T.C. SAĞLIK BAKANLIĞI
DİYARBAKIR İL SAĞLIK MÜDÜRLÜĞÜ
BİLGİ GÜVENLİĞİ FARKINDALIK BİLDİRGESİ
1. AMAÇ:
Bilgi Güvenliği Farkındalık Bildirgesi, Bakanlık bünyesinde görev yapan memurlar ve diğer kamu görevlilerinin kuruma ait gizli kalması gereken bilgilerin korunması amacıyla kişisel olarak uymakla yükümlü oldukları temel bilgi güvenliği ilkelerini tanımlamak amacıyla hazırlanmıştır.
2. KAPSAM:
İşbu bildirge, Bakanlık bünyesinde görev yapan devlet memurları ve diğer kamu görevlileri için hazırlanmıştır. Kuruma ait gizli kalması gereken bilgileri işleyen diğer personele (tedarik sözleşmeleri veya çeşitli protokoller kapsamında görev yapan yüklenici/kurum personeli, cihaz/sistem kavram ispatı çalışmaları kapsamında görev yapan firma personeli, stajyerler vb.) Sağlık Bakanlığı Bilgi Güvenliği Politikaları Kılavuzu ekinde yer alan “Personel Gizlilik Sözleşmesi” hükümleri uygulanır.
3. YASAL DAYANAK:
İşbu bildirge, 657 sayılı Devlet Memurları Kanunu’nun “Gizli bilgileri açıklama yasağı” başlıklı 31’nci maddesine, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018 sayılı kararının 2’nci maddesinin b fıkrasına ve Kişisel Verileri Koruma Kurulunun 26/12/2019 tarihli ve 2019/393 sayılı kararına istinaden hazırlanmıştır.
4. TANIMLAR:
Bu bildirgede geçen;
4.1 Kurum: T.C. Sağlık Bakanlığını (Merkez Teşkilat, Bağlı İlgili veya İlişkili Kuruluşlar ve Taşra Teşkilatında yer alan tüm birimler).
4.2 Kuruma Ait Gizli Kalması Gereken Bilgiler:
4.2.1 25/04/2022 tarihli ve 5529 sayılı Cumhurbaşkanlığı kararı ile yürürlüğe konulan “Gizlilik Dereceli Belgelerde Uygulanacak Usul ve Esaslar Hakkında Yönetmelik” ile tanımlanmış ve usulüne uygun olarak etiketlenmiş olan ÇOK GİZLİ, GİZLİ ve HİZMETE ÖZEL gizlilik derecesindeki her türlü veri, bilgi ve belge,
4.2.2 Kurum tarafından işlenen (24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan) kişisel veriler ile (21/06/2019 tarihli ve 30888 sayılı Kişisel Sağlık Verileri Hakkında Yönetmelik ile tanımlanan) kişisel sağlık verileri,
4.2.3 Bakanlığa veya hizmet sunulan ilgili birime ait özel sırlar, mali bilgiler, çalışan bilgileri, sistem bilgileri ve çalışılan süre içinde derlenen tüm bilgiler, materyaller, programlar ve dokümanlar; bilgisayar sistemleri içerisinde saklanan veriler, donanım/yazılım ve tüm diğer düzenleme ve uygulamalar ile personelin çalışma süresi içerisinde yapmış olduğu işler,
4.2.4 Açıklanması halinde kişi veya kurumlara maddi veya manevi zarar verme ya da herhangi bir kişi veya kuruma haksız yarar sağlama ihtimali bulunan bilgi ve belgeler başta olmak üzere,
Bakanlık tarafından alenileştirilmemiş her türlü veri, bilgi ve belgedir.
5. PERSONELİN YÜKÜMLÜLÜKLERİ:
5.1 Kuruma ait gizli kalması gereken bilgiler, yasal zorunluluklar ve Kurum tarafından resmi olarak izin verilmesi halleri dışında, ilgili mevzuatta belirtilen önlemler alınmak suretiyle koruma altında tutulur. Kurum tarafından aksi belirtilmedikçe, söz konusu bilgiler yasal işleme amaçları haricinde doğrudan veya dolaylı olarak kullanılamaz, başka kişi veya kurumlara aktarılamaz, yayımlanamaz, açıklanamaz veya kişisel kopyaları alınamaz.
5.2 Kuruma ait gizli kalması gereken her türlü bilgi, sır olarak saklanır. Çalışanlar bunları sır olarak saklamak, üçüncü kişilere inceletmemek, söylememek, iletmemek ve açıklamamakla yükümlüdür. Bu yükümlülük, çalışanların Kurum ile ilişkisi sona erse de SÜRESİZ olarak devam eder.
5.3 Kurumsal ve kişisel sosyal medya hesapları kullanılırken, görevin gerektirdiği dikkat ve özen gösterilir. Kuruma ait gizli kalması gereken bilgiler, hastalara ilişkin kişisel bilgiler (hasta görüntüleri dâhil) hiçbir şekilde sosyal medya ortamlarında paylaşılmaz.
5.4 Çalışanlarca, Kuruma ait gizli kalması gereken bilgiler, veri aktarımı vb. maksatlarla geçici süre için olsa dâhi Bakanlığımız kontrolünde olmayan depolama alanlarında (Google Drive, iCloud, Yandex Disk, We Transfer, Rapid Share vb.) bulundurulamaz. Bu bilgiler mobil iletişim uygulamaları (WhatsApp, Massenger, Line, Viber, Telegram, WeChat, Skype, SnapChat vb.) ve sosyal medya platformları (Facebook, Youtube, Instagram, X, Linkedin vb.) üzerinde işlenemez. Personelin şahsi e-posta hesapları (*@gmail.com, *@yandex.comvb.) üzerinden aktarılamaz.
5.5 Kurum tarafından uygun görülen sistemler, uygulamalar, kullanıcı işlemleri ve bilgi sistem ağındaki verilerin ve veri akışının iz kayıtları; hukuki ve idari süreçlere kaynak teşkil etmesi ve sistemlerin güvenli bir şekilde işletilmesi amacıyla toplanır.
5.6 Çalışanlar, Kurum tarafından kendisine verilen bilgisayar, tablet, telefon, taşınabilir medya gibi cihazları sadece göreve yönelik, kurumsal faaliyetler için kullanır. Yürütülecek adli ve idari soruşturmalar kapsamında olmak şartıyla, söz konusu cihazlar ve çalışanların kurum bilişim sistemleri üzerinde yapmış olduğu işlemler, ilgili personele ayrıca herhangi bir bilgilendirme yapılmaksızın kontrol edilebilir.
5.7 Çalışanlara tahsis edilen kullanıcı adı ve parola bilgileri hiçbir şekilde üçüncü kişiler ile paylaşılmaz. Çalışanlar, Kurumdan ayrılmaları halinde kendilerine tahsis edilen kullanıcı adı ve parolaları iptal ettirmekle; kullandıkları bilgisayar ve/veya diğer elektronik veri depolama cihazlarında oluşturduğu veri, bilgi ve belgeler dâhil tüm dosyaları, cihazları ve ofis malzemelerini eksiksiz olarak kurum yetkilisine teslim etmekle ve bunların kopyalarını almamakla yükümlüdür.
5.8 Çalışanlar, bilgisayarlarını kendilerine tahsis edilen kullanıcı adı/parola ile oturum açmak suretiyle kullanır. Çalışma sona erince ilgili oturum veya bilgisayar kapatılarak, üçüncü kişilerin bilgisayardaki bilgilere erişimi engellenir. Bilhassa güvensiz ortamlarda, Kurum bilgisayarlarının fiziki güvenliği için azami çaba sarf edilir.
5.9 Çalışanlar, kendilerine tahsis edilen kullanıcı adı/parola ikilisi ve/veya IP/MAC adresini kullanılarak gerçekleştirilen her türlü etkinlikten kişisel olarak sorumludur. Aynı şekilde Kurum bilişim kaynakları kullanılarak oluşturulan ve/veya tahsis edilen bilişim kaynağı üzerinde bulundurulan her türlü bilgi, belge, doküman, yazılım vb. içeriğinden ilgili kişi şahsen sorumludur.
5.10 Çalışanlar, kendilerine teslim edilen kullanıcı adının ve parolanın gizli kalmasını sağlamakla yükümlüdür. Çalışanların şahsi kusurları nedeniyle kullanıcı adının ve parolalarının üçüncü kişiler tarafından öğrenilmesi halinde, bu bilgiler kullanılarak yapılan iş ve işlemlerden, çalışanlar şahsen sorumlu tutulabilir.
5.11 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gereğince Kurum tarafından sağlanan İnternet üzerinden yapılan erişim kayıtları yasada öngörülen süreler boyunca tutulur. Çalışanlara tahsis edilen kullanıcı adı ve parola kullanılmak suretiyle usulüne uygun olarak kayıt altına alınan işlemlerden, kullanıcı adı tahsis edilen çalışan yasal olarak sorumlu tutulabilir.
5.12 Çalışanlara tahsis edilen *@saglik.gov.tr uzantılı tüzel ve kurumsal e-posta hesapları, sadece görevle ilgili faaliyetler için kullanılır. Kurum içinde veya dışındaki kişilere iş ile ilgili olmayan toplu ve/veya kişisel e-posta gönderilmez. Çalışanlar, Kurum içine veya kurum dışına göndermiş oldukları tüm e-postalardan kişisel olarak sorumludur. Yürütülecek adli ve idari soruşturmalar kapsamında olmak şartıyla, söz konusu e-posta hesapları, personele ayrıca herhangi bir bilgilendirme yapılmaksızın kontrol edilebilir.
5.13 Çalışanlar, kendilerine teslim edilmiş yazılım, donanım, araç ve gereç üzerinde; kurum bilgisi dışında mekanik (donanım ekleme, kaldırma vb.) ya da yazılımsal değişiklik (yeni yazılım yükleme, kurum tarafından koyulan bir kısıtlamayı aşmak üzere bilgisayar ayarlarını değiştirme vb.) yapamaz.
5.14 Çalışanlar, kurum tarafından yüklenen işletim sistemi ve uygulama yazılımları haricinde, ilgili birimlerin bilgisi dışında başka yazılımları yükleyemez. Kurum tarafından yüklenmemiş yazılımlardan doğacak sorumluluk, ilgili bilgisayarın tahsis edildiği çalışana aittir.
5.15 Bilgi güvenliği ihlal olayları vakit geçirilmeksizin Bakanlık merkezi ihlal bildirim sistemine (https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir ) girilir.
5.16 Çalışanlar, kişisel veri ihlâline ilişkin herhangi bir bilgi alır, tespitte bulunur ya da bu konuda şüphe duymasını gerektirecek nitelikte bulgularla karşılaşırsa en kısa sürede Sağlık Bilgi Sistemleri Genel Müdürlüğüne bildirir. Bildirim süresi 24 saati aşamaz. Bildirim için bir üst maddede belirtilen ihlal bildirim sistemi de kullanılabilir. Bildirimin geç yapılması nedeniyle veri koruma mevzuatında öngörülen 72 saatlik süreye riayet edilememesi durumunda Çalışanın idari sorumluluğu doğabilir.
6. UYGULAMA YÖNTEMİ
Bu bildirgenin memurlar ve diğer kamu görevlilerine imzalatılması ve personelin diğer özlük belgeleri ile birlikte şahsi dosya vb. ortamlarda saklanması mecburiyeti yoktur.
İlgili kurumlar, bünyelerinde görev yapan memurlar ve diğer kamu görevlilerini bildirgede yer alan konular hakkında bilgilendirmek maksadıyla, kendileri için en uygun yöntemi kullanmak suretiyle, bildirgenin personele tebliğ edilmesini veya yapılacak olan bilgi güvenliği farkındalık eğitimlerinde bu bildirgede yer alan konuların yer almasını sağlarlar.