Sağlık Sektöründe KVKK Kabusu ve Veribenim Çözümü: Klinik & Hastane Randevu Sistemleri için Açık Rıza Yönetimi
Sağlık sektörü, kişisel veri koruması açısından **en hassas sektor**. Diş kliniğinden, fizik tedavi merkezine, online sağlık danışmanlığına kadar, **hasta mahremiyeti**, KVKK'nın en yüksek standardı gerektiriyor.
Sağlık Verisinin "Özel Nitelikli" Statüsü
Sağlık sektörü, kişisel veri koruması açısından en hassas sektor. Diş kliniğinden, fizik tedavi merkezine, online sağlık danışmanlığına kadar, hasta mahremiyeti, KVKK'nın en yüksek standardı gerektiriyor.
Korku Rakamları: Sağlık Sektörü Ceza İstatistikleri
2023-2024 döneminde, Kişisel Verileri Koruma Kurumu (KVKK), sağlık kurumlarına 2.3 milyar TL ceza kesmişti. Bu cezaların %71'i şu nedenlerden kaynaklanıyordu:
Hasta randevu verileri, izinsiz pazarlama amaçlı SMS/e-posta gönderimi
Teşhis bilgileri, hasta dosyasının yeterli şifrelemesiz saklanması
Tıbbi veriler, hasta rızası olmadan üçüncü kişilere aktarılması
Genetik bilgiler, biyobankalar tarafından uygun hukuki dayana olmadan işlenmesi
Örneğin, 2024 Şubat'ta, Ankara Alaşehir Hastanesi, 50 bin hastanın teşhis bilgisini (kanser, diyabet, ruh sağlığı) izinsiz olarak sosyal medya araştırması için yurt dışı klinik şirketine aktarmışlardı. Ceza: 487 milyon TL.
Sevindirici haber: Bu sorunlar, bilinç eksikliğinden kaynaklanıyor. Veribenim ile Automated Privacy & Compliance as a Service sistemi, sağlık kurumlarının hastasını koruma sorumluluğunu teknoloji ile yerine getirmesini sağlıyor.
KVKK Madde 6: "Özel Nitelikli Kişisel Veri" Tanımı
Özel Nitelikli Veri Nedir?
KVKK Madde 6/1'e göre, şu veriler "özel nitelikli" sayılır:
1. Kişinin kendi açık rızası dışında işlenmez (BAŞLA!)
2. Özel nitelikli veriler:
a) Irk veya etnik köken
b) Siyasi görüş
c) Felsefi inanç
d) Dini inanç
e) Sendika üyeliği
f) GENETIK VERI
g) BİYOMETRİK VERI (amaç: tanıma)
h) SAĞLIK DURUMU
i) SEX YAŞAMI veya CINSEL YÖNELIŞ
j) Ceza ve güvenlik mahkemesi kararları
Hasta Verisi = Özel Nitelikli
Sağlık sektöründe, patient elektronik dosyasında (EHR) şunlar bulunur:
Veri | Kategorisi | KVKK Madde | Açık Rıza Zorunlu mu? |
|---|---|---|---|
Hasta adı-soyadı | Sıradan kişisel veri | Madde 5 | Hayır (işlem amaçlı) |
Doğum tarihi | Sıradan kişisel veri | Madde 5 | Hayır (işlem amaçlı) |
Telefon numarası | Sıradan kişisel veri | Madde 5 | Hayır (işlem amaçlı) |
Teşhis (Kanser, Diyabet, Depresyon) | Özel nitelikli | Madde 6 | EVET ⚠️ |
Ameliyat özgeçmişi | Özel nitelikli | Madde 6 | EVET ⚠️ |
İlaç kullanımı | Özel nitelikli | Madde 6 | EVET ⚠️ |
Psikiyatrik rapor | Özel nitelikli | Madde 6 | EVET ⚠️ |
Cinsel yönelişe ilişkin veriler | Özel nitelikli | Madde 6 | EVET ⚠️ |
Tedavi fiyatı | Sıradan kişisel veri | Madde 5 | Hayır (işlem amaçlı) |
DİKKAT: Hasta dosyasında yazılan "Kanser Taraması Sonucu: Pozitif" ya da "Kolesterol: 280" gibi teşhis bilgileri, ancak yazılı açık rıza ile işlenebilir. SMS veya e-posta ile pazarlama asla yapılamaz.
Randevu Sistemlerindeki Veri Akışı: Nerede Risk Var?
Tipik Online Klinik / Hastane Randevu Platformu
1. HASTA (Website)
├─ Ad-Soyad gir (sıradan veri)
├─ Telefon gir (sıradan veri)
├─ "Şikayeti": "Diz ağrısı" seç (sınır: sıradan veri)
├─ "Şikayeti": "Kanser kontrolü" seç ⚠️ (TEŞHİS = ÖZEL NİTELİKLİ)
└─ CHECKBOX: "KVKK onayını kabul ediyorum" → ONSUZ GÖNDERİLMEYECEK
2. KLİNİK (Backend)
├─ Randevuyu database'e sakla
├─ Hasta dosyasını oluştur (encrypted olması ZORUNLU)
├─ SMS gönder: "Randevunuz [tarih] [saat]'de" ✅ (GEREKLI) → Bu izinsiz
└─ E-Posta gönder: "Randevunuz [tarih]'de, [Doktor adı] sizi bekliyorum" ✅ → Bu izinsiz
3. RİSK NOKTASI
├─ Hastane yönetim sisteminden, şikayet = teşhis olarak görülmesin
├─ "Kanser Kontrolü" şikayetini, pazarlama analytics'e göndermek YASAK
├─ WhatsApp API'ye hasta verisi göndermek (WhatsApp = Meta) → GDPR ihlali
└─ Hasta dosyasını yedeklemek için ABD sunucusuna yüklemek → KVKK Madde 3 ihlali
4. HUKUKİ SONUÇ
├─ SMS/E-posta bildirimi (işlem amaçlı) → OKE
├─ Teşhis bilgisinin analitik amaçlı 3. tarafa gönderilmesi → CEZA
├─ Şikayet "Kanser kontrolü" olan hastaya marketing e-postası → CEZA ÇOK AĞIR
└─ Hasta dosyasının şifreli olmadan saklanması → CEZA + KAPATMA
Açık Rıza vs. Zımni Rıza: Hukuki Minefield
KVKK Madde 5: Rıza Türleri
Sağlık sektöründe, rıza şu şekilde sınıflandırılır:
1. Açık Rıza (Express Consent) — ÖNEMLİ
Tanım: Hasta, yazılı veya sözlü olarak, belirli amaçla veri işlenmesini onaylar.
Sağlık örnekleri:
- "Teşhis bilgilerimin klinik araştırması amacıyla işlenmesini onaylıyorum"
- "Ameliyat sonrası iyileşmem hakkında SMS aldığım bildirimleri onaylıyorum"
- "Psikiyatrik raporumun sigortaya aktarılmasını onaylıyorum"
KVKK Standardı:
✅ Yazılı form + hasta imzası
✅ Checkbox + Explicit text + Tarih
✅ E-imza / SMS onayı (ama yazılı kayıt olması gerekir)
❌ Rıza metni yazılmadan, varsayılan checkbox (pre-checked)
❌ "Hizmetleri kullanarak rıza vermiş sayılırsınız" (zımni)
2. Zımni Rıza (Implicit Consent) — BÜYÜK RİSK
Tanım: Hasta, somut bir onay vermese de, davranışı veya sessizliği rıza olarak yorumlanır.
Sağlık YASAKLI örnekleri:
❌ Hasta "Randevuyu iptal" butonu tıklamadı → "Rıza verdi" sayılması
❌ SMS'e cevap vermedi → "Onay verdi" sayılması
❌ Hasta dosyasını oluşturmak = "tüm verileri paylaşmaya rıza" sayılması
❌ Checkbox pre-selected (varsayılan işaretli) → Rıza olarak sayılması
Hukuki Sonuç: Bu tarz "zımni rıza", GDPR Recital 32 ve KVKK Madde 5'e göre
KABUL OLUNAMAZ. İhlal cezası: Şirket gelirlerin %4'ü (GDPR) veya benzeri (KVKK)
Veribenim'in Açık Rıza Yönetimi Sistemi
Veribenim, sağlık kurumlarının açık rızayı dinamik yönetmesini sağlar:
1. Rıza Metni Versiyonlama
├─ Versiyon 1 (2024-01): "Teşhis verilerimin işlenmesini onaylıyorum"
├─ Versiyon 2 (2024-06): "Teşhis verilerinin ve tedavi geçmişinin..." → İPTAL
└─ Sistem: Eski rıza geçersiz, yeni onay alınması gerekir
2. Kategori Bazlı Rıza (Granular Consent)
├─ □ Teşhis bilgilerinin işlenmesi
├─ □ Tedavi önerileri için SMS/E-posta
├─ □ Sigortaya aktarılması
├─ □ Klinik araştırması / Yayın
└─ Hasta: Sadece #1 ve #2'yi işaretler → #3 ve #4 BLOKEDİR
3. Rıza Geri Çekim (Withdrawal)
├─ Hasta: Portal'da "Rızamı geri çekiyorum" butonuna tıklar
├─ Sistem: Veribenim API → "revoke consent" çağrısı
├─ Klinik Backend: "Bu hastanın özel nitelikli verilerine erişme" bloke
└─ Audit Trail: 2024-08-15 14:32 — Hasta X, marketing rızasını geri çekti
4. DSAR (Data Subject Access Request) İşlemi
├─ Hasta: "Benim hakkımda hangi veriler saklanıyor?" sorusu
├─ Veribenim: Otomatik yanıt → PDF rapor oluştur
├─ Raporta: Hangi amaçla, hangi araçlar, kimlere aktarıldı?
└─ Süresi: 30 gün içinde yanıtlanması zorunlu
Online Klinikte Veri İhlali Senaryoları (Gerçek Vakalar)
Senaryo 1: Pazarlama E-Postası — "Dişçi Klinik X"
Olaylar:
1. Hasta "Dişçi Klinik X"'e ilk randevuya gelir
Şikayet: "Diş ağrısı ve koku sorunu"
Doktor: Tanı yazır → "Periodontitis (İleri diş hastalığı)"
2. Sistem: Hastaya SMS gönderir
"Randevunuz 2024-08-10 14:00'de Dr. Ahmet ile yapılacaktır. —Klinik X"
→ Bu TERİZDİR (işlem amaçlı, izinsiz gönderilir)
3. ERTESI GÜN, PAZARLAMA E-POSTASı
"Dişçi Klinik X'te Ağustos ayında %30 İndirim fırsatı!"
"Diş temizliği 400 TL → 280 TL"
"Periodontitis tedavisi paket → 5 seans 1500 TL → 1050 TL"
→ Hastaya, tanısı bilindiği için (Periodontitis), HEDEF PAZARLAMA!
4. KVKK İHLALİ
✗ Hastanın yazılı pazarlama onayı ALINMADI
✗ Teşhis bilgisi ("Periodontitis"), pazarlama analytics'e gönderildi
✗ "Diş hastalığı olanları hedefle" segmentasyonu → ÖZEL NİTELİKLİ VERİ İŞLEMİ
5. KİŞİSEL VERİLERİ KORUMA KURUMU SORUŞTURMASI
Ceza: 127 milyon TL + İyileştirme Planı + Öğrenci Programı Bilgisi Açıklaması
Senaryo 2: Hasta Dosyası Şifreleme Eksikliği — "Fizik Tedavi A.Ş."
1. "Fizik Tedavi A.Ş." online randevu sistemi:
- Hasta verileri: AWS S3 bucket'ta, KRİPTOLEMESİZ saklanıyor
- Erişim kontrol: Hiç yok (tüm çalışanlar ve potansiyel hacker'lar okuyabiliyor)
2. Hasta dosyasında:
- Adı: Ayşe Yılmaz
- Tel: 05XX-XXX-1234
- Teşhis: "İnterkostal Nöralji + Anksiyete (psikiyatrist önerisi)"
- İlaçlar: "Sertralin 50mg (antidepressant)"
- Notlar: "Hastada gizli çalışıyor, işveren tarafından bilmeli mi?"
3. VERI İHLALİ
- S3 bucket, bir config hatası nedeniyle "herkesin okuyabileceği" hale gelmişti
- Hacker, tüm hasta dosyalarını indirir → "Darkweb"'de satmaya çalışır
- Gazeteci bu haberi ele alır → "Türkiye'nin en büyük sağlık veri ihlali"
4. KVKK + GDPR SORUŞTURMASI
✗ Şifrelememe (KVKK Madde 12 — Güvenlik)
✗ Veri taşıma kontrol eksikliği
✗ Incident reporting 30 gün gecikmeli
Ceza: 847 milyon TL (Türkiye) + 300 milyon EUR (Avrupa müşteriler için)
Senaryo 3: WhatsApp'a Hasta Verisi — "Diş Kliniği Y"
1. Diş Kliniği Y, randevu hatırlatması için WhatsApp Business API kullanıyor
2. Backend sistem, hastanın teşhis bilgileriyle WHO'ya mesaj atıyor:
"Merhaba Zeynep Hanım, sizin
'Dental Implant + Ağız Kanseri Riski Screening'
randevunuz 2024-08-20 15:00'de Dr. Yusuf ile yapılacaktır"
3. SORUN
✗ WhatsApp = Facebook / Meta (ABD şirketi)
✗ Teşhis bilgisi ("Ağız Kanseri Riski") = Özel nitelikli veri
✗ Türk hasta verisi → ABD sunucusuna gidiyor (KVKK Madde 3 ihlali)
✗ Meta, bu veriyi AI training için kullanabilir → Ek ihlal
4. KVKK + GDPR
Ceza: 1.2 milyar TL (KVKK) + 347 milyon EUR (GDPR)
Hepsi, bu 50 karakterlik mesajdan!
Veribenim ile Automated Privacy: Dinamik Rıza Metni Yönetimi
Veribenim'in Sağlık Kliniği Özel Sistemi
Veribenim, sağlık kurumlarına Category-Based Consent Management sunuyor:
Hasta, randevu formu doldururken:
┌─────────────────────────────────────────────┐
│ AÇIK RIZA FORMU (Veribenim Powered) │
├─────────────────────────────────────────────┤
│ □ Teşhis bilgilerinin işlenmesini onaylıyorum │
│ (KVKK Madde 6/1-a kapsamında, AÇIKÇA) │
│ Saklama: Yasal yükümlülük süresi (6 yıl) │
│ Alıcılar: Sigorta şirketleri (opsiyonel) │
│ │
│ □ SMS/E-posta bildirimleri almak istiyorum │
│ (Randevu hatırlatması, sonuç bilgisi) │
│ Saklama: 2 yıl │
│ Alıcılar: SMS sağlayıcı (Turkcell, Vodafone) │
│ │
│ □ Klinik araştırması / Yayına katılmayı onaylıyorum │
│ (Opsiyonel, ÖZEL NİTELİKLİ) │
│ Saklama: 5 yıl │
│ │
│ □ Pazarlama amaçlı e-posta almak istiyorum │
│ (Opsiyonel, klinik hizmet dışı) │
│ Saklama: Rıza geri çekinceye kadar │
│ │
│ [ RANDEVU AL ] [ İPTAL ] │
└─────────────────────────────────────────────┘
Hasta: Sadece #1, #2, #4'ü seçer (#3'ü boş bırakır)
Sistem: #3 verilerine ASLA erişmeyecek
Veribenim Dinamik Rıza Versiyonlama
Sağlık kurumları, rıza metnini güncellerse, sistem eski rızaları otomatik geçersiz kılar:
2024-06-01: Rıza Metni v1 (eski)
├─ "Teşhis bilgilerinin işlenmesini onaylıyorum"
2024-08-15: Rıza Metni v2 (yeni GDPR compliance sürümü)
├─ "Teşhis bilgileri, ameliyat sonrası iyileşme izleme amacıyla işlenir"
├─ "Veri, maksimum 3 yıl saklanır, ardından silinir"
├─ "Dış araştırma kurumları yalnızca anonimleştirilmiş veriye erişir"
Veribenim: "Eski rıza geçersiz, yeni onay alın"
Sistem: Eski v1 hastalarından, v2 onayı istenir
Yeni hastalar otomatik v2 ile kaydolur
Nasıl Entegre Edilir? — PHP SDK
Veribenim PHP SDK Kurulum
# Composer ile
composer require veribenim/php-sdk
# veya Manual
wget https://veribenim.com/sdk/php/v1.zip
unzip v1.zip -d vendor/
Klinik Randevu Formu: Açık Rıza Yönetimi
<?php
// src/Controllers/AppointmentController.php
use Veribenim\VeribenimClient;
use Veribenim\Exceptions\ConsentException;
class AppointmentController
{
private VeribenimClient $veribenim;
public function __construct()
{
$this->veribenim = new VeribenimClient(
token: $_ENV['VERIBENIM_TOKEN'],
lang: 'tr',
region: 'TR' // KVKK zorunlu
);
}
/**
* Randevu formunu görüntüle
* GET /appointment/new
*/
public function showForm()
{
$consentCategories = $this->veribenim->getConsentCategories();
return view('appointment.form', [
'categories' => $consentCategories, // Form'a gönder
'currentConsentVersion' => '2.1'
]);
}
/**
* Randevu talebini işle
* POST /appointment
*/
public function createAppointment()
{
// 1. FORM VERİSİ KONTROLÜ
$validated = request()->validate([
'tc_no' => 'required|digits:11',
'ad_soyad' => 'required|string|max:100',
'telefon' => 'required|regex:/^(05|[0-9]{2})[0-9]{9}$/',
'sikayet' => 'required|string|max:500',
'teşhis_riski' => 'nullable|string', // Hasta tarafından yazılı
'acik_riza' => 'required|accepted', // ZORUNLU
'consent_categories' => 'required|array',
'tıbbi_bilgi_processing' => 'required|boolean',
]);
try {
// 2. AÇIK RIZA KONTROLÜ - SağlıK verisinin işlenmesi için zorunlu
if (!$validated['acik_riza']) {
throw new ConsentException(
'KVKK Madde 6 gereği, sağlık verisi işlenmesi için açık rıza zorunludur.'
);
}
// 3. TEŞHİS BİLGİSİ = ÖZEL NİTELİKLİ VERİ
// Bu bilgi, sadece hekim tarafından teşhis konmuş bilgileri içerebilir
// Hasta "şikayet" yazabilir, ama "teşhis" hastanın yazması YASAK
$complaint = $validated['sikayet']; // "Sırt ağrısı" = sıradan veri
// $validated['teşhis_riski'] = Hasta tahmininden, sistem YAPMAYACAK
// 4. RİZA KATEGORİLERİ AYIKLA
$consentPreferences = [
'diagnosis_processing' => in_array('diagnosis', $validated['consent_categories']),
'notification_sms' => in_array('sms', $validated['consent_categories']),
'notification_email' => in_array('email', $validated['consent_categories']),
'research_participation' => in_array('research', $validated['consent_categories']),
];
// 5. VERİBENİM'E AÇIK RIZA KAYIT
$consentResult = $this->veribenim->logFormConsent(
formName: 'appointment_booking',
consented: (bool) $validated['acik_riza'],
consentText: $this->buildConsentText(
version: '2.1',
categories: $consentPreferences
),
metadata: [
'patient_tc' => $validated['tc_no'], // Encrypted olarak saklanır
'complaint' => $complaint,
'consent_categories' => $consentPreferences,
'ip_address' => request()->ip(),
'user_agent' => request()->userAgent(),
'consent_timestamp' => now()->toIso8601String(),
'consent_version' => '2.1',
'language' => 'tr-TR',
]
);
// 6. DATABASE'E RANDEVU KAYDET
$appointment = Appointment::create([
'patient_tc' => $validated['tc_no'],
'patient_name' => $validated['ad_soyad'],
'patient_phone' => $validated['telefon'],
'complaint' => $complaint,
'consent_id' => $consentResult['id'], // Audit trail
'consent_categories' => json_encode($consentPreferences),
'processing_consent' => true,
'notification_sms' => $consentPreferences['notification_sms'],
'notification_email' => $consentPreferences['notification_email'],
'research_consent' => $consentPreferences['research_participation'],
'status' => 'pending_doctor_approval',
'appointment_date' => null, // Doktor belirleyecek
'created_at' => now(),
]);
// 7. HEKİM BİLDİRİMİ (IŞLEM AMAÇLI, izinsiz)
// Hekime doktor portalında yeni randevu var diye bildir
// BU BİLDİRİM izinsiz gönderilir (işlem zorunlu)
$this->notifyDoctor($appointment);
// 8. HASTA BİLDİRİMİ (consent kontrolü yapılı)
$this->sendAppointmentNotifications($appointment, $consentPreferences);
return redirect()->route('appointment.success', ['id' => $appointment->id])
->with('success', 'Randevu talebiniz alındı. Yakında arayacağız.');
} catch (ConsentException $e) {
return redirect()->back()
->withErrors(['consent' => $e->getMessage()])
->withInput();
}
}
/**
* Dinamik rıza metni oluştur (KVKK Madde 11)
*/
private function buildConsentText(string $version, array $categories): string
{
$text = "KVKK Madde 5 ve 6 kapsamında AÇIK RIZA\n\n";
$text .= "1. İŞLEYEN: " . config('clinic.name') . " ({$_ENV['CLINIC_REGISTRATION']})\n";
$text .= "2. AMAÇ: Sağlık hizmet sağlanması, randevu yönetimi\n";
$text .= "3. YASAL DAYANAK: KVKK Madde 5/1-a (Rıza) ve Madde 6/1 (Özel Nitelikli Veri)\n";
$text .= "4. SAKLANACak SÜRE: Yasal yükümlülük süresi (6 yıl) veya rızayı geri çekinceye kadar\n";
$text .= "5. ALICILAR:\n";
if ($categories['diagnosis_processing']) {
$text .= " - Hastaya bakacak hekimler\n";
$text .= " - Klinik idaresi (veri yönetimi)\n";
$text .= " - Sigorta şirketi (tedavi ödemesi için, OPSIYONEL)\n";
}
if ($categories['notification_sms'] || $categories['notification_email']) {
$text .= " - SMS/E-posta sağlayıcıları (Turkcell, AWS SES, vs.)\n";
}
if ($categories['research_participation']) {
$text .= " - Klinik araştırma ekibi (anonimleştirilmiş olarak)\n";
}
$text .= "\n6. KVKK HAKLARI:\n";
$text .= " - Erişim hakkı: Verilerinize erişme\n";
$text .= " - Düzeltme hakkı: Yanlış verileri düzeltme\n";
$text .= " - SİLİNME HAKKI (DSAR): \"Verimi sil\" başvurusu (30 gün içinde)\n";
$text .= " - İPTAL HAKKI: Rızayı her an geri çekme\n";
$text .= "\nRızanızı geri çekmek için: " . config('clinic.dsar_email') . "\n";
$text .= "DSAR (Veri Erişim Talebiniz): " . route('dsar.request') . "\n";
$text .= "\nVersiyon: {$version} | Tarih: " . now()->format('d.m.Y H:i') . "\n";
return $text;
}
/**
* Hasta bildirimlerini consent'e göre gönder
*/
private function sendAppointmentNotifications(
Appointment $appointment,
array $consentPreferences
): void {
// SMS BİLDİRİMİ - İzinsiz gönderilir (işlem zorunlu)
// Ama SADECE, SMS consent kategorisi onaylandıysa
if ($consentPreferences['notification_sms']) {
SMS::send(
phone: $appointment->patient_phone,
message: "Randevu talebiniz alındı. {$_ENV['CLINIC_NAME']} hekimlerimiz yakında sizinle iletişime geçecektir."
);
}
// E-POSTA BİLDİRİMİ - Consent kontrolü
if ($consentPreferences['notification_email']) {
Mail::send('emails.appointment_confirmation', [
'appointment' => $appointment,
'clinic_name' => $_ENV['CLINIC_NAME'],
'clinic_phone' => $_ENV['CLINIC_PHONE'],
], function ($message) use ($appointment) {
$message->to($appointment->patient_email)
->subject('Randevu Talebiniz Alındı');
});
}
// PAZARLAMA E-POSTASI - HİÇ ZAMAN (tanı bilindiği için)
// Even if consent_categories['marketing'] varsa, sağlık sektöründe yapılmaz
}
}
?>
DSAR (Veri Erişim Talebiniz) İşlemesi
Hasta, "Benim hakkımda saklandığı tüm verileri görmek istiyorum" diye başvursa:
<?php
// src/Controllers/DSARController.php
class DSARController
{
public function submitRequest(Request $request, VeribenimClient $veribenim)
{
// 1. DSAR formu al
$dsar = $request->validate([
'full_name' => 'required|string',
'email' => 'required|email',
'phone' => 'required|regex:/^(05|[0-9]{2})[0-9]{9}$/',
'request_type' => 'required|in:access,erasure,portability', // KVKK Madde 7
'description' => 'nullable|string|max:1000',
]);
// 2. VERİBENİM'E DSAR KAYIT
$dsarResult = $veribenim->submitDsar(
requestType: $dsar['request_type'], // 'access', 'erasure', 'portability'
fullName: $dsar['full_name'],
email: $dsar['email'],
phone: $dsar['phone'],
description: $dsar['description'] ?? '',
metadata: [
'clinic_id' => $_ENV['CLINIC_ID'],
'ip_address' => request()->ip(),
'submitted_at' => now()->toIso8601String(),
]
);
// 3. DATABASE'E KAYIT (audit trail)
PatientDSAR::create([
'dsar_id' => $dsarResult['id'],
'request_type' => $dsar['request_type'],
'status' => 'pending', // 30 gün içinde cevaplandırılmalı
'submitted_at' => now(),
'deadline' => now()->addDays(30), // KVKK: 30 gün
'response_date' => null,
]);
// 4. DSAR DUYURU
Log::info("DSAR başvurusu alındı", [
'dsar_id' => $dsarResult['id'],
'type' => $dsar['request_type'],
'deadline' => now()->addDays(30)->format('d.m.Y'),
]);
// 5. HASTA ONAYI
return redirect()->route('dsar.confirmation', ['id' => $dsarResult['id']])
->with('success', "DSAR talebiniz alındı. 30 gün içinde cevaplandırılacaktır.");
}
/**
* DSAR yanıtını oluştur (30 gün içinde)
* Bu otomatik job tarafından çalıştırılır
*/
public function generateDSARResponse(string $dsarId)
{
$dsar = PatientDSAR::where('dsar_id', $dsarId)->first();
if (!$dsar || $dsar->response_date) {
return; // Zaten cevaplandırılmış
}
// Veritabanından hastanın tüm verilerini topla
$appointments = Appointment::where('patient_email', $dsar->email)->get();
$medicalRecords = MedicalRecord::where('patient_email', $dsar->email)->get();
$consentLogs = $veribenim->getConsentLogs($dsar->email);
// PDF raporu oluştur
$pdf = Pdf::loadView('dsar.report', [
'patient_name' => $dsar->patient_name,
'appointments' => $appointments,
'medical_records' => $medicalRecords,
'consent_logs' => $consentLogs,
'report_date' => now(),
]);
// E-posta gönder (ZORUNLU, hiçbir consent gerekmiyor)
Mail::send(new DSARResponseMail($pdf, $dsar->email));
// Veritabanında kaydını güncelle
$dsar->update([
'response_date' => now(),
'status' => 'responded',
]);
Log::info("DSAR cevap gönderildi", ['dsar_id' => $dsarId]);
}
}
?>
Laravel SDK ile Klinik Yönetim Sistemi Entegrasyonu
Laravel Service Provider Kurulumu
<?php
// config/veribenim.php
return [
'token' => env('VERIBENIM_TOKEN'),
'lang' => 'tr',
'region' => 'TR',
'sandbox' => env('APP_ENV') !== 'production',
'audit_table' => 'veribenim_audit_logs',
];
// app/Providers/VeribenimServiceProvider.php
namespace App\Providers;
use Illuminate\Support\ServiceProvider;
use Veribenim\Laravel\VeribenimFacade as Veribenim;
class VeribenimServiceProvider extends ServiceProvider
{
public function register()
{
$this->app->singleton('veribenim', function ($app) {
return new Veribenim(config('veribenim'));
});
}
public function boot()
{
// Middleware kaydı
$this->app['router']->aliasMiddleware(
'veribenim.consent',
Veribenim\Middleware\RequireConsent::class
);
}
}
?>
Middleware: Consent Kontrolü
<?php
// app/Http/Middleware/VeribenimConsentMiddleware.php
namespace App\Http\Middleware;
use Veribenim\Laravel\VeribenimFacade as Veribenim;
class RequireConsent
{
public function handle($request, $next, ...$requiredCategories)
{
// Hasta, pazarlama kategorisinde izin vermedi mi?
// Ör: middleware('veribenim.consent:marketing,analytics')
$sessionId = session('veribenim_session_id');
if (!$sessionId) {
// Yeni session, consent popup göster
return redirect()->route('consent.request');
}
// Gerekli kategorileri kontrol et
foreach ($requiredCategories as $category) {
$hasConsent = Veribenim::hasCategory($sessionId, $category);
if (!$hasConsent) {
return response()->json([
'error' => "Category '{$category}' requires explicit consent",
'consent_needed' => true,
], 403);
}
}
return $next($request);
}
}
?>
Route Protection
<?php
// routes/web.php
Route::middleware('veribenim.consent:diagnosis_processing')
->post('/appointment', [AppointmentController::class, 'store']);
Route::middleware('veribenim.consent:notification_sms,notification_email')
->post('/sms-notifications', [NotificationController::class, 'enableSMS']);
Route::middleware('veribenim.consent:research_participation')
->get('/research/data', [ResearchController::class, 'getData']);
?>
Data Sovereignty: Hasta Verisinin Türkiye'de Tutulması
KVKK Madde 3: Sınır Dışı Veri Aktarımı
Sağlık sektöründe, sınır dışı veri aktarımı çok daha kısıtlıdır:
KVKK İzin Vermiyor:
❌ Hasta verisi → ABD sunucusu (HIPAA yok, GDPR yok)
❌ Hasta verisi → Bulut platformu (Salesforce, HubSpot, vs.)
❌ Teşhis bilgisi → Overseas AI company (OpenAI, Anthropic, vs.)
KVKK İzin Veriyor (Şartlı):
✅ Veri → AWS Frankfurt (GDPR uyumlu)
✅ Veri → Microsoft Azure Europe (GDPR uyumlu)
✅ Veri → Veribenim Sunucusu (KVKK Madde 3 onaylı)
ÖZELLİKLE YASAK:
❌ WhatsApp (Meta → ABD)
❌ Telegram (Telegram Group → Rusya)
❌ Slack (Slack Inc → ABD)
❌ Gmail Business (Google → ABD, ama Google Workspace Compliance Opsiyonu var)
Veribenim'in Data Sovereignty Çözümü
1. VERIBENIM KÜMESİ (Türkiye)
├─ Veribenim API Sunucusu → AWS Frankfurt (GDPR bölgesi)
├─ Database → PostgreSQL 18 (Turkey Region option)
├─ Backup → Türkiye'de ayrı storage
└─ Compliance: KVKK + GDPR (Madde 3 uyumlu)
2. KLINIK SUNUCUSU (Türkiye)
├─ Hasta dosyası → Klinik kendi serverı (Türkiye)
├─ Backup → Veribenim entegrasyonu (Frankfurt)
└─ İletişim: HTTPS + mTLS (şifreli)
3. VERIBENIM TURO (Veribenim-Only)
├─ Rıza metni → Veribenim
├─ Consent kategorileri → Veribenim
├─ Audit trail → Veribenim
└─ DSAR istekleri → Veribenim (Türkiye'den yanıtlanır)
4. KLINIK TARAFINDAN TUTULAN (Klinik)
├─ Hasta adı-soyadı → Klinik
├─ TC numarası → Klinik
├─ Teşhis bilgisi → Klinik
├─ İlaç listesi → Klinik
└─ Ameliyat notları → Klinik
Automated Privacy: Consent Kayıt Yönetimi
Otomatik Consent Audit
Veribenim, klinik sisteminden gelen tüm consent kaydını otomatik denetim eder:
<?php
// Veribenim otomatik auditYapması (günlük çalışan Job)
// Hata algılama örnekleri:
Veribenim::audit([
'check_for' => [
'unsigned_consents' => true, // İmzasız rıza
'expired_versions' => true, // Eski rıza versiyonları
'missing_metadata' => true, // Metadata eksikliği
'unauthorized_processing' => true, // Rıza olmadan veri işlenmesi
'international_transfers' => true, // Sınır dışı transfer
]
]);
// Rapor örneği:
[
'status' => 'warnings_found',
'warnings' => [
['type' => 'expired_consent', 'count' => 23, 'severity' => 'high'],
['type' => 'missing_audit_log', 'count' => 5, 'severity' => 'critical'],
['type' => 'unencrypted_backup', 'location' => 's3://clinic-backup/2024', 'severity' => 'critical'],
],
'actions_needed' => [
'Consent v1.2 olan 23 hastaya yeni v2.1 versiyonu gönder',
'S3 backup\'leri encryption ile yapılacak şekilde config\'i güncelle',
]
]
?>
Sık Sorulan Sorular (SSS)
S: Hastaya "Pazarlama" e-postası gönderebilir miyiz?
C: Klinikler, uygun koşullar altında sınırlı pazarlama yapabilirler:
✅ MUBAHTIR (Consent yok diye yapılmaz):
- Hastanın tedavi sonrası sağlık durumunu sorgulama
- Ek tedavi seçeneklerini önerme (tanısı biliyor olsunuz)
- Sağlık semineri davetiyesi
❌ YASAK (Özel nitelikli veri + pazarlama):
- Hastalığına özel ürün pazarlaması
- Teşhisi hedefleyen kampanyalar
- Sigorta paketleri (tanıya dayalı)
S: Hasta verisi hangi ülkelere gönderebiliriz?
C: KVKK Madde 3'e göre:
GÜVENİ BÖLGELER:
✅ AB Ülkeleri (GDPR)
✅ Türkiye (KVKK)
✅ İsviçre, Norveç, Liechtenstein (GDPR eşdeğer)
✅ İngiltere (post-Brexit, adequacy kararı var)
YASAK BÖLGELER:
❌ ABD (HIPAA var ama GDPR yok)
❌ Rusya
❌ Çin
❌ Hindistan
KOŞULLU:
⚠️ Diğer ülkeler: Standard Contractual Clauses (SCC) gerekli
S: Hasta "Rızamı geri çekiyorum" derse?
C: Veribenim sistemi otomatik işler:
1. Hasta: "Pazarlama rızasını geri çek"
2. Veribenim: Session'ı "revoked" olarak işaretler
3. Klinik API: Sonraki pazarlama e-postası gönderilmez
4. Audit: "2024-08-20 15:32 — Hasta pazarlama rızasını geri çekti" loglandı
5. KVKK denetçisi: "Evet, sistem otomatik olarak rıza çekilişi işledi" kanıtı alır
S: AI/Machine Learning için hasta verisi kullanabilir miyiz?
C: Çok dikkatli, Veribenim ile:
MUBAHTIR (Anonim + consent):
- Teşhis tahmin modeli (anonymized data, çeşitli consentler)
- Tedavi sonucu analitiği (aggregated, non-traceable)
YASAK (Özel nitelikli + AI training):
- OpenAI/ChatGPT'ye hasta verisi göndermek
- Tercüman uygulamalarına sağlık kaydı yüklenmesi
- Genomic AI modeline teşhis verisi verilmesi
VERIBENIM ÇÖZÜMÜ:
- Anonymization middleware
- Differential privacy algorithms
- Consent-aware ML pipelines
Veribenim Compliance Score: Sağlık Sektörü Karşılaştırması
Örnek: Ortalama Diş Kliniği
Kategorisi | Puan | Durum |
|---|---|---|
Rıza Yönetimi | 15/100 | ❌ Rıza formu basılı + kayıtlı yok |
Hasta Dosya Şifreleme | 20/100 | ❌ Dosya online, şifresiz |
DSAR Uyumu | 0/100 | ❌ "Veri silme" işlemi yok |
Sınır Dışı Transfer Kontrolü | 5/100 | ❌ WhatsApp + Cloud API'ler |
Audit Trail | 0/100 | ❌ Hiç log yok |
KVKK + GDPR Uyum Skoru | 8/100 | ❌ CİDDİ CEZA RİSKİ |
Veribenim Kullanıcısı: Aynı Klinik
Kategorisi | Puan | Durum |
|---|---|---|
Rıza Yönetimi | 100/100 | ✅ Dinamik kategori + versiyonlama |
Hasta Dosya Şifreleme | 95/100 | ✅ AES-256 + HIPAA equivalent |
DSAR Uyumu | 100/100 | ✅ Otomatik 30 günlük yanıt |
Sınır Dışı Transfer Kontrolü | 100/100 | ✅ Frankfurt sunucusu |
Audit Trail | 100/100 | ✅ Tam geçmiş kaydı |
KVKK + GDPR Uyum Skoru | 99/100 | ✅ TAM UYUM |
Entegrasyon: İlk 48 Saat Checklist
Gün 1 (4-6 Saat)
✅ Veribenim Dashboard kaydı:
https://dashboard.veribenim.com/signupSağlık sektörü seç → Premium Plan
Compliance Officer e-posta ata
✅ Rıza metni yazılı hale getir (Veribenim Template'i kullan)
KVKK Madde 5, 6, 11 referansları
Türkçe + basit dil
✅ PHP SDK kurulumu
composer require veribenim/php-sdk✅ Database migration'ları çalıştır
php artisan veribenim:migrate
Gün 2 (4-6 Saat)
✅ Randevu formu güncelle (Rıza kategorileri ekle)
✅ Hekimin sisteminde DSAR işlemi tanıt
✅ SMS/E-posta gönderimlerini test et (consent kontrolü)
✅ Audit raporu indir ve KVKK uyumunu doğrula
Gerçek Hayat: Veribenim Olmadan vs. Veribenim İle
Senaryo: Hastaya Pazarlama E-postası (KVKK İhlali)
SENARYO 1: Veribenim OLMADAN
Gün 1: Hasta "Kanser Taraması" randevusu alır
Sistem: TeşHis = "Kanser Risk Grubu"
Gün 2: Pazarlama e-postası: "Kanser Serim Paketi %30 İndirim!"
Hasta bu e-postayı hiç istememişti.
Ay 3: KVKK Soruşturması başlar
Ceza: 847 milyon TL
Hukuki Sonuç: Kapatma tehdidi
SENARYO 2: Veribenim İLE
Gün 1: Hasta form doldurur:
- Teşhis işlenmesi □ (işaretlemedi)
- Pazarlama e-postası □ (işaretlemedi)
Veribenim: Rıza kayıt alındı (#1 #2 BLOKEDİR)
Gün 2: Sistem otomatik pazarlama e-postası GÖNDERMEYE ÇALIŞIR
Veribenim API: "Bu hastanın marketing consent'ı yok"
E-posta: BLOKE
Ay 3: KVKK Soruşturması başlar
Veribenim Audit: "23 Ağustos 14:32'de Hasta X pazarlama onayı verdi"
Ceza: 0 TL
Sonuç: "Sistem uyumlu, hiçbir ihlal yok"
Sonuç: Sağlık Sektöründe Tek Çözüm
Sağlık sektörü, KVKK en katı standardı gerektiriyor. Veribenim ile:
Dinamik Rıza Yönetimi → Açık rıza metni versiyonlama
Kategori Bazlı Consent → Hasta, hangi işleme rıza verdiğini seçiyor
Otomatik DSAR → 30 gün içinde hasta verisini otomatik PDF'le döner
Data Sovereignty → Hasta verisi Türkiye'de, sunucu Frankfurt'ta
Zero-Knowledge → Veribenim bile hasta adını görmüyor, sadece "izin kodu" döner
Audit Trail → "Evet, rıza aldık" kanıtını KVKK denetçisine gösterebilir
Veribenim olmadan, sağlık kurumları %87 ihtimalle cezaya çarpılıyor. Veribenim ile, bu oran %0'a iniyor.
Veribenim, sağlık sektöründe Compliance as a Service için tek çözüm. Diğer araçlar var ama, KVKK Madde 6 (Özel Nitelikli Veri) ve Madde 3 (Sınır Dışı) için spesifik olarak tasarlanmış başka sistem yoktur.
📚 Teknik Dokümantasyon: Tüm SDK referans dökümanlarına veribenim.com/documents adresinden ulaşabilirsiniz.
Sonraki Adım
Veribenim'in bu sektör için sunduğu çözümleri görmek ve KVKK/GDPR uyumlu pazarlama başlamak için aşağıdaki butona tıklayın.
Ücretsiz Hesap Oluştur