1. Giriş

Dijital sağlık sistemlerinin yaygınlaşmasıyla birlikte, kişisel sağlık verilerinin güvenli şekilde işlenmesi ve hukuka uygun şekilde erişilmesi her zamankinden daha kritik hale gelmiştir. Sağlık Bakanlığı tarafından sunulan e-Nabız sistemi, bireylerin sağlık verilerini görüntüleyebildiği, paylaşım ve gizlilik tercihlerini yönetebildiği merkezi bir sağlık sistemidir. Bir yandan hastalara, sağlık verileri üzerinde yönetim imkânı tanırken, diğer yandan hekimler ve sağlık kuruluşları açısından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuat kapsamında önemli yükümlülükler doğurmaktadır.

Bu yazıda; hastaların e-Nabız sistemi üzerinden gizlilik tercihlerini nasıl yönetebileceği, hekimlerin ve sağlık kuruluşlarının hasta verilerine erişimde uyması gereken KVKK yükümlülükleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) emsal niteliği taşıyan bir kararı çerçevesinde uygulamada dikkat edilmesi gereken hususlar ele alınmaktadır.

2. Hastalar Açısından e-Nabız Güvenlik Tercihleri ve Erişim Kontrolü

e-Nabız sistemi, hastalara kendi sağlık verilerine ilişkin gizlilik tercihlerini belirleme imkânı tanımaktadır. Bu kapsamda hastalar, verilerine hangi sağlık kuruluşları veya hekimler tarafından erişilebileceğini kontrol edebilmekte, geçmiş erişim kayıtlarını görüntüleyebilmekte ve bu tercihlerini diledikleri zaman güncelleyebilmektedir.

Bu kapsamda e-Nabız üzerinde yer alan “Güvenlik Ayarları” başlıklı bölümde hastalara aşağıdaki erişim seçenekleri sunulmaktadır:

• Hiçbir hekim verilerimi görmesin
• Aile hekimim verilerimi görsün
• Muayene olduğum hekim verilerimi görsün
• Muayene olduğum hastanedeki tüm hekimler verilerimi görsün
• Tüm hekimler verilerimi görsün

Sistem tasarımı gereği, e-Nabız’a ilk girişte “Aile hekimim verilerimi görsün” ve “Muayene olduğum hekim verilerimi görsün” seçenekleri önerilen (default) tercihler olarak işaretli şekilde sunulmaktadır. Ancak hastalar, bu ayarları tamamen kendi iradeleri doğrultusunda değiştirebilme hakkına sahiptir. “Hiçbir hekim verilerimi görmesin” seçeneğinin tercih edilmesi halinde ise sağlık verilerine erişim ancak hastanın SMS doğrulama kodu veya şifrematik onayı vermesi suretiyle mümkün olmaktadır.

e-Nabız sistemi, hastalara erişim tercihlerini belirleme hakkının yanı sıra sağlık verilerine yapılan erişimleri izleyebilme ve kontrol edebilme imkânı da sağlamaktadır. Hastalar, e-Nabız uygulaması içerisinde yer alan “Bildirimler” menüsü altındaki “Veri Erişim Bilgilerim” alanı üzerinden, sağlık verilerine yönelik gerçekleştirilen erişimlere ilişkin ayrıntılı kayıtlara ulaşabilmektedir. Anılan bölümde hastalar; e-Nabız verilerine erişen kişi bilgisini, erişim şeklini, erişim tarih ve saatini, erişimin gerçekleştirildiği IP bilgisini ve erişimi gerçekleştiren kurum bilgilerini görüntüleyebilmektedir.

3. Hekimler Açısından e-Nabız Verilerine Erişimin Hukuki Kapsamı

Hekimlerin e-Nabız sistemi üzerinden hasta verilerine erişimi, KVKK’nın genel ilkelerine (madde 4) ve hukuki işleme şartlarına uygun olarak gerçekleştirilmelidir. KVKK’nın 4. maddesinde yer alan “Genel ilkeler” gereği, hekimlerin e-Nabız verilerine erişebilmesi için, bu erişimin belirli ve meşru bir amaca dayanması, hastaya sunulan sağlık hizmetiyle doğrudan bağlantılı olması ve yalnızca gerekli olduğu ölçüyle sınırlı kalması gerekir. Bu noktada, hekimlerin keyfi ve sınırsız bir yetkisi bulunmamaktadır.

Öte yandan, sağlık verilerinin KVKK’nın 6. maddesi uyarınca özel nitelikli kişisel veri niteliğinde olması nedeniyle, e-Nabız üzerinden gerçekleştirilecek erişimlerin hukuka uygunluğu daha dar bir çerçevede değerlendirilmelidir. Buna göre, hekimlerin e-Nabız verilerine erişimi ancak KVKK m.6/3 uyarınca, kamu sağlığının korunması, koruyucu hekimlik faaliyetlerinin yürütülmesi, tıbbi teşhis, tedavi ve bakım hizmetlerinin sunulması amaçları kapsamında gerçekleştirilmelidir.

Nitekim Kişisel Sağlık Verileri Hakkında Yönetmelik’in 6/1 maddesinde; “Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.” hükmüne yer verilerek, sağlık verilerine erişimin kapsamının somut ve güncel bir sağlık hizmeti ihtiyacına bağlı olduğu açıkça düzenlenmiştir.

Hekimlerin sağlık verilerine erişimi bakımından, 3 Aralık 2025 tarihli “Kişisel Sağlık Verileri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” ile önemli düzenlemeler getirilmiştir. Yönetmelik uyarınca e-Nabız sistemi üzerinden sağlık verilerine erişim, her hekim için aynı şekilde ve süresiz değildir. Erişim, hekimin hastayla olan ilişkisine, sunulan sağlık hizmetinin niteliğine ve belirli sürelerle sınırlı olarak aşağıdaki şekilde düzenlenmiştir:

Bununla birlikte, yatışı yapılan hastalar ile acil servise başvuran hastaların e-Nabız üzerinde gizlilik tercihi bulunsa dahi, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla gerekli olduğu hallerde veya fiili imkansızlık durumlarında, hastanın gizlilik tercihlerine bağlı kalınmaksızın erişim sağlanabileceği hükme bağlanmıştır.

Bilindiği üzere, geçmiş sağlık verilerine erişilmesini istemeyen ve e-Nabız üzerinde bu yönde gizlilik tercihini yapmış olan hastaların geçmiş sağlık verilerine erişim sağlanabilmesi için, hastanın e-Nabız profilinde kayıtlı olan telefon numarasına gönderilen doğrulama kodunun hekimle paylaşılması ve bu kodun hekim tarafından sisteme girilmesi gerekmektedir. Yeni düzenleme uyarınca, hastanın tutukluluk, hükümlülük veya benzeri nedenlerle doğrulama koduna erişemediği durumlarda, sunulan sağlık hizmeti için gerekli olmak kaydıyla aile hekimi ve muayene olduğu hekimlerin sağlık verilerine erişebilmesi mümkün hâle getirilmiştir.

4. e-Nabız Verilerine Erişim Konulu Kurul Kararı

Kurul’a intikal eden bir şikâyet kapsamında, bir Tıp Merkezi’nde görevli hekim tarafından, söz konusu sağlık kurumunun hastası olmayan şikayetçi ilgili kişinin e-Nabız sağlık verilerinin görüntülendiği iddiası üzerine inceleme başlatılmış ve şikâyete konu Tıp Merkezi’nden savunma talep edilmiştir. Tıp Merkezi tarafından verilen cevapta;

• Hekimin sekreteri tarafından hekimin ve hastanenin bilgisi ve rızası dışında ilgili kişinin e-Nabız bilgilerinin sorgulandığı,
• Hekim sekreterlerinin görevleri gereği hekimlerin bilgisayarlarını ve e-imza bilgilerini kullandıkları, bu nedenle Tıp Merkezi’nin hekim sekreterlerine gizlilik sözleşmesi imzalatmak ve gerekli eğitimleri vermek dışında alabileceği başka bir idari veya teknik güvenlik tedbirinin bulunmadığı,
• Ayrıca ilgili kişinin e-Nabız gizlilik ayarlarının “Sağlık Bakanlığına bağlı tüm hekimler verilerimi görsün” şeklinde olduğu nedeniyle zaten ilgili kişinin kendi iradesiyle hekimlere sağlık verilerine erişim izni verdiği, dolayısıyla bu erişimin hukuka aykırılık teşkil etmediği

savunulmuştur.

Konuya ilişkin yapılan inceleme neticesinde Kurul, 02/05/2023 tarihli ve 2023/695 sayılı kararıyla,

• e-Nabız sistemindeki verilere, yalnızca tıbbi teşhis, tedavi ve bakım hizmeti amacıyla veya KVKK m. 6’da yer alan diğer hukuki şartlardan birinin varlığı halinde erişilebileceği,
• e-Nabız’daki “Sağlık Bakanlığına bağlı tüm hekimler verilerimi görsün” ayarının, hekimlere sınırsız erişim yetkisi vermediği,  bu seçeneğin yalnızca sağlık durumlarının gerektirdiği hallerle sınırlı bir erişim anlamına geleceği, 
• Hekimin e-Nabız şifresini korumak hususunda gereken özeni göstermediği ve Tıp Merkezi’nin bu konuda gerekli önlemleri almadığı,
• Tıp merkezi tarafından hekim ve ilgili sağlık personellerine yönelik kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği

gerekçeleriyle veri sorumlusu Tıp Merkezi hakkında, KVKK’nın 12. maddesinde öngörülen teknik ve idari tedbirleri almadığı sebebiyle 200.000 TL idari para cezası uygulanmasına karar verilmiştir[1].

5. Sonuç ve Değerlendirme

Öncelikle, hekimlerin e-Nabız sistemine erişimde kullandıkları şifre ve kimlik doğrulama araçlarını koruma konusunda gerekli özeni göstermeleri gerekmektedir. Nitekim e-Nabız sistemine erişimin e-Devlet şifresi ve e-imza PIN kodu gibi kişiye özgü kimlik doğrulama yöntemleriyle sağlanması, bu yetkinin münhasıran hekime ait olduğunu göstermektedir. Bu yükümlülüğe aykırı davranılması hâlinde, yalnızca belirli ve sınırlı amaçlarla erişilmesi gereken sisteme üçüncü kişiler tarafından erişim sağlanması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleşmiş olacaktır.

Öte yandan sağlık kurumları da, hekimlerin bu özen yükümlülüğünü fiilen yerine getirmesini temin edecek etkin teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda, hekimlerle gizlilik taahhüdü veya sözleşmesi imzalanması, erişim yetkilerinin açık şekilde tanımlandığı bir yetki matrisi oluşturulması ve hekimlere yönelik düzenli farkındalık eğitimlerinin verilmesi gibi önlemler, veri sorumlusu sağlık kurumlarının yükümlülükleri altındadır. Nitekim Kurul başka bir kararında, “e-Nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek ilgili kişinin sağlık verilerine eriştiği dikkate alındığında söz konusu hukuka aykırı erişimin veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğu”na karar vererek Hastane hakkında idari para cezası uygulanmasına karar vermiştir[2].

Diğer yandan, söz konusu Kurul kararı, e-Nabız sistemi üzerinden gerçekleştirilen veri erişimlerinde uygulamada sıkça karşılaşılan önemli bir yanılgıya dikkat çekmektedir. Buna göre hastaların, e-Nabız üzerinden “Sağlık Bakanlığına bağlı tüm hekimler verilerimi görsün” şeklinde bir gizlilik tercihi yapmış olması, hekimler ve sağlık kuruluşları bakımından otomatik ve sınırsız bir erişim yetkisini doğurmayacaktır. Bu tercih, yalnızca somut bir tıbbi gereklilik bulunduğu hallerle sınırlı olarak anlam ve hukuki geçerlilik kazanacaktır.

Sonuç olarak uygulamada her bir e-Nabız erişiminin, “erişim mümkündür” varsayımıyla değil; “erişim gerekli midir?” sorusu esas alınarak değerlendirilmesi gerekmektedir. Hekim ile hasta arasında fiili bir teşhis, tedavi veya bakım ilişkisi bulunmadığı; ya da yürütülen sağlık hizmetiyle doğrudan bağlantı kurulamadığı durumlarda, hastaların gizlilik tercihleri ne yönde olursa olsun e-Nabız verilerine erişimden kaçınılmalıdır. Aksi yöndeki erişimlerin, KVKK’nın 12. maddesi kapsamında veri güvenliğine ilişkin yükümlülüklerin ihlali sonucunu doğurabileceği ve bu kapsamda 2026 yılı itibarıyla 17.092.242 TL’ye kadar idari para cezası uygulanabileceği göz önünde bulundurulmalıdır. Bu çerçevede, e-Nabız verilerine erişim süreçlerinde veri sorumlusu sağlık kuruluşları ile hekimlerin, hastaların gizlilik tercihlerine

 dayanarak geniş yorumlardan kaçınmaları; kişisel verilerin korunması hakkını merkeze alan, ölçülülük ve amaçla bağlantılılık ilkelerine dayalı bir uygulama pratiği geliştirmeleri zorunluluk arz etmektedir. Sorularınız için bizlere ulaşım sağlayabilirsiniz.

Av. Fatma Berna Alkan

[1] Kişisel Verileri Koruma Kurulu’nun 02/05/2023 tarihli ve 2023/695 sayılı Kararı için bkz.: https://www.kvkk.gov.tr/Icerik/7754/2023-695

[2] Kişisel Verileri Koruma Kurulu’nun 21/09/2021 tarihli ve 2021/962 sayılı Kararı için bkz. https://www.kvkk.gov.tr/Icerik/7074/-Ilgili-kisinin-talebi-ya-da-rizasi-olmaksizin-ozel-bir-hastane-calisani-hekim-tarafindan-e-nabiz-sistemine-erisim-saglanmasi-hakkinda-Kisisel-Verileri-Koruma-Kurulunun-21-09-2021-tarihli-ve-2021-962-sayili-Karari