Veri Gizliliği, Veri Güvenliği, Sağlık
Senato YARDIM Komitesi Başkanı Akıllı Saatler ve Sağlık Uygulamalarındaki Verilerin Güvenliğini Arıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
7 Kasım 2025
Bir doktor ve yüksek profilli Senato sağlık komitesi başkanı olan ABD Senatörü Bill Cassidy, R-La. tarafından önerilen yasa, şu anda HIPAA ve HITECH Yasası kapsamına girmeyen daha birçok türde sağlık bilgisi (tüketici giyilebilir cihazları ve sağlık uygulamaları tarafından toplanan veriler gibi) için paralel HIPAA benzeri gizlilik korumaları oluşturmayı amaçlıyor.
Ayrıca bakınız: Canlı Web Semineri I Uyumluluktan Siber Dirençliliğe – Güvenliğin Ön Planda Olduğu Bir Çağda DPDP Yasasını Yorumlamak
Senato’nun sağlık, eğitim, çalışma ve emeklilik komitesine başkanlık eden Cassidy tarafından bu hafta tanıtılan Sağlık Bilgilerinin Gizliliği Reform Yasası, HIPAA’ya tabi olmayan sağlık teknolojilerinin diğer birçok hükmün yanı sıra tüketici bilgilerinin nasıl toplandığını ve paylaşıldığını açıklamasını gerektirecek.
Cassidy Salı günü yaptığı açıklamada, “Akıllı saatler ve sağlık uygulamaları, insanların sağlıklarını yönetme biçimini değiştiriyor. Bunlar yararlı araçlar, ancak muayene odasında yalnızca bir hasta ve bir doktorun bulunduğu zamanlarda var olmayan yeni gizlilik endişelerini de beraberinde getiriyor.” dedi. “Amerikalıların verilerinin güvence altına alındığından ve yalnızca onların rızasıyla toplanıp kullanıldığından emin olalım.”
Şu anda, 20 yıldan fazla bir süre önce yazılan HIPAA, “kapsam dahilindeki kuruluşlar”ın (sağlık hizmeti sağlayıcıları, ödeme yapanlar ve takas odaları) büyük ama sınırlı bir kesimi ve aynı zamanda korunan sağlık bilgilerini de ele alan üçüncü taraf “iş ortakları” için geçerlidir.
Ancak, HIPAA gizlilik kurallarının ve sertifikalı sağlık bilgi teknolojileri için geçerli olan 2009 tarihli HITECH Yasası’nın yürürlüğe girmesinden bu yana, özellikle tüketici ürünlerindeki teknolojik gelişmelerin ışığında, sağlık verilerinin büyük bir kısmı federal düzenleme çatlaklarından düşebilir.
Cassidy’nin tasarısı, ABD Sağlık ve İnsani Hizmetler Bakanlığı sekreterinin Federal Ticaret Komisyonu ile istişarede bulunarak, yeni hükümlerin kapsamına giren tüm kuruluşlar ve bunların “hizmet sağlayıcıları” tarafından “geçerli sağlık bilgilerinin işlenmesine yönelik gizlilik, güvenlik ve ihlal bildirim standartlarını belirleyen düzenlemeleri yayınlaması” çağrısında bulunuyor.
Tasarıda, “Bu tür standartlar, HIPAA ve HITECH Yasası kapsamında gizlilik, güvenlik ve ihlal bildirim kuralları yoluyla sağlanan korumalarla en azından orantılı ve mümkün ve uygun olduğu yerde – uyumlu korumalar sağlayacaktır” ifadesi yer alıyor.
Hukuk firması WilmerHale’den gizlilik avukatı Kirk Nahra, tasarının “FTC ve HHS’nin genel sağlık bilgileri için federal standartlar oluşturacak bir kural geliştirmek için birlikte çalışmasına olanak tanıyacak bir boşluk doldurma fikri yarattığı görülüyor – bugün ana ‘ihtiyaç’ veya ‘boşluk’ HIPAA’nın dışındadır.”
“HIPAA ile ilgili kuruluşlar için HIPAA standartlarını değiştirmek için ileri sürülen iyi bir neden görmedim. Buradaki zorluk, belirli türdeki temel sağlık sektörü kuruluşlarına uygulanan HIPAA modelini, başka birçok şey yapan çok çeşitli işletmelere kullanmak olacaktır” dedi.
Hukuk firmasından düzenleme avukatı Adam Greene, yasa tasarısının tüketici sağlığı verileri için daha kapsamlı, HIPAA benzeri bir düzenleyici yapı ve ayrıca yalnızca cepten yapılan ödemeleri kabul eden ve bu nedenle HIPAA kapsamındaki kuruluşlar olarak nitelendirilmeyen tele-sağlık, terapistler ve genetik test şirketleri gibi çeşitli sağlık hizmeti sağlayıcıları sağladığını söyledi.
Greene, şu anda federal cephede tüketici sağlığı verilerinin, sınırlı ceza yetkisine sahip olan FTC Yasası’nın 5. Bölümü ve FTC’nin Sağlık İhlali Bildirim Kuralı tarafından düzenlendiğini söyledi. Eyalet hükümetlerinin zaten uygulanabilecek bir dizi yasa oluşturduğunu söyledi.
“Tasarının en önemli yönü, HHS’ye, HHS kapsamındaki bir kuruluş veya iş ortağı olmadıkları için HIPAA’nın dışında kalan bireysel olarak tanımlanabilir sağlık bilgilerinin neredeyse tüm kontrolörlerini ve işleyicilerini düzenleme yetkisinin yanı sıra ihlaller için HIPAA cezaları uygulama yetkisi vermesidir” dedi.
Diğer Hükümler
Greene, tasarının HIPAA’nın mevcut önleme standardını benimsediğini, bunun da eyaletlerin daha sıkı tüketici sağlığı gizlilik yasalarına sahip olabileceği anlamına geldiğini söyledi. Greene, “Güçlü federal korumaların mevcut olması durumunda daha az sayıda eyalet muhtemelen tüketici sağlığı verileri mevzuatını geçirme eğiliminde olacak olsa da, bu hala federal ve eyalet yasalarının karmaşık bir çerçevesini yerinde bırakıyor” dedi.
“Teknoloji sektöründeki pek çok kişinin tüketici sağlığı verileriyle ilgili makul federal düzenlemeyi destekleyeceğini umuyorum, ancak bunun yalnızca eyalet yasalarının önüne geçmesi ve böylece basitleştirilmiş bir ulusal çerçeve olması durumunda” dedi. “Kongre ayrıca FTC’nin bu alandaki yetkisini azaltmayı da düşünmeli, böylece tüketici sağlığı verilerini yöneten basitleştirilmiş tek bir çerçeve olabilir.”
Tasarıda ayrıca HHS’nin “geçerli sağlık bilgilerinin kimlik bilgilerinin gizlendiği bilgiler olarak sunulmasına yönelik birleşik ulusal standartlar” oluşturması çağrısında da bulunuluyor.
Nahra, kimlik gizlemeyle mücadelede özel hükmün “çok yararlı” olacağını söyledi. Nahra, teklifin “HIPAA kimlik gizleme standardının altın standart olduğunu ve daha geniş bir şekilde uygulanması gerektiğini kabul ettiğini” söyledi.
HIPAA şu anda sağlık bilgilerinin kimliğini gizleyen iki kabul edilebilir yöntemi kabul etmektedir: “güvenli liman yöntemi” ve “uzman tespit yöntemi”. Güvenli liman, 18 spesifik tanımlayıcının kaldırılmasını gerektirirken, uzman tespiti, yeniden tanımlama riskinin çok küçük olduğunu tasdik edecek nitelikli bir uzmana dayanır.
Tasarı ayrıca, HHS’nin Ulusal Bilim, Mühendislik ve Tıp Akademileri ile “tanımlanabilir verilerini araştırma amacıyla paylaşmaları karşılığında hastalara tazminat ödemenin potansiyel risklerini ve faydalarını inceleyen bir çalışma yürütmek üzere” sözleşme yapmasına yönelik bir plan da dahil olmak üzere çeşitli başka teklifler de içeriyor.
HIPAA gibi tasarı da hasta hakları yükümlülüklerini ve sağlık verilerini işleyen kuruluşlar için korkulukları içeriyor. Akerman LLP hukuk firmasının ortağı olan düzenleme avukatı Jordan Cohen, bunun, hastalara bildirimler verilmesini ve sağlıklı yaşam verilerini devre dışı bırakma seçeneğini ve korunan sağlık bilgileri erişim hakkı yoluyla “HIPAA’dan ayrıldığında” ileriye dönük kullanım bildirimlerini içerdiğini söyledi.
Tasarıda ayrıca HHS’nin yapay zeka ve makine öğrenimi uygulamaları için kullanılan veriler için minimum rehberlik sunması yönünde çağrıda bulunulduğu belirtildi.
Cohen, “Yapay zeka rehberliği ve ulusal kimlik gizleme hükümleri, araştırma ve veri ortaklıkları üzerinde çok büyük bir etkiye sahip olabilir ve sektör paydaşlarının tam mahkeme lobi faaliyetlerini teşvik edebilir” dedi.
Oran Oluşturucular
Peki, şu anda Washington DC’de bölünmüş partizan Kongre, hükümetin kapanması ve genel olarak düşmanca bir siyasi ortam göz önüne alındığında, bu tasarının onaylanıp yasalaşma şansı nedir?
Greene, “Tüketici sağlığı verilerinin mahremiyetinin ve güvenliğinin sağlanmasında iki partinin de çıkarı olduğunu düşünsem de, Kongre’nin kapsamlı mahremiyet mevzuatını geçirme konusunda zayıf bir geçmişi olduğundan yıllar geçtikçe oldukça şüpheci oldum” dedi.
Nahra da benzer bir görüş sundu. Nahra, “Hem Kongre’de herhangi bir önemli konuda hareket eksikliği hem de ulusal bir gizlilik yasası konusunda ilerleme sağlanamaması göz önüne alındığında, bu tasarı üzerinde ileriye dönük makul bir yol görmek zor, ancak neredeyse her gün bazı şeylere şaşırıyorum” dedi.
Cohen biraz daha iyimser. “Teknoloji şirketlerinin lobi gücü göz önüne alındığında, geniş gizlilik mevzuatı her zaman zorlu bir mücadeledir” dedi. “Ancak tasarının Senato HELP başkanı tarafından desteklenmesi ve kapsamının nispeten dar olması (en azından geniş ulusal gizlilik mevzuatıyla karşılaştırıldığında) tasarının şansını artırıyor” dedi.
Bununla birlikte, “sektörün, bildirimler, devre dışı bırakma, kimlik gizleme, uygulama gibi operasyonel ayrıntılar ve ön alım konusunda endişe duyan eyalet hukuku paydaşları üzerinde lobi faaliyeti yapmasını bekliyoruz” dedi.
Önceki Çabalar
Geçmişte, Cassidy’nin ortak sponsorluğunu yaptığı, sağlık verilerinin mahremiyet boşluklarını incelemeyi ve tüketici giyilebilir sağlık cihazları gibi hassas sağlık verilerini HIPAA dışında düzenlemeyi amaçlayan iki partili teklifler de dahil olmak üzere benzer önceki teklifler de vardı.
Polsinelli hukuk firmasından düzenleme avukatı Iliana Peters, “Bu çabaların iki partili olduğu iddia edilse de, federal yasa koyucuların şu anda bu çabalar için yeterli bant genişliğine sahip olup olmadığını merak ediyorum” dedi.
“Ayrıca, bu bir noktada gerçekleşse bile, bu gereksinimlerin uygulanmasından ve uygulanmasından sorumlu olan HHS düzenleyicilerinin gücünün önemli ölçüde azalması göz önüne alındığında, bu bir ‘kağıt kaplan’ çabası olabilir.”