DEVA Partili Yeneroğlu, sonlandırılan HES kodu uygulamasıyla ilgili Sağlık Bakanlığı’nın bugüne kadar topladığı verileri ne yaptığını sordu. Yeneroğlu, toplanan kişisel verilerin ne yapıldığını Bakan Fahrettin Koca’ya bir soru önergesiyle yöneltti.
Demokrasi ve Atılım Partisi (DEVA) Hukuk ve Adalet Politikalarından Sorumlu Genel Başkan Yardımcısı Mustafa Yeneroğlu, koronavirüs tedbirleri kapsamında uygulanan HES kodu kontrolünün kaldırılması üzerine Sağlık Bakanı Fahrettin Koca’nın cevaplaması istemiyle TBMM’ye soru önergesi verdi.
Yeneroğlu, önergede, yaklaşık 2 yıldan beri vatandaşların kurum ve kuruluş girişlerinde kullanılan toplu ulaşım araçları başta olmak üzere sinema, tiyatro vb. tüm bilet alma işlemlerinde temel şart olan ve kullanım süresi dolduğunda yeniden oluşturulması gereken HES Kodu uygulaması sonlandırıldığını hatırlattı.
Sağlık Bakanlığı’nın hayatevesigar.saglik.gov.tr adlı web sitesindeki bildirimde HES kodunun sadece toplu taşıma araçları, toplu kullanım alanları gibi yerlerde geçirilecek süre boyunca bulaş riskini azaltmak amacına hizmet ettiğinin vurgulandığını Kaydeden Yeneroğlu, “Vatandaşlarımızın HES Kodu üzerinden oluşan dolaşım, seyahat bilgileri, hasta geçmişi gibi kişisel verilerin nasıl korunduğu, ne süreyle ve nasıl kayıtlı tutulduğu gibi tedbirler açıklanmamıştır” ifadelerini kullandı.
Yeneroğlu’nun Bakan Koca’ya yönelttiği sorular şöyle:
‘HES KODLARI İÇİN İMHA PROSEDÜRÜ VAR MI?’
-Bugüne kadar kullanılan süreli HES Kodları ve alakalı veriler vatandaşlarımızın belirlediği süre sonunda imha edilmiş midir? Edilmişse süresiz olarak oluşturulan HES Kodları ve alakalı veriler için nasıl bir imha prosedürü vardır?
-Bugüne kadarki HES Kodları ve alakalı veriler nerede tutulmuş ve varsa yedekleri nerede depolanmıştır? Veriler değiştirilemeyecek şekilde imzalanarak mı saklanmıştır? Varsa imha edilen veriler tekrar kullanılmayacak biçimde mi imha edilmiştir?
-Depolanmış verilerin güvenliği, yetkisiz girişlerin kontrolü ve denetimi nasıl sağlanmıştır? Sızma Testleri ile risk ve tehdit prosedürleri uygulanmış mıdır? Verilere erişim için yetki matrisi bulunmakta mıdır?
-Veriler herhangi bir gerçek/tüzel kişi ile veya özel veya kamu kurumu ile paylaşılmış mıdır? Paylaşıldıysa ilgili kişi veya kurumlar kendi sistemlerinde bu verileri tutmaya devam etmekte midir? Onların veri yönetim sistemleri ile imha prosedürlerine denetim uygulanmış mıdır?
-Verilere erişim kaydı var mıdır? Erişim kontrol sistemi, izleme sistemi, ağ güvenlik sistemleri gibi yazılımsal sistemler ile fiziksel koruma sistemleri uygulanmış mıdır?
-Verilerin saklandığı sistemler için düzenli olarak güvenlik testleri yapılmakta mıdır? Hangi periyotlarla hangi gerçek veya tüzel kişilerce yapılmıştır?
-HES uygulamasının geliştirilmesi için herhangi bir firma ile çalışma yapılmış mıdır? Yapıldı ise firmalardaki kişilerin sistemlere erişimleri kayıt altına alınmış mıdır?
