Fizyoterapide KVKK: Hasta Verisi ve Açık Rıza Rehberi
Hasta kayıtları KVKK'nın en sıkı koruduğu veri sınıfındadır — doğru açık rıza metni ve ihlal planı olmadan bir muayenehane ciddi idari yaptırım riskiyle karşılaşabilir.
Fizyoterapistler neden özel hukuki risk altındadır?
Bir muhasebecinin ya da avukatın tuttuğu kayıtlarla kıyaslandığında, fizyoterapistin dosyası çok daha hassas bir katmanda durur: ağrı lokasyonları, travma öyküleri, nörolojik bulgular, psikososyal notlar, zaman zaman da cinsel işlev bozukluğuna ilişkin değerlendirmeler. Bunlar, KVKK kapsamında sıradan kişisel veri değil, 'özel nitelikli kişisel veri'dir.
Özel nitelikli verinin işlenmesine yönelik ihlaller, Kişisel Verileri Koruma Kurulu tarafından 15.000 TL ile 1.000.000 TL arasında idari para cezasına konu edilebilir. Bireysel pratikte bu tür bir cezanın gelmesinin en yaygın yolu; yetersiz rıza formları, kilitlenmemiş dijital arşivler ve çalışan ayrılışında iptal edilmeyen erişim yetkileridir.
Bu yazı, serbest çalışan fizyoterapistlerin günlük akışına kolayca entegre edebileceği beş uyum adımını ele alıyor. Hukuki danışmanlık yerine geçmez; ancak başlangıç noktasını netleştirir.
Yasal çerçeve: KVKK m.6 ve sağlık verisinin özel statüsü
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesi (Resmî Gazete, 7 Nisan 2016, Sayı 29677), ırk, etnik köken, siyasi düşünce, dini inanç, sağlık, cinsel hayat, biyometrik ve genetik verileri 'özel nitelikli kişisel veri' olarak tanımlar. Bu liste sınırlı sayıdadır ve sağlık verisi en geniş yorumlanan kategoridir.
Söz konusu madde iki temel yükümlülük getirir: (1) İlgili kişinin açık rızası olmadan özel nitelikli veri işlenemez. Sağlık verisi için tek istisnai hâl, sır saklama yükümlülüğü altındaki sağlık profesyonelleri tarafından koruyucu hekimlik, tıbbi teşhis veya tedavi amacıyla işlenmesidir; bu durumda açık rıza aranmayabilir. (2) Açık rızaya dayalı işleme dahil olmak üzere her durumda, Kurul'ca belirlenen yeterli önlemlerin alınması zorunludur.
Kurul'un 31/01/2018 tarihli ve 2018/10 sayılı kararı, bu yeterli önlemleri somutlaştırmıştır: özel nitelikli veriye erişimi olan personelin düzenli KVKK eğitimi alması, erişim yetkilerinin kapsam ve süre bazında tanımlanması, fiziksel arşivlerin yangın, su baskını ve yetkisiz erişime karşı korunması, elektronik ortamdaki aktarımlarda şifreleme veya KEP/VPN kullanılması.
Fizyoterapi hasta kayıtları — anamnez formları, tedavi planları, ilerleme notları ve görüntüleme raporları dahil — bu madde kapsamındaki sağlık verisi niteliğindedir. Bu verileri elektronik ya da kâğıt ortamında tutan her fizyoterapist, KVKK m.6 ve 2018/10 sayılı Kurul kararı çerçevesinde veri sorumlusu konumundadır.
Açık rıza metninin beş zorunlu unsuru
Genel tedavi onam formu ile KVKK açık rıza beyanı farklı belgelerdir. Kurul'un kararlarına göre geçerli bir açık rıza şu beş unsuru taşımalıdır:
- Belirlilik: Hangi veri kategorisinin, hangi amaçla, hangi süreyle işleneceği açıkça yazılmalıdır — 'kişisel verileriniz saklanabilir' ifadesi yeterli değildir.
- Bilgilendirilmiş olma: Hastanın veriyi kimin işleyeceğini, hangi üçüncü taraflarla (örn. fizyoterapi yazılımı, laboratuvar) paylaşılabileceğini bilmesi gerekir.
- Özgür irade: Rıza vermek, hizmet almak için ön koşul yapılamaz — Kurul 2023/692 sayılı kararında bunu açıkça vurgulamıştır.
- Geri çekilebilirlik: Hasta, rızasını istediği zaman geri çekebileceği konusunda önceden bilgilendirilmelidir; geri çekilme mekanizması pratikte işletilmelidir.
- Ayrı rıza: AI tabanlı araçlar, sesli transkripsiyon ya da üçüncü taraf bulut depolama gibi özel işleme faaliyetleri için ayrı ve bağımsız rıza alınmalıdır.
VERBİS kaydı: kimler yükümlü, kimler muaf?
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), KVKK'ya göre veri sorumlularının işleme faaliyetlerini kayıt altına aldığı kamuya açık bir sicildir.
Kişisel Verileri Koruma Kurulu'nun 04.09.2025 tarihli ve 2025/1572 sayılı kararıyla, ana faaliyet konusu özel nitelikli kişisel veri işlemek olan veri sorumluları için istisna kriteri yeniden düzenlenmiştir. Buna göre; 10'dan az çalışanı VE yıllık mali bilanço toplamı 10 milyon TL'nin altında olan bireysel fizyoterapistler VERBİS kaydı yükümlülüğünden muaf tutulabilmektedir. Her iki eşik aynı anda sağlanmalıdır.
Ancak VERBİS muafiyeti KVKK'nın diğer yükümlülüklerini ortadan kaldırmaz: aydınlatma yükümlülüğü, güvenlik tedbirleri, ilgili kişi başvurularına yanıt ve ihlal bildirimi muafiyet kapsamı dışında kalır. Muafiyet eşiğini aşan ya da çalışan istihdam eden fizyoterapistlerin VERBİS kaydını tamamlaması gerekir.
Veri saklama, silme ve hasta hakları
KVKK, veriyi sınırsız süre saklamaya izin vermez. Saklama süresi, işleme amacını aştığı anda verinin silinmesi, yok edilmesi ya da anonim hâle getirilmesi zorunludur. Fizyoterapistler için pratik çerçeve şöyledir:
- Hasta kayıtları için özel mevzuatta (Hasta Hakları Yönetmeliği vb.) belirlenen saklama süreleri KVKK saklama ilkesiyle birlikte uygulanır; iki çerçeveden daha uzun olanı geçerlidir.
- Saklama süresi dolduğunda ya da hasta silme talebinde bulunduğunda, yedekler dahil tüm kopyalar silinmelidir — elektronik arşiv yazılımı bu akışı desteklemiyorsa uyum riski oluşur.
- Hastanın veriye erişim, düzeltme, kısıtlama ve itiraz hakları için 30 gün içinde yanıt zorunludur; yanıtlanamıyorsa gerekçesiyle birlikte bu süre uzatılabilir.
- Çocuk hastalar için velinin rızası alınmalı, tedavi notları velayet değişikliği gibi durumları göz önünde tutarak ayrıca muhafaza edilmelidir.
72 saatlik ihlal bildirimi: pratikte ne yaparsınız?
KVKK'nın 12/5. maddesi, işlenen verilerin hukuka aykırı biçimde üçüncü kişilerce elde edilmesi durumunda veri sorumlusunun 'en kısa sürede' KVKK'ya bildirim yapmasını öngörür. Kurul'un 24/01/2019 tarihli ve 2019/10 sayılı kararı bu süreyi 72 saat olarak somutlaştırmıştır.
Bir muayenehane için olası ihlal senaryoları şunlardır: hasta dosyası içeren dizüstü bilgisayarın çalınması, kullanıcı adı ve parolaların yetkisiz kişiyle paylaşılması, yanlış kişiye gönderilen e-posta eki, güvenlik yamalarının gecikmesinden kaynaklanan sızma.
72 saatlik bildirim planı üç adımda kurulabilir: (1) İhlali fark eden herkesin (asistan dahil) kime bildireceğini yazılı prosedürle belirleyin. (2) KVKK'nın veri ihlali bildirim portalı üzerinden zorunlu alanları dolduracak hazır bir şablon oluşturun. (3) İhlalden etkilenen hastaları da bilgilendirin — kanun bunu 'makul sürede' gerektirir ve Kurul bu yükümlülüğü giderek daha sıkı denetlemektedir.
72 saati haklı bir gerekçe olmaksızın aşmak, ihlal bildirmeme yükümlülüğünün ayrıca ihlali sayılır ve idari para cezasını ağırlaştırır.
Uyum kontrol listesi: muayenehane için beş somut adım
Aşağıdaki adımlar hukuki danışmanlık yerine geçmez; ancak denetim başlamadan önce en sık sorulan soruları kapatmak için pratik bir başlangıç noktasıdır.
- Rıza formlarını gözden geçirin: Genel onam formunuzda KVKK m.6 uyumlu açık rıza beyanı ayrı ve imzalanabilir bir bölüm olarak yer alıyor mu?
- Erişim denetimi yapın: Yazılım ve dijital arşivlere kimin, hangi yetki düzeyinde eriştiğini listeleyin; ayrılan personelin erişimini derhal iptal edin.
- Şifreleme ve yedek güvenliği: Hasta dosyaları içeren cihaz veya klasörler şifrelendi mi? Yedekler aynı cihazda mı tutuluyor?
- Saklama ve imha takvimi: Hangi verinin kaç yıl saklandığını ve imha sürecinin nasıl işlediğini bir belgede tanımlayın.
- İhlal senaryosu tatbikatı: Altı ayda bir, ekibinizle varsayımsal bir ihlal senaryosunu 72 saatlik bildirim planıyla birlikte masaüstü tatbikatı olarak gözden geçirin.
Dijital randevu ve kayıt sistemleri: neye dikkat edilmeli?
Hasta randevularını ve seans notlarını dijital platformlarda tutan fizyoterapistler, platform sağlayıcısıyla bir veri işleme sözleşmesi (DPA) imzalamak zorundadır. Bu sözleşme olmadan, üçüncü taraf bir yazılımın hasta verilerini işlemesi KVKK'ya aykırıdır.
Uzman Takvimi, randevu ve danışan kaydı akışlarında veri işleme sözleşmesi, aydınlatma metni ve güvenlik politikasını tek bir güven çerçevesinde sunar; ayrıntılar /guven sayfasında yer alır.
Sık sorulan sorular
Fizyoterapi hasta kayıtları KVKK kapsamında özel nitelikli veri midir?
Evet. 6698 sayılı KVKK'nın 6. maddesi sağlık verisini özel nitelikli kişisel veri olarak tanımlar. Fizyoterapi anamnez formları, tedavi planları ve ilerleme notları bu kapsama girer; işlenmeleri için hastanın açık rızası ya da kanuni istisna gereklidir.
Genel tedavi onam formu KVKK için yeterli midir?
Hayır. KVKK açık rızası; belirli, bilgilendirilmiş ve geri çekilebilir olmalıdır. Genel 'kişisel verilerimi paylaşıyorum' ibaresi Kurul kararlarında yeterli bulunmamıştır. Rıza formu hangi verinin, hangi amaçla, ne kadar süre saklanacağını açıkça belirtmelidir.
Bireysel fizyoterapist VERBİS'e kayıt olmak zorunda mıdır?
Kurul'un 2025/1572 sayılı kararına göre, 10'dan az çalışanı ve yıllık mali bilançosu 10 milyon TL'nin altında olan bireysel fizyoterapistler VERBİS kaydından muaf tutulabilir. Ancak muafiyet diğer KVKK yükümlülüklerini kaldırmaz; aydınlatma, güvenlik ve ihlal bildirimi yine geçerlidir.
Veri ihlalini kaç saat içinde bildirmek gerekiyor?
KVKK m.12/5 ve Kurul'un 2019/10 sayılı kararına göre ihlali öğrendiğiniz andan itibaren 72 saat içinde KVKK'ya bildirim zorunludur. Etkilenen hastaların da makul sürede bilgilendirilmesi gerekir.
Hasta silme talebinde hasta dosyası tamamen silinmeli mi?
Saklama amacı ortadan kalktığında ya da hasta silme talebinde bulunduğunda veri silinmeli, yok edilmeli ya da anonim hâle getirilmelidir. Ancak sağlık mevzuatındaki asgari saklama yükümlülükleri KVKK ile birlikte uygulanır; iki çerçeveden daha uzun olanı geçerlidir.
Dijital randevu yazılımı kullanmak KVKK'ya aykırı mı?
Hayır, aykırı değil — ancak yazılım sağlayıcısıyla KVKK kapsamında bir veri işleme sözleşmesi imzalanması zorunludur. Bu sözleşme olmadan üçüncü taraf bir platformun hasta verilerini işlemesi hukuka aykırıdır.
KVKK uyumlu bir pratiğin altyapısı hazır
Veri işleme sözleşmesi, aydınlatma akışı ve güvenlik politikasını kendiniz sıfırdan oluşturmak yerine, tüm bunlar yerleşik bir sistemle çalışmaya başlayın.
Güven sayfasını incele