Füsun Sarp Nebil

03 Ekim 2021

"e-Nabız ve ÖSYM'den veri sızdı" iddiası

Acilen, e-Devlet ile e- Nabız şifrelerinizi değiştirin. Özellikle de ikisini aynı kullanıyorsanız ya da e-Devletten, e-Nabız'a geçiyorsanız…

e-Nabız ve ÖSYM'den veri sızıntısı olduğu iddia ediliyor. ÖSYM verilerinin "aday işleme sistemi"nden kimlik bilgileri şeklinde, e-Nabız'dan ise, yine kimlik bilgilerinin çalındığı anlaşılıyor.

e-Nabız'dan sızan verilerin isim, şifre, T.C. kimlik, yaş, ağırlık, boy, çocukların isimleri olduğu ve 600 dolar  karşılığında satışa çıkarıldığı görülüyor. ÖSYM verileri ise 300 dolardan satılıyor.

 

Türk Tabibleri Birliği, e-Nabız'a karşı çıkmıştı

Türk Tabibleri Birliği (TTB), e-Nabız projesine baştan beri karşı çıkıyor. Vatandaşların sağlık bilgilerinin toplu olarak bir sunucuda yer alması şeklindeki projenin sakıncası "Kişisel Sağlık Verileri"nin istenmeyen ellere geçmesiydi.

Bu nedenle TTB ve Türk Dişhekimleri Birliği, Sağlık Bakanlığı’nın 5 Şubat 2015 tarihinde “e-Nabız Projesi” konulu genelgenin yürütülmesinin durdurulması ve iptali istemiyle dava açtı. Danıştay, genelgenin yasal dayanağı olmadığını belirterek, yürütmenin durdurulmasına karar verdi. Danıştay, bu kararıyla Bakanlığa, "Sağlık bilgileri gizliği ihlal edilemez" demiş oldu.

Ama Sağlık Bakanlığı, Danıştay kararına rağmen geri dönmedi ve e-Nabız'ı uygulamaya aldı. Zaten AKP hükûmeti bu verilerin satılmasında bir sakınca görmüyor. Öyle ki, 2013 yılında --e-nabız ortaya çıkmadan önce-- SGK’nın kişilerin sağlık verilerini eksi ANAP milletvekili Burhan İsen’in DataMed isimli şirketine 65 bin TL karşılığında sattığını, zamanın CHP Mersin Milletvekili Aytuğ Atıcı bir basın toplantısıyla açıklamıştı [1].

Danıştay kararının gerekçeleri ve sağlık verilerimiz konusunda verdiği kararın neden önemli olduğu konusunda Doç.Dr.Murat Volkan Dülger'in yazdığı kapsamlı bir hukuki değerlendirmeyi de dipnottan okuyabilirsiniz[2].

e-Nabız bilgilerinin önemi nedir?

2019 yılında Türkiye Tabibleri Birliği avukatı Mustafa Güler ile yaptığımız bir söyleşide, bu e-Nabız bilgilerinin önemini de sormuştuk[3]. Şöyle demişti;

"Sağlık Bakanlığı, hiçbir yasal temele dayanmamasına karşın, 2013 yılından başlayarak, bütün sağlık verilerini kendi bünyesinde oluşturduğu bir merkezde toplamaya çalışıyor. Bu amaçla birkaç kez çıkartılan yasalar Anayasa Mahkemesi tarafından yönetmelik ve genelge gibi düzenlemeler de Danıştay tarafından iptal edildi. En son, Kişisel Verilerin Korunması Kanunu ile yapılan bir takım düzenlemelerle bu veri toplama sistemine yasallık kazandırıldıysa da veri toplama için gerekli yönetmelik halen çıkartılamadığından hukuki sorun devam etmektedir. Buna karşın Sağlık Bakanlığı sağlık kuruluşlarına yönelik fiili sıkıştırmalarla kişisel verileri büyük ölçüde toplamaktadır.

Kişisel sağlık verilerinin hukuka aykırı olarak elde edilmesi veya paylaşılması anayasal koruma altındaki bir hakkın ihlalidir ve suçtur. Diğer taraftan, bu verilerin böylesine pervasızca kullanılması kişilerin kayıtlı sağlık hizmeti almaktan kaçınmalarına sebep olabilecektir. Hasta ile hekim arasındaki güven ilişkisinin değeri binlerce yıldır bilinir ve korunur iken şimdi bir seçim sonucunu tartışmaya açmak için, Devletin araç ve sistemleri de kullanılarak bu hakkı ihlal etmek kesinlikle kabul edilemez bir durumdur."

Bugün hastanelerde kişisel sağlık verilerinin gizli olduğu ve paylaşılmaması gerektiğine dair bilgiler duvarlarda asılıdır. Bunun nedeni, kişinin sağlığının durumu nedeniyle özel hayatında ya da iş hayatında özgür olamayacağı şeklindedir. Kişisel veriler içinde, ihlali halinde veri sahibine vereceği zararın en büyük olduğu alan kişisel sağlık verileridir.

Kişinin sağlık verileri "özel nitelikli veri" kategorisinde yer alıyor. Bu verilerinin alıcısı ise, en başta ilaç firmaları ile sigorta şirketleridir. Her 2 sektör, üretimleri/hizmetlerinin yönünü belirlemek için bu verileri "anonimleştirerek" aldıklarını iddia ediyorlar. Yani isimlerin ve diğer kimlik bilgilerinin silindiği, sadece hastalık bilgilerinin verildiği şeklinde. Ama bu veriler örneğin sigorta şirketinin primini belirlemekte kullanılabiliyor. Bu nedenle de sigorta firmaları verileri isimli almayı tercih edebiliyor. Yukarıdaki SGK satışı öyle bir örnek olarak hatırlanıyor.

Salgının başından itibaren sağlık kurumlarına yönelik siber saldırıların arttığı biliniyor. Bu nedenle Sağlık Bakanlığı'nın bu konuda dikkatsiz davranmış olması da affedilir bir şey değil.

Dikkat - şifrelerinizi acilen değiştirin

Şimdi bu yazıyı okuyan size düşen acilen,

  1. e-devlet
  2. e-Nabız

şifrelerinizi, her ihtimale karşı değiştirmek. Özellikle de ikisini aynı kullanıyorsanız ya da e-Devletten,  e-Nabız'a geçiyorsanız…

Satış için istenen ücret e-Nabız'da 600 dolar ve ÖSYM'de 300 dolar. Bu tür veri tabanları için düşük rakamlar. İlk izlenim olarak, bu rakamların son satışlar için belirlenmiş fiyatlar olduğunu ve daha daha önce muhtemelen bununla ilgilenecek belirli firmalara çok daha yüksek fiyatla satılmış olabileceklerini tahmin ediyoruz. Ya da diğer bir ihtimal, sızan verilerin miktarı az.

Gelişmeleri izleyeceğiz…

 


[1] Danıştay’ın Satılamaz Dediği Sağlık Verilerinin SGK Tarafından 65 Bin TLye Satıldığı Onaylandı

[2] Kişisel Sağlık Verileri Yönetmeliğinin Yürütmesinin Durdurulması Konusundaki Danıştay Kararına İlişkin Değerlendirme

[3] Kısıtlı Seçmen Verileri Konusu Anayasal Koruma Altındaki bir Hakkın İhlalidir ve Suçtur