Psikolog KVKK Rehberi: Sağlık Verisi Nasıl Saklanır

Bir danışanla yaptığınız ilk görüşmenin notunu düşünün. İçinde sadece adı soyadı değil; ruh hâli, kullandığı ilaçlar, geçmiş travmaları, belki bir tanı yer alıyor. KVKK bu tür bilgileri sıradan kişisel veriden ayırır ve "özel nitelikli kişisel veri" başlığı altında toplar. Sağlık durumuna dair her şey bu kapsamdadır. Yani danışanınızın dosyası, kanun gözünde bir telefon numarasından çok daha hassas bir varlıktır.

Bu ayrımın pratikte tek bir anlamı var: özel nitelikli veride çıta yükselir. Sıradan bir veriyi belli koşullarda rıza almadan işleyebilirsiniz, ama sağlık verisinde kural çok daha dar. Açık rıza ya da kanunun açıkça izin verdiği bir dayanak olmadan bu veriyi tutamaz, işleyemez, başkasıyla paylaşamazsınız. Saklarken de güvenliğini sağlamak için ek tedbirler beklenir.

Burada kafa karıştıran nokta şu: seans notu hem sizin mesleki hafızanız hem de kanunun titizlikle koruduğu bir kayıt. İkisini birbirinden ayrı düşünmek yerine, en baştan "bu dosya hassas, ona göre davranayım" demek işinizi kolaylaştırır. Geri kalan her şey bu kabulün üzerine kurulur.

Açık rıza çoğu psikoloğun kafasında soyut bir kavram olarak duruyor: "bir yerde imza alınıyor" kadar. Oysa işin özü zamanlamada ve kapsamda. Sağlık verisine dair açık rıza, danışanın o veriyi paylaşmaya başlamasından önce alınmalı. Yani ilk seansta danışan derdini anlatmaya koyulmadan, kaydı tutmaya başlamadan rızanın elinizde olması gerekir. Seansın ortasında ya da sonunda imzalatılan bir kâğıt, "önce rıza, sonra veri" mantığını tersine çevirdiği için zayıf kalır.

İyi bir açık rıza üç soruya net cevap verir: neyi, ne için, ne kadar süre. Hangi verileri (seans notları, ön değerlendirme cevapları, iletişim bilgileri) topladığınızı, bunları hangi amaçla işlediğinizi (danışmanlık hizmetinin yürütülmesi, randevu takibi) ve ne kadar saklayacağınızı anlaşılır bir dille söyler. Danışan bunu okuyup ne onayladığını gerçekten anlamalı; küçük puntolu, hukuk diliyle dolu bir metin, "bilgilendirilmiş onay" sayılmaz.

Bir detay çoğu kişinin gözünden kaçıyor: rızanın ne zaman alındığını gösteren bir zaman kaydı. Rızayı kâğıda imza olarak aldıysanız tarihli olmalı; dijital ortamda aldıysanız, onayın hangi an verildiğini sistemin tutması gerekir. Bu zaman damgası ileride "rıza var mıydı, ne zaman alındı" sorusunun tek somut cevabıdır. Pratikte bunu en temiz çözen yol, danışan ilk görüşmeye gelmeden ön değerlendirme formunu dijital olarak doldurduğu ve sağlık verisine dair onayın tam o anda tarihiyle birlikte kaydedildiği bir akıştır; o zaman "rıza ne zaman alındı" sorusunun cevabı sistemde kendiliğinden durur.

Bir denetimde size sorulabilecek en sıradan soru şudur: "Bu dosyayı neden hâlâ tutuyorsunuz?" Cevabı tek bir süreyle veremezsiniz, çünkü masanızda tek tip kayıt yok. Kabaca iki yığını ayırmak gerekiyor. Bir tarafta mevzuatın tutmanızı zorunlu kıldığı kayıtlar var: protokol defteri, randevu ve işlem kayıtları, mesleki faaliyetinizin resmî izleri. Bunlar için mevzuat uzun, kimi durumda yıllara varan süreler öngörebilir. Diğer tarafta ise terapötik notlarınız var; bunların saklanması daha çok mesleki standart ve etik ilkelerle, danışana sürdürdüğünüz hizmetin gereğiyle şekillenir.

Bu ikisini aynı kovaya koymak en sık yapılan hata. Zorunlu kayıt defterini "yer kaplıyor" diye erkenden silmek de, terapötik notu "ne olur ne olmaz" diye sonsuza kadar tutmak da risk. Doğru yaklaşım, her kayıt türü için bir saklama süresi belirleyip bunu yazılı politikanıza geçirmek. Hangi belgeyi neden, ne kadar tuttuğunuzu kendiniz bilmiyorsanız, bir denetimde de açıklayamazsınız.

Sürenin dolması da kendiliğinden bir şey değil; bir eylem gerektirir. KVKK bu noktada "imha" der ve bununla verinin geri döndürülemez biçimde yok edilmesini ya da hiç kimsenin erişemeyeceği hâle getirilmesini kasteder. Kâğıt dosyayı çöpe atmak değil; okunamaz hâle getirip imha etmek. Dijital kaydı geri dönüşüm kutusuna taşımak değil; kalıcı olarak silmek. Saklama sürelerinin kesin rakamlarında tereddüt ederseniz, kendi meslek alanınıza dair güncel mevzuatı bir hukukçuyla teyit edin; süreler hizmetin niteliğine göre değişebiliyor.

KVKK sadece "rıza al" demiyor; aldığınız veriyi "güvenli tut" da diyor. Güvenli saklama çoğu kişinin sandığından daha somut bir şey. Seans notlarınız düz metin hâlinde, herhangi birinin açıp okuyabileceği bir dosyada duruyorsa, kapıyı kilitlemeden değerli evrakı masada bırakmış gibisiniz. Asıl mesele veriyi şifreli tutmak: dosya çalınsa ya da yanlış ellere geçse bile içeriğin okunamaması.

Pratikte en yaygın üç riskli alışkanlık şunlar. Birincisi, notları Excel dosyasında tutmak; kolay görünür ama dosya korumasız, kopyalanması ve dağılması çok basittir. İkincisi, masaüstündeki bir klasör; bilgisayar çalınırsa ya da onarıma gönderilirse tüm danışan geçmişi onunla gider. Üçüncüsü ve en sinsisi, mesajlaşma uygulamaları üzerinden danışan bilgisi alıp orada bırakmak; o yazışmalar telefonun yedeğinde, başka cihazlarda, kontrolünüz dışında bir sürü yerde durur. Bunların hiçbiri "güvenli saklama" tanımına uymaz.

Doğru kurulumda danışan verisi, erişimin sınırlı ve verinin şifreli tutulduğu bir yerde durur. Uzman Takvimi'nde danışan notları ve ön değerlendirme cevapları güçlü şifreleme ile saklanır; yani veri, sıradan bir metin dosyası gibi açılıp okunamaz, yetkisiz biri dosyaya ulaşsa bile içeriği çözemez. Önemli olan markanın adı değil, ilkenin kendisi: hassas veri, güçlü şifreleme ve sınırlı erişimle korunan bir ortamda tutulmalı. Hangi aracı seçerseniz seçin, bu ilkeyi karşılayıp karşılamadığını sorun.

Uyum, görünmez bir şey değil; somut belgelerle kanıtlanır. Bir denetimde ya da bir danışanın "verim ne oluyor" sorusunda, elinizdeki kâğıtlar konuşur. Bir psikoloğun en azından şu belgeleri hazır tutması beklenir: bir aydınlatma metni, bir açık rıza metni, bir veri saklama ve imha politikası, bir de bilgi güvenliğine dair temel önlemlerinizi anlatan bir yaklaşım. Bunlar birbirini tamamlar; biri eksikse tablo eksik kalır.

VERBİS, yani Veri Sorumluları Sicili, ayrı bir başlık. Kişisel veri işleyen veri sorumlularının belli koşullarda kaydolması gereken resmî bir sicil bu. Her psikoloğun mutlaka kaydolması gerekip gerekmediği; çalışan sayısı, yıllık ciro ve işlediğiniz verinin niteliği gibi ölçütlere bağlı. Özel nitelikli sağlık verisi işliyor olmanız bu değerlendirmede önemli bir faktör. Kayıt yükümlülüğünüzü, kendi durumunuzun rakamlarıyla birlikte KVKK Kurumu'nun güncel açıklamalarından ya da bir hukukçudan teyit etmeniz en doğrusu; çünkü eşikler dönem dönem güncelleniyor.

İki belge sık karıştırılıyor, ayrımı netleştirelim. Aydınlatma metni, danışanı bilgilendirmek içindir: kim olarak hangi veriyi neden işlediğinizi, ne kadar sakladığınızı, danışanın haklarını anlatır. Tek taraflıdır; danışanın imzasını gerektirmez, onu yalnızca haberdar eder. Açık rıza metni ise danışanın "evet, sağlık verimin bu şekilde işlenmesini kabul ediyorum" dediği onaydır. Biri bilgilendirir, diğeri izin alır. İkisi farklı işler görür ve ikisi de masanızda bulunmalı.

29 Mart 2025 tarihli ve 32856 sayılı Resmî Gazete'de yayımlanan Sağlık Meslek Mensuplarının Serbest Meslek İcrası Hakkında Yönetmelik, sağlık meslek mensuplarının serbest çalışmasına dair kayıt ve belgelendirme beklentilerini netleştirdi. Ruhsatlandırma ve kayıt rejimi belirginleştikçe, "hizmeti verdim, biten bir şey" anlayışı yerini "verdiğim hizmetin düzgün bir kaydını da tutuyorum" anlayışına bırakıyor. Yani randevudan yapılan görüşmeye kadar süreç, daha derli toplu ve izlenebilir kayıtlar gerektiriyor.

Bu, KVKK'dan ayrı bir dünya değil; tam tersine ikisi üst üste biniyor. Bir yandan mevzuat "kaydını tut, arşivle" diyor; diğer yandan KVKK "ama bu kaydı güvenli ve rızaya dayalı tut" diyor. Sonuç, pratisyenin omzunda iki yönlü bir yük: hem eksiksiz kayıt hem de o kaydın korunması. Burada özellikle rızanın tarihi önem kazanıyor; çünkü kaydı izlenebilir tutmak, o kaydın hangi onaya dayandığını da gösterebilmek demek. Kâğıt defter ve dağınık dosyalarla bu ikisini aynı anda sağlamak giderek zorlaşıyor. Kendi ruhsat ve kayıt yükümlülüğünüzün ayrıntısını ilgili mevzuat ve bir hukukçu üzerinden netleştirmeniz en sağlıklısı; çünkü düzenlemenin ayrıntıları sonradan revize edilebiliyor.

Bir psikoloğun KVKK uyumu için bugün masasına oturup tek tek tamamlayabileceği adımlar şunlar. Her madde "yapıldı" diyene kadar açık kalan bir görev; hepsi tamamlandığında uyumun operasyonel iskeleti yerinde demektir. Hukuki kesinlik gereken yerlerde yine bir uzmana danışmayı unutmayın.

Listedeki maddelerin çoğu, dağınık araçlarla yapıldığında birbirinden kopuk işlere dönüşür: rıza bir kâğıtta, notlar bir dosyada, randevular bir takvimde, arşiv bir başka yerde. Bu parçaları en baştan birbirine bağlı tek bir akış olarak kurmak, hem aralarındaki boşlukların ürettiği riski kapatır hem de denetim anında parçaları toplama derdini ortadan kaldırır. Uzman Takvimi de bu akışı bir arada sunan araçlardan biri: zaman damgalı rıza, ön değerlendirme formları, şifreli danışan notları ve randevu kaydı tek yerde durur. Niyetimiz size hukuki güvence vermek ya da bir hasta kayıt sistemi olmak değil; tıbbi kayıt, reçete ya da klinik dosya tutmayız. Yaptığımız şey, randevu ve hafif danışan yönetimini KVKK'ya duyarlı bir biçimde kolaylaştırmak. Hangi yolu seçerseniz seçin, danışan verinizi ilk günden düzgün kurmak, sonradan dağınıklığı toplamaktan her zaman daha kolaydır.