Bilgi güvenliği; bilginin doğru şekilde elde edilmesi, kaydedilmesi, iletilmesi ve arşivlenmesi ile bilgiyi izinsiz erişim, kullanım, ifşa edilme, yok edilme, değişti-rilme veya hasar görme risklerinden koruma işlemidir. Bilgi güvenliği, bilginin bütün aşamalarında sağlanmalıdır.
Güvenlik açıklıklarının çoğu kullanıcı hatalarından kaynaklanmakta, bilinçli ya da bilinçsiz olarak yapılan yanlışlar bilgi kaybına neden olmaktadır.
Bilgi mahremiyeti ise bilgi güvenliğinin önemli sorumluluklarından biridir.
Aynı zamanda insan hakları konularından biri olarak evrensel bir öneme sa-hiptir.
Laboratuvar bilgisi, teşhis ve tedavi kararının oluşması için kritik bilgiler ara-sında yer alır. Bu çerçevede laboratuvar bilgisinin güvenliği, hasta güvenliği açısından da değerlidir.
Aşağıda laboratuvar bilgisinin doğru şekilde oluşturulması konusunda bazı kritik basamaklar belirtilmiştir:
• Doğru hasta bilgisi ile kayıt
• Numunenin doğru kimliklendirilmesi
• Numunenin alınma ve transferi ile ilgili zaman bilgisinin doğru kayıt edilmesi
• Analiz sonucunun doğruluğu
• Üretilen sonucun bilgi sistemine doğru şekilde aktarılması
• Sonucun doğru zamanda doğru kişiye (ilgili hekim, hasta, hasta yakını) ulaşması
• Sonuçların yetkilendirilmiş kişiler dışında ulaşılamaz olması
Hasta ile ilgili edinilen kişisel ve tıbbi bilgilerin, yazılı veya elektronik ortamda gizliliği ve güvenliği esastır. Bu kayıtlara erişim yetkilendirme suretiyle sınır-landırılmalı, dış kaynaklardan erişim kontrol altında tutulmalıdır.
Yetkilendirme kapsamında kullanıcıların hangi bilgiye, ne zaman ve nasıl ula-şabileceği tanımlanmalı, yetkisiz erişime yönelik tedbirler alınmalıdır. Labora-tuvarda bilgi yönetim sistemlerine bağlı bilgisayarlar yetkisiz erişimlerin takibi açısından izlenmelidir.
Sağlıkta Kalite ve Akreditasyon Daire Başkanlığı
94
Klinik Mikrobiyoloji Laboratuvarları Kalite Yönetimi Rehberi
Arıza veya yetkisiz erişim durumlarında veri kayıplarının yaşanmaması amacı ile elektronik veriler düzenli olarak yedeklenmeli, bu tür durumlara sebebiyet verebilecek arızaları önlemek için cihazlar ve diğer veri kaynakları ile bilgi yö-netim sistemine ait donanımın düzenli bakımları yapılmalı, bilgisayarlar için virüs koruma programları sağlanmalıdır.
Fiziksel olarak saklanan tıbbi kayıtlar, ilgili mevzuat kuralları çerçevesinde, ka-yıtların zarar görmesini önleyecek muhafaza koşullarında saklanmalıdırlar. Bu tür kayıtlar için, gerekli fiziksel ve işlevsel tedbirler alınmalıdır.
Laboratuvarda kullanılan bilgi yönetim sisteminde, bilgi güvenliğinin sağlan-ması için alınsağlan-ması gereken tedbirler şu başlıklarda incelenebilir (Şekil 16):
» Engelleme » Yetkilendirme » Sınıflandırma » Gizleme
Hasta ile ilgili edinilen kişisel ve tıbbi bilgilerin, yazılı veya elektronik ortamda gizliliği ve güvenliği esastır. Bu kayıtlara erişim yetkilendirme suretiyle sınırlandırılmalı, dış kaynaklardan erişim kontrol altında tutulmalıdır.
Yetkilendirme kapsamında kullanıcıların hangi bilgiye, ne zaman ve nasıl ulaşabileceği tanımlanmalı, yetkisiz erişime yönelik tedbirler alınmalıdır. Laboratuvarda bilgi yönetim sistemlerine bağlı bilgisayarlar yetkisiz erişimlerin takibi açısından izlenmelidir.
Arıza veya yetkisiz erişim durumlarında veri kayıplarının yaşanmaması amacı ile elektronik veriler düzenli olarak yedeklenmeli, bu tür durumlara sebebiyet verebilecek arızaları önlemek için cihazlar ve diğer veri kaynakları ile bilgi yönetim sistemine ait donanımın düzenli bakımları yapılmalı, bilgisayarlar için virüs koruma programları sağlanmalıdır.
Fiziksel olarak saklanan tıbbi kayıtlar, ilgili mevzuat kuralları çerçevesinde, kayıtların zarar görmesini önleyecek muhafaza koşullarında saklanmalıdırlar. Bu tür kayıtlar için, gerekli fiziksel ve işlevsel tedbirler alınmalıdır.
Laboratuvarda kullanılan bilgi yönetim sisteminde, bilgi güvenliğinin sağlanması için alınması gereken tedbirler şu başlıklarda incelenebilir (Şekil 1):
Engelleme
Yetkilendirme
Sınıflandırma
Gizleme
Şekil 1. Bilgi Güvenliği için Alınması Gerekli Tedbirler
Engelleme: Test sonuçlarına sadece hastanın başvuru yaptığı hekimin ulaşması sağlanmalıdır. Bunun için, hekimlere sadece muayene kaydı açılan hastaların sonuçlarına ulaşma yetkisi verilmelidir.
Bilgi
Şekil 16. Bilgi Güvenliği için Alınması Gerekli Tedbirler Engelleme
Test sonuçlarına sadece hastanın başvuru yaptığı hekimin ulaşması sağlanmalı-dır. Bunun için, hekimlere sadece muayene kaydı açılan hastaların sonuçlarına ulaşma yetkisi verilmelidir.
Yetkilendirme
Yetkilendirmede amaç, her kullanıcıya bir sınır tanımlanması ve bu sınırı aşma-sının önüne geçilmesidir. Laboratuvar hizmetlerinin kayıtları ile ilgili
yetkilen-dirme yapılmalıdır. Bu yetkilenyetkilen-dirme mesleğe göre çeşitli seviyelerde ve branşa göre çeşitli bölümlerde olmalıdır.
Laboratuvarda çalışan teknisyen ve hekimlerin yetkilendirmesi de yapılmalıdır.
Örneğin laboratuvar çalışanlarına sadece işlem yaptıkları testlere ilişkin sonuç-ları görme, bu sonuçlar üzerinde işlem yapma yetkisi verilmelidir. Sonuçsonuç-ları onaylama yetkisi ilgili uzmana verilmeli, uzman şifresini ve yetkisini bir baş-kasıyla paylaşmamalıdır. Bu anlayışın tüm kurum çalışanlarınca benimsenmesi için çaba sarfedilmelidir. Kurumda bir kişinin bile, şifresini veya yetkisini bir başkası ile paylaşması, orada güvenlik zafiyeti varlığını göstermektedir. Kurum-da şifre politikası oluşturulmalıdır. Bu politika oluşturulurken, şifre kombinas-yonunda harf rakam bulunması, belirli periyotlarda değişiklik zorunluluğu gibi kurallar göz ardı edilmemelidir.
Laboratuvarda bulunan test cihazlarına veya BYS ile ilgili sunuculara uzaktan eri-şimlerle ilgili yetkilendirme yapılmalıdır. Bu cihazlara veya sunuculara kimlerin, hangi zaman aralığında, hangi metotlarla erişebileceği belirlenmeli ve güvenlik kuralı haline getirilmelidir. Bu kurallar oluşturulurken genel tanımlamalardan ka-çınılmalı mümkün olduğunca özele inilmelidir. Yani “xxx portundan gelen bütün istekler BYS sunucusuna gider” şeklinde bir tanımlama olmamalıdır. Daha özele inip “xxx IP adresinden ve xxx portundan gelen istek BYS sunucusuna gider” gibi belirlenmelidir. Birden fazla firmaya ait laboratuvar cihazlarının bulunduğu sis-temlerde her firma görevlisi sadece kendi cihazına erişebilmelidir.
Hizmete erişimin kolaylaştırılması amacı ile kurum ve kuruluşlar, hastanın, test sonuçlarına internet ortamında erişmesini sağlamaktadır. Ancak bu durum, hasta mahremiyetinin göz ardı edilmesi için bir gerekçe değildir. Hastalar so-nuçlarına erişirken mutlaka kimlik doğrulamasından geçirilmelidir. Kimlik doğ-rulaması yapılırken, sadece kimlik bilgileri değil yanında mutlaka barkod nu-marası, numune numarası veya dosya numarası gibi laboratuvarda oluşturulan bir tanımlayıcı anahtar da kullanılmalıdır. Ayrıca sonuçları gösterme esnasında çağrılan sayfaya, post data veya querystring gibi metodlar kullanıldığında, mut-laka rapor sayfasında kimlik kontrolü yapılmalıdır. Bir defa oturum açıldığında başka hastaların sonuçlarına erişme imkânı olmamalıdır.
Laboratuvar sorumluları tarafından, internet üzerinden paylaşılmaması gere-ken kritik öneme sahip test sonuçları (HIV, N. gonorrhoeae gibi) belirlenmeli ve bu testler için hasta bilgilendirmesinin nasıl yapılacağı tanımlanmalıdır.
Sınıflandırma
Sınıflandırma, her bölümün kendi branşıyla ilgili ulaşması gereken test sonuç-larının belirlenmesidir.
Sağlıkta Kalite ve Akreditasyon Daire Başkanlığı
96
Klinik Mikrobiyoloji Laboratuvarları Kalite Yönetimi Rehberi
Gizleme
Laboratuvar hizmet kayıtları yapıldıktan sonra alınan çıktılar (barkod, hasta so-nuç raporu vb.), bilgi güvenliği konusunda risk oluşturabilmektedir. Bu nedenle, hasta barkodlarının gereksiz kullanımından kaçınılmalıdır. Çalışanlar, barkodun hasta bilgilerine ulaşmak için bir kaynak olarak kullanılabileceği, dolayısı ile bu bilgilerin korunması gerektiği konusunda bilgi sahibi olmalıdır. Hasta sonuç raporu çıktılarının ve bu çıktılara erişimi sağlayan bilgilerin kimlere verilebile-ceği net olarak tanımlanmalıdır. Mümkünse kayıtlarda kullanılan kimlik belir-ten tanımlamaların başından ve sonundan birkaç karakter açık kalarak ortadaki karakterler gizlenerek baskı yapılmalıdır.
Veritabanına yapılan kimlik bilgisi kayıtları kriptolu olarak kaydedilmelidir.