne kadar gidebilecektir. Bu nedenle, olası bir mevzuat değişikliğinde vatandaş katılımı ve güven tesis edici tedbirler (örn. güçlü şifreleme, kimliksizleştirme, etik kurul onay şartı vb.) öngörülmelidir.

İkincil Kullanımda Şeffaflık ve Hesap Verebilirlik

EHDS, veri kullanıcılarına sonuçları yayımlama, log tutma, denetimlere açık olma gibi yükümlülükler getirdi. Türkiye’de halihazırda veri paylaşımı sonrası böyle zorunluluklar bulunmamaktadır. Örneğin Bakanlık, veriyi bir araştırmacıya verdiğinde, araştırmacının sonuçları paylaşması veya süreci raporlaması istenmez. EHDS modeli, her erişim izninin kayıt altına alınmasını, yıllık raporlarla denetlenmesini içeriyor. Türkiye’de olası bir uyarlamada, Sağlık Veri Erişim Kurumu varsa bu kurum her yıl KVK Kurumu’na rapor sunabilir; kim, hangi veriyi aldı, ne yaptı özetleyebilir. Hatta kamuya açık olarak onaylanan projeler listesi yayınlanabilir (kişisel veri içermeden). Bu tür şeffaflık adımları, kamuoyunda “verilerimiz gizlice kullanılıyor mu?” endişesini azaltacaktır.

Sonuç itibariyle, Türk hukuk sisteminin EHDS ile tam uyumlu hale gelmesi için yeni bir yasal çerçeve, kurumsal yapılanma ve kültürel dönüşüm gerekmektedir. Bu dönüşüm, Türkiye’nin AB ile müktesebat uyumuna da hizmet edecek ve uzun vadede sağlıkta inovasyon ekosistemini güçlendirecektir. Aşağıda, AB üyesi ülkelerin farklı uygulamalarından yola çıkarak Türkiye’nin neler öğrenebileceğine değinilecek ve ardından bir uyarlama yol haritası önerilecektir.

AB Ülkelerindeki Uygulamalar: Almanya, Estonya, Finlandiya, Fransa Örnekleri ve Türkiye için Çıkarımlar

EHDS her ne kadar tüm AB ülkeleri için ortak kurallar getirse de, üye ülkelerin mevcut dijital sağlık altyapıları ve veri paylaşımı konusundaki yaklaşımları oldukça farklılık göstermektedir. Bu bölümde, soruda özellikle belirtilen dört ülkenin – Almanya, Estonya, Finlandiya ve Fransa – sağlık veri yönetimi tecrübeleri özetlenecek ve Türkiye için dersler çıkarılacaktır. Bu ülkeler, dijital sağlık ekosisteminde farklı konumlarda olup EHDS’ye hazırlık düzeyleri bakımından çeşitlilik arz etmektedir:

Almanya: Federal Yapıda Dijital Sağlık ve Veri Paylaşım Mücadelesi

Almanya, güçlü kişisel veri mahremiyeti kültürü ve federal devlet yapısı nedeniyle dijital sağlık dönüşümünde nispeten yavaş ilerleyen bir ülkedir. 83 milyon nüfusa sahip Almanya’da sağlık sistemi 16 eyaletin yetkisi, 100’e yakın kamu sağlık sigortası kurumu ve sayısız özel aktörle oldukça parçalı bir yapıdadır. 2021’e kadar Almanya’da vatandaşların elektronik sağlık kayıtları (Elektronische Patientenakte - ePA) yok denecek kadar az kullanılıyordu; sistem opt-in esasına dayandığından sadece %1-2’lik bir kesim ePA açtırmıştı. Bunu aşmak için Almanya 2023’te ePA’yı opt-out modeline geçirme kararı almıştır: 2025 sonuna dek herkes için bir dijital sağlık dosyası oluşturulacak ve istemeyen vatandaşlar çıkmayı talep edecektir. Bu adım, EHDS’nin öngördüğü dijital kayıt katılımını arttırma hedefiyle uyumludur.

Almanya’nın sağlık verilerinin ikincil kullanımı konusundaki yaklaşımı da temkinlidir. Ülkede halihazırda sağlık verilerinin araştırma amaçlı paylaşımı ya doğrudan hastaların rızasıyla ya da özel kanun hükümleriyle (örn. Kanker kayıtları kanunu gibi) yapılmaktadır. 18 farklı Veri Koruma Otoritesi (her eyalette bir, federal düzeyde bir) bulunmaktadır ve bu kurumlar veri minimizasyonu ilkesine çok önem vermektedir. Ayrıca etik kurullar da eyalet bazında olduğundan, bir multi-merkezli araştırma yapmak bürokratik olarak zor olabilmektedir. Almanya bu sorunları çözmek için 2023’te “Sağlık Veri Kullanım Kanunu” taslağını hazırlamıştır (Gesundheitsdatennutzungsgesetz). Taslak, EHDS’ye uyum için ulusal bir sağlık veri erişim kurumu kurmayı, veri taleplerini merkezileştirmeyi ve farklı veri kaynaklarını (hastane bilişim inisiyatifi MII, ulusal kohortlar, SGK verileri vs.) tek bir portalda birleştirmeyi öngörmektedir. Ayrıca Almanya, vatandaşların verilerine araştırmacıların erişimine büyük oranda olumlu baktığını tespit etmiştir; bir kanser hasta anketinde, güven duyulan kurumlar aracılığıyla paylaşım fikrine hastaların çoğu sıcak bakmıştır.

Türkiye için çıkarımlar: Almanya örneği, federal olmasa bile büyük ve karmaşık bir sağlık sisteminde veri paylaşımını sağlamak için hukuki netliğin ve merkezi koordinasyonun önemini göstermektedir. Türkiye’de de benzer bir ölçek sorunu mevcuttur (büyük nüfus, kamu-özel karışık sağlık sektörü). Almanya’nın yapmayı planladığı gibi, Türkiye de ulusal bir veri erişim yapısı ve açık kanun hükümleri olmadan bu işi yürütemeyeceğini öngörmelidir. Ayrıca Almanya’daki güven ve toplum katılımı vurgusu dikkate değerdir. Türkiye’de veri paylaşımında halkın güvenini kazanmak belki Almanya’ya göre daha kolay olabilir (zira e-Nabız gibi bir sistem yıllardır kullanılıyor, merkezi veri toplanmasına alışıldı). Yine de, Almanya’nın kademeli yaklaşımı gibi Türkiye’nin de adım adım ilerleyerek pilot projelerle güven tesis etmesi mantıklı olacaktır. Almanya’nın opt-out EHR hamlesi de Türkiye’nin e-Nabız’ı geliştirmesi açısından cesaret vericidir; e-Nabız halihazırda gönüllülük esasına dayansa da, belki otomatik katılım modeline geçirilebilir.

Estonya: Dijital Sağlıkta Öncü Model

1.3 milyon nüfuslu Estonya, 2008 yılından bu yana ulusal dijital sağlık sistemini başarıyla işleten bir ülkedir. Estonya’nın e-Health sistemi, tüm sağlık hizmet sunucularını merkezi bir sağlık bilgi sistemi üzerinden bağlar ve ülkedeki her bireyin tıbbi verileri ulusal veri ambarında tutulur. Hastane ve aile hekimi kayıtları, e-reçeteler, görüntü raporları vs. bu sistemde toplanır; sağlık profesyonelleri ve hastalar X-Road adlı güvenli veri değişim altyapısı ile bu bilgilere erişir. Sistemin önemli özelliklerinden biri, tüm erişimlerin loglanması ve hastaların kendi verilerine kimlerin baktığını görebilmesidir. Vatandaşlar e-sağlık portallarından giriş yaparak hem geçmişlerini takip edebilmekte hem de izinsiz erişim tespit ederlerse şikayette bulunabilmektedir.

Estonya’da sağlık verilerinin ikincil kullanımında da ileri uygulamalar mevcuttur. Ülkede 6 adet dijital tıbbi kayıt ve halk sağlığı registri Sağlık Geliştirme Enstitüsü (NIHD) tarafından tutulmakta, ayrıca Estonya Sağlık Sigortası Fonu’nun (EHIF) veri ambarı tüm ülke çapındaki provizyon verilerini barındırmaktadır. Araştırmacılar bu veri kaynaklarına erişim talep ettiğinde genellikle pseudonymize veri sağlanır; doğrudan kimlik gerekirse etik kurul onayı şart koşulur. Estonya’da ilginç bir şekilde, sağlık verilerinin ikincil kullanımı için hastalardan tek tek rıza aranmaz; kanunlar, kamu yararı gözetilerek ve gerekli onay mekanizmalarıyla (etik kurul gibi) verilerin paylaşılabileceğini öngörür. Yani fiiliyatta bir opt-out modeli uygulanıyor denebilir: Bireyler veri paylaşımına itiraz etmediği sürece, kimliksizleştirilmiş verileri araştırmalarda kullanılabiliyor. Ülkede halihazırda güvenli veri işleme ortamları da mevcut; örneğin Estonya Biobank verileri veya istatistik kurumu verileri araştırmacılara kapalı bir sistemde analiz imkanı sunuyor.

Türkiye için çıkarımlar: Estonya modeli, Türkiye’nin pek çok açıdan benimsediği bir vizyondur: Merkezi veri toplama, e-Nabız benzeri hasta portalı, dijital reçete, sağlık hizmetlerinde tam dijitalleşme... Türkiye halihazırda Estonya kadar kapsamlı bir entegrasyonu (özellikle özel sektör verilerinin de merkezi havuzda toplanması anlamında) başarmış durumda. Fakat Estonya’nın farkı, küçük ölçeğini avantaja çevirerek vatandaş güvenini kazanmış olmasıdır. Türkiye, Estonya’nın log şeffaflığı uygulamasını örnek alabilir; e-Nabız’da basit bir geliştirmeyle “verime kim baktı” özelliği eklenebilir. Bu, sisteme güveni katlayacaktır. Ayrıca Estonya’nın veri standartlarında ileri olması (HL7 V3, FHIR entegrasyonu, hatta blockchain kullanımı) Türkiye için teknik bir rehber olabilir. Türk sağlık bilişim altyapısı, Estonya gibi esnek ve yeniliklere açık hale getirilmelidir. X-Road benzeri entegre servis mimarileri Türkiye’de e-Devlet sistemlerinde kullanılıyor; sağlık tarafında da kurumlar arası veri alışverişini kolaylaştırmak için geliştirilebilir. Estonya’dan çıkarılacak en büyük ders, kararlılık ve kapsamlılık. Ülke, 15 yıldır tüm sağlık verisini dijital platformda tutuyor ve geriye dönüş yok. Türkiye’nin de dijital sağlıkta kararlılığını sürdürerek tüm paydaşları sisteme dahil etmeyi (örneğin hala kağıt reçete veya manuel kayıt kullanan az sayıdaki yer varsa bunların da dönüştürülmesi) hedeflemesi gerekir.

Finlandiya: İkincil Kullanım için Yasal İnovasyon – Findata

Finlandiya, EHDS’nin ikincil kullanım vizyonunu ulusal düzeyde en erken hayata geçiren ülkedir. 2019’da yürürlüğe giren Sağlık ve Sosyal Verilerin İkincil Kullanımı Yasası ile Finlandiya, sağlık verilerinin araştırma ve inovasyon amaçlı kullanımını kolaylaştırmak üzere Findata adlı tek durak bir veri yetkili otoritesi kurmuştur. Bu yasa, GDPR’ın tanıdığı ulusal esneklik alanlarını kullanarak hazırlandığı için GDPR ile çelişmeyecek şekilde tasarlanmıştır. Findata, hastaneler, birincil basamak, eczane, sigorta, nüfus gibi farklı kurumlardan gelen verileri derleme ve istek üzerine araştırmacılara sunma yetkisine sahiptir. Örneğin, Finlandiya’da bir araştırmacı ulusal düzeyde diyabet hastalarına ait verileri talep ettiğinde, hastanelerden tek tek onay almak yerine Findata’ya başvurur; Findata ilgili kurumların veri setlerini birleştirip temizler ve araştırmacıya tek bir izinle sunar.

Findata sisteminin önemli bir özelliği, verilerin büyük ölçüde kapalı bir güvenli ortamda analiz edilmesidir. Findata, Kapseli adını verdiği yüksek güvenlikli bir sunucu ortamında araştırmacıya uzaktan analiz izni verir; ham veriyi dışarı vermez. Ancak eğer araştırmacının kendi sistemi kullanılacaksa, o sistemin de Findata tarafından denetlenip onaylanması gerekir. Bu sayede, veri sızıntıları veya amaç dışı kullanımlar minimize edilir. Ayrıca Findata kararıyla verilen her izin, bir idari karar şeklinde düzenlenir ve Kişisel Veriler Ombudsmanlığı ile Parlamento Ombudsmanı tarafından geriye dönük denetlenebilir. Findata operasyonları, her yıl raporlanır ve veri koruma otoritesi tarafından izlenir.

Finlandiya’nın bu sistemi, EHDS’nin neredeyse bir prototipini oluşturmaktadır. Hatta EHDS müzakerelerinde Finlandiya, kendi yasasını model olarak sunarak Avrupa’nın geneline benzer bir yaklaşım yayılmasını desteklemiştir. Finlandiya örneği, veri paylaşımı ile veri koruması arasında dengenin iyi kurgulanabileceğini kanıtlamıştır. Nitekim 2019’dan bu yana Findata, yüzlerce projeye onay vermiş ve ciddi bir ihlal yaşanmamıştır. Araştırmacılar, geçmişte 6-12 ay alan veri onay süreçlerinin şimdi tek elden birkaç ayda çözüldüğünü, ayrıca ulusal çapta daha zengin veri kullanabildiklerini belirtmektedir.

Türkiye için çıkarımlar: Finlandiya örneği, Türkiye’nin mutlaka yakından incelemesi gereken bir modeldir. Türkiye, Findata benzeri bir “Türkiye Sağlık Veri İzin Merkezi” kurarak, üniversitelerin, TÜİK’in, SGK’nın ve Sağlık Bakanlığı’nın veri setlerini ortak bir platformda değerlendirebilir. Kanun koyucu, Finlandiya gibi bir İkincil Kullanım Kanunu hazırlayarak; veri kullanım amaçlarını, izin süreçlerini, veri güvenliği şartlarını detaylıca düzenleyebilir. Özellikle Findata’nın GDPR ile uyumlu olmasına özen gösterildiği gibi, Türkiye’de de KVKK’ya uygun ama onun ötesine geçen bir mevzuat mümkün. KVKK’nın özel nitelikli veri istisnasını genişletmek, belki Anayasa Mahkemesi incelemesi gerektirecek; Finlandiya’da da benzer tartışmalar yaşanmış ama paydaşların katkısıyla kanun kabul görmüştür. Burada önemli olan, veri koruma otoritesini sürece dahil etmektir. Finlandiya’da Ombudsmanlık kanun hazırlığına katılmıştır. Türkiye’de de KVK Kurumu en baştan böyle bir düzenlemede bulunursa, ileride çıkabilecek anlaşmazlıklar en aza iner.

Finlandiya’dan bir diğer ders, teknoloji kullanımının önemi. Findata veri taleplerini, katalogları, logları yönetmek için ileri yazılımlar kullanır. Türkiye, halihazırda e-Nabız ve diğer sistemlerle teknik birikime sahip; benzer şekilde veri talep portalı, veri analizi için güvenli sunucular gibi yatırımlara yönelmelidir. Türkiye’de TÜBİTAK ve üniversiteler bu noktada destek verebilir, hatta belki milli bir “Kapsül” ortamı geliştirilebilir. Özetle Finlandiya, vizyon ve uygulama bütünlüğüyle Türkiye’ye bir yol haritası çizmektedir: Önce yasa, sonra kurum, ardından teknoloji entegrasyonu.

Fransa: Ulusal Sağlık Veri Platformu ve Kişisel Sağlık Hesabı Deneyimi

Fransa, dijital sağlık alanında son yıllarda önemli adımlar atmış, ancak veri paylaşımı konusunda bazı zorluklar yaşamıştır. Ülkede 2018’de oluşturulan Sağlık Veri Hub’ı (Health Data Hub – Plateforme des Données de Santé), Fransa ulusal sağlık veri sistemini araştırma ve inovasyona açmayı amaçlayan bir projedir. Bu platform, Fransız ulusal sağlık sigortası veri tabanı (SNIIRAM) başta olmak üzere yaklaşık 40 farklı veri kaynağını tek çatı altında toplayıp araştırmacıların erişimine sunmayı hedeflemiştir. SNIIRAM, 1,2 milyar kayıtla 2002’den beri toplanmış devasa bir veritabanıdır ve Fransa’daki tüm reçete, tıbbi işlem, hastane yatış gibi bilgileri içerir. Health Data Hub bu veriyi ve diğer hastane, kayıt vb. verileri bir araya getirerek yapay zekâ ve ileri analiz projelerine açmaya başlamıştır.

Ancak Fransa’daki en büyük tartışma, bu verilerin bulutta barındırılması ve gizliliğidir. İlk etapta platformun Microsoft Azure üzerinde barındırılması planlanmış, bu da Avrupa dışı bir şirketin yer alması nedeniyle tepkilere yol açmıştır. Ülkedeki veri koruma otoritesi CNIL, platformun tam yetkiyle çalışabilmesi için ek güvenceler istemiş ve sonunda 2022 başında Hub’ın veri erişim taleplerini duraklatmasına neden olmuştur. Bu gelişme, merkezi veri platformu fikrinin her zaman kolay hayata geçmediğini gösteriyor. Fransa sonrasında platformun altyapısını Fransız şirketlerine devretme kararı aldı ve CNIL onayını alarak tekrar projeyi işler hale getirdi.

Öte yandan Fransa, Mon Espace Santé (Benim Sağlık Alanım) adlı kişisel sağlık hesabı uygulamasını 2022’de yürürlüğe koydu. Bu sistem, her Fransız vatandaşı için bir dijital sağlık dosyası oluşturulmasını sağlar – tıpkı e-Nabız gibi. Önemli fark, Mon Espace Santé’nin opt-out esaslı olmasıdır. Devlet tüm vatandaşlara bir hesap açtı ve bilgilendirme yaptı; istemeyenler çıkabildi ama büyük çoğunluk hesaplara sahip oldu. Bu platform üzerinden vatandaşlar tıbbi belgelerini saklayabilir, tahlil sonuçları otomatik yüklenir ve doktorlarla mesajlaşabilirler. Bu atılım, Fransa’nın eskiden hayata geçiremediği DMP (Dossier Médical Partagé) projesinin yerini almıştır. 2022 sonu itibariyle milyonlarca Fransız’ın hesabı aktif durumdadır.

Türkiye için çıkarımlar: Fransa örneği, merkezi bir sağlık veri platformu kurmanın siyasi ve hukuki zorluklarını ortaya koyuyor. Türkiye’de halihazırda veriler kamu kurumlarının kontrolünde (Sağlık Bakanlığı sunucuları) olduğu için Fransa’daki gibi bir yabancı bulut sorunu yok. Ancak Türkiye, veri egemenliği ve güvenliği konularında milli altyapı kullanmanın önemini Fransa tecrübesiyle teyit edebilir. Olası bir Türkiye Sağlık Veri Alanı platformu, mutlaka yerli sunucularda ve açık kaynak teknolojilerle çalışmalıdır ki güven sorunu olmasın.

Fransa’nın Mon Espace Santé hamlesi ise Türkiye’nin e-Nabız’la benzer rotada olduğunu gösteriyor. Türkiye, e-Nabız’ı 2015’te başlattığında Fransa henüz DMP’yi bile yaygınlaştıramamıştı. Şu an iki ülke de her vatandaş için dijital sağlık profili vizyonuna sahip. Fransa’da bu profil hukuken zorunlu (opt-out), Türkiye’de fiilen mevcut (herkesin verisi e-Nabız’da tutuluyor ama erişim için onayı gerekiyor). Türkiye belki Fransa gibi otomatik açma modeline geçip e-Nabız kullanımını arttırabilir. Zaten Sağlık Bakanlığı e-Nabız profilini arka planda herkese oluşturuyor; kullanıcı sadece aktif ettiğinde verilerini görüyor. Bu süreci daha görünür kılarak, dijital okuryazarlığı arttırarak Türkiye e-Nabız kullanım oranını yükseltebilir.

Fransa’dan alınacak bir diğer ders, hukuki bağımsız denetim ihtiyacıdır. CNIL, Health Data Hub üzerinde çok etkili oldu; benzer şekilde Türkiye’de KVK Kurumu ve belki bağımsız akademik komiteler sürece dahil edilmelidir ki meşruiyet artsın. Fransa’da ayrıca sağlık demokrasi kavramı gereği sivil toplumun da veri paylaşım projelerine katkısı aranıyor. Türkiye’de belki bu kadar kurumsallaşmış bir mekanizma yok, ancak Barolar, Tabipler Birliği, hasta dernekleri gibi paydaşların görüşlerinin alınması, sürece destek sağlayacaktır.

Özetle, dört ülkenin deneyimi, Türkiye için şu ortak sonuçlara işaret ediyor:

Yasal Çerçeve ve Kurumlar: Net bir yasal dayanak olmadan geniş çaplı veri paylaşımı projeleri zorlukla karşılaşıyor (Fransa örneği). Bu nedenle Türkiye’nin de ya AB’ye uyum için ya kendi ihtiyacıyla bir Sağlık Veri Alanı Kanunu çıkarması kritik. Bu kanunla belirlenecek kurum(lar) de yetki ve sorumluluk açısından net olmalı (Almanya bu yolu seçiyor, Finlandiya seçti).
Teknik Altyapı: Dijital altyapı güçlü olmadan vizyon gerçekleşmiyor. Türkiye’nin altyapısı iyi olmakla birlikte, EHDS standartlarına tam uyum için daha yapılacaklar var (SNOMED, uluslararası terminoloji, birlikte işlerlik modülleri vb.). Estonya, Finlandiya gibi teknolojiye yatırım yapmak uzun vadede kazanç getiriyor.
Güven ve Şeffaflık: Toplumun veri paylaşımına rızası ve güveni olmadan, en iyi yasa bile kağıt üzerinde kalabilir. Almanya, Fransa, Finlandiya hepsinde vatandaşla iletişim, opt-out imkanı, log şeffaflığı, sivil denetim gibi unsurlar var. Türkiye de kendi modeline bunları eklemeli. Özellikle hastaya veri üzerinde söz hakkı verme (örneğin e-Nabız’da “verilerim araştırmalarda kullanılabilir mi?” şeklinde bir tercih sunma) düşünülebilir.
Uluslararası Uyum: EHDS, AB içinde veri dolaşımını artırırken, AB dışını 2034 sonrası için planlıyor. Türkiye eğer AB ile entegre olmak istiyorsa, şimdiden uyumlu olursa ilerde HealthData@EU ağına katılabilmesi kolaylaşacaktır. Bu, Türk araştırmacılarının da Avrupa’daki verilere erişimine imkan verebilir. Dolayısıyla, AB mevzuatına uygun adımlar atmak stratejik bir tercih.

Bu tespitler ışığında, bir sonraki bölümde EHDS’nin Türkiye’ye uyarlanması için önerilen yol haritası sunulacaktır.

EHDS’nin Türkiye’ye Uyarlanması: Öneriler ve Yol Haritası

EHDS vizyonunun Türkiye’de hayata geçirilmesi, kapsamlı bir dönüşümü gerektirmektedir. Teknik, kurumsal ve hukuki boyutta eşgüdümlü adımlar atılmalıdır. Aşağıda, aşamalı bir uyarlama planı önerilmektedir:

1. Stratejik Hazırlık ve Farkındalık Aşaması

Kısa vadede (önümüzdeki 1-2 yıl içinde) atılması gereken ilk adım, EHDS kavramının Türkiye’de ilgili tüm paydaşlarca anlaşılması ve benimsenmesidir:

Ulusal EHDS Strateji Belgesi: Sağlık Bakanlığı liderliğinde, KVKK, TÜİK, SGK, üniversiteler, meslek örgütleri (TTB vb.) temsilcilerinin dahil olduğu bir çalışma grubu oluşturulmalı ve “Türkiye Sağlık Veri Alanı Stratejisi” hazırlanmalıdır. Bu belge, EHDS’nin hedeflerini Türk sağlık sistemi bağlamında yorumlamalı, vizyon ve amaçları ortaya koymalıdır. Örneğin “Vatandaşların sağlık verileri üzerindeki haklarını genişletmek ve sağlık verilerinin güvenli şekilde araştırma ve inovasyona açılmasını sağlamak” gibi net hedefler belirlenmelidir.
Farkındalık Kampanyaları: Hem sağlık profesyonelleri hem de genel kamuoyu için EHDS konusunda bilgilendirici etkinlikler düzenlenmelidir. Barolar, tıp dernekleri, hasta hakları örgütleriyle paneller, çalıştaylar yapılarak, olası endişeler (mahremiyet, veri güvenliği vs.) tartışılmalı ve görüşler toplanmalıdır. Bu sayede, ileride yapılacak yasal değişikliklere toplumsal destek hazırlanmış olur. Örneğin e-Nabız kullanıcılarına yönelik anketler yapılıp, “verileriniz araştırmalarda kullanılsın ister misiniz, ne gibi koşullarla istersiniz?” gibi sorularla nabız yoklanabilir.
Kapasite Değerlendirmesi: Mevcut dijital altyapının EHDS gerekliliklerine ne kadar hazır olduğu tespit edilmelidir. Sağlık Bakanlığı, mevcut EHR sistemlerinin standartlarını, hastanelerin dijitalleşme oranlarını, veri merkezlerinin kapasitesini analiz eden bir rapor hazırlamalıdır. Bu raporda, hangi teknik standartların eksik olduğu (örn. terminoloji uyumu), hangi kurumun ne tür veriye sahip olduğu, mevcut hukuki engeller (KVKK’dan doğan) netleştirilmelidir. Böylece uyum için gerekli yatırım ve mevzuat listesi ortaya çıkar.

2. Hukuki ve Kurumsal Düzenleme Aşaması

Orta vadede (yaklaşık 2-3 yıl içinde), yasal zeminin oluşturulması ve kurumsal yapıların belirlenmesi gerekecektir:

Yasal Düzenlemelerin Hayata Geçirilmesi: Yukarıda tartışıldığı üzere, tercihen kapsamlı bir Sağlık Verileri Kanunu hazırlanmalıdır. Bu kanun, EHDS’nin önemli maddelerini Türk hukuku terminolojisiyle somutlaştırabilir. Kanunda yer alması muhtemel başlıklar: Bu kanun taslağı hazırlanırken, KVK Kurumu ve Adalet Bakanlığı ile yakın çalışılmalıdır ki, GDPR/KVKK ile çelişen noktalar olmasın. Ayrıca Anayasa’nın özel hayatın gizliliği hükmüne aykırı olmaması için gerekli güvenceler konulmalıdır (ör. opt-out imkanı net şekilde sunulmalıdır).
- Tanımlar: Sağlık verisi, birincil/ikincil kullanım, sağlık verisi tutucusu, kullanıcı, açık rıza, opt-out, anonimleştirme gibi kavramlar.
- Hasta Hakları: Erişim hakkı, veri düzeltme hakkı, veri aktarım hakkı, veriye erişimi kısıtlama hakkı, opt-out hakkı, temsilci tayin etme hakkı, tazminat hakkı (hepsi EHDS’ye paralel şekilde).
- Birincil Kullanım Yükümlülükleri: Sağlık hizmet sunucularının dijital kayıt tutma zorunluluğu, EHR sistemlerinin birlikte işlerlik şartları, ulusal altyapıya veri bildirim zorunluluğu (3359 Ek md.11 zaten var, onunla uyumlu).
- İkincil Kullanım Mekanizması: Sağlık verisi erişim kurumu/kurumları yetkileri, veri talep başvuru süreçleri, izin kriterleri (amaçların sayılması), verilerin hazırlanması (anonim/pseudonymize), veri güvenliği önlemleri, fikri hak ve ticari sır koruması hükümleri.
- Yaptırımlar ve Denetim: İhlal durumunda veriye erişim yasağı, para cezaları, vs. (KVKK’nın yaptırımlarına eklenebilir veya bu kanunda düzenlenebilir).
- Kurumsal Yapılar: Dijital sağlık otoritesinin (muhtemelen Sağlık Bakanlığı) ve veri erişim otoritesinin (belki bir kurul veya kurum) tanımlanması; EHDS Kurulu benzeri bir ulusal koordinasyon kurulu (KVK Kurumu, Sağlık Bak., TÜİK vb. üyeli) oluşturulması.
Kurumsal Yapıların Kurulması: Kanun çıkar çıkmaz, öngörülen kurumların hayata geçirilmesi gerekir. Örneğin kanun, “Türkiye Sağlık Veri Erişim Kurumu (TürkSAK)” adında yeni bir birim kurarsa, bu birime bütçe ve personel tahsisi yapılmalıdır. Alternatif olarak, bu görev var olan bir kuruma verilebilir: TÜİK veya Sağlık Bakanlığı bünyesinde bir genel müdürlük gibi. Ancak bağımsız ve güvenilir algı için tamamen yeni/bağımsız bir kurum daha uygun olabilir. Belki doğrudan Cumhurbaşkanlığına bağlı bir "Sağlık Veri Başkanlığı" da düşünülebilir. Bu kurum, pilot olarak küçük çaplı veri taleplerini işlemeye başlayabilir.
İkincil Mevzuat Geliştirme: Kanuna dayanarak yönetmelikler ve kılavuzlar hazırlanmalıdır. Örneğin “Sağlık Verilerinin İkincil Kullanımı Başvuru ve İzin Usul ve Esasları Yönetmeliği” gibi bir düzenleme, başvuru formlarından ücretlendirmeye (EHDS, veri erişim otoritelerinin maliyet karşılığı ücret alabileceğini öngörüyor) kadar detayları belirler. “Elektronik Sağlık Kayıt Sistemleri Sertifikasyon Yönetmeliği” ile EHDS’nin EHR’lere dair teknik şartları iç hukukta bağlayıcı hale gelebilir (CE işareti benzeri sertifika süreci). Mevcut Hasta Hakları Yönetmeliği ve Özel Hastaneler Yönetmeliği vs. EHDS’ye uygun revize edilebilir (ör. hasta verilerinin aktarımı hakkı eklenir, veri paylaşımı süreçleri tanımlanır).

3. Teknik Uyum ve Pilot Uygulama Aşaması

Orta-uzun vadede (3-5 yıl içinde), yasal çerçevenin sağlanmasıyla birlikte teknik sistemlerin adaptasyonu ve pilot projelerle sürecin test edilmesi gerekecektir:

Standartların Uyumlaştırılması: Türkiye’nin sağlık bilişiminde kullandığı standartlar, EHDS’de tanımlananlarla uyumlu hale getirilmelidir. HL7 FHIR formatı halihazırda kısmen e-Nabız’da kullanılıyor; tam kapsamlı uygulanması sağlanmalı. İlaç, teşhis, tıbbi işlem kodlarında uluslararası standarda tam geçiş yapılmalı (ATC, LOINC, SNOMED CT gibi). Bu konuda ulusal terminoloji sunucusu geliştirilebilir. Ayrıca EHDS’nin öngördüğü Avrupa birlikte işlerlik modülü benzeri, Türkiye’de tüm hastane bilgi sistemlerine entegre edilecek bir modül geliştirilebilir. Bu modül, istenen verileri Sağlık Bakanlığı merkezi sistemine AB formatında iletebilecek ve dışarıya (örneğin MyHealth@EU’ya) iletime hazır halde tutabilecektir.
MyHealth@EU ve HealthData@EU Entegrasyonu: Türkiye, AB üyesi olmamakla birlikte, EHDS ağlarına gelecekte katılım hedefliyorsa teknik hazırlık yapmalıdır. 2026-2027 gibi MyHealth@EU testlerine katılmak (örneğin Türk turistlerin Avrupa’da e-reçetelerinin kullanılabilmesi gibi pilotlar) hem vatandaşlara fayda sağlar hem de AB ile yakınlaşmayı gösterir. HealthData@EU için de 2034’e kadar hazırlık mümkün; en azından Türkiye, AB ile veri alışverişi protokollerini önceden test edebilir. Bu kapsamda, AB’nin e-sağlık DSI (Dijital Servis Altyapısı) programlarına Türkiye’nin dahil olması sağlanabilir (WHO Avrupa projesi gibi fırsatlar takip edilmeli).
Güvenli Analiz Ortamlarının Kurulması: EHDS’nin ve Findata’nın tecrübesi, verilerin güvenli ortamlarda işlenmesinin önemini gösteriyor. Türkiye, TurkSAK (önerilen erişim kurumu) bünyesinde bir “güvenli veri analiz platformu” oluşturmalıdır. Bu, yüksek kapasiteli sunucular ve yazılımlarla donatılmış, internet erişimi sınırlı, veri kopyalamaya karşı kontrollü bir sistem olmalıdır. Veri izni alan araştırmacılar, bu platforma uzaktan bağlanıp veriyi analiz eder, sonuçlarını çıkarır ama ham veriyi indirme ihtiyacı duymaz. TÜBİTAK Bilgem gibi kurumlar böyle bir platformu geliştirebilir. Bu sayede, veri paylaşımlarında risk en aza iner ve KVK Kurumu gibi otoriteler de daha rahat olur.
Pilot Projelerin Hayata Geçirilmesi: Yeni sistemin işe yararlığını göstermek için pilot uygulamalar kritiktir. Örneğin, “Diyabet Araştırma Pilot Projesi” gibi bir konuda, TurkSAK aracılığıyla farklı kaynaklardan veri derlenip bir araştırma ekibine sunulabilir. Süreç baştan sona test edilir: araştırmacı başvurusu, etik kurul onayı, verinin hazırlanması, analiz platformuna konması, sonuçların yayınlanması… Bu pilot sırasında, uygulamada çıkan aksaklıklar (teknik uyumsuzluk, hukuki belirsizlik, zamanlama sorunları) not edilip iyileştirmeler yapılır. Böyle 2-3 pilot proje, tam uygulama öncesi öğrenme fırsatı sağlar ve başarı hikayeleri yaratır. Kamuoyu, somut bir araştırma çıktısını (mesela diyabet konusunda yeni bir bulgu) görünce sistemin faydasına ikna olur.

4. Yaygınlaştırma ve İzleme Aşaması

Uzun vadede (5 yıl ve sonrası), sistemin ülke genelinde tam işler hale gelmesi ve sürekli izleme-düzeltme döngüsüne girilmesi gerekir:

Tam Uygulama ve Eğitim: EHDS uyumlu sistem, kanun ve kurumlar tüm ülke çapında devreye girer. Sağlık çalışanlarına, araştırmacılara, veri sorumlularına sürekli eğitimler verilir. Hastanelerin IT departmanları EHR sertifikasyonu ve veri gönderimi konularında desteklenir. Hasta tarafında ise e-Nabız üzerinden veya aile hekimleri aracılığıyla bilgilendirmeler yapılır (örneğin e-Nabız’da yeni bir ayar: “Verilerimin anonim olarak araştırmalarda kullanılmasına izin veriyorum/vermiyorum” şeklinde bir seçenek sunularak kitlesel opt-out/opt-in imkanı da verilebilir). Bu sayede mevzuattaki opt-out hakkı pratikte uygulanmış olur.
İzleme ve Değerlendirme: Uygulama başladıktan sonra belirli aralıklarla (ör. yılda bir) değerlendirme raporları hazırlanmalıdır. Bu raporlarda kaç kişinin opt-out yaptığı, kaç başvuru geldiği, ne kadar sürede sonuçlandığı, paylaşılan veri miktarı, üretilen bilimsel çıktılar gibi metrikler yer alır. Bağımsız akademisyenler ve STK’lar bu raporları inceleyerek görüş vermelidir. Gerekiyorsa mevzuatta veya uygulamada revizyonlar yapılır. Örneğin, beklenmedik bir mahremiyet sorunu çıktıysa ona özel ek tedbirler alınır.
Uluslararası İşbirliği ve Liderlik: Türkiye, EHDS benzeri bir sistemi başarıyla kurarsa, bu alanda bölgesinde öncü hale gelebilir. Komşu ülkelerle (Azerbaycan, Orta Asya, Orta Doğu) dijital sağlık verisi paylaşımı konusunda anlaşmalar yapabilir, kendi platformunu bir model olarak sunabilir. AB ile ilişkilerde de bu konu pozitif bir gündem olabilir; zira EHDS Board gelecekte üçüncü ülkeleri de içerebilir. Türkiye şimdiden gözlemci olarak kendini konumlandırabilir.

Sonuç

Avrupa Sağlık Veri Alanı (EHDS) düzenlemesi, sağlık verilerinin kullanımı ve yönetimi konusunda paradigma değişikliği yaratan bir adımdır. EHDS ile AB, bir yandan bireylerin sağlık verileri üzerindeki hak ve kontrollerini genişletmekte, diğer yandan bu verilerin toplum yararına ikincil kullanımını mümkün kılacak yenilikçi bir ekosistem kurmaktadır. Hasta özetinden genomik veriye, e-reçeteden giyilebilir cihaz verisine kadar geniş bir yelpazedeki sağlık bilgileri, belirlenmiş kurallar çerçevesinde sınır ötesi paylaşılabilecek; yapay zekâdan halk sağlığı politikalarına birçok alanda yeni ufuklar açılacaktır.

Türkiye, son yıllarda kurduğu dijital sağlık altyapısı ile EHDS hedeflerine büyük ölçüde paralel bir yönde ilerlemiştir. e-Nabız gibi bir sistemin varlığı, milyonlarca kişinin sağlık kaydını dijitalleştirmesi, ulusal sağlık veri tabanlarının oluşması Türkiye’yi bu dönüşüm için iyi bir konuma getirmektedir. Ancak mevcut hukuki düzenlemelerdeki eksikler ve özellikle verilerin ikincil kullanımı konusundaki belirsizlikler giderilmeden, Türkiye’nin elindeki büyük sağlık verisi potansiyeli tam olarak değerlendirilemeyecektir.

EHDS’nin Türk hukuk sistemine uyarlanması, sadece AB mevzuatına uyum sağlamak için bir yükümlülük değil, aynı zamanda Türkiye’nin kendi sağlık sistemini 21. yüzyılın veri odaklı dünyasına hazırlaması için bir fırsattır. Bu sayede hem vatandaşlar sağlık verilerine daha etkin hükmedebilecek, kendi tedavilerinde söz sahibi olabilecek; hem de araştırmacılar ve girişimler, katma değerli ürünler ve hizmetler geliştirebilecektir. Sağlık sektöründe politika yapıcılar, gerçek zamanlı ve kapsamlı verilere dayanarak daha isabetli kararlar alabilecektir.

Elbette bu dönüşüm, mahremiyet risklerini de beraberinde getirir. Bu nedenle önerilen tüm adımlarda güvenlik ve gizlilik ön planda tutulmalıdır. Verinin anonimleştirilmesi, güvenli analiz ortamları, sıkı denetim mekanizmaları ve şeffaflık uygulamaları, vatandaşın mahremiyetini korurken veri kullanımının devam etmesini sağlayacaktır. Türkiye, AB ülkelerinin deneyimlerinden yararlanarak kendi yol haritasını çizebilir. Almanya’dan yasal titizliği, Estonya’dan dijital kültürü, Finlandiya’dan veri paylaşımındaki yenilikçiliği, Fransa’dan ise ulusal irade ve hasta merkezli yaklaşımı örnek alabilir.

Sonuç olarak, “sağlık verisi” artık sadece hastane dosyalarına hapsedilmiş dokümanlar değil; hem bireyin hem toplumun sağlığını geliştirebilecek stratejik bir kaynaktır. EHDS, bu kaynağın etik ve etkin kullanımına yönelik bir pusula sunmaktadır. Türkiye’nin bu pusuladan yararlanarak kendi rotasını belirlemesi, önümüzdeki yıllarda sağlık alanında hem bilimsel hem ekonomik büyük kazanımlar sağlayabilir. Bu süreçte en önemli unsur, bütün paydaşların – hastalar, hekimler, araştırmacılar, kamu otoriteleri ve teknoloji geliştiricilerin – ortak hedefe inançla ve iş birliği içinde hareket etmesidir. Böylece, hem hukuki güvenlik hem de toplumsal fayda dengesi gözetilerek, Türkiye’de de bir “Sağlık Veri Alanı” inşa edilebilecektir.

Av. Abdussamet AYDEMİR

Kaynaklar:

Regulation (EU) 2025/327, European Health Data Space (Avrupa Sağlık Veri Alanı) Tüzüğü – AB Resmî Gazetede yayımlanan EHDS tüzüğü metni, 11 Şubat 2025.
EY Law Alert – “Regulation (EU) 2025/327: Establishing the European Health Data Space (EHDS)” – EHDS’nin getirdiği haklar ve yükümlülükleri özetleyen teknik inceleme (29 Mayıs 2025).
Arnold & Porter Advisory – “European Health Data Space Regulation Published” – EHDS’nin arka planı ve özellikle ikincil kullanım boyutunu ele alan değerlendirme (6 Mart 2025).
Kişisel Sağlık Verileri Web Sitesi (Saglik.gov.tr) – “e-Nabız’a Veri Gönderimi” sayfası – 3359 sayılı Kanun ve ilgili yönetmelik hükümlerine göre sağlık kuruluşlarının veri bildirim zorunluluğunu açıklayan kılavuz (28 Temmuz 2021).
TEHDAS Projesi Ülke Raporları – Estonya ve Almanya Bilgi Notları – EHDS hazırlık projesi kapsamında Estonya ve Almanya’nın sağlık veri sistemleri değerlendirmeleri (2022-2023).
Polytechnique Insights – “How to provide access to patients’ health data” – Fransa Sağlık Veri Hub’ının amaçlarını ve karşılaştığı zorlukları irdeleyen analiz (27 Nisan 2022).
KVKK Karar Özetleri – Özel bir hastane çalışanının e-Nabız sistemine yetkisiz erişimi hakkındaki KVKK Kurul Kararı – Sağlık verilerine hukuka aykırı erişime dair Türkiye’den emsal olay (2023).
Findata – Finlandiya İkincil Kullanım Yasası Bilgilendirme – Finlandiya’nın 2019 tarihli Sağlık ve Sosyal Verilerin İkincil Kullanımı Kanunu hakkında açıklamalar (Güncelleme 08.07.2025).
Esante.gouv.fr – “European Health Data Space (EHDS)” – Fransa Dijital Sağlık Ajansı sitesinde EHDS’nin birincil, ikincil kullanım ve EHR düzenlemelerine dair özet bilgi (Erişim: 2025).

Avrupa Sağlık Veri Alanı (EHDS) Düzenlemesi ve Türk Hukukuna Etkileri