25 Ağustos 2022 tarihli ve 31934 Sayılı Resmi Gazete’de Sağlık Bilgi Sistemleri Hakkında Yönetmelik yayımlanmıştır.[1]
Bu Yönetmeliğin amacı; sağlık bilgi yönetim sistemi hizmeti sağlayıcılarının uyacakları kurallara, sağlık bilgi yönetim sistemlerinin alım süreçlerine, standartlarına ve tescil işlemlerinin belirlenmesine ilişkin usul ve esasları düzenlemektir.
Yönetmelik; sağlık bilgi yönetim sistemi hizmeti sağlayıcıları ile bu hizmetten yararlanan sağlık bilgi yönetim sistemi hizmet alıcılarının uymaları gereken kurallara ilişkin hükümleri kapsamaktadır.
1. SBYS (Sağlık Bilgi Yönetim Sistemi) Hizmet Sağlayıcılarının Uyması Gereken Kurallar Nelerdir?
SBYS hizmeti sağlayıcıları, SBYS’nin Bakanlık tarafından belirlenen veri tanımlarına, iş kurallarına, yayımlanan yazılım sürüm notlarına, yayımlanan sağlık bilişim standartlarına ve veri gönderimi servislerine uyumlu olmasını sağlamakla yükümlüdür.
SBYS hizmeti sağlayıcıları, Sağlık hizmeti sunucularında faaliyet gösterebilmek için KTS’de (Kayıt Tescil Sistemi) kayıt olmak zorundadır.
SBYS hizmeti sağlayıcıları, veri gönderimi servislerini kesintisiz çalıştırmak, verilerin oluştuğu anda doğru bir şekilde gönderilmesi ile gönderilen verilerin tam ve doğru olmasını sağlamak için teknik gereklilikleri yerine getirmekle yükümlüdür.
SBYS hizmeti alımı ve değişikliği süreçlerinde, SBYS hizmeti alıcısı tarafından belirlenen zaman aralığındaki VEM görüntülerinin herhangi bir gerekçe ile başka bir sisteme aktarılmak üzere istenmesi durumunda ilgili görüntüleri SBYS hizmeti alıcısına teslim etmekle yükümlüdür.
SBYS hizmet süresinin sonunda sistemin kapatılmasını takiben yedekleri eksiksiz olarak almak ve güncel VEM sürümü görüntüleri ile birlikte SBYS hizmeti alıcısına teslim etmekle yükümlüdür.
İdarenin uygun ortamı sağlaması hâlinde SBYS’yi, sözleşmenin sona erdiği tarihten itibaren iki ay süre ile tüm raporlama özellikleri çalışır durumda ve herhangi bir değişiklik yapılmasına izin vermeyecek şekilde açık tutmakla yükümlüdür
Genel Müdürlük tarafından yapılan veya yapılmasına onay verilen tüm projelerden Genel Müdürlükçe gerekli görülenlere tam entegre olmakla yükümlüdür.
2. SBYS Hizmeti Alımı Süreçleri Nasıl İşlemektedir?
İdare, SBYS hizmeti alımı süreçlerini Genel Müdürlük[2] tarafından internet sitesinde yayımlanan Sağlık Bilgi Yönetim Sistemi Alım Kılavuzuna göre yürütür. İdareler, bu kılavuz ile çelişmeyen hükümleri şartnamelere veya yöntem beyanı dokümanına ekleyebilir.
SBYS hizmeti alımı süreçlerinde alımı yapılacak her SBYS için ayrı KTS yetki belgesi istenir. SBYS hizmeti alımı süreçlerinde alımı yapılacak olan SBYS’lerden herhangi birini alt yüklenicinin sağlayacak olması hâlinde, alt yüklenici tarafından temin edilecek olan SBYS için de KTS yetki belgesi istenecektir.
Ancak KTS’ye kayıtlı olmayan SBYS hizmeti sağlayıcıları bu hizmetler için alt yüklenici olarak çalıştırılamayacak veya bunlar tarafından geliştirilen yazılımlar da hizmetlerde kullanılamayacaktır.
KTS yetki belgesi[3] idari şartnamelerde ihale konusu işin yerine getirilmesi için alınması zorunlu olan ve ilgili mevzuatında o iş için özel olarak düzenlenen belge kısmında talep edilecek ve yeterlik kriteri olarak belirlenecektir.
SBYS hizmeti alıcısı, SBYS hizmeti sağlayıcısı tarafından sunulan KTS yetki belgesinin geçerliliğini kontrol edecektir.
Kit karşılığı laboratuvar cihazı alımı veya rapor okuma hizmeti alımı gibi ana hizmetin SBYS olmadığı ancak hizmetin unsurunun bir parçasının SBYS hizmeti olduğu durumlarda ana yükleniciden KTS yetki belgesi istenmeyecektir.
Yani KTS yetki belgesi bu ihalelerde yeterlik kriteri olarak belirlenmeyecek ancak sözleşme aşamasında sunulması istenecektir.
3. Entegrasyon
SBYS hizmet sağlayıcıları sistem veya cihazın gerekli entegrasyonu sağlamakla yükümlüdür.
İdare, SBYS hizmeti alımı dokümanlarında veya sözleşmelerinde entegre edilecek sistem ve cihazların listesini tanımlayacaktır.
Hizmet alımına ilişkin dokümanlarda veya sözleşmelerde yer alan sistem ve cihazların Bakanlıkça geliştirilen sistemlere entegrasyonu için İdareden bedel talep edilemeyecektir.
Kamu özel iş birliği modeli ile işletilen hastanelerde faaliyet gösteren SBYS hizmeti sağlayıcıları ise sözleşmede aksi belirtilmedikçe İdareden sistem ve cihaz entegrasyonları için ücret talep edemeyecektir.
Sözleşmelerin bu kapsamda denetlenmesi önem arz etmektedir.
Sistem ve cihaz entegrasyon ücretine ilişkin puantaj tablosu Genel Müdürlüğün internet sitesinde yayımlanacak ve her altı ayda bir güncellenecektir. Sistem ve cihaz entegrasyon ücreti, puantaj tablosunda belirtilen puan ile katsayının[4] çarpımı sonucunda bulunan tutarı geçemeyecektir.
Bu durumda entegrasyon ücreti taleplerinde mutlaka Genel Müdürlükçe yayımlanan puantaj tablosu kontrol edilmelidir. Puantaj tablosunu geçen ücretler aynı zamanda Borçlar Kanunu ilgili hükümlerine aykırı olacaktır.
4. SBYS Hizmeti Sağlayıcılarının KVKK Kapsamında Yükümlülükleri
Sağlık hizmeti sunumu kapsamında işlenen kişisel veriler bakımından SBYS hizmeti sağlayıcısı veri işleyen sıfatına haizdir. Bu kapsamda, kişisel veri koruma mevzuatında öngörülen ilgili yükümlülükleri yerine getirir.
KVKK m. 6’ya göre; kişilerin sağlığı ile ilgili verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlığa ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Bu yönetmelik ile de sağlık hizmeti sunumu ve ilgili süreçler kapsamında elde edilen verilerin; sağlık hizmeti sunucularının veri kayıt ortamları, Bakanlığın merkezi sağlık veri sistemleri veya Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde hiçbir yere kaydedilemez ve aktarılamayacağı düzenlenmiştir.
Aynı zamanda kişisel verilerin ancak SBYS hizmeti alıcısı tarafından anonim hale getirilebileceği aksi taktirde başta KVKK ve TCK olmak üzere ilgili mevzuat hükümleri çerçevesinde işlem tesis edileceği vurgulanmıştır.
5. SBYS Hizmet Sağlayıcısının Olay ve İz Kayıtlarını Saklama Yükümlülüğü
SBYS hizmeti sağlayıcısı, herhangi bir bilgi güvenliği ihlal olayı oluştuğunda geriye dönük inceleme yapılmasını sağlamak üzere SBYS’lerde, SBYS verilerinin saklandığı veri tabanı ortamlarında ve SBYS’lerin sözleşme kapsamında sunulan hizmetlere ilişkin sorumluluk alanında bulunan yazılım ve donanım bileşenlerinde üretilen olay ve iz kayıtlarını saklamak üzere gerekli tedbirleri almakla yükümlüdür.
SBYS hizmeti alıcısı, SAMİLOG[5] kayıtlarını en az beş yıl, diğer kayıtları ise en az iki yıl süre ile kendi sunucularında saklanacaktır. Aile Hekimliği Bilgi Sistemindeki SAMİLOG kayıtları ise değiştirilemez şekilde veri tabanında saklanacaktır.
Olay ve iz kayıtları saklama yükümlülüğü 25.08.2023 tarihi itibariyle yürürlüğe girecektir.
6. SBYS Hizmet Sağlayıcılarının Denetimi
Sağlık Bakanlığı mevzuat hükümleri kapsamında resen veya şikâyet üzerine SBYS hizmeti sağlayıcısını denetleyebilecektir. Yapılacak olan denetim, SBYS hizmeti sağlayıcısının sorumluluğu ile verdiği hizmetin kapsamı dışına çıkamayacaktır.
Uzaktan ya da yerinde yapılacak SBYS denetimlerinde incelenebilecek konular şunlardır;
SBYS’nin varlığı ve tekilliği.
Genel Müdürlük tarafından belirlenen iş akışlarına ve iş kurallarına uyumu.
Bakanlık merkezi veri sistemlerine entegrasyon ile veri gönderimi.
Genel Müdürlük tarafından belirlenen standartlara uyumu.
Güncel VEM sürümüne uyumu ve veri aktarım kabiliyeti.
SBYS hizmeti sağlayıcısının KTS’ye kayıt durumu.
Kişisel verilerin korunması mevzuatı ile bilgi güvenliği düzenlemelerine uyumu.
7. Yaptırım
Söz konusu Yönetmelik ile SBYS hizmet alıcısının KTS’den silinen veya pasif listeye alınan[6] SBYS hizmet sağlayıcısına aralarında imzalanan sözleşme hükümleri çerçevesinde yaptırım uygulayabileceği kabul edilmiştir.
SBYS hizmeti sağlayıcısı veya alıcısı tarafından yasal düzenlemelerin ihlal edilmesi halinde de ilgili mevzuat hükümleri çerçevesinde gerekli yaptırımlar uygulanacağı düzenlenmiştir.
8. Yetkinlik Puanı Nedir ve Nasıl Hesaplanır?
SBYS hizmeti sağlayıcısı, sağlık hizmeti sunumunun daha kaliteli, kesintisiz ve sağlıklı yürütülmesi amacı ile değerlendirilir. SBYS hizmeti sağlayıcısının Genel Yetkinlik Puanı, Genel Müdürlüğün internet sayfasında yayımlanır. Yetkinlik puanının hesaplanmasında geçerli kurallar Yönetmelik’te detaylı olarak yer almaktadır.
Yetkinlik puanı uygulaması 25.04.2024 tarihi itibariyle yürürlüğe girecektir.
9. Anlaşmazlıkların Çözümü
Veri aktarımlarında yaşanan anlaşmazlıklar, ilgili SBYS hizmeti alıcısının hakemliğinde eski ve yeni SBYS hizmeti sağlayıcısı bir araya getirilerek çözümlenecektir.
Çözüm sağlanamaması durumunda sözleşmeler ve ilgili mevzuat uyarınca gerekli süreçler işletilecektir. Bu kapsamda sözleşme hükümlerine dikkat edilmesi gerektiği, özellikle bir önceki veri sağlayıcısından kaynaklı durumlarda doğabilecek sorumluluklar göz önünde bulundurularak düzenleme yapılması gerektiği belirtilmelidir.
Sonuç;
Sağlık Bilgi Sistemleri Hakkında Yönetmelik ile sağlık hizmeti sağlayıcılarının uyacakları kurallar, sağlık bilgi yönetim sistemlerinin alım süreçlerine ilişkin usul ve esaslar belirlenmiştir.
SBYS hizmeti sağlayıcıları, SBYS’nin Bakanlık tarafından belirlenen veri tanımlarına, iş kurallarına, yayımlanan yazılım sürüm notlarına, yayımlanan sağlık bilişim standartlarına ve veri gönderimi servislerine uyumlu olmasını sağlamakla yükümlüdür.
Bu kapsamda SBYS hizmeti alımı süreçlerinde alımı yapılacak her SBYS için ayrı KTS yetki belgesi istenecek ve yeterlik kriteri olarak belirlenecektir. Kit karşılığı laboratuvar cihazı alımı veya rapor okuma hizmeti alımı gibi ana hizmetin SBYS olmadığı hizmetlerde ise bu belge sözleşme aşamasında istenecektir.
SBYS hizmet sağlayıcıları sistem veya cihazın gerekli entegrasyonu sağlamakla yükümlüdür. Bu doğrultuda dokümanda ve sözleşmede yazan cihaz ve sistemin entegrasyonunda idareden ücret talep edemeyecektir. Kamu-özel iş birliğinde ise sözleşmede aksi kararlaştırılmadıkça ücret istenemeyecektir.
Yönetmelik kapsamında SBYS hizmeti sağlayıcılarının özellikle KVKK kapsamındaki yükümlülüklerine dikkat edilmelidir. Zira işlenen SBYS hizmeti sağlayıcısı veri işleyen sıfatına haiz ve özel nitelikte kişisel verileri işlemektedir.
Sağlık Bakanlığı mevzuat hükümleri kapsamında resen veya şikâyet üzerine SBYS hizmeti sağlayıcısını denetleyebilecek ve idare ile aralarındaki sözleşme gereği ilgili yaptırımlar uygulanabilecektir.
Veri aktarımlarında yaşanabilecek anlaşmazlıklardan ötürü SBYS hizmeti alıcısı ile yapılacak sözleşme hükümlerine dikkat edilmelidir. Zira eski SBYS hizmeti sağlayıcısından kaynaklı durumlarda doğabilecek sorumluluklar göz önünde bulundurulmalıdır.
Yönetmelikle aynı zamanda sağlık hizmeti sunumunun daha kaliteli, kesintisiz ve sağlıklı yürütülmesi amacı ile yetkinlik puanı sistemini getirmiştir.
Sağlık bilgi yönetim hizmet sunucuları için son derece önemli olan bu yönetmelik kapsamında imzalanacak sözleşmelerin yönetmelik maddeleri dikkate alınarak gözden geçirilmesi faydalı olacaktır.
Av. Öykü ŞANLI
Pelin YÜKSEL
[1] Yönetmeliğe BURADAN ulaşabilirsiniz. [2] Sağlık Bilgi Sistemleri Genel Müdürlüğü [3] SBYS hizmeti sağlayıcısının KTS’de kayıtlı olduğunu ve aktif listede yer aldığını doğrulayan belge [4] Cihaz entegrasyon katsayısı Genel Müdürlükçe belirlenir ve Genel Müdürlüğün internet sitesinde yayımlanır. [5] SBYS veri tabanında bulunan kayıtlarla ilgili yapılan değişikliklerin olay ve iz kayıtlarını tutmak amacı ile Genel Müdürlük tarafından hazırlanarak internet sitesinde yayımlanan Sağlıkta Minimum Loglama Standardıdır. [6] Aktif listede yer alan SBYS hizmeti sağlayıcıları denetlenir. Denetim sonucunda herhangi bir eksikliğin tespit edilmesi halinde SBYS hizmeti sağlayıcısı uyarılır ve bu eksikliklerin belirlenen süre içerisinde giderilmesi istenir. Belirlenen süre içerisinde ilgili eksiklikleri gidermeyen SBYS hizmeti sağlayıcısı pasif listeye alınır. Pasif listeye alınmasını takip eden üç ay içinde aktif listeye geçemeyen SBYS hizmeti sağlayıcısı ile son bir yıl içerisinde üç defa pasif listeye alınan SBYS hizmeti sağlayıcısı KTS’den silinir.