ISO 27799 Nedir? Sağlıkta Bilgi Güvenliği
ISO 27799, sağlık bilişimi alanında ISO/IEC 27002 standardı kullanılarak bilgi güvenliği yönetiminin nasıl uygulanacağını tanımlayan, sağlık sektörüne özgü bir uygulama kılavuzudur. Hastanelerin, kliniklerin ve sağlık hizmeti sunan tüm kuruluşların kişisel sağlık bilgilerini (PHI – Personal Health Information) gizlilik, bütünlük ve erişilebilirlik ilkeleri çerçevesinde korumasına rehberlik eder. Standardın güncel sürümü ISO 27799:2016'dır.
Özetle: ISO 27799, ISO/IEC 27002 kontrollerini sağlık bağlamına uyarlayan bir bilgi güvenliği uygulama kılavuzudur. Kişisel sağlık bilgilerinin (PHI) gizliliğini, bütünlüğünü ve erişilebilirliğini korumayı amaçlar. ISO/IEC 27001 (BGYS) ve ISO/IEC 27701 (gizlilik/PIMS) standartlarıyla birlikte kullanılır ve KVKK ile GDPR kapsamındaki sağlık verisi gereksinimlerini destekler.
ISO 27799'un Amacı ve Kapsamı
Sağlık verisi, en hassas kişisel veri kategorilerinden biridir. Bir hastanın tanısı, tedavi geçmişi, laboratuvar sonuçları veya genetik bilgileri yetkisiz kişilerin eline geçtiğinde geri dönüşü olmayan zararlar doğabilir. ISO/IEC 27001 ve ISO/IEC 27002 her sektöre uygulanabilen genel bilgi güvenliği standartlarıyken, ISO 27799 bu çerçeveyi doğrudan sağlık ortamının ihtiyaçlarına göre yorumlar.
Standart; hasta kayıtları, elektronik sağlık kayıtları (EHR), tıbbi görüntüleme verileri, reçeteler ve sağlık kuruluşları arasında paylaşılan veriler için kontrol ve rehberlik sağlar. Amaç, ISO/IEC 27002'de tanımlanan güvenlik kontrollerinin sağlık kuruluşlarında asgari ve tutarlı bir güvenlik seviyesi oluşturacak şekilde nasıl seçileceğini ve uygulanacağını göstermektir.
ISO 27799'un kapsadığı temel hedefler şunlardır:
- Kişisel sağlık bilgilerinin gizliliğinin (yalnızca yetkili kişilerin erişmesi) korunması
- Verinin bütünlüğünün (doğru ve değiştirilmemiş kalması) sağlanması
- Verinin erişilebilirliğinin (ihtiyaç duyulduğunda kullanılabilir olması) güvence altına alınması
- Hasta gizliliği ve hasta haklarının teknolojik süreçlerde korunması
Korunan Sağlık Verisi Türleri
ISO 27799, sağlık bağlamındaki çok çeşitli veri türlerinin korunmasına odaklanır. Aşağıdaki tablo, standardın rehberlik ettiği başlıca veri kategorilerini özetler.
| Veri Türü | Açıklama | Tipik Risk |
|---|---|---|
| Hasta kayıtları | Tanı, tedavi ve klinik notlar | Yetkisiz erişim, ifşa |
| Elektronik sağlık kayıtları (EHR) | Dijital ortamda tutulan kapsamlı hasta dosyaları | Siber saldırı, veri sızıntısı |
| Laboratuvar ve test sonuçları | Kan tahlili, görüntüleme, patoloji raporları | Manipülasyon, bütünlük kaybı |
| Reçete ve ilaç bilgileri | İlaç geçmişi ve doz bilgileri | Hatalı değişiklik, erişim sorunu |
| Paylaşılan sağlık verisi | Kuruluşlar arası aktarılan veriler | Aktarım sırasında ifşa |
ISO 27799'un Diğer Standartlarla İlişkisi
ISO 27799 tek başına bir yönetim sistemi standardı değildir; ISO/IEC 27001 ve ISO/IEC 27002 ile birlikte değerlendirilir. Sağlık kuruluşları genellikle bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurarken ISO/IEC 27001'i temel alır, kontrolleri seçerken ISO/IEC 27002'den yararlanır ve bu kontrolleri sağlık bağlamına uyarlamak için ISO 27799'u kullanır.
| Standart | Odak Alanı | ISO 27799 ile İlişkisi |
|---|---|---|
| ISO/IEC 27001 | Bilgi Güvenliği Yönetim Sistemi (BGYS) | Yönetim çerçevesini ve sertifikasyon temelini sağlar |
| ISO/IEC 27002 | Bilgi güvenliği kontrolleri kılavuzu | ISO 27799'un temel aldığı kontrol seti |
| ISO 27799 | Sağlığa özgü bilgi güvenliği rehberi | 27002 kontrollerini sağlık bağlamına uyarlar |
| ISO/IEC 27701 | Gizlilik bilgi yönetimi (PIMS) | Kişisel veri gizliliği boyutunu güçlendirir |
ISO/IEC 27701, gizlilik bilgileri yönetim sistemi (PIMS) için bir uzantı standardıdır ve kişisel verilerin işlenmesine dair sorumlulukları netleştirir. Sağlık verisi aynı zamanda özel nitelikli kişisel veri olduğundan, ISO 27799 ile ISO/IEC 27701 birlikte kullanıldığında hem güvenlik hem de gizlilik boyutu kapsamlı biçimde ele alınır.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
KVKK ve GDPR ile Uyum
Türkiye'de KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) sağlık verilerini özel nitelikli kişisel veri olarak sınıflandırır ve bu verilerin işlenmesine daha sıkı koşullar getirir. Avrupa Birliği'nde ise GDPR, sağlık verilerini özel kategoride değerlendirir. ISO 27799'un sağladığı kontrol yapısı, bu mevzuatların öngördüğü teknik ve idari tedbirlerin hayata geçirilmesini destekler.
ISO 27799 doğrudan bir mevzuat uyum sertifikası değildir; ancak standardın getirdiği disiplin, kuruluşların KVKK ve GDPR yükümlülüklerini karşılayacak süreçleri kurmasını kolaylaştırır. ISO/IEC 27001 ile birlikte uygulandığında, denetimlere ve mevzuat gerekliliklerine kanıt sunmak da kolaylaşır.
ISO 27799 Uygulamanın Faydaları
Sağlık kuruluşlarının ISO 27799 rehberliğini benimsemesi, hem operasyonel hem de itibar açısından somut kazanımlar sağlar.
| Fayda | Sağladığı Değer |
|---|---|
| Hasta güveni | Verilerin korunduğuna dair güven artar |
| Mevzuat uyumu | KVKK ve GDPR gereksinimlerinin karşılanması kolaylaşır |
| Risk azaltımı | Veri sızıntısı ve siber saldırı riski düşer |
| Sektörel tutarlılık | Sağlığa özgü ortak güvenlik dili oluşur |
| Sürekli iyileştirme | Güvenlik kontrolleri düzenli olarak gözden geçirilir |
Bu faydalar, özellikle dijitalleşmenin hızlandığı ve elektronik sağlık kayıtlarının yaygınlaştığı bir dönemde sağlık kuruluşlarının dayanıklılığını artırır.
Kimler ISO 27799'a İhtiyaç Duyar?
ISO 27799, kişisel sağlık bilgisi işleyen her türlü kuruluş için anlamlıdır. Hastaneler, özel klinikler, laboratuvarlar, görüntüleme merkezleri, eczaneler, sağlık sigortası şirketleri ve sağlık verisi işleyen teknoloji firmaları bu kapsamdadır. Sağlık bilişimi çözümleri geliştiren yazılım ve bulut hizmet sağlayıcıları da, müşterilerine güvence sunmak için standardın rehberliğinden yararlanır.
Bilgi güvenliği, sağlıkta yalnızca bir teknoloji meselesi değil; aynı zamanda hasta güvenliğinin ve hizmet kalitesinin bir parçasıdır. Bu nedenle ISO 27799, kalite ve güvenlik kültürünün bütünleşik bir bileşeni olarak ele alınmalıdır.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
ISO 27799 bağımsız bir sertifikasyon standardı değil, bir uygulama kılavuzudur. Sağlık kuruluşları genellikle ISO/IEC 27001 üzerinden bir Bilgi Güvenliği Yönetim Sistemi belgelendirmesi alır ve ISO 27799'u bu süreçte sağlık bağlamına uyum için rehber olarak kullanır.
ISO/IEC 27001 her sektöre uygulanabilen genel bir bilgi güvenliği yönetim sistemi standardıdır. ISO 27799 ise ISO/IEC 27002 kontrollerini özel olarak sağlık sektörüne ve kişisel sağlık bilgilerinin korunmasına uyarlayan bir rehberdir.
PHI, bir bireyin sağlık durumu, tedavisi veya sağlık hizmeti geçmişiyle ilgili kişisel bilgileri ifade eder. Hasta kayıtları, test sonuçları, tanılar ve reçeteler bu kapsama girer. ISO 27799'un temel koruma hedefi bu bilgilerdir.
ISO 27799 tek başına KVKK uyumunu garanti etmez; ancak standardın getirdiği kontrol ve süreç yapısı, KVKK'nın sağlık verisi için öngördüğü teknik ve idari tedbirlerin uygulanmasını önemli ölçüde destekler ve kolaylaştırır.
Evet. ISO 27799 daha çok bilgi güvenliği boyutuna odaklanırken, ISO/IEC 27701 kişisel verilerin gizliliği ve yönetimi (PIMS) konusuna odaklanır. Sağlık kuruluşları, bu iki standardı birlikte uygulayarak hem güvenlik hem de gizlilik gereksinimlerini kapsamlı biçimde karşılayabilir.
