Klinik IT Altyapısı: Randevu, Hasta Verisi ve KVKK Uyumlu Yedekleme

Özet: Klinik ve muayenehanelerde IT altyapısı; doktor takviminin merkezi yönetimi, hasta verisinin KVKK kapsamında şifrelenmiş depolanması, telefonda tutulan randevu defterinin dijitalleştirilmesi ve günlük yedeklemenin sağlık verisi hassasiyetine uyarlanmasından oluşur. Doğru kurulmuş bir klinik IT altyapısı çakışan randevuları sıfıra indirir, hasta dosyasına 5 saniyede erişimi sağlar ve KVKK denetiminde 72 saatlik bildirim süresine hazırlıklı olmayı garantiler.

Bir poliklinikte iki hasta aynı saate randevu almıştır. Doktorun takvimi telefonunda, sekreterin defteri masada, online randevu modülü internet sitesinde — üçü de aynı saati boş gösterdiği için hasta da, sekreter de, doktor da çakışmadan habersizdir. Bu klasik senaryo Türkiye'de her gün yüzlerce klinikte yaşanıyor.

Bu yazıda klinik sahipleri, klinik müdürleri ve poliklinik IT sorumluları için sağlık sektörüne özel IT altyapısı kurulumunu ele alıyoruz. Hedef ölçeğimiz tek doktorlu muayenehaneden 20 doktora kadar çıkan polikliniklere uygun.

Klinik IT'nin Üç Temel Bileşeni

Sağlık sektöründe IT, üç ana bileşenin uyumlu çalışmasıyla anlam kazanır. Tek başına hiçbiri çözüm değil; üçü birlikte klinik operasyonunu modernleştirir.

1. Randevu ve Takvim Yönetimi

Doktor takvimi, hasta gelişi, oda atanması, muayene süresinin tahmini. Klinik operasyonunun merkezi.

2. Hasta Dosyası ve Veri Yönetimi

Demografik bilgi, anamnez, tetkik sonuçları, görüntüleme, reçete, ödeme. KVKK kapsamında özel nitelikli kişisel veri kategorisinde, en yüksek koruma seviyesini gerektirir.

3. Altyapı ve Güvenlik

Ağ, sunucu/bulut, yedekleme, endpoint koruması, KVKK teknik tedbirleri. Operasyonel güvenliğin tabanı.

Bu üç bileşen birbirine bağımlıdır: doğru yedeklenmeyen randevu sistemi tek bir disk hatasında haftalık iş kaybına; şifrelenmemiş hasta dosyası tek bir laptop kaybında milyon TL'lik KVKK cezasına yol açar.

Randevu Yönetimi: Telefon Defterinden Merkezi Sisteme

Çoğu klinikte randevu defteri hâlâ kağıt veya tek bir bilgisayardaki Excel dosyasıdır. Bu yapının üç temel sorunu var: erişim darboğazı, çakışma riski ve kayıp tehlikesi.

Modern Randevu Sisteminin Olmazsa Olmazları

Özellik	Neden Önemli
Doktor bazlı takvim	Çoklu doktor klinikte çakışma önler
Oda/cihaz takvimi	Aynı X-ray cihazı iki muayenede çakışmaz
Online rezervasyon	Hasta klinik kapalıyken bile randevu alabilir
SMS hatırlatma	No-show oranı %30 civarından %10'a iner
WhatsApp entegrasyonu	Hasta iletişiminde hızlı geri bildirim
Mobil uygulama	Doktor evden takvimini görür/günceller
Outlook/Google Calendar senkron	Kişisel takvimle entegre

Takvim Senkronizasyonu

Doktor genellikle hem klinik takvimi hem kişisel Outlook/Google Calendar'ı kullanır. İki sistemi senkronize edebilen randevu yazılımları:

• Outlook (Microsoft 365) Calendar API ile çift yönlü senkronizasyon
• Google Calendar iCal protokolüyle veya doğrudan API
• iCloud Calendar (iOS kullanıcı doktorlar için) CalDAV

Senkronizasyon çift yönlü olmalıdır: klinikte alınan randevu doktorun kişisel takvimine, doktorun bireysel olarak bloke ettiği saat de klinik sistemine yansımalıdır.

Online Rezervasyon ve Web Sitesi Entegrasyonu

Klinik web sitesindeki "Randevu Al" butonu, randevu yazılımının modülüne bağlanmalıdır. Hasta web'den seçim yaptığında klinik tarafından tekrar girilmeden takvime düşmelidir. Doktorun saati değiştiğinde web sitesi güncellenmek zorunda kalmamalıdır.

Hatırlatma ve İptal Akışı

• 48 saat önce: Hatırlatma SMS'i + iptal/ertele bağlantısı
• 24 saat önce: WhatsApp veya tekrar SMS
• 2 saat önce: Klinikten hareket için son hatırlatma
• İptal eden hasta saati otomatik boşaltır, bekleme listesinde olan başka hastaya teklif edilir

Bu akış no-show (gelmeyen hasta) oranını ciddi ölçüde düşürür ve kapasite kullanımını artırır.

Hasta Verisi ve KVKK Uyumu

Sağlık verisi, KVKK'nın 6. maddesine göre özel nitelikli kişisel veri kategorisindedir. İşleme, depolama ve aktarma kuralları sıradan kişisel veriden çok daha sıkıdır.

Özel Nitelikli Veri Yükümlülükleri

• Yazılı açık rıza zorunludur (genel rıza yetmez)
• Sağlık verisinin işlenmesinde Kişisel Verileri Koruma Kurulu'nun belirlediği yeterli önlemler alınmalıdır
• Veri sorumlusunun VERBİS kaydı doğru kategoride olmalıdır
• 72 saat içinde Kurum'a bildirim — veri ihlali halinde yasal süre

Teknik Tedbirler

KVKK'nın "yeterli teknik tedbir" tanımı şunları içerir:

• Şifreleme: Veritabanı seviyesi (TDE) + dosya seviyesi (BitLocker/dm-crypt)
• Erişim kontrolü: Rol bazlı yetkilendirme (RBAC), her doktor sadece kendi hastasının dosyasına
• Loglama: Hangi kullanıcı hangi dosyaya ne zaman erişti?
• MFA: Hasta verisi taşıyan tüm hesaplarda iki faktörlü doğrulama
• Yedekleme şifresi: Yedek dosyalar da şifreli, ayrı anahtarla
• Güvenli imha: Kullanım dışı diskler kriptografik silme veya fiziksel imha

Hasta Dosyası Senaryoları

Senaryo	Yaklaşım
Hasta dosyasını başka hekime gönderme	Şifreli e-posta veya sağlıklı bir paylaşım portalı
Tetkik laboratuvar entegrasyonu	API üzerinden, SSL/TLS, sözleşmeli veri işleyen statüsü
Sigorta şirketine fatura	Anonimleştirilmiş veriler veya hasta açık rızası
Hasta verisini yurt dışı buluta yedekleme	Açık rıza + yeterli koruma kararı zorunlu
Çalışan ayrılınca hesap kapatma	24 saat içinde, dosyalar yedeklenmiş ve aktarılmış olmalı

Klinik Ağ ve Endpoint Mimarisi

Klinik ağı genellikle "tek bir modem + tüm cihazlar" yapısındadır. Bu hem güvenlik hem KVKK açısından yetersizdir.

Önerilen VLAN Yapısı

• VLAN 10 — Yönetim: Switch, AP, sunucu yönetimi
• VLAN 20 — Tıbbi cihazlar: Görüntüleme cihazları, EKG, laboratuvar cihazları
• VLAN 30 — Klinik bilgisayarları: Doktor masaüstü/laptop, sekreter
• VLAN 40 — Misafir Wi-Fi: Bekleme salonu hastaları için, internete sınırlı erişim
• VLAN 50 — IP telefon/santral: SIP altyapısı

Tıbbi cihazlar genellikle eski işletim sistemleri çalıştırır (Windows 7/XP gömülü). Bu cihazlar yamalanamaz ve internete asla doğrudan bağlanmamalıdır. VLAN izolasyonu en sıkı şekilde uygulanmalıdır.

Endpoint Güvenliği

• Doktor laptop ve masaüstlerinde EDR (klasik antivirüs yetersiz)
• BitLocker veya benzeri tam disk şifreleme — laptop kayıp/çalıntı senaryosuna karşı
• USB kullanım politikası (sınırlı, loglu)
• Otomatik ekran kilidi (5 dakika boşta kalma)
• Yönetici hesabıyla günlük çalışma yasak

KVKK Uyumlu Yedekleme Stratejisi

Sağlık verisinin yedeği, sıradan ofis dosyalarından farklı korunmalıdır.

3-2-1 Kuralının Klinik Uyarlaması

Kopya	Konum	Şifreleme	Erişim
Üretim verisi	Klinik sunucu / bulut	TDE + diskte BitLocker	RBAC ile sınırlı
Yerel yedek	Klinik NAS	AES-256 yedek şifresi	Sadece yedek hesabı
Bulut yedek	Türkiye lokasyonlu sağlayıcı	Yedek + transit şifreleme	MFA zorunlu
Offline yedek	Şifreli harici disk, kasada	Donanım şifrelemeli SSD	Klinik sahibi kontrolü

Önerilen Yedek Sıklığı

• Hasta DB: Saatlik (RPO 1 saat)
• Görüntüleme dosyaları (PACS): Günlük (DICOM dosyaları büyük)
• Klinik dokümanlar: Günlük
• Konfig + sistem imajı: Haftalık

KVKK Veri Saklama Süreleri

• Hasta dosyası: Hekimlik mevzuatına göre 20 yıl
• Reçete: 5 yıl
• Tetkik sonucu: 20 yıl (hasta dosyası ile birlikte)
• Mali kayıtlar: 10 yıl
• VERBİS kayıtlı amaca uygun süre dışı veriler imha

Yedekler de bu sürelere uygun saklanmalıdır; saklama süresi dolduğunda yedeklerden de silinmesi beklenir (KVKK'nın silme/imha yükümlülüğü gereği).

Bulut mu Yerinde Sunucu mu?

Klinik ölçeğine göre tercih değişir. Karar matrisi:

Kriter	Yerinde Sunucu	Bulut
İlk yatırım	Yüksek	Düşük (abonelik)
Aylık maliyet	Düşük	Orta-Yüksek
KVKK kontrolü	Tam	Sağlayıcıya bağlı
Felaket toparlanma	Manuel kurgu	Otomatik (genelde)
Uzaktan erişim	VPN gerekir	Doğrudan, MFA ile
1-3 doktorlu muayenehane	Karmaşık	İdeal
10+ doktorlu poliklinik	Genellikle uygun	Uygun, hibrit tercih edilir

Hibrit yaklaşım yaygındır: Birincil sunucu klinikte, yedekler bulutta; ya da tam tersi.

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

Klinik ölçeğine göre uçtan uca destek alanlarımız:

• KVKK teknik uyum çerçevesi (VERBİS, açık rıza akışı, aydınlatma metni)
• Randevu yazılımı seçimi ve takvim entegrasyonu
• Klinik ağı VLAN tasarımı ve tıbbi cihaz izolasyonu
• Endpoint koruma (EDR, BitLocker, MDM)
• Hasta verisi şifreli yedekleme mimarisi
• KVKK 72 saat veri ihlali bildirim akışı
• Yıllık güvenlik denetimi ve raporlama

Sıkça Sorulan Sorular

Sonuç

Klinik IT altyapısı, randevu sisteminin akıcı çalışması, hasta verisinin KVKK düzeyinde korunması ve yedeklerin yasal saklama süreleriyle uyumlu yönetilmesinin birleşimidir. Doğru kurulduğunda IT, klinik operasyonunun arka planında "görünmeyen ama vazgeçilmez" bir sistem olur — yanlış kurulduğunda hem operasyonel hem yasal risk kaynağı.

Yamanlar Bilişim olarak muayenehane ve poliklinik ölçeğinde KVKK uyumlu, ölçeklenebilir IT altyapısı tasarımı sunuyoruz; randevu yazılımı seçiminden 72 saat veri ihlali bildirim akışına kadar tüm süreçte yanınızdayız.