XVII. Akademik Bilisim Konferansi

BaşlıkElektronik Sağlık Kayıtlarındaki Gizliliğin Kontrolünü Sağlayacak Yeni Bir Yaklaşım : Kayıtların Kullanımının Açıklığının Sağlanması
ÖğrenciHayır
Yazar(lar) Yazar 1
Name: Mustafa Rüştü Soyal
Org: Dokuz Eylül Üniversitesi
Country: TR
E-mail: rustu_soyal_AT_hotmail.com
Anahtar Kelimelerelektronik sağlık kayıtları, gizlilik, acıklık, hasta hakları
ÖzetÜlkemizde Elektronik Sağlık Kayıtları diğer birçok ülkeye göre çok daha yaygın kullanıldığı halde elektronik sağlık kayıtlarında gizliliğin ne derece sağlandığı konusunda hemen hemen hiç bir veri (geri bildirim vs) veya bu veriyi üretecek mekanizma mevcut değildir. bu konuda hukuksal düzenlemelerin de olmaması gizliliğin tanımlanmasını ve sağlanmasını kurum ve kişilerin inisiyatiflerine bırakmaktadır. konunun asıl muhatabı olan hastaların (halkın) ise kendilerine ait verilerin hukuka veya etiğe uygun veya uygunsuz kimlerin ne amaçla kullandığı konusunda bir bilgi edinememektedirler. Ayrıca Elektronik Sağlık Kayıtlarındaki gizliliğin sağlanmasına yönelik çalışmaların başarısının geri bildirimi ve kullanıcının Elektronik Sağlık Kayıtlarında gizliliğe olan güveninin artırılmasına yönelik Elektronik Sağlık Kayıtlarındaki gizliliğinin ne kadar sağlandığına dair çok az mekanizma vardır. Çoğu zaman gizliliğin ihlal edildiği uygunsuz olarak ele geçirilen veriler ancak bir şekilde teshir edilirse tespit edilebilmektedir. Hali hazırda çözüme yönelik hazırlanmış olan logları izleyerek gizliliğin ihlalini tespit etmeye yönelik çalışmalar ise fiiliyata geçirilmesindeki zorlukları ve gizlilik ihlalini tespitteki başarısı bakımından tartışılmaktadır. bu çalışmada sağlık hizmeti veren kurumların çoğunda ve sağlık bakanlığının merkezi biriminde saklanan Elektronik Sağlık Kayıtlarının doğal sahibi olan hastalara kendi kayıtlarına yapılan erişimlerde ve güncellemelerde gerçek zamanlı bilgi gönderimini öngören bir çözüm önerilmektedir. Bu çözüm Elektronik Sağlık Kayıtlarındaki gizliliğin ne şekilde ve derece uygulandığının kontrolünün sağlanmasına ve hastaların kayıtların gizliliği ile ilgili endişelerin azaltılmasında önemli katkı sağlayacaktır. Ayrıca Elektronik Sağlık Kayıtlarındaki gizliliğin sağlanması ile ilgili çalışmaları desteklemesi konusunda önemli bir geri bildirim imkanı sağlayacaktır. özellikle aşamalı olarak devreye sokulabilmesi sayesinde burada sunulan çözümün uygulanabilirliği, basarisi ve sağlayacağı diğer katkılar bakımından etkili olduğu görülmektedir. Elektronik Sağlık Kayıtlarındaki Gizliliğin Kontrolünü Sağlayacak Yeni Bir Yaklaşım : Kayıtların Kullanımının Açıklığının Sağlanması Giriş Günümüzün hızla gelişen bilgi teknolojilerinin faydaları sağlık hizmetlerinin de daha hızlı, ekonomik ve hatasız çalışmasına olanak sağlayabilmektedir. ABD nde yapılan bir araştırmaya göre temel sağlık hizmetlerinde çalışanların %75 i bilgi teknolojilerinden faydalanıldığında daha az hata olacağını, %75 i verimliliklerinin artacağını, %60 ı maliyetlerin azalacağını ve hastaların daha sorumlulukla hareket edildiğini varsayacağını düşünmektedir.[1] Ne var ki bilgi teknolojilerinin kullanımının değeri çok iyi bilindiği halde hasta mahremiyeti ile ilgili endişeler elektronik sağlık kayıtlarının yaygınlaşmasını yavaşlatmaktadır [2]. Ülkemizde hasta kayıtlarının mahremiyetini de kapsayan kişisel verilerin korunmasına yönelik anayasa ve kanunlar ile bazı düzenlemeler mevcuttur. Örneğin anayasanın 20. maddesinde aşağıdaki gibi bir düzenleme mevcuttur: (Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. Ayrıca 5237 Sayılı Türk Ceza Kanunu da kişisel verilerin korunması ile ilgilidir: Verileri hukuka aykırı olarak verme veya ele geçirme Madde 136-(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır. Nitelikli haller Madde 137-(1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır. Bu tip hukuki düzenlemeler (kanunlar, kanun hükmünde kararnameler, yönetmelikler vs) çoğu zaman ya yurt dışındaki benzerlerine (AB, ABD, HIPAA vs) bakılarak yapılmakta veya kişisel bilgiyi bir varlık olarak kabul edip hukuki olarak değerlendirilmektedir. Halbuki her ne kadar kişisel veriler o kişiye ait bir varlık ise de diğer varlıklarından farklılıklar göstermektedir. Kişiler diğer varlıklarında genelde tam bir sahiplenme ve koruma içindeyken kişisel veriler konusundaki esneklikler konusunda farklılıkları olabilmektedir. Kişisel verilerde gizliliğin artırılması ile sağlık hizmeti, sağlık araştırmaları ve hatta hastanın konforuna zaman zaman olumsuz etkisi olduğu konusunda araştırmalar vardır[3]. Bu durumda hukuki düzenlemeler yapılırken bazı zorunlulukların (bildirimi zorunlu hastalık kayıtları vs) dışında da kişisel verilerin gizliliğinin esnetileceği noktalar mevcut olabileceği gibi tam tersi diğer varlıklara göre daha farklı bir korumaya ihtiyaç duyan gizlilik de olabilir. Bunların ortaya çıkartılabilmesi için halkın tutum ve davranışlarını bir fiil takip edip geri bildirim alınabilecek şekilde halkın dahil olduğu ortamların oluşturulması gerekmektedir. Hukuken korunan ve ihlali durumunda cezaları kanunlar ile belirlenmiş olan kişisel veriler ile ilgili düzenlemelere rağmen bu suçların tespiti ve ispatı ile ilgili de önemli zorluklar vardır. Örneğin hasta kayıtlarını uygunsuz olarak ele geçiren ve bu sayede maddi menfaat sağlayan bir firmanın ele geçirdiği verileri teşhir etmediği sürece böyle bir suç eylemini gerçekleştirdiğinden başkalarının haberi olmayabilmektedir. Kişisel verilerin gizliliği ile ilgili bir suç unsuru oluştuğunun ispatı için ise yeni bazı sorular ortaya çıkmaktadır; Kimler veriye erişebilmeli? Hangi şartlarda erişim uygun kabul edilebilmeli? Ne şekilde kullanımı uygun kabul edilmeli? Verinin doğruluğu/bütünlüğünün korunması nasıl sağlanmalı? (O'Brien, & Yasnoff, 1999) Kişisel verilerin ihlalinin önlenmesine yönelik çalışmalar bir yana kişisel verilerin ihlalini tespit edebilecek çalışmalar da büyük önem taşımaktadır. Bu çalışmalar sayesinde her şeyden önce ihlalin olup olmadığını bildirmesi sayesinde kişisel verilerin ihlalinin önlenmesine yönelik çalışmaların ne derece başarılı olduğu konusunda bir geri bildirim edinilmektedir. Ayrıca ihlalin oluştuğunun erken bildirimi durumunda olası sucun daha da (verinin kopyalanması, kullanılması, teşhir edilmesi vs) büyümeden önlenebilme imkanı sunmaktadır. Günümüzde elektronik sağlık kayıtlarında gizliliğin ihlalini tespit için önemli çalışmalar vardır. Bu çalışmaların çoğu Health Insurance Portability and Accountability Act (HIPAA) nın Section 164.308(a) ve Section 164.312(1)(b) maddelerinde öngördüğü gibi tutulması gerekli olan log dosyalarını kullanmaktadır. Jihoon Kim et al. ın "Anomaly and Signature Filtering Improve Classifier Performance For Detection Of Suspicious Access To EHRs" çalışmasında olduğu gibi gizlilikten sorumlu kişinin dahil olduğu yarı manuel sistemler veya Aditya Krishna Menon et al. ın "Detecting Inappropriate Access to Electronic Health Records Using Collaborative Filtering" ve Boxwala AA et al. "Using statistical and machine learning to help institutions detect suspicious access to electronic health records" çalışmalarında olduğu gibi makine öğrenme tekniklerinin kullanıldığı çalışmalar bu konudaki iyi örneklerdendir. Ancak bu çalışmaların hiç biri hastaları çözüm sürecinin içine dahil etmemektedir. Halbuki gizlilik konusunda halkın hassasiyetlerindeki değişkenlikler tam olarak bilinmeden halk için bir gizlilik politikası ve buna uygun sistemler tasarlamak, tasarlanacak sistemlerin ileride eksik veya kısmen gereksiz durumlarını ortaya çıkartabilir. Daha da önemlisi hali hazırdaki diğer çözüm çalışmalarının başarısı için onların kontrolünü yapacak aynı tekniği kullanmayan paralel bir çalışmanın da olması faydalı olacaktır. Örneğin makine öğrenme tekniği ile gizliliği tespit etmeye çalışan bir çalışmanın öğrenme sürecinin başında gizlilik ihlallerini tespit edip bir vaka olarak sisteme aktaracak bir başka mekanizmaya ihtiyaç olabilir. Gizliliğin tespiti konusundaki çalışmaların yeni olması nedeniyle gizlilik ihlallerini büyük ölçüde tespit edecek bir çözüm seçeneği henüz mevcut olmadığından pratik olası çözümler üzerinde durulması faydalı olacaktır. Hızlı fiiliyata geçirilebilecek bu tip çözümler hem hemen hemen hiç gizlilik ihlali tespiti çözümü olmayan sağlık kuruluşları için acil bir kısmi çözüm olabilecektir, hem gizlilik ihlali tespiti çalışmalarında daha insan bağımsız çalışan sistemlerin eğitilmesi ve test edilmesinde hem de gizlilik ihlali önleme çalışmaların testinde kullanılabilecektir. Tüm bu zorluklar ve karmaşa içinde çözüm sürecine hastaların ya dahil edilmemesi veya az dahil edilmesi belki de olası pratik bazı çözümlerden veya çözüm desteklerinden de mahrum kalınıyor anlamına gelebilir. Elektronik sağlık kayıtlarında gizliliğin sağlanması için hukuki, idari bir çok düzenlemeler ve bu düzenlemelerin fiiliyata geçirilebilmesi için çalışmalar yapılmaktadır. Bu çalışmalar büyük ölçüde kanun/kural yapıcılar, sistem tasarımcıları, geliştiricileri ve sağlık sektörü mensupları tarafından yürütülmektedir. Gizlilik kavramının soyutluğu ve kişiden kişiye değişkenliği nedeniyle konulan kanun ve kurallar boyutunun bunların yapıcıları için ayrı bir zorluk olduğu kadar sistem tasarımcı ve geliştiricileri için de uygulamaya geçirmeleri gereken yeni kavramlar olduğundan nasıl yapılacağı kadar ne yapılacağı konusunu da gündemde tutmaktadır. Konunun asil muhatabı olan hastalar ise surecin içinde yeterince yer almamaktadır. Bunun sebeplerinden bir tanesi bu konuda sürece dahil olabilecekleri bir ortamın olmaması ve dolayısıyla da farkındalıklarının olmamasıdır. Bu katılımcılığı ve farkındalığı yaratmanın bir yolu da Elektronik Sağlık Kayıtlarının tam olarak neyi içerdiği, bunların kendilerine ait olduğu ve şu anki durum itibarıyla bu bilgilere kimlerin ne zaman ne sıklıkta erişim sağladığı konusundaki bilgilendirmedir. Böyle bir durum halkın geri bildirimler sayesinde kanun/kural yapıcılar ve sistem tasarımcılar/geliştiriciler in çalışmalarına yön vermeleri konusunda önemli bir katkı sağlanacaktır. Ayrıca Elektronik Sağlık Kayıtlarındaki gizliliğin sağlanması için yapılan çalışmalarındaki hatalar ve eksikler çoğu zaman gizlilik ihlali eğer teshir edilirse ve bu teshir ilgili kişi tarafından fark edilirse tespit edilebilmektedir. Halbuki hastaların kayıtlarının kullanımını izleyebildikleri bir durumda bu tip hata ve eksiklerin daha çabuk (neredeyse anında), kayıtlar teshir edilmese bile veya kayıtlar teshir edilmeden önce uygunsuz erişim tespit edilebileceğinden gizlilik çalışmalarının geliştirilmesinde önemli bir katkı sağlayabilir. Bu durumdaki erken uyarı gizliliğin ihlali durumunda kayıtlar teshir edilmeden veya menfaat amaçlı kullanılmadan zarar daha vahim bir hal almadan müdahale etme şansı vermektedir. Şu ana kadar hastaların Elektronik Sağlık Kayıtlarındaki çalışmalarında surece dahil edilmesi ile ilgili en belirgin nokta Elektronik Sağlık Kayıtlarında hastaların kendi kayıtlarına ulaşabilme haklarının verilmesi ve kayıtların saklandığı kurum/merkezlerdeki gizlilik politikalarının, prosedürlerin ve teknolojilerinin açıklığının sağlanmasıdır(HIPAA). Ancak günümüzde hemen hemen tüm sağlık kurumlarında (bazı laboratuvarlar hariç) haklı veri güvenliği endişeleri ile hastalara kayıtları hala sadece kağıtta verilebilmekte dijital olarak anlık görebilecekleri bir ortam sunulamamaktadır. Aslında hasta kayıtları en çok sağlık hizmeti sunan kurumların ve kişilerin (örn hekimler) kullandıkları ve buradaki çoğu bilgiyi ancak onların anladıkları ve kullanabilecekleri bilgiler olduğu için hastaların kendi kayıtlarını görmeleri çoğu zaman ve belki de çoğu kişi için önem arz etmemektedir. Hasta kayıtlarının nasıl korunduğu ile ilgili yapılacak açıklamalar ise teknik konular olduğu için çoğu zaman ve çoğu kişi tarafından anlaşılmayacaktır. Buna karşın kayıtlarının doğal sahibi olan hastaların kayıtlarını bir noktada emaneten saklayan kurum ve kişilere önemli sorumluluklar düşmektedir. bu kayıtların maddi çıkar için kullanılabileceği gibi uygunsuz teshiri gibi durumlarda hastada telafisi zor maddi ve manevi zararlara da neden olabilecektir. Bu çalışma hastaların Elektronik Sağlık Kayıtlarındaki gizlilik çalışmalarının yönlendirilmesine katkı sağlayacak ve bu çalışmaların sonuçlarının kontrolünü sağlayacak bir çözüm önermektedir. bu çözümde hastaların sağlık kurum ve merkezlerinde saklanan kendilerine ait kayıtlarına yapılan erişimler ve güncellemelerden haberdar olması sağlanacaktır. çalışmada böyle bir tasarımın nasıl gerçekleştirilebileceği, gerçekleştirme risk ve maliyetleri, faydaları ve ileriye donuk ne şekilde geliştirilebileceği anlatılmıştır. [1] J.G. Anderson, E.A. Balas, Computerization of primary care in the United States, Int. J. Health Inform. Syst. Inform. 1 (3) (2006) 1–23. [2] Angst CM, Agarwal R. Adoption of electronic health records in the presence of privacy concerns: the elaboration likelihood model and individual persuasion. [3] Charity Scottt IS TOO MUCH PRIVACY BAD FOR YOUR HEALTH? AN INTRODUCTION TO THE LAW, ETHICS, AND HIPAA RULE ON MEDICAL PRIVACY*
Başlıklar AB-Bildiri
Bilişim Güvenliği ve Güvenlik Sistemleri
Gizlilik, Bireysel haklar, Mahremiyet ve Kişisel Verilerin Korunma
İnternet, Demokrasi, Katılım ve Saydamlık
Dosya  
 

 

Powered by OpenConf®
Copyright ©2002-2014 Zakon Group LLC