minasoftMinasoft Teknoloji

Gizlilik Politikası ve Kişisel Verilerin Korunması

Son güncelleme: 21 Temmuz 2025

1. Giriş

Minasoft ("Şirket", "biz" veya "Minasoft"), ZenPACS tıbbi görüntüleme ve raporlama platformunun geliştirilmesi, işletilmesi ve sunulması sürecinde kişisel verilerin korunmasına büyük önem vermektedir.

Bu Gizlilik Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat kapsamında kişisel verilerin işlenme amaçlarını, hukuki dayanaklarını, toplama yöntemlerini, aktarım koşullarını ve veri sahiplerinin haklarını açıklar. Politika; ZenPACS'i kullanan hastaneler, radyoloji merkezleri, sağlık kuruluşları, çalışanları ve hizmet verilen hastaları kapsar.

2. Veri Sorumlusu

Unvan: Minasoft Sağlık Teknoloji Yazılım Danışmanlık Ltd. Şti.

Adres: Emrah Mah. General Dr. Tevfik Sağlam Cad. No:2/67 İç Kapı No:101/B Keçiören/ANKARA

E-posta: info@minasoft.com.tr · Telefon: 0532 587 08 64

ZenPACS çok kiracılı (multi-tenant) mimaridedir. Her sağlık kuruluşu kendi verileri üzerinde bağımsız veri sorumlusudur; Minasoft platform sağlayıcı olarak veri işleyen konumundadır.

3. İşlenen Kişisel Veriler

Hasta verileri (özel nitelikli sağlık verisi dâhil) ve kullanıcı verileri işlenir:

  • Kimlik bilgileri: ad, soyad, TC kimlik no, doğum tarihi, cinsiyet, hasta kimlik no
  • İletişim bilgileri: telefon, e-posta
  • Sağlık verileri: DICOM görüntüler (BT, MR, CR, DX, US, MG vb.), radyoloji raporları, klinik bulgular, tanı bilgileri
  • Klinik bilgiler: HL7 istem/sonuç mesajları, yönlendiren hekim, acil ve karşılaştırma notları
  • Çalışma metadata: çalışma/seri/örnek UID, erişim numarası, modalite, tarih/saat
  • Kullanıcı verileri: ad-soyad, unvan, kullanıcı adı, hashlenmiş şifre, rol, atanmış hastaneler, IBAN (yalnızca radyolog), erişim kayıtları (IP, oturum, son giriş)

4. İşlemenin Hukuki Dayanağı

Kişisel veriler KVKK'nın ilgili maddelerine dayanılarak işlenir:

  • Md. 5/2(a) Kanunlarda açıkça öngörülme — sağlık mevzuatı gereği tıbbi kayıtların tutulması
  • Md. 5/2(c) Sözleşmenin ifası — kullanıcı hesap yönetimi ve platform erişimi
  • Md. 5/2(ç) Hukuki yükümlülük — denetim kayıtları ve veri saklama
  • Md. 5/2(f) Meşru menfaat — bilgi güvenliği ve hizmet kalitesi
  • Md. 6/3 Özel nitelikli veri — sağlık verilerinin kamu sağlığı amacıyla işlenmesi

5. Toplama Yöntemleri

  • Tıbbi görüntüleme cihazları: DICOM protokolü ile otomatik
  • Hastane Bilgi Sistemleri (HBS): HL7 v2 mesajlaşma ile
  • Web uygulaması: ZenPACS arayüzünden kullanıcı girişi ile
  • Yönetici işlemleri: kullanıcı oluşturma ve yetkilendirme
  • EdgeServer: hastane bazında DICOM alıcısı ile otomatik

6. Veri Güvenliği Tedbirleri

Teknik tedbirler:

  • Tüm dış iletişim HTTPS/TLS ile şifrelenir
  • Şifreler bcrypt ile hashlenir, düz metin saklanmaz
  • AES-256-GCM ile zaman sınırlı erişim tokenları, JWT (HMAC-SHA256) oturum yönetimi
  • SQLC ile parametrik sorgular (SQL enjeksiyon önleme)
  • Çok kiracılı mimaride satır düzeyinde veri izolasyonu
  • 6 seviyeli rol bazlı erişim kontrolü (RBAC)
  • Güvenlik duvarı ile ağ segmentasyonu; ön imzalı URL ile kontrollü DICOM erişimi; TOTP çok faktörlü kimlik doğrulama
  • İdari: ISO 27001, SPICE Seviye 2, personel NDA, yıllık güvenlik eğitimleri, ayrılışta erişim iptali

7. Veri Saklama Süreleri

  • Hasta tıbbi kayıtları ve DICOM görüntüler: yasal saklama süresince (sağlık mevzuatına göre min. 20 yıl), sonrasında anonimleştirme/güvenli silme
  • Radyoloji raporları: yasal saklama süresince
  • Aktif hasta vakaları: kapatılmadan itibaren 60 gün (yapılandırılabilir)
  • Kullanıcı hesap bilgileri: hesap aktif olduğu sürece + sözleşme sonrası 1 yıl
  • Denetim kayıtları: 365 gün · Yedekler: 3-7 gün · Şifre sıfırlama kodu: 3 dakika · Oturum tokenı: 24 saat (web)

8. Kişisel Verilerin Aktarılması

Yurt içi: HBS ile HL7 üzerinden klinik veri değişimi, EdgeServer'dan Hub'a NATS ile şifreli metadata aktarımı, aynı özel ağ içinde yedekleme.

Yurt dışı: Hasta verileri ve tıbbi görüntüler yurt dışına aktarılmaz. Tüm kritik altyapı şirketin kendi sunucularında barındırılır. Yalnızca hassas olmayan operasyonel veriler kullanılır: Mailjet (yalnızca e-posta adresleri), Cloudflare (yalnızca DNS), GitHub (kaynak kod/imaj), Let's Encrypt (TLS). Bu hizmetler üzerinden hiçbir hasta verisi aktarılmaz.

9. Veri Anonimleştirme

ZenPACS, şirkete ait Gordion DICOM kütüphanesi ile kapsamlı anonimleştirme sunar: hasta tanımlayıcılarının kaldırılması, tüm DICOM UID'lerinin yeniden oluşturulması, tarih kaydırma, serbest metin temizleme, vendor etiketlerinin kaldırılması ve 5 hazır anonimleştirme profili. Hastane düzeyinde yapılandırılabilir ve dışa aktarımda isteğe bağlı uygulanabilir.

10. Veri Sahibinin Hakları

KVKK'nın 11. maddesi kapsamında veri sahipleri; işlemeyi öğrenme, bilgi talep etme, amaca uygunluğu öğrenme, aktarılan üçüncü kişileri bilme, düzeltme/silme isteme, otomatik analize itiraz ve zararın giderilmesini talep etme haklarına sahiptir.

  • E-posta: kvkk@minasoft.com.tr
  • Yazılı başvuru: Emrah Mah. Gen. Dr. Tevfik Sağlam Cad. No:2/67/101/B Keçiören/ANKARA (noter veya iadeli taahhütlü posta)
  • Başvurular en geç 30 gün içinde ücretsiz sonuçlandırılır.

11. Çerez Politikası

ZenPACS sınırlı çerez kullanır: kimlik doğrulama (oturum süresi), dil tercihi ve tema tercihi (kalıcı). Analitik, reklam veya üçüncü taraf izleme çerezi kullanılmaz.

12. Politika Değişiklikleri

Bu politika yasal gereksinimler, teknolojik gelişmeler veya hizmet değişiklikleri doğrultusunda güncellenebilir. Önemli değişiklikler platform ve/veya e-posta yoluyla bildirilir.

13. İletişim

Veri Sorumlusu: Minasoft Sağlık Teknoloji Yazılım Danışmanlık Ltd. Şti. · KVKK: kvkk@minasoft.com.tr · Güvenlik: tech@minasoft.com.tr · Genel: info@minasoft.com.tr · www.minasoft.com.tr · ISO 27001 | SPICE Seviye 2