DEVA Partisi Hukuk ve Adalet Politikaları Başkanı Mustafa Yeneroğlu, HES kodlarına ilişkin verilerin imha edilip edilmediğini sordu.
Yeneroğlu, Sağlık Bakanı Fahrettin Koca’nın yanıtlaması istemiyle hazırladığı soru önergesini TBMM’ye sundu. Yeneroğlu önergesinde “Yaklaşık 2 yıldan beri vatandaşlarımız tarafından kurum ve kuruluş girişlerinde kullanılan toplu ulaşım araçları başta olmak üzere sinema, tiyatro vb. tüm bilet alma işlemlerinde temel şart olan ve kullanım süresi dolduğunda yeniden oluşturulması gereken HES Kodu uygulaması sonlandırılmıştır. Sağlık Bakanlığı’nın hayatevesigar.saglik.gov.tr adlı web sitesindeki bildirimde HES kodunun sadece toplu taşıma araçları, toplu kullanım alanları gibi yerlerde geçirilecek süre boyunca bulaş riskini azaltmak amacına hizmet ettiği belirtilse de vatandaşlarımızın HES Kodu üzerinden oluşan dolaşım, seyahat bilgileri, hasta geçmişi vb. kişisel verilerin nasıl korunduğu, ne süreyle ve nasıl kayıtlı tutulduğu gibi tedbirler açıklanmamıştır” ifadelerine yer verdi.
Yeneroğlu, Bakan Koca’nın yanıtlaması istemiyle şu soruları yöneltti:
1. Bugüne kadar kullanılan süreli HES Kodları ve alakalı veriler vatandaşlarımızın belirlediği süre sonunda imha edilmiş midir? Edilmişse süresiz olarak oluşturulan HES Kodları ve alakalı veriler için nasıl bir imha prosedürü vardır?
2. Bugüne kadarki HES Kodları ve alakalı veriler nerede tutulmuş ve varsa yedekleri nerede depolanmıştır? Veriler değiştirilemeyecek şekilde imzalanarak mı saklanmıştır? Varsa imha edilen veriler tekrar kullanılmayacak biçimde mi imha edilmiştir?
3. Depolanmış verilerin güvenliği, yetkisiz girişlerin kontrolü ve denetimi nasıl sağlanmıştır? Sızma Testleri ile risk ve tehdit prosedürleri uygulanmış mıdır? Verilere erişim için yetki matrisi bulunmakta mıdır?
4. Veriler herhangi bir gerçek/tüzel kişi ile veya özel veya kamu kurumu ile paylaşılmış mıdır? Paylaşıldıysa ilgili kişi veya kurumlar kendi sistemlerinde bu verileri tutmaya devam etmekte midir? Onların veri yönetim sistemleri ile imha prosedürlerine denetim uygulanmış mıdır?
5. Verilere erişim kaydı var mıdır? Erişim kontrol sistemi, izleme sistemi, ağ güvenlik sistemleri gibi yazılımsal sistemler ile fiziksel koruma sistemleri uygulanmış mıdır?
6. Verilerin saklandığı sistemler için düzenli olarak güvenlik testleri yapılmakta mıdır? Hangi periyotlarla hangi gerçek veya tüzel kişilerce yapılmıştır?
7. HES uygulamasının geliştirilmesi için herhangi bir firma ile çalışma yapılmış mıdır? Yapıldı ise firmalardaki kişilerin sistemlere erişimleri kayıt altına alınmış mıdır?
