PsikoterapiÖlçekleri
GirişÜcretsiz başla →
Hukuk & Etik

KVKK ve Klinik Veri Güvenliği — Terapistler için Rehber

Psikoterapi Ölçekleri Ekibi10 dk okuma

Danışanınızın seans notlarını, ölçek sonuçlarını ve klinik formlarını dijitalde sakladığınızda, bir hukuki çerçevenin içine adım atmış olursunuz: Kişisel Verilerin Korunması Kanunu (KVKK). Bu çerçeveyi tanımak bir bürokrasi yükü olarak değil, danışanın temel haklarını güvence altına almanın etik gereği olarak ele almak gerekir. Hukuki yükümlülük ve terapötik etik bu noktada örtüşür: danışanın "bilgilerim güvende" demesini sağlamak, güvenli bir terapötik alan kurmanın da parçasıdır.

KVKK Nedir ve Terapistleri Neden İlgilendirir?

6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girdi. Kanun, gerçek kişilere ait kişisel verilerin toplanması, saklanması, işlenmesi ve paylaşılmasına ilişkin kuralları belirler ve Avrupa Birliği'nin GDPR düzenlemesiyle büyük ölçüde uyumlu bir yapı sunar.

Sağlık ve psikolojik duruma ait veriler, kanunun 6. maddesinde "özel nitelikli kişisel veri" olarak tanımlanmaktadır. Bu kategori, kişinin mahremiyetini en derinden etkileyebilecek veriler olduğundan standart verilere kıyasla daha katı güvenceler gerektirir. Terapist olarak tuttuğunuz notlar, uyguladığınız ölçekler, danışanın adı ve iletişim bilgileri, hatta danışana gönderilen form bağlantısı dahi kişisel veri kapsamındadır. Psikometrik test sonuçları ve tanısal izlenimler ise özel nitelikli veri sınıfına girer.

KVKK'nın "veri sorumlusu" kavramı, psikoterapi bağlamında bireysel klinisyeni ya da kurumu kapsar. Kişisel bir muayenehane işleten terapist, kendi veri sorumlusudur; kurumsal bir klinisyen ise kurumun veri işleme politikalarına tabidir.

Temel KVKK Prensipleri: Pratik Özet

Kanun, veri işlemede altı temel ilke öngörür. Bu ilkelerin psikoterapi pratiğine yansıması şöyledir:

  • Hukuka ve dürüstlüğe uygunluk: Danışandan bilgi toplamak için meşru bir dayanağınız olmalıdır. Tedavi ilişkisi bu dayanağın başında gelir; ancak ek işlemler (araştırma, eğitim materyali üretimi) için ayrı hukuki dayanak ya da açık rıza gerekir.
  • Doğruluk ve güncellik: Danışan verileri güncel tutulmalıdır. Hatalı ya da değişmiş veriler düzeltilmelidir. Danışanın iletişim bilgilerini, acil durum kişilerini güncel tutmak bu ilkenin pratik yansımasıdır.
  • Belirli, açık ve meşru amaçlarla işleme: Ölçek sonuçları "tedaviyi yönetmek" amacıyla toplandıysa, bu verinin pazarlama veya üçüncü taraf araştırması için kullanımı açık rıza olmadan hukuka aykırıdır. Amaç sınırı, veri işlemenin en sık ihlal edilen ilkesidir.
  • Amaçla bağlantılı, sınırlı ve ölçülü olma: Yalnızca gerçekten ihtiyaç duyduğunuz verileri toplayın. Tüm yaşam öyküsünü ilk seansta kapsayan kapsamlı formlar, gerekli olmayan alanlarda veri topluyor olabilir; formlarınızı bu açıdan gözden geçirin.
  • Öngörülen ya da gerektirilen süre kadar saklama: Saklama süresi dolduğunda veriyi güvenli biçimde imha etme yükümlülüğü doğar. "Silmeyi unuttum" geçerli bir savunma değildir.
  • İlgili kişinin haklarına saygı: Danışanın verilerine erişme, düzeltme, silme ve işlemeye itiraz etme hakları vardır. Bu hakları kullanabilmesi için size başvuru kanalı sağlamanız gerekir.
KVKK uyumu, yıllık bir denetim hazırlığı değil; her yeni danışanla başlayan sürekli bir pratiktir. Aydınlatma metni imzalatmak, rıza almak ve veriyi güvenli saklamak bu pratiğin üç temel adımıdır.

Özel Nitelikli Veriler ve Sağlık Verisinin Önemi

Psikoterapi bağlamında işlenen veriler neredeyse tamamıyla özel nitelikli kategori kapsamındadır:

  • Ruhsal sağlık durumu ve tanı bilgisi
  • Psikolojik test ve ölçek sonuçları
  • Seans notları ve vaka formülasyonu
  • Cinsel yönelim ya da cinsiyet kimliğine ilişkin bilgiler
  • Aile üyelerine ilişkin danışanın paylaştığı bilgiler
  • İntihar girişimi ya da kendine zarar verme öyküsü

Özel nitelikli verilerin işlenmesi için KVKK şu koşulları öngörür: ilgili kişinin açık rızası veya sağlık ve cinsel hayata ilişkin veriler bakımından sır saklama yükümlülüğü altındaki kişiler tarafından kamu sağlığı ya da tıbbi tedavi amacıyla işleme.

Bu istisna, aktif tedavi ilişkisini kapsıyor olsa da en iyi uygulama açık rıza almayı sürdürmektir. Danışanın farkındalığı hem etik hem de terapötik ilişkiyi güçlendirir: "Bu bilgileri nasıl saklıyorsunuz?" sorusu güven inşası için bir fırsattır.

Aydınlatma Metni ve Açık Rıza

Her yeni danışanla terapi sürecine başlamadan önce iki belgenin imzalanması önerilir:

  • Aydınlatma metni: Hangi verilerin toplandığını, neden toplandığını, kimlerle paylaşılabileceğini (süpervizör, sigorta, yasal zorunluluk gibi istisnalar), saklama süresini ve danışanın haklarını açıklayan belge. Sade, anlaşılır bir dille yazılmalıdır; hukuki jargondan kaçınmak, gerçek anlamda bilgilendirme sağlar.
  • Açık rıza formu: Danışanın kendi verisinin işlenmesine özgür iradesiyle ve bilgilendirilmiş biçimde onay verdiğini gösteren ayrı belge. Aydınlatma metninin içine gömülmemeli; bağımsız ve tek amaca hizmet eden bir belge olmalıdır.

Rıza koşulları: özgür olmalı (baskı olmaksızın), belirli olmalı (her amaç için ayrı rıza), bilgilendirilmiş olmalı (ne için verildiği anlaşılmalı) ve geri alınabilir olmalı (danışan istediği zaman rızayı geri çekebilmelidir). Geri alınan rıza, geri alınmadan önce yapılan işlemlerin hukuka aykırılığına yol açmaz; ancak rızanın geri alındığı tarihten itibaren işlem durdurulmalıdır.

Dijital Saklama ve Güvenlik Önlemleri

Dijital ortamda sağlık verisini güvenle saklamak için asgari teknik ve idari önlemler şunlardır:

  • Şifreli iletişim (TLS): Platforma giriş ve form gönderme işlemleri TLS/SSL şifrelemesiyle korunmalıdır. "HTTPS" ile başlayan adresler bu şifrelemenin etkin olduğunu gösterir.
  • Güçlü parola ve çok faktörlü kimlik doğrulama: Tahmin edilmesi güç parolalar ve ikinci bir doğrulama katmanı (SMS kodu, uygulama). Klinisyen hesabına yetkisiz erişimi engellemek bireysel bir sorumluluktur.
  • Yetki sınırlaması: Yalnızca yetkili kişiler danışan verisine erişebilmelidir. Ekip kliniğinde her klinisyen yalnızca kendi danışanlarının verilerine erişebilmelidir.
  • Ekran kilidi ve otomatik oturum kapatma: Bilgisayarı ya da uygulamayı uzun süre kullanılmadan açık bırakmak, klinik veri güvenliği açısından ciddi bir risktir. Otomatik oturum kapatma ve ekran kilidi zorunlu bir önlemdir.
  • Güvenli silme: Silinen veriler, teknik olarak geri alınabilir bir biçimde silinmemelidir. Güvenli silme araçları ve prosedürleri belirlenmelidir.

Saklama Süreleri

Psikoterapi ve klinik psikoloji hizmetlerine ilişkin özel bir yasal saklama süresi belirlenmemiş olsa da şu genel çerçeve uygulanabilir:

  • Klinik kayıtlar için genel uygulama 10 yıldır. Bu süre, Türk Tabipleri Birliği etik kuralları ve genel tıp pratiği önerileri kapsamında belirlenmiştir; psikoloji ve psikoterapi pratikleri için de benzer bir çerçeve kabul görmektedir.
  • 18 yaş altı danışanlar söz konusuysa, reşit olma tarihinden (18. yaş günü) itibaren 10 yıl esas alınabilir. Bu durumda kayıtlar 28. yaşa kadar saklanmış olur.
  • Saklama süresinin sona ermesiyle birlikte veriler güvenli biçimde imha edilmelidir; bu, fiziksel kağıtlar için güvenli imha (parçalama) ve dijital veriler için güvenli silme anlamına gelir.
  • Hukuki bir ihtilaf ya da şikayet süreci devam ediyorsa, ilgili veriler süreç tamamlanana kadar saklanmalıdır.
Sağlık verisi saklamak bir yük değil, danışana verilen sözü tutmaktır. "Bilgileriniz güvende" demek, bunu teknik ve idari önlemlerle desteklemek anlamına gelir.

Danışanın Hakları: Pratik Senaryolar

KVKK, danışana çeşitli haklar tanır. Klinisyen bu hakları kullanmak isteyen danışana nasıl yanıt vermeli?

  • Erişim hakkı: Danışan, hakkında hangi verilerin tutulduğunu öğrenmek isteyebilir. Bu talebe yanıt vermek zorunludur; genellikle 30 gün içinde yanıt beklenir.
  • Düzeltme hakkı: Hatalı bilgi varsa (yanlış yazılmış ad, hatalı tarih) danışan düzeltme talep edebilir. Bu talep karşılanmalıdır.
  • Silme hakkı: Danışan, verilerinin silinmesini talep edebilir. Ancak yasal saklama yükümlülüğü devam ediyorsa bu hak kısıtlanabilir. Bu durumu danışana açıklamak gerekir.
  • İtiraz hakkı: Danışan, verilerinin belirli amaçlarla işlenmesine itiraz edebilir. İtirazın değerlendirilmesi ve yanıtlanması zorunludur.

Veri İhlali Durumunda Ne Yapılmalı?

Veri ihlali, kişisel verilerin yetkisiz kişilerce elde edilmesi, değiştirilmesi ya da imha edilmesidir. Hesap ele geçirilmesi, dizüstü bilgisayar çalınması ya da platform güvenlik açığı bu kapsamda değerlendirilebilir.

İhlal şüphesi durumunda izlenmesi gereken yol:

  • İhlali tespit ettiğinizde ve etkilenen verinin kişisel ya da özel nitelikli veri kapsadığından şüpheleniliyorsa, KVKK Kurumu'na bildirme yükümlülüğü 72 saat içinde değerlendirilmelidir.
  • Etkilenen danışanların ivedilikle bilgilendirilmesi.
  • İhlalin boyutunun ve niteliğinin belgelenmesi.
  • İhlale neden olan güvenlik açığının giderilmesi ve tekrarını önleyecek önlem alınması.

Sonuç

KVKK uyumu, terapistler için hem etik hem de hukuki bir zorunluluktur. Sağlık verilerinin özel niteliği, bu alanda standart prosedürlerin ötesinde bir dikkat gerektirmektedir. Aydınlatma metni, açık rıza, güvenli dijital saklama ve uygun saklama süresi — bunlar yük değil, güven inşasının temel taşlarıdır. Danışan, klinisyenin bu yükümlülüklere dikkat ettiğini bildiğinde terapötik alana çok daha güvenle adım atar.

Dijital ortama geçişin pratik adımları için terapist için dijital klinik çalışma rehberimizi ve danışana form gönderme sürecini ele aldığımız form paylaşım yazımızı incelemenizi öneririz.

Devamını okuyun

İlgili yazılar

Dijital Pratik

Terapist için Dijital Klinik Çalışma

Kağıt dosyalar, elle puanlama ve kayıp belgeler — bu süreçlerin dijital karşılığına geçmek düşündüğünüzden daha az karmaşıktır. Terapistler için adım adım dijital klinik çalışma rehberi.

20 Nisan 2026Oku →

Platformu deneyin

Sizin de defteriniz olsun.

100'den fazla klinik ölçek, otomatik puanlama ve grafik raporlar. Danışanınıza tek bağlantıyla gönderin; siz yoruma odaklanın.

Ücretsiz hesap oluşturTüm yazıları gör