Raporlarınızı WhatsApp'tan gönderdiniz, doktor cevapladı, bir şeyler anlaşıldı gibi görünüyor. Ama o mesaj artık nerede? Kim görebilir? Silindi mi, arşivlendi mi, başka bir sunucuya aktarıldı mı? Hollanda'da ya da Almanya'da yaşayan pek çok Türk hasta, Türkiye'deki bir uzmana ulaşmak için bu soruları hiç sormadan ilerliyor. Anlaşılır bir nedenle: acil olan tedaviyi bulmak, dil engelini aşmak, bir an önce doğru kişiye danışmak. Veri güvenliği ise o anda aklın en son köşesinde oturuyor.

Oysa AB'de yaşayan bir hasta olarak sahip olduğunuz yasal haklar son derece güçlü. Genel Veri Koruma Tüzüğü (GDPR) kapsamında sağlık veriniz, sıradan bir telefon numarasından çok daha farklı bir kategoride değerlendiriliyor. Ve bu veriyi kimin, nasıl, hangi altyapıyla işlediği doğrudan sizi ilgilendiriyor. Yurt dışında tedavi arayışına girerken bu konuyu bir kez, net biçimde anlamak önemlidir.

Bu yazıda teknik bir hukuk dersi vermek yerine şunu anlatmaya çalışacağız: Günlük iletişim kanalları üzerinden paylaşılan tıbbi verinin neden risk taşıdığını, Avrupa'da yaşayan bir hasta olarak neleri sorgulamanız gerektiğini ve güvenli bir sağlık turizmi sürecinin nasıl görünmesi gerektiğini.

Sağlık verisi, kişisel verilerin en hassas biçimlerinden biridir. Avrupa Birliği mevzuatı bunu açıkça tanımlamış. GDPR'ın 9. maddesi, sağlık bilgilerini "özel nitelikli veri" olarak sınıflandırıyor ve bu verilerin işlenmesini çok daha sıkı kurallara bağlıyor. Bu kurallar soyut değil. Veriyi toplayan ya da işleyen her kurum, güçlü teknik önlemler almak, işleme faaliyetlerini kayıt altında tutmak ve veri sahibinin haklarını korumak zorunda.

Türkiye'de de durum farklı değil. 6698 sayılı KVKK, sağlık verilerini özel nitelikli kişisel veri olarak tanımlıyor ve bu verilerle ilgilenen kuruluşlara ciddi yükümlülükler getiriyor. Yani Türkiye'deki bir sağlık kurumuna veri gönderdiğinizde, o kurumun da bu sorumluluğun farkında olması gerekiyor.

Peki günlük hayatta ne oluyor? Hasta, raporlarını telefondan fotoğraflayıp mesajlaşma uygulamasına yüklüyor. Karşı taraf açıyor, bir şeyler söylüyor, bir şeyler inceliyor. O andan itibaren bu verinin nereye gittiğini, kimlerin sunucusunda durduğunu, ne zaman silineceğini kimse bilmiyor. Bu, hastanın tercihinden değil, sistemin yapısından kaynaklanan bir açık.

WhatsApp, Telegram veya standart e-posta, günlük iletişim için yeterince güvenli olabilir. Ama tıbbi kayıt iletimi için tasarlanmış değiller.

Bu kanalları kullanan hastalar farkında olmadan birkaç sorunu aynı anda yaratıyor. 

Birincisi: veriyi kimin işlediği belirsizleşiyor. Mesajlaşma uygulamaları kendi veri politikaları çerçevesinde çalışır ve bu politikalar GDPR'ın gerektirdiği veri işleme sözleşmeleriyle örtüşmeyebilir. 

İkincisi: kayıt yok. Kimin hangi belgeyi ne zaman gördüğüne dair denetlenebilir bir iz kalmıyor. 

Üçüncüsü: Silme riski. Mesajlar cihazdan silindiğinde tıbbi iletişime ait herhangi bir iz de yok oluyor. Bir şey yanlış gitse, o konuşmayı ispat etmek mümkün olmayabilir.

Hollanda'da ya da Almanya'da yaşayan bir hasta olarak AB'nin size tanıdığı haklar çok kapsamlı. Verilerinize erişim hakkı, silinmesini talep etme hakkı, işleme faaliyetleri hakkında bilgilendirilme hakkı. Ama bu hakları kullanmak için önce verilerinizin nerede olduğunu bilmeniz gerekiyor. Kontrolsüz bir kanal üzerinden gönderilmiş tıbbi belgelerin nerede durduğunu kimse tam olarak söyleyemiyor.

Yurt dışında tedavi veya ikinci görüş arayan her hasta için birkaç temel soru belirleyici olabilir. Bu sorular karmaşık değil, ama cevapları çok şey söylüyor.

Verilerinizi paylaşmadan önce şunu sorabilirsiniz: Bu platform GDPR uyumlu mu? Verilerimi hangi altyapıda saklıyorlar? Belge yükleme süreci şifreli mi? Kim erişebilir ve bu erişim kayıt altında tutuluyor mu? Verilerimin silinmesini talep edebilir miyim?

Bu sorulara net yanıt veremeyen ya da "sizi sisteme alacağız, endişelenmeyin" gibi muğlak cevaplar dönen bir hizmet sağlayıcısıyla ilerlemeyi iki kez düşünmek mantıklıdır. Güvenilir bir platform bu soruları beklediğini bilir ve yanıtlamaktan çekinmez.

Kültürel açıdan da şunu eklemek gerekir: Aileler sağlık kararlarını genellikle birlikte alır. Tedaviyi araştıran çoğu zaman yalnız hasta değil, bir yakınıdır. Bu süreçte aileden birinin sisteme dahil olması, birden fazla kişinin aynı dosyaya erişmesi söz konusu olabilir. Bu tamamen normal. Ama bu erişimin de kayıt altında, kontrollü ve güvenli biçimde yönetilmesi gerekiyor.

GDPR, Avrupa Birliği vatandaşları ve AB'de ikamet eden herkes için geçerlidir.

Ama bir sınırı var: GDPR, veriyi ileten veya işleyen tarafın sorumlulukları için geçerlidir. Siz bir mesaj uygulamasından gönüllü olarak belge gönderdiğinizde, o uygulamanın kullanım koşullarını da kabul etmiş oluyorsunuz. Ve bu koşullar çoğu zaman tıbbi veri koruma standartlarıyla bağdaşmıyor.

Yani yasal güvence var, ama bu güvencenin devreye girebilmesi için doğru kanalı kullanmış olmak gerekiyor. Hukuk size güvenli bir sistem kullanma zorunluluğu getirmiyor, ama güvenli sistem kullanan platformlarla çalışmak size çok daha sağlam bir koruma sağlıyor.

Almanya'da Krankenkasse kapsamında yurt dışı tedavi talep edenler için durum biraz daha karmaşık. Kassenärztliche Vereinigung'un onay süreci, belge paylaşımının resmi kanallardan yapılmasını neredeyse zorunlu kılıyor. Bu süreçte kontrolsüz kanallar üzerinden iletilen belgeler geçersiz sayılabiliyor ya da süreç uzuyor.

Güvenli bir süreç, karmaşık olmak zorunda değil. Ama birkaç temel unsuru barındırması gerekiyor.

Her şeyden önce, hasta dosyasının merkezi ve yapılandırılmış biçimde tutulduğu bir platform olmalı. Belgeler dağınık mesaj dizileri arasında kaybolmamalı. Sisteme erişim yetkisi belirli kişilerle sınırlı olmalı, bu erişim kayıt altında tutulmalı. Bir yetkisiz erişim olursa tespit edilebilmeli.

Bunun yanı sıra, hastanın kendi verilerini görebilmesi, indirebilmesi ve gerektiğinde silinmesini talep edebilmesi gerekiyor. Bu bir lütuf değil, yasal bir hak. Güvenilir platformlar bu hakların teknik altyapısını baştan kurmuş olur.

Rehealth bu anlayışla kuruldu. Medikal İkinci Görüş ve Yurtdışında Tedavi hizmetleri için geliştirilen platform; rol bazlı erişim kontrolü, güvenli belge yükleme, denetlenebilir kayıt altyapısı ve GDPR uyumlu veri işleme prensipleri üzerine inşa edildi. Buradaki amaç yalnızca veri taşımak değil, veriyi kurumsal bir sorumluluk anlayışıyla yönetmek. Hollanda'da yaşayan bir hasta, Türkiye'deki bir profesör doktorla görüşmek istediğinde bu süreci hem klinik hem de hukuki açıdan güvenli biçimde yürütebilmeli.

Bazı hastalar bu konuları gündeme getirmekten çekiniyor. "Doktor zaten iyi niyetle yardım etmeye çalışıyor, neden sorgulamalıyım?" ya da "Bu kadar detayla uğraşacak zamanım yok" gibi düşünceler anlaşılır. Ama veri güvenliği, tedaviye erişimi engelleyen bir prosedür değil, o tedavinin sağlıklı ilerleyebilmesi için zemin hazırlayan bir süreçtir.

Güvenli bir platformda belge paylaşmak, mesaj uygulamasından dosya göndermekten daha fazla zaman almıyor. Tersine, düzenli bir dosya sistemi olduğunda ikinci görüş süreçleri daha hızlı ilerliyor. Doktor hangi belgeye nerede bakacağını biliyor. Hasta hangi adımda olduğunu takip edebiliyor. Aile üyesi de süreci şeffaf biçimde izleyebiliyor.

Sınır ötesi sağlık hizmeti büyüyor. Daha fazla hasta, daha fazla veri, daha fazla iletişim. Bu büyümenin sürdürülebilir olabilmesi için dijital altyapının güvenilir olması şart. Güvensiz bir platformda iyi bir klinik sonuç almış olsanız bile, bu süreçte yaşanan veri açıkları ileride ciddi sorunlara yol açabilir. Tercih, baştan doğru bir sistem kurmaktır.

Pek çok hasta Türkiye'deki sağlık kurumlarına duydukları güveni, aracı platforma da otomatik olarak aktarıyor. Bu güven mantıklı bir başlangıç noktası olabilir. Ama güven, varsayım üzerine kurulmaz. Özellikle tıbbi veri söz konusu olduğunda.

Kullandığınız platformun GDPR'a uygun olup olmadığını, verilerinizin nerede saklandığını ve silinmesini talep edebilir misiniz diye sorduğunuzda tatmin edici yanıt alıyorsanız, sürece dahil olabilirsiniz. Alamıyorsanız bu bilgiyi talep etmek sizin hakkınız. Hasta olmak, o haktan feragat etmek anlamına gelmiyor.

Rehealth olarak her hastaya net bir tablo sunmayı hedefliyoruz: Verileriniz nerede tutuluyor, kim erişebiliyor ve bu süreci nasıl kontrol edebilirsiniz. Çünkü sağlık turizmi yalnızca iyi bir doktor bulmakla bitmiyor. O süreci güvenle tamamlamak da tedavinin bir parçası.

Yurt dışında tedavi arayışı, Avrupa'da yaşayan pek çok hasta için hem zorunlu hem de doğru bir tercih olabiliyor. Dil engeli, bekleme süreleri, uzman erişimi; bunlar gerçek sorunlar ve çözümü var. Ama bu süreçte tıbbi verinin nasıl yönetildiği, süreci başarıya taşıyan ya da sonradan sorun yaratan temel faktörlerden biri. Kontrolsüz kanallar üzerinden ilerlemek, kısa vadede pratik görünse de hukuki belirsizlik ve kişisel mahremiyet açısından ciddi bir açık bırakıyor.

Rehealth  bu açığı kapatmak için var. Hem ikinci tıbbi görüş için hem de yurt dışında tedavi planlama süreçlerinde veriyi kurumsal sorumluluk çerçevesinde yöneten, GDPR uyumlu bir platform olarak çalışıyoruz. Sürecinizi başlatmadan önce merak ettiklerinizi sormaktan çekinmeyin. Doğru soru, doğru platformu bulmakla başlıyor.