KVKK ve Sağlık Bakanlığı Mevzuatı: AI İçerik Üretimi

AI ile içerik üretimi, Türkiye'de hala hukuki olarak gri bir alan olarak algılanıyor. Bu algı yanlış. KVKK, KVKK Açık Rıza Yönetmeliği, Sağlık Bakanlığı Tanıtım Yönetmeliği ve Reklam Kurulu ilkeleri birleştiğinde, AI'yı sorunsuz kullanmak için çerçeve aslında oldukça net. Bu yazıda, klinik ve sağlık hizmet sağlayıcılarının AI tabanlı içerik üretimi yaparken nelere dikkat etmesi gerektiğini, hangi verinin AI modellere gönderilemeyeceğini, hangi ifadelerin reklamda kullanılamayacağını ve YSN'nin bu çerçevede neden uyumlu olduğunu anlatacağım.

1. Kimlik verisi ve özel nitelikli kişisel veri ayrımı

KVKK 6. madde, sağlık verisini "özel nitelikli kişisel veri" olarak tanımlıyor. Bir hastanın adı + telefon numarası = kişisel veri. Aynı hastanın hangi operasyonu geçirdiği + hangi ilacı kullandığı = özel nitelikli kişisel veri. Özel nitelikli verilerin işlenmesi için açık rıza gerekiyor. AI modele gönderilen her bilgi = "işlenen veri" sayılır.

Altın kural: Hastaya ait hiçbir özel nitelikli veriyi AI'ya kimliklendirilebilir şekilde göndermeyin. Ne isim, ne TC, ne telefon, ne operasyon geçmişi. Eğer AI ile "bu hasta için özel içerik üret" diyecekseniz, kimliği ayıklayın, sadece yaş aralığı + operasyon tipi gönderin.

2. AI içeriği hasta referansı gibi kullanılamaz

Sağlık Bakanlığı'nın Sağlık Hizmetleri Tanıtım ve Bilgilendirme Yönetmeliği, hasta başarı hikayesi + öncesi/sonrası görsel kullanımına ciddi kısıtlamalar getiriyor. AI ile "tipik başarılı hasta hikayesi yaz" diye bir metin üretip gerçek gibi yayınlamak açık şekilde yasaktır. AI ancak iki amaçla kullanılabilir: (a) gerçek hasta verisinden kimlik ayıklanarak eğitici içerik hazırlamak, (b) hiçbir gerçek hastaya atıfta bulunmadan genel bilgilendirme yazmak.

3. YSN'nin uyumlu olduğu 7 teknik kontrol

YSN platformunda biz bu çerçeveyi sisteme gömmüş durumdayız:

- KVKK filtresi: girdiye konulan TC, telefon, e-posta gibi alanlar AI'ya gönderilmeden önce maskeleniyor. - Prompt kayıt: hangi kullanıcının ne zaman hangi promptu çalıştırdığı loglu, denetim için hazır. - Veri yerel kalır seçeneği: kurumsal hesaplar için Türkiye'de barındırılan modeller kullanılabiliyor. - Açık rıza şablonu: hasta veri giriş ekranlarında hazır KVKK onay ekranı. - Silme talebi: hasta silme talep ettiğinde ilgili verinin AI hafızasından da temizlenmesi. - Rol bazlı erişim: kim hangi botu çalıştırabilir, kim hangi hafızaya erişebilir, detaylı yetki. - Güvenli saklama: API token'ları MultiFernet + rotation ile şifreli; düz metin hiçbir yerde yok.

4. Sağlık Bakanlığı'nın "yanıltıcı içerik" tanımına dikkat

Yönetmelik, hekimlik uygulamasında şu ifadelerin kullanımını yasaklıyor: "kesin sonuç", "garantili", "ağrısız", "tamamen iz bırakmaz", "%100 başarı", "her vakada işe yarar". AI modelleri varsayılan olarak satış diliyle eğitilmiş olduğu için, denetimsiz bırakılırsa bu kelimeleri sıklıkla üretir. YSN'deki klinik botlarında biz bu kelime havuzunu "negative prompt" olarak kilitliyoruz; üretilen içerikte bu ifadeler geçtiğinde sistem otomatik uyarı veriyor.

5. Açık rıza nasıl doğru alınır?

Hasta kaydınıza dört ayrı onay kutusu koymanız yeterli:

- Kimlik ve iletişim verisinin işlenmesine onay - Sağlık verisinin işlenmesine açık rıza - Pazarlama iletişimi için açık rıza (ayrı kutu!) - Pazarlama verisinin yurt dışı AI modellerine gönderilmesine açık rıza

Her kutu ayrı ayrı işaretlenebilir olmalı; "hepsini kabul et" tek tuş olarak olamaz. YSN legal şablonlarımızda /legal/kvkk ve /legal/aydinlatma sayfalarında örnekler hazır.

6. Yurtdışı veri aktarımı = ayrı bir mevzuat

Claude, OpenAI, Google Gemini gibi modellerin çoğu ABD'de veya AB'de barındırılıyor. Bu demektir ki veri Türkiye dışına çıkıyor. Yurtdışı veri aktarımı için KVKK m.9: (a) açık rıza, (b) AB ülkeleri için standart sözleşme, (c) veri işleyen taahhütnamesi gerekiyor. YSN abonelik sözleşmenizde bu konu işlenmiş durumda; siz kendi müşterilerinizle de ayrıca sözleşme yapmalısınız.

7. Denetim hazırlığı

KVKK Kurumu denetim yaptığında isteyecekleri: (i) işlem kayıtları, (ii) açık rıza örnekleri, (iii) veri işleyen sözleşmeleri, (iv) teknik güvenlik önlemleri raporu. YSN panelinden bunların hepsini PDF olarak ihraç edebiliyorsunuz. Aylık bir defa bu raporu çıkarıp arşivlemeniz, olası denetime en iyi hazırlığınız.

Sonuç

AI, doğru çerçevede kullanıldığında KVKK ve Sağlık Bakanlığı mevzuatıyla çatışmıyor. Önemli olan, altyapının bu çerçeveyi en baştan yapılandırmış olması. YSN platformunu Türkiye'ye özel tasarlarken, bu mevzuat katmanı bizim için sonradan eklenen bir bant değil, temel mimarinin parçası.

Bu yazı genel bilgilendirme içerir, hukuki danışmanlık yerine geçmez. Kendi operasyonunuz için avukatınıza danışmanız önerilir.

Hemen dene → /signup