Sağlık kuruluşları için KVKK uyumu artık opsiyonel değil. Hasta sağlık verisi 6698 sayılı KVKK'nın 6. maddesi gereği özel nitelikli kişisel veri sınıfındadır ve KVKK Kurulu son yıllarda sağlık sektörüne yönelik incelemelerde yüksek miktarlı idari para cezaları uygulamıştır. Sağlık Bakanlığı'nın Kişisel Sağlık Verileri Hakkında Yönetmelik'i ek teknik tedbir gerekliliği getirir.

Bu rehber, hastane, klinik, poliklinik ve sağlık zincirleri için Microsoft 365 ile tam KVKK uyumu sağlamanın somut adımlarını içerir. Yapılandırma başına ne yapılacağı, hangi planın gerektiği, hangi denetim sorusuna hangi yapılandırmanın cevap olduğu net şekilde anlatılır.

1. Mevzuat Çerçevesi: Hangi Veriler, Hangi Yükümlülükler

KVKK m.6 uyarınca özel nitelikli kişisel veriler şunlardır: ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, dernek üyeliği, kılık-kıyafet, sağlık ve cinsel hayata ilişkin veriler, ceza mahkumiyeti, biyometrik ve genetik veriler. Bu kategorideki verilerin işlenmesi için aşağıdaki şartlar gereklidir:

  • İlgili kişinin açık rızası veya kanunlarda öngörülen hal
  • KVKK Kurulu'nun belirlediği yeterli önlemler'in alınması
  • Veri işleme envanterinin tutulması ve VERBİS'e kaydedilmesi
  • Veri sorumlusu/işleyen ayrımının netleştirilmesi

Sağlık Bakanlığı Kişisel Sağlık Verileri Hakkında Yönetmelik, hastane ve sağlık kuruluşları için ek olarak şu yükümlülükleri getirir:

  • Hasta sağlık verileri sadece görevi gereği erişebilecek personele açık olmalıdır (need-to-know prensibi)
  • Erişim logları tutulmalı ve denetlenebilir olmalıdır
  • Veri silme/anonimleştirme prosedürleri yazılı olmalıdır
  • Saklama süreleri tanımlı ve uygulanabilir olmalıdır

2. Plan Seçimi: Hangi Microsoft 365 Lisansı KVKK Uyumu Sağlar?

Tüm Microsoft 365 planları temel şifreleme ve TLS 1.2+ iletim güvenliği sunar, ancak sağlık sektöründe ek teknik tedbirler için Business Premium ve üstü planlar gereklidir. Çünkü:

  • Microsoft 365 Business Basic / Standard — temel paket. DLP, Defender, Intune, Information Protection içermez. KVKK m.6 için yetersizdir.
  • Microsoft 365 Business Premium ($18.50/ay) — DLP, Defender for Business, Intune, Information Protection, Conditional Access dahil. 10-300 personelli sağlık kuruluşları için minimum gereklilik.
  • Microsoft 365 E3 / E5 ($37.80-$59.85/ay) — büyük hastaneler için. eDiscovery, Customer Lockbox, Advanced Threat Protection, Privileged Access Management. Audit log saklama 1 yıl yerine 10 yıl.

100+ kullanıcılı yapılarda hibrit lisans önerilir: doktor + idari personel için E3, hemşire + teknisyen + güvenlik için F1/F3. Bu yapı %40 maliyet tasarrufu sağlar.

3. Veri Şifreleme Yapılandırması

KVKK denetiminde "Veri sorumlusu olarak şifreleme tedbiri aldınız mı?" sorusuna eksiksiz cevap vermek için:

Depolama Şifrelemesi

Microsoft 365 verileri BitLocker ile depolama düzeyinde, FIPS 140-2 sertifikalı algoritmalarla otomatik şifrelenir. Ek yapılandırma gerekmez. Ancak Customer Key opsiyonu ile kendi anahtarlarınızı kullanabilirsiniz (E5 dahil) — KVKK Kurulu denetimlerinde "kendi şifre anahtarınızı yönetiyor musunuz?" sorusuna pozitif cevap verir.

İletim Şifrelemesi

Tüm M365 trafik TLS 1.2 ve üstü ile şifrelenir. Exchange Online için OME (Office Message Encryption) aktive edilerek hasta tetkik sonucu gibi hassas mailler şifreli kapsül olarak gönderilir. Alıcı dış e-posta sahibi olsa bile şifre veya OTP ile açar.

Cihaz Şifrelemesi

Intune ile cihaz şifreleme zorlaması: Windows için BitLocker, macOS için FileVault, Android/iOS için cihaz PIN ve disk şifrelemesi zorunlu. Compliance policy ile şifrelenmemiş cihaz hasta verisine erişemez.

4. Erişim Kontrolü ve Kimlik Doğrulama

Need-to-know prensibinin teknik uygulaması için:

Role-Based Access Control (RBAC)

Microsoft Entra ID ile her kullanıcıya rolüne uygun erişim verilir:

  • Doktor — kendi hasta dosyalarına + konsültasyon vakalarına
  • Hemşire — sadece çalıştığı serviste yatan hastalara
  • Sekreter — randevu, kayıt; tetkik sonuçlarına erişim yok
  • İdari personel — finansal belgelere; hasta dosyasına erişim yok

Multi-Factor Authentication (MFA)

Hasta verisine erişim için MFA zorunlu olmalıdır. Microsoft Authenticator uygulaması, SMS veya FIDO2 anahtarı kullanılır. Conditional Access ile "MFA olmayan girişe izin verme" kuralı tanımlanır.

Conditional Access — Akıllı Erişim

Onaylı cihazdan onaylı IP'lerden erişim kuralı: hasta verisine erişim sadece

  • Hastane içi IP aralıklarından, VEYA
  • Intune'a kayıtlı, compliance state = compliant olan cihazlardan
  • MFA başarılı tamamlanmış oturumlarda

Yapılır. Yurt dışı IP'sinden veya bilinmeyen cihazdan giriş bloklanır veya ek doğrulama istenir.

5. Veri Kaybı Önleme (DLP) — TC Kimlik No, Tetkik Sonucu Pattern Engelleme

Microsoft Purview DLP ile sağlık verisi pattern'leri tanımlanarak yetkisiz paylaşım otomatik bloklanır:

  • TC Kimlik Numarası — 11 haneli, geçerli formatlı (built-in DLP pattern)
  • Tetkik sonucu anahtar kelimeler — "kan değeri", "MR raporu", "biyopsi sonucu" vb.
  • Hasta dosyası numarası — kurum-spesifik regex (örn. HD\d{6})
  • İlaç listeleri — reçete formatında ilaç adları

DLP politikası "TC Kimlik No içeren mail, dış alıcıya gönderilemez" gibi tanımlanır. İhlal denenirse mail gönderilmeden engellenir, kullanıcıya bildirim çıkar, log'a düşer.

6. Information Protection — Etiketleme ve Otomatik Şifreleme

Microsoft Purview Information Protection ile her belge ve mail hassasiyet etiketi alır:

  • Hasta Gizli — sadece doktor + ilgili hemşire açar, kopyala-yapıştır engelli, watermark
  • İdari Belge — kurum içi paylaşım serbest, dışarıya bloklu
  • Kamu / Bilgilendirme — kısıtlama yok

Etiket atandığında otomatik şifreleme aktif olur. Belge yetkisiz kişiye iletilse bile açılamaz. Outlook'ta da otomatik etiketleme önerilir — kullanıcı "Hasta Gizli" etiketini tıklarsa mail otomatik şifrelenir.

7. Defender for Office 365 — Phishing ve Ransomware Koruması

Sağlık sektörü, ransomware saldırılarının en sık hedefi'dir (Verizon DBIR raporları). Hasta dosyalarının şifrelenip fidye talep edilmesi hem mali hem de hayati risk yaratır. Microsoft Defender for Office 365:

  • Gelen tüm e-posta eklerini sandbox'ta açar, malware tespit eder
  • URL'leri tıklama anında yeniden tarar (Safe Links)
  • Kullanıcı kimliğine bürünme (CEO fraud) tespiti
  • Şüpheli mailleri karantinaya alır, kullanıcıya bildirim
  • Saldırı simülasyonu (phishing testi) ile farkındalık eğitimi

8. Audit Log ve Denetlenebilirlik

Sağlık Bakanlığı yönetmeliği "erişim logları tutulmalı ve denetlenebilir olmalıdır" der. Microsoft Purview Audit:

  • Standard Audit — 180 gün, tüm Office uygulamaları (Business Premium dahil)
  • Premium Audit — 1 yıl + olay-odaklı zenginleştirilmiş loglar (E5)
  • 10-yıl saklama — Premium Audit add-on (E3/E5 + ek lisans)

Loglar her hasta dosyası açma/değiştirme/paylaşma olayını "kim, ne zaman, nereden" detayıyla tutar. KVKK denetiminde "X tarihinde Y hastanın dosyasına Z kişi erişti mi?" sorusuna cevap verilebilir.

9. Veri Saklama, Silme ve Anonimleştirme

Retention Policy ile her belge tipi için saklama süresi tanımlanır:

  • Hasta dosyaları: 20 yıl (Sağlık Bakanlığı önerisi)
  • Tetkik sonuçları: 10 yıl
  • İdari yazışmalar: 5 yıl
  • Personel mailleri: 3 yıl

Sürenin sonunda otomatik silme veya anonimleştirme uygulanır. KVKK'nın "amaçla bağlantılı saklama" prensibinin teknik karşılığıdır.

10. EU Data Boundary — Veriler Türkiye Dışına Çıkıyor mu?

Microsoft, Türkiye'de yerel veri merkezi sunmaz. Varsayılan olarak Microsoft 365 verileri Avrupa veri merkezlerinde tutulur (Hollanda, İrlanda, Avusturya). EU Data Boundary opsiyonu ile veriler AB sınırları içinde kalır — KVKK 9. madde "yurt dışı aktarım" denetiminde kritik öneme sahiptir.

EU Data Boundary aktive edildiğinde:

  • Hasta dosyaları, mail, takvim → AB veri merkezleri
  • Microsoft destek hizmetleri → AB personeli
  • Telemetri → AB içinde tutulur

KVKK aydınlatma metinlerine "veriler EU Data Boundary kapsamında AB'de işlenir" ifadesi eklenir, gerektiğinde açık rıza alınır.

11. Aydınlatma Metinleri ve VERBİS Kaydı

Microsoft 365 yapılandırması teknik kısımdır. Mevzuat uyumu için ek olarak:

  • Aydınlatma metni — hasta kabul evraklarına entegre edilir, hangi verilerin işlendiği, kimlerle paylaşıldığı, EU Data Boundary, saklama süresi belirtilir
  • Açık rıza formu — özellikle teletıp kayıtları için yazılı açık rıza
  • VERBİS kaydı — veri işleme envanterine "Microsoft 365 ile hasta verisi işleme" faaliyetleri eklenir
  • KVKK Sorumlusu — kuruluşta atanmış olmalı, denetimde muhatap kişidir

12. Denetim Hazırlığı: Microsoft Purview Compliance Manager

Compliance Manager, KVKK gibi mevzuatlara karşı kuruluşunuzun uyum skorunu otomatik hesaplar. Hangi kontrollerin uygulandığı, hangilerinin eksik olduğu dashboard üzerinde görünür. KVKK denetiminde "biz bu mevzuata X% uyumluyuz, eksik kontroller şunlar ve şu yol haritasıyla kapatılacak" şeklinde yazılı raporlama yapılır — denetçilere güvenilirlik gösterir.

Sonuç

Sağlık sektöründe KVKK uyumu, doğru yapılandırılmış Microsoft 365 ile built-in olarak büyük oranda sağlanır. Ek yazılım veya altyapı yatırımı gerekmez — Business Premium ve üstü lisanslarda gerekli teknik araçlar zaten dahildir. Önemli olan doğru aktivasyon, doğru politika tanımlama ve doğru kullanıcı eğitimidir.

Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) sıfatıyla hastane, klinik ve sağlık zincirlerine KVKK uyum yapılandırması, mevzuat eşleştirme ve eğitim hizmeti sunuyor. Sağlık Sektörü için Microsoft 365 sayfamızı inceleyin veya ücretsiz KVKK uyum değerlendirmesi için iletişime geçin.

İlgili yazılar: Microsoft Teams ile Teletıp Rehberi · Exchange Online'a Göç Rehberi