Terapistler İçin KVKK Uyumluluğu: Danışan Notlarınızı Yasal Olarak Nasıl Saklarsınız?

Bir psikolog için danışan notu, mesleğin en hassas çıktısıdır. İçinde kişinin en kırılgan anları, ilişkileri, korkuları, bazen yasal sürece konu olabilecek bilgileri vardır. Bu notların güvenliği sadece etik bir mesele değil, aynı zamanda yasal bir zorunluluktur.

Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sağlık verilerini "özel nitelikli kişisel veri" kategorisine alır. Bu kategori için kurallar çok daha sıkıdır. Yanlış saklama, yanlış paylaşım ya da yetersiz şifreleme, milyonlarca liralık idari para cezalarına yol açabilir.

Bu yazıda, bağımsız çalışan terapistler ve klinikler için KVKK uyumluluğunun ne anlama geldiğini, hangi adımların atılması gerektiğini ve pratikte nelerin gözden kaçtığını ele alacağız.

Sağlık Verisi Neden "Özel Nitelikli" Sayılır?

KVKK'nın 6. maddesi, bazı veri kategorilerini diğerlerinden ayırır. Sağlık bilgileri, cinsel hayata ilişkin veriler, ırk, etnik köken, siyasi görüş ve dini inanç gibi bilgiler bu özel kategoride yer alır.

Bu verilerin işlenmesi için "ilgili kişinin açık rızası" şarttır. Yani danışan, hangi verisinin, neden, ne kadar süreyle, kimlerle paylaşılarak işleneceğini açıkça anlamış ve onaylamış olmalıdır. Genel bir "kabul ediyorum" kutucuğu yeterli değildir.

Bir terapistin tuttuğu seans notları, ön görüşme formları, ödeme bilgileri, hatta randevu tarihleri bile bu kapsama girer. Çünkü "Ahmet Bey her perşembe 14:00'te psikolog X'e gidiyor" bilgisi bile, üçüncü bir kişinin eline geçtiğinde Ahmet Bey hakkında sağlıkla ilgili bir çıkarım yapılmasına yol açar.

Veri Sorumlusu Kimdir? Siz misiniz?

KVKK'da "veri sorumlusu" kavramı kritiktir. Veri sorumlusu, verinin neden ve nasıl işleneceğine karar veren kişi ya da kurumdur.

Bağımsız çalışan bir terapistseniz, evet, veri sorumlusu sizsiniz. Yıllık cironuz veya çalışan sayınız belirli eşikleri aşıyorsa VERBİS'e (Veri Sorumluları Sicili) kayıt olma yükümlülüğünüz de doğar.

Bir kliniğe bağlı çalışıyorsanız veri sorumlusu klinik olur, siz "veri işleyen" konumundasınızdır. Ama notları kendi cihazınızda tutuyorsanız, kliniğe haber vermeden ek bir yazılım kullanıyorsanız, sorumluluk paylaşılır ve karmaşıklaşır.

Bir randevu programı kullanıyorsanız, yazılım sağlayıcısı sizin "veri işleyen"iniz olur. Bu durumda sağlayıcıyla bir Veri İşleme Sözleşmesi (DPA) imzalamak yasal bir gerekliliktir.

KVKK Uyumlu Bir Klinik İçin 9 Adım

Aşağıdaki liste, bağımsız bir terapistin ya da küçük bir kliniğin KVKK uyumu için atması gereken pratik adımları içerir.

1. Açık rıza metni hazırlayın. Danışana hangi verisinin, hangi amaçla, ne kadar süreyle işleneceğini sade dille anlatan bir metin gerekir. Şablon metin internetten kopyalanmamalı, sizin pratiğinize özel hazırlanmalıdır.

2. Aydınlatma metni ayrı bir belge olmalı. KVKK'da "açık rıza" ve "aydınlatma" iki farklı yükümlülüktür. Aydınlatma metni, rıza almadan da bilgilendirme yapma zorunluluğudur.

3. Verileri şifreleyerek saklayın. Excel, Word ya da telefon notu kabul edilemez. AES-256 standartında, uçtan uca şifreli bir sistem gerekir.

4. Erişim kayıtlarını tutun. Hangi notu, ne zaman, kimin açtığı kayıt altına alınmalıdır. Bir denetimde bu kayıt istenebilir.

5. Veri saklama süresini belirleyin. Sağlık verileri için belirli süreler vardır (genellikle son seansın üzerinden 10 yıl). Süresi dolan veriler imha edilmelidir.

6. Veri ihlali bildirim planı hazırlayın. Bir veri sızıntısı yaşanırsa 72 saat içinde KVKK Kurumuna bildirimde bulunmak zorundasınız. Süreci önceden planlamamış olmak ek ceza nedenidir.

7. Üçüncü taraf yazılımlarla DPA imzalayın. Randevu programı, bulut yedek, e-posta sağlayıcısı; danışan verisine değen her hizmetle Veri İşleme Sözleşmesi imzalanmalıdır.

8. Verileri AB ya da Türkiye'de tutun. ABD'deki sunuculara veri aktarımı ek izinler ve sözleşmeler gerektirir. Pratikte AB içi tutmak en güvenli yoldur.

9. Yıllık olarak gözden geçirin. KVKK kararları ve mevzuat değişiyor. Yıllık bir uyum kontrolü yapmak iyi bir alışkanlıktır.

Sık Yapılan 4 Hata

Pratikte en çok karşılaşılan hataları paylaşmak gerekir, çünkü çoğu iyi niyetli terapistin başına geliyor.

WhatsApp'tan rıza istemek. WhatsApp üzerinden gelen "okudum onaylıyorum" yazısı KVKK açısından geçerli bir açık rıza sayılmaz. Yazılı, tarihli ve kimliği doğrulanmış bir belge gerekir.

Telefon rehberinde danışan saklamak. Danışanın adı, soyadı ve "psikolog danışanı" gibi bir notla kayıtlı olması bile veri ihlali riskidir. Telefonunuzu birinin alması yeterlidir.

E-posta ile not göndermek. Süpervizöre, sigortaya ya da bir meslektaşa şifrelenmemiş e-postayla not göndermek ciddi bir risktir.

Tek bir cihazda yedek tutmamak. Cihaz arızalanırsa veriler kaybolur. Ama yedek de şifreli ve KVKK uyumlu bir ortamda olmalıdır.

Yazılım Seçimi: KVKK Açısından Sorulacak 5 Soru

Bir randevu programı ya da klinik yönetim yazılımı değerlendirirken şu soruların net cevaplarını isteyin:

Veriler nerede saklanıyor? AB ya da Türkiye dışındaki konumlar risklidir.

Uçtan uca şifreleme var mı, varsa hangi standart? AES-256 minimum kabul edilebilir standarttır.

Talep edersem Veri İşleme Sözleşmesi imzalanıyor mu? Cevap "hayır" ya da "şu an yok" ise alternatife bakın.

Verilerim yapay zeka eğitiminde kullanılıyor mu? Sözleşmede açık bir madde olmalı.

Aboneliği sonlandırırsam verilerimi dışa aktarabilir ve sistemden tamamen silebilir miyim? KVKK'nın "unutulma hakkı" prensibi sizin için de geçerli olmalı.

Sonuç: Uyum Bir Lüks Değil, Mesleğin Parçası

KVKK uyumluluğu, terapistler için ek bir bürokrasi yükü gibi görünebilir. Ama doğru araçlarla, bir defa kurulduğunda büyük ölçüde arka planda işleyen bir sistemdir.

Ve uyumun sağladığı en büyük fayda, ceza riskinden kaçınmak değildir. Asıl fayda, danışanınıza "verileriniz benim sorumluluğumda ve gerçekten korunuyor" diyebilmenizdir. Bu, terapötik ilişkinin temelidir.

Calemio uçtan uca şifrelidir, veriler AB veri merkezlerinde tutulur ve KVKK ile GDPR uyumu için denetlenmiştir. Talep eden tüm uzmanlarla Veri İşleme Sözleşmesi imzalanır. Ücretsiz denemeyle başlayabilirsiniz.