ISO 27001 PHI Handling Guide: Sağlık Sektöründe Hassas Sağlık Verilerinin Yönetimi, Adım Adım Uyum Rehberi
ISO 27001 PHI Handling Guide, sağlık ekosistemindeki siber güvenlik, uyumluluk (compliance) ve kurumsal risk yönetimi ekipleri için pratik, adım adım uygulanabilir bir operasyonel kılavuz niteliğindedir.
Günümüz iş dünyasında kurumsal alıcılar, iş ortakları ve entegratörler, herhangi bir satın alma veya tedarik sürecine başlamadan önce siber güvenlik ve bilgi güvenliği olgunluğuna dair somut kanıtlar talep etmektedir.
Operasyonel siber güvenlik mekanizmaları kurulmadan ve kesintisiz kanıt üretimi (continuous evidence collection) sağlanmadan, ekipler kağıt üzerinde hazır olduklarına inansalar bile ticari anlaşmalar masada kalmakta ve süreçler tıkanmaktadır. Söz konusu sağlık sektörü olduğunda ise kurumsal denetimler ve yasal baskılar çok daha yıkıcı bir boyuta ulaşmaktadır. Çünkü bu sektördeki kuruluşlar, doğrudan insan hayatını ve mahremiyetini ilgilendiren Korumalı Sağlık Bilgilerini (PHI - Protected Health Information) işlemektedir. IBM tarafından yayınlanan güncel Veri İhlali Maliyetleri Raporu, sağlık sektöründeki tek bir veri sızıntısının ortalama maliyetinin 7.42 milyon ABD dolarına ulaştığını ve bu ihlallerin tespit edilip kontrol altına alınmasının ortalama 279 gün sürdüğünü göstermektedir. Bu rakam, küresel genel ihlal maliyeti ortalaması olan 4.44 milyon doların çok üzerindedir. Yasal otoritelerin yaptırım gücü de küresel ölçekte radikal bir şekilde sertleşmektedir; nitekim ABD Sivil Haklar Ofisi (OCR) gibi regülatör kurumlar, ardı ardına kesilen milyonlarca dolarlık cezaların ardından, risk analizi girişimlerini proaktif "Risk Yönetimi ve Canlı İzleme" süreçlerini de kapsayacak şekilde genişletmektedir.
Uluslararası Standartlar Teşkilatı tarafından geliştirilen ISO/IEC 27001 standardı, sağlık işletmelerinde bu kaotik veri trafiğini yönetmek ve yasal riskleri sıfırlamak için en güvenilir Bilgi Güvenliği Yönetim Sistemi (BGYS - ISMS) çerçevesini sunar. Bu ISO 27001 PHI Handling Guide, sağlık ekosistemindeki siber güvenlik, uyumluluk (compliance) ve kurumsal risk yönetimi ekipleri için pratik, adım adım uygulanabilir bir operasyonel kılavuz niteliğindedir. Bu rehber, ISO/IEC 27001 BGYS disiplinini kullanarak hasta verilerini (PHI) nasıl koruyacağınızı, siber dayanıklılığınızı nasıl artıracağınızı ve uluslararası regülasyon (HIPAA, GDPR, KVKK) yükümlülüklerini nasıl yerine getireceğinizi açıklamaktadır. Rehberimiz, ISO/IEC, NIST, HHS/OCR ve AICPA gibi küresel otoritelerin resmi metodolojileri ile The Bellisan'ın dijital forensik, siber adli tıp ve kurumsal yönetişim alanındaki derin saha tecrübesine dayanarak hazırlanmıştır. Yazı boyunca ISO 27001 PHI Handling Guide anahtar kelimesi, sağlık bilişimi alanında araştırma yapan profesyonellere rehberlik etmek adına stratejik olarak yapılandırılmıştır.
ISO 27001:2022 Ek A Kontrolleri ve PHI Veri Güvenliği Matrisi
ISO/IEC 27001 standardının güncel versiyonu (ISO 27001:2022), kurumsal veri güvenliğini korumak adına dinamik bir kontrol yapısı sunar. Hassas hasta verilerinin (PHI) işlenmesi, saklanması ve aktarılması süreçlerinde standardın Ek A (Annex A) kontrollerinin ne anlama geldiğini bilmek, denetimlerden başarıyla geçmenin ilk şartıdır. Aşağıdaki matris, ISO 27001 kontrollerinin PHI yönetimi süreçlerindeki teknik karşılıklarını ve yasal uyum parametrelerini detaylandırmaktadır:
| ISO 27001:2022 Kontrol Kodu | Kontrol Adı (Annex A) | PHI Veri Yönetimi Teknik Karşılığı | Mevzuat ve Regülasyon İzdüşümü (HIPAA / GDPR / KVKK) |
|---|---|---|---|
| A.8.11 | Veri Maskeleme (Data Masking) | Test, yazılım geliştirme veya analitik veri işleme süreçlerinde hasta isimlerinin, TC kimlik / SSN numaralarının ve klinik detayların maskelenmesi veya anonimleştirilmesi. | KVKK/GDPR Veri Minimizasyonu ilkesi ve HIPAA Güvenli Liman (Safe Harbor) de-identification gereksinimleri ile doğrudan uyumludur. |
| A.8.24 | Güvenli Kod Geliştirme (Use of Secure Development) | Sağlık sektörü için geliştirilen tele-tıp, hasta takip ve hastane otomasyon yazılımlarının (HIS) en başından güvenli kodlama (Privacy by Design) ilkeleriyle üretilmesi. | OCR risk analizi denetimlerinde, yazılım kaynaklı veri sızıntısı risklerini engellemek için zorunlu kılınan uygulama güvenliği şartı. |
| A.8.12 | Veri Sızıntısının Önlenmesi (DLP) | E-posta, bulut depolama alanları veya taşınabilir diskler üzerinden dışarıya sızdırılmaya çalışılan PHI verilerinin engellenmesi. | Hassas verilerin yetkisiz kişilerin eline geçmesini önleyen evrensel veri koruma maddesi (GDPR Madde 32). |
| A.5.15 | Varlıkların Kabul Edilebilir Kullanımı | Hekimlerin, hemşirelerin ve idari personelin hasta verilerine erişirken uyması gereken kurumsal kuralların ve cihaz kullanım sınırlarının belirlenmesi. | HIPAA İdari Güvenlik Şartları (Administrative Safeguards) - İş gücü yönetimi ve siber güvenlik farkındalık zorunluluğu. |
| A.8.20 | Ağ Güvenliği Kontrolleri (Network Security) | Tıbbi cihazların (IoT/IoMT) bağlı olduğu tıbbi ağların, kurumsal misafir ağlarından ve idari ağlardan VLAN'lar ile izole edilmesi. | HIPAA Teknik Güvenlik Şartları (Technical Safeguards) - Aktarım halindeki verilerin (data-in-transit) siber saldırılardan korunması. |
| A.8.16 | İzleme Günlüklerinin Tutulması (Logging) | Hasta dosyasına erişen, değiştiren veya silen her personelin kimlik bilgisi, zaman damgası ve yaptığı işlemin saniye bazında kaydedilmesi. | HIPAA Denetim Kontrolleri (§ 164.312(b)) ve KVKK Veri Sorumlusu Yükümlülükleri - İzlenebilirlik ve hesap verebilirlik. |
Sağlık İşletmelerinde PHI Güvenliğini Sağlamanın 5 Operasyonel Adımı
Sağlık kuruluşlarında ISO/IEC 27001 BGYS çatısı altında kusursuz bir hasta verisi yönetim sistemi kurmak, kağıt üzerindeki politikalardan çok daha fazlasını gerektirir. Bu ISO 27001 PHI Handling Guide rehberinin bu bölümünde, verinizi koruma altına alacak ve denetimlerde elinizi güçlendirecek 5 temel operasyonel adımı ele alacağız:
Adım 1: PHI Varlık Keşfi ve Hassas Veri Sınıflandırması
Sağlık veri tabanları, PDF epikriz raporları, DICOM formatındaki tıbbi görüntüler (Röntgen, MR vb.) ve hatta çalışanların kendi aralarında paylaştığı e-posta ekleri... PHI verisi bir kuruluşta yapılandırılmış veya yapılandırılmamış olarak binlerce farklı noktada bulunabilir. İlk adım, kurumsal ağınızda bir veri keşif (Data Discovery) süreci başlatarak tüm hasta verilerinin lokasyonlarını tespit etmek ve bu varlıkları "Çok Gizli / Hassas Sağlık Verisi" olarak etiketlemektir. ISO 27001 A.5.9 maddesi uyarınca, güncel bir veri haritası (Data Mapping) çıkarılmadan sonraki adımlara geçilemez.
Adım 2: Kapsamlı Tehdit Modellemesi ve Risk Analizi
Verinin nerede olduğunu bildikten sonra, bu veriye yönelik siber tehdit senaryolarını tasarlamalısınız. "Bir hekimin bilgisayarı fidye yazılımı (ransomware) tarafından şifrelenirse tıbbi kayıtlara erişim nasıl sürdürülecek?", "Laboratuvar sonuçlarını dış ortaklara aktaran API uç noktalarımızda yetkilendirme hatası var mı?" gibi sorular sorulmalıdır. NIST SP 800-30 ve ISO 31000 standartlarına uygun olarak gerçekleştirilecek bu risk analizi, yasal otoritelerin (OCR veya yerel veri koruma kurulları) bir veri ihlali sonrasında şirketinize soracağı ilk dökümandır. Tespit edilen riskler, kabul edilebilir seviyeye indirilene kadar teknik kontrollerle yamalanmalıdır.
Adım 3: Sıfır Güven (Zero Trust) Mimarisi ve Erişim Yönetimi
Sağlık sektöründe en sık yaşanan ihlaller, içerideki yetkili kullanıcıların merak veya kötü niyetle yetkileri dışındaki hasta kayıtlarını incelemesidir (Örn: Ünlü kişilerin sağlık kayıtlarının sızdırılması). Bu durumun önüne geçmek için "Bilmesi Gereken Kadar" (Need-to-Know) ve "En Düşük Yetki" (Least Privilege) prensipleri tavizsiz uygulanmalıdır. Hasta verilerine erişilen tüm kurumsal sistemlerde (HBYS / PACS) Çok Faktörlü Kimlik Doğrulama (MFA) kullanımı zorunlu kılınmalı, rol tabanlı erişim kontrolü (RBAC) mekanizmalarıyla bir muhasebe personelinin klinik verilere, bir stajyerin ise tüm hasta veritabanına erişmesi engellenmelidir.
Adım 4: Kriptografi ve Veri Maskeleme Politikaları
Hasta verileri hem sunucularda saklanırken (data-at-rest) hem de ağ üzerinde aktarılırken (data-in-transit) güçlü şifreleme algoritmalarıyla korunmalıdır. Veritabanı seviyesinde AES-256 şifreleme kullanılmalı, ağ trafiğinde ise TLS 1.3 protokolleri zorunlu tutulmalıdır. Yazılım geliştirme, test, analiz veya yapay zeka modellerinin eğitilmesi gibi süreçlerde gerçek hasta verileri asla doğrudan kullanılmamalı; ISO 27001 A.8.11 kontrol maddesine uygun olarak veri maskeleme, takma adlandırma (pseudonymization) veya sentetik veri üretimi teknikleri devreye alınmalıdır.
Adım 5: Gelişmiş Log Yönetimi ve Anomali Tespiti (SIEM/XDR)
Sağlık kuruluşlarında log toplamak sadece teknik bir gereksinim değil, yasal bir zorunluluktur. Hasta veritabanlarına yapılan tüm başarılı ve başarısız erişim istekleri, veri indirme (export) hareketleri ve yetki değişiklikleri merkezi bir SIEM/XDR platformuna anlık olarak aktarılmalıdır. Sistem, anormal kullanıcı davranışlarını yakalayacak kurallarla donatılmalıdır. Örneğin, bir poliklinik sekreterinin normal mesai saatleri dışında tek bir gecede 500 farklı hastanın epikriz raporunu indirmeye çalışması durumunda sistem otomatik alarm üretmeli ve ilgili kullanıcının oturumunu askıya almalıdır. Log verileri, adli bilişim (digital forensics) süreçlerinde kanıt niteliği taşıması için kriptografik olarak imzalanmalı ve en az 1 yıl boyunca silinemez (immutable) formatta saklanmalıdır.
---Kurumsal ISO 27001 PHI handling Güvenlik Politikası Şablonu
ISO/IEC 27001 BGYS dış belgelendirme denetimlerinde, denetçilerin sağlık kuruluşlarından talep edeceği en kritik dökümanlardan biri, hasta verilerinin nasıl işlendiğini resmi olarak tanımlayan kurumsal politikalardır. Aşağıda, organizasyonunuzun yapısına göre özelleştirerek kurumsal BGYS kütüphanenize dahil edebileceğiniz, uluslararası standartlarla uyumlu bir **Hassas Sağlık Verisi (PHI) Yönetim ve Koruma Politikası Şablonu** yer almaktadır:
```htmlTHE BELLISAN - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS) DÖKÜMANTASYONU
DÖKÜMANTASYON KODU: POL-PHI-SEC-2026
YÜRÜRLÜK TARİHİ: 31 Mayıs 2026
GÖZDEN GEÇİRME SORUMLUSU: Chief Information Security Officer (CISO) & Hukuk Danışmanlığı
REFERANS STANDARTLAR: ISO/IEC 27001:2022 Ek A (A.8.11, A.8.12, A.8.16, A.8.20, A.8.24) / HIPAA Security Rule
1. POLİTİKANIN AMACI VE HEDEFLERİ
Bu politikanın temel amacı, kuruluşumuz tarafından işlenen, saklanan, iletilen veya üçüncü taraf iş ortaklarıyla paylaşılan tüm Korumalı Sağlık Bilgilerinin (PHI) gizliliğini, bütünlüğünü ve erişilebilirliğini güvence altına almaktır. Bu döküman, kuruluşumuzun kurumsal siber dayanıklılık hedeflerini yerine getirmek ve ISO/IEC 27001 BGYS standartları ile uluslararası sağlık verisi mevzuatlarına (HIPAA, GDPR, KVKK) tam uyum sağlamak amacıyla yürürlüğe konmuştur.
2. PHI VERİLERİ İÇİN TEKNİK VE OPERASYONEL KURALLAR
- Erişim ve Kimlik Doğrulama: PHI içeren tüm kurumsal sistemlere (HBYS, LIS, PACS vb.) erişimlerde Çok Faktörlü Kimlik Doğrulama (MFA) kullanımı zorunludur. Personel, sadece görevi gereği bilmesi gereken verilere (Least Privilege) erişebilir. Ortak kullanıcı hesabı kullanımı kesinlikle yasaktır.
- Kriptografik Koruma (Şifreleme): Sunucularda, veri tabanlarında ve yedekleme ünitelerinde saklanan tüm PHI verileri AES-256 algoritmasıyla şifrelenmelidir. Kurumsal ağ dışına veya internete aktarılan tüm hasta verileri TLS 1.3 şifreleme protokolü kullanılarak iletilmelidir. Şifresiz HTTP veya FTP protokolleri üzerinden PHI transferi yapılamaz.
- Veri Maskeleme ve Sızıntı Önleme: Test, eğitim, yazılım geliştirme veya istatistiksel analiz süreçlerinde gerçek hasta verileri doğrudan kullanılamaz; bu süreçlerden önce veriler veri maskeleme (Data Masking) veya anonimleştirme işlemlerine tabi tutulmalıdır. Kurumsal e-posta ve ağ çıkış kapılarında veri sızıntısı önleme (DLP) filtreleri aktif bulundurulacak, dışarıya sızdırılmaya çalışılan PHI verileri otomatik olarak engellenecektir.
- Ağ İzolasyonu: Tıbbi görüntüleme cihazları, hasta başı monitörleri ve diğer Nesnelerin İnterneti (IoMT) cihazları, kurumsal idari bilgisayarların bulunduğu genel ağlardan ve misafir kablosuz ağlarından (Guest Wi-Fi) mantıksal olarak izole edilmiş güvenli VLAN'lar içinde çalıştırılmalıdır.
3. GÜNLÜK KAYITLARI (LOGGING) VE DENETİM İZLERİ
ISO 27001 A.8.16 kontrol maddesi ve sağlık mevzuatları uyarınca, PHI veritabanları ve sağlık yazılımları üzerindeki tüm kullanıcı hareketleri (okuma, ekleme, güncelleme, silme, dışarıya aktarma) saniye bazında loglanmalıdır. Log kayıtlarında hasta şifreleri veya biyometrik veriler gibi ham güvenlik parametreleri açık metin olarak tutulamaz. Toplanan denetim izleri, adli bilişim süreçlerinde tahrif edilmesini önlemek amacıyla kriptografik olarak imzalanarak en az 1 yıl boyunca değiştirilemez (immutable) depolama alanlarında saklanmalı ve merkezi SIEM platformu tarafından gerçek zamanlı anomali analizine tabi tutulmalıdır.
4. POLİTİKA İHLALİ VE DİSİPLİN SÜREÇLERİ
Bu politikada yer alan kuralların ihlali, hastaların veri mahremiyetini tehlikeye atacağı ve kuruluşu milyonlarca dolarlık yasal tazminat ve ceza riskiyle karşı karşıya bırakacağı için en yüksek seviyeli kurumsal risk olarak kabul edilir. İhlali gerçekleştiren personel hakkında kurumsal BGYS Disiplin Prosedürleri ve ilgili yasal kanunlar çerçevesinde cezai ve hukuki süreçler başlatılır.
by The Bellisan
May.2026
RELATED LAW ARTICLES
Would you like to know more?
If you require help or advice please contact our clerking team
Call -
+44 (0)20 75
or
email our clerks