2. Medikal kayıt nedir?
Bir hastanın medikal geçmişinin, muayenelerinin ve tedavilerinin kayıtlardır.
Hizmet, bakım devamlılığı
Hasta güvenliği
Sağlayıcılar arasında iletişim
Adli tıp
Hak talepleri ve geri ödemeler
Hastanın faydalanması
Klinik araştırmalar
Neden ihtiyaç duyulur?
3. Medikal Bilgi Sistemleri
Tanı, tedavi, sağlık verilerinin toplanması ve yönetilmesi
Sağlık hizmetlerinin yönetilmesi ve geliştirilmesi için sunulan sistemlerdir.
Bu sistemler, bilgiyi değişik formlarda kullanırlar.
• Elektronik sağlık kayıtları (EHR - Electronic Health Records)
• Kişisel sağlık kayıtları (PHR - Personal Health Records)
5. Elektronik Sağlık Kayıtları
(EHR - Electronic Health Records)
Bilgi iletişim teknolojilerini (ICT)
kullanarak hasta bilgilerinin bir
arada elektronik ortamda
saklanmasından oluşur.
Hastanelerde, kliniklerde,
doktor ofislerinde sağlık çalışanları
tarafından kullanılır.
6. EHR avantajları:
Gelişmiş hasta emniyeti
El yazısından kaynaklanan hatalardan kurtulma
Olumsuz ilaç etkisini minimuma indirme
Hasta bilgilendirilmesinin daha iyi yapılması
Güncel ve doğru sağlık verisi
Mevcut bilginin hızlı sunulması
Uzun vadede oluşan maliyeti düşürmesi
7. Kişisel Sağlık Kayıtları
(PHR - Personal Health Records)
Bireylerin internet tabanlı
uygulamalarla kullandıkları
kişisel tıbbi verilerdir.
Hastalar tarafından kullanılır.
8. Rutin medikal testlerin tekrarlanmasından kurtarır.
Kişinin sağlığı hakkındaki bilgilere ulaşmasını sağlar.
Kişinin sağlığının yönetebilmesine olanak verir.
Hasta ile doktor arasındaki iletişimi güçlendirir.
Yönetim maliyetini azaltır.
PHR avantajları
10. Güvenlik Açıkları
Hırsızlık
• Yedekleme teybi ya da bilgisayar çalınabilir.
Teknolojinin zayıflığı yüzünden verinin
yayılması
• FTP siteleri gibi zayıf kontrollü teknolojiler
kullanılabilir.
Çalışan dikkatsizliği
Bulut bilişim kullanılması
11. Mahremiyet (Privacy)
Mahremiyet, hasta ile doktor arasında önemli bir husustur.
Hastaya ait tüm kişisel bilgiler sağlık kayıtlarında mevcuttur.
Her ne kadar sağlık kayıtlarının amacı tedavilerin kontrolü olsa da farklı
amaçlar için de kullanılabilir.
12. Hastaların kişisel sağlık verilerinin paylaşımı
konusundaki bakış açıları
Kişisel bilgiler,
• Kendi tedavileriyle ilişkili kişiler arasında
paylaşılmalı
• Doktorlar arasında paylaşılmalı
• İşverenleri, aileleri gibi üçüncü kişilerle
paylaşılmalı
13. MAHREMİYET TEHDİTLERi
Organizasyonel Sistematik
• İçeriden veya dışarıdan hasta
kayıtlarına uygunsuz olarak
erişmeye çalışmak
• Sisteme yasal olarak giriş yetkisi olan
kişilerin verileri sistematik olarak
başka amaçlar için kullanması
14. Organizasyonel Tehditler
Beş farklı bölümde sınıflandırılabilir:
1. Accidental disclosure: Sağlık personeli, kişisel sağlık verilerini dikkatsizlik ve
kaza sonucu istenmeyen kişilerle paylaşabilir.
2. Insider curiosity: Sağlık personeli verilere erişim yetkisini kişisel amacı ya da
merak nedeniyle kullanabilir.
3. Data breach by insider: Sağlık personeli kişisel çıkar ya da intikam için
sağlık verilerine erişip, verileri sistem dışındaki kişilerle paylaşabilir.
4. Data breach by outsider with physical intrusion: Saldırganlar fiziksel
güç kullanabilirler.
5. Unauthorized intrusion of network system: Sisteme ağ üzerinden
yetkisiz erişim sağlanabilir.
15. Sistematik Tehditler
Örneğin;
• Sigorta şirketlerinin sağlık verilerini hastaların tedavi masraflarını karşılamak için
kullanmasının yanı sıra, bu verileri analiz ederek kişilere ait sağlık risklerini
hesaplamak için kullanmaları
• İşverenlerin, adayları sağlık verilerine göre seçmesi
16.
17.
18. Mahremiyet Gereklilikleri
Hastalar kendi mahremiyet endişeleri hakkında geri bildirimlerde bulunabilmeli
Geri bildirimler sistemin düzenlenmesinde etkili rol oynamalı
Her bir hasta kendi bilgi akışını kontrol edebilmeli ve istenmeyen bilgi paylaşımları
düzenlenip, iptal edilebilmelidir.
Sistemin hastaları bilgi paylaşımı konusunda hiç kimseye güvenmesine gerek
kalmayacak şekilde inşa edilmeli
Medikal bilgi, hastaların genel profilini ve davranışlarını ortaya çıkarabilecek kadar
geniş kapsamlı olmamalı
19. Mahremiyet Koruma Katmanları
1. Mahremiyetin devlet tarafından kanun ve yasalarla güvence altına alınması
(HIPAA)
2. Organizasyonel seviyede koruma
3. Hastaların bilinçlendirilmesi
4. Kayıtların veri madenciliği yöntemleri ile toplanması sırasında
anonimleştirilmesi
20. HIPAA
Health Insurance Portability and Accountability Act
1996’da hayata geçirildi.
Hastaların medikal kayıtlarının güvenliğini, gizliliğini korumak üzere tasarlanmıştır.
21. HIPAA standartları
1. İdari Tedbirler
• Konu ile ilgili idari sorumlunun tanımlanması,
• Organizasyonun uyması gereken prosedürlerin tanımlanması,
• Elektronik ortamdaki bilgileri seviyelendirerek kimlerin, nelere ulaşabileceğinin
tanımlanması,
• Organizasyon dışı yüklenici firmaların bu standartlar çerçevesinde rolünün
tanımlanarak, sözleşme yapılması,
• Acil durumların tanımlanarak, yapılacakların tanımlanması ve
• Veri bütünlük kontrollerinin yapılandırılmasın
22. 2. Fiziksel Tedbirler:
• Sağlık bilgilerini içeren ortamlara olan fiziksel erişimlerin, dikkatlice kontrol
edilmesi ve izlenmesinin sağlanmasını içermektedir.
3. Teknik Tedbirler:
• Sağlık Sistemi içerisindeki bilgi kaynaklarına yapılacak siber saldırılara karşı
korunması, izlenmesi ve kayıt altına alınması.
• Veri iletimlerinde gelişmiş şifreleme metotlarının kullanılması,
• Verinin bütünlüğünün garanti edilmesi,
• Düzenli risk analizlerinin gerçekleştirilerek, organizasyon risk yönetiminin
belgelenmesi
23.
24.
25. ‘Community Health System’ İhlali
5.4M hasta verisi (Sosyal Güvenlik Numaraları, Telefon No, Adresler vs.)
Maliyet: $75 milyon ve $150 milyon arasında
Hacker lar (advanced persistent threat (APT) group) VPN kimliklerine ulaşabilmek
için Heartbleed hatasını kullandılar.
Hata Nisan ayında bildirildi, Haziran’da da veriler çalınmaya devam edildi.
26. Güvenliği yükseltmek için
Sisteme ulaşım konusunda HIPAA hakkında bilgilendirilmeler
• Hasta verileri sadece sağlık hizmeti amacıyla kullanılmalı
• Kötü niyetli hedeflerden uzak tutulmalı
Antivirüs, firewall, şifreler kullanılmalı
Kimlik doğrulama
28. Parola ile Kimlik Doğrulama
Tek fazlı kimlik doğrulama yöntemi
• Kullanıcı numarası ve parolası kullanılmaktadır.
• Kullanıcı numaraları şifrelenmemesine rağmen, PIN ya da parolalar veri
tabanında şifrelenirler.
İki fazlı kimlik doğrulama yöntemi
• Bir diğer faz eklenir.
o Örneğin, ilk faz olarak parola ile kimlik doğrulama yöntemi, ikinci faz olarak
biyometrik kimlik doğruma yöntemleri
o Ya da ikinci faz olarak tek kullanımlık şifre üreten akıllı cihazlar
29. Biyometrik Kimlik Doğrulama
Yüz şekli, parmak izi, avuç izi, ses ve
iris gibi anatomik özellikler ve yürüyüş biçimi,
hal ve hareketler, imza gibi
davranış biçimleri kullanılır.
Güvenlidir ve yapay değildir.
İnkâr edilemez bir kimlik doğrulama
yöntemidir.
Kimlik doğrulama süresini kısaltır.
31. Referanslar
C.E. Aladağ, E. Kurtarangil, Ş. Bahtiyar. Medikal Bilgi Sistemlerinde Güvenlik,
Mahremiyet ve Kimlik Doğrulama
F. Ay. Elektronik Hasta Kayıtları: Güvenlik, Etik Ve Yasal Sorunlar, Anadolu
Üniversitesi Bilim Ve Teknoloji Dergisi, Cilt:9-Sayı:2, 2008
N. Turğut, E. Karaarslan, A. M. Ergin, Ö. Kılıç. Elektronik Sağlık Kayıtlarının Gizlilik ve
Mahremiyeti
Security threats categories in healthcare information systems, Health Informatics
Journal, Eylül 2010
http://www.healthcareitnews.com/news/5-security-vulnerabilities-could-mean-
trouble
https://securityintelligence.com/4-5-million-patient-records-stolen-in-chs-data-
breach-whats-next/