Ana içeriğe atla
0850 304 77 98 Sizi Arayalım
Merkezde KVKK ve Danışan Verisi Güvenliği
Psikoloji ve Danışmanlık Merkezi Yönetim

Merkezde KVKK ve Danışan Verisi Güvenliği

C

Clinisyn Klinik İçerik Ekibi

Ruh sağlığı uzmanları ve editör ekibi

Son Güncelleme: 23.06.2026 10 dk
İçindekiler
Bu içeriği yapay zeka ile özetleyin

Bir psikoloji merkezinin elindeki en hassas varlık, danışan dosyalarıdır. Seans notları, tanı yazışmaları, iletişim bilgileri ve bir kişinin en mahrem ruhsal süreçlerine dair her kayıt, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) açısından sıradan bir veri değildir. Bunlar "özel nitelikli kişisel veri" sayılan sağlık verileridir ve kanunun en sıkı koruma rejimine tabidir. Merkez sahibi olarak siz, bu verilerin "veri sorumlusu"sunuz; yani hukuken bu kayıtların güvenliğinden birinci derecede siz sorumlusunuz. Bu yazı, merkez ölçeğinde KVKK yükümlülüklerini, pratik güvenlik önlemlerini ve bir ihlal anında ne yapılacağını merkez sahibinin diliyle, somut adımlarla anlatıyor.

Güncellik ve sorumluluk reddi notu: Son güncelleme 23 Haziran 2026. Bu içerik bilgilendirme amaçlıdır; hukuki danışmanlık yerine geçmez. KVKK mevzuatı, VERBİS kayıt eşikleri, saklama süreleri ve idari para cezası tutarları zamana duyarlıdır ve değişir; özellikle ceza tutarları her yıl yeniden değerleme oranıyla güncellenir. İşlem yapmadan önce Kişisel Verileri Koruma Kurumu (kvkk.gov.tr), Resmi Gazete (resmigazete.gov.tr) ve mevzuat.gov.tr gibi birincil kaynaklardan teyit alın; merkezinize özgü bir uyum süreci için bir KVKK/veri koruma hukuku danışmanına başvurun.

Danışan verisi neden "özel nitelikli" sayılır?

KVKK, kişisel verileri ikiye ayırır: sıradan kişisel veriler (ad, telefon, adres gibi) ve "özel nitelikli" kişisel veriler. İkinci grup, açığa çıkması halinde kişiyi ayrımcılığa veya mağduriyete uğratma riski en yüksek olan verilerdir. Kanunun 6. maddesi bu kategoriyi sayar: sağlık ve cinsel hayat, din, ırk, etnik köken, siyasi düşünce, felsefi inanç, dernek/vakıf/sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler.

Bir psikoloji merkezinde tutulan kayıtların neredeyse tamamı bu kapsamın en hassas ucuna, sağlık verisine girer:

  • Seans notları ve danışmanlık görüşme kayıtları
  • Hekim tarafından konmuş tanılar ve yazışmalar
  • Uygulanan test sonuçları ve değerlendirme raporları
  • Danışanın ruhsal durumuna dair her tür gözlem ve değerlendirme

Bir kişinin telefon numarası sızdığında yaşanacak zarar ile bir kişinin terapi aldığı ya da hangi ruhsal süreçten geçtiği bilgisinin sızması arasında dağlar kadar fark vardır. Mevzuat bu farkı tanır ve sağlık verisi işleyen merkezleri ek yükümlülükler altına sokar. Bu nedenle "biz küçük bir merkeziz, bizi ilgilendirmez" yaklaşımı KVKK açısından geçerli değildir; tam tersine, sağlık verisi işlediğiniz için bazı yükümlülüklerde küçük işletme muafiyetleri sizin için işlemez.

Clinisyn randevu takvimi ve online seans planlama ekranı
Clinisyn ile

Randevu, seans ve ödeme tek panelde

Takvim, online görüşme, ödeme ve danışan dosyaları tek yerde. Kağıt işini bırakın, danışana odaklanın.

Ücretsiz Deneyin

KVKK'nın temel ilkeleri merkez için ne anlama gelir?

KVKK'nın 4. maddesi, her veri işleme faaliyetinin uyması gereken genel ilkeleri koyar. Merkez pratiğine indirgenmiş haliyle bunlar şu anlama gelir.

Hukuka ve dürüstlük kuralına uygunluk

Danışanın bilmediği, gizli bir veri toplama yapılamaz. Hangi veriyi neden topladığınız danışan için şeffaf olmalıdır.

Aydınlatma yükümlülüğü

Danışan ilk temasta, verisinin kim tarafından, hangi amaçla, hangi hukuki sebebe dayanarak işlendiği ve kimlerle paylaşılabileceği konusunda bilgilendirilmelidir. Bu bilgilendirme yazılı bir "aydınlatma metni" ile yapılır ve açık rızadan ayrı bir yükümlülüktür. Aydınlatma metninin nasıl hazırlanacağına dair ayrıntılar için psikolog KVKK aydınlatma metni rehberimize bakabilirsiniz.

Açık rıza, ama tek dayanak değil

2024 yılında yürürlüğe giren KVKK değişiklikleriyle birlikte, özel nitelikli verilerin işlenmesinde açık rıza artık tek yol değildir. Kanun, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi durumlarda, sır saklama yükümlülüğü altındaki sağlık meslek mensuplarının açık rıza dışındaki hukuki sebeplere de dayanabileceğini öngörür. Önemli bir incelik şudur: eğer açık rıza dışında geçerli bir işleme şartınız varsa, ikisini bir arada (hem açık rıza hem başka bir şart) kullanmamanız beklenir. Hangi hukuki sebebe dayandığınızı doğru belirlemek, merkeziniz için bir danışmanla netleştirmeniz gereken kritik bir konudur.

Amaçla sınırlılık ve veri minimizasyonu

Yalnızca hizmetin gerektirdiği veriyi toplayın. "Belki ileride lazım olur" mantığıyla fazladan veri biriktirmek ilkeye aykırıdır. Danışan dosyasında, verilen danışmanlık hizmetiyle doğrudan ilgisi olmayan bilgiler bulunmamalıdır.

Saklama süresiyle sınırlılık

Veri, işlendiği amaç için gereken süre kadar saklanır; süre dolduğunda silinir, yok edilir veya anonim hale getirilir. Merkezinizin yazılı bir "saklama ve imha politikası" olması beklenir. Sağlık verileri için saklama süreleri ilgili sağlık mevzuatınca da düzenlenir ve bu süreler zaman içinde değişebilir; uygulayacağınız süreyi güncel mevzuattan teyit edin.

Doğruluk ve güncellik

Yanlış veya güncelliğini yitirmiş veriler düzeltilmelidir. Danışanın verisinin düzeltilmesini, silinmesini talep etme hakkı vardır ve merkez bu taleplere yasal süreler içinde yanıt vermek zorundadır.

Ücretsiz e-kitaplarımızı incelediniz mi?

Konunun tamamını sıralı kontrol listeleriyle e-postanıza gönderelim.

Merkez ölçeğinde sorumluluklar: veri sorumlusu ve VERBİS

Veri sorumlusu kimdir?

Verinin işlenme amaçlarını ve yöntemlerini belirleyen kişi "veri sorumlusu"dur. Bir merkezde bu, genellikle merkezi işleten gerçek kişi ya da tüzel kişiliktir; yani merkez sahibi/işleten. Merkezde çalışan psikologlar, sekreterler ve diğer personel ise sorumlunun talimatıyla veri işleyen kişilerdir. Hukuki sorumluluğun ağırlığı veri sorumlusunun, yani merkezin üzerindedir.

VERBİS kaydı: koşula bağlı ama sağlık verisinde kritik

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), belirli veri sorumlularının kaydolmak zorunda olduğu resmi bir sicildir. Genel kuralda, yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı belirli bir eşiğin altında olan küçük işletmeler kayıttan muaf olabilir. Ancak burada merkezler için kritik bir istisna vardır:

Önemli: Ana faaliyeti özel nitelikli kişisel veri işlemek olan veri sorumluları, çalışan sayısı veya bilanço büyüklüğüne bakılmaksızın VERBİS'e kaydolmakla yükümlü kabul edilebilir. Bir psikoloji merkezinin ana faaliyeti sağlık verisi işlemeyi içerdiği için, "küçük işletmeyim" muafiyetine güvenmeden kendi durumunuzu kvkk.gov.tr ve güncel Kurul kararları üzerinden teyit etmeniz gerekir.

VERBİS muafiyeti, kayıt dışındaki yükümlülükleri (aydınlatma, veri güvenliği, imha politikası gibi) ortadan kaldırmaz; yalnızca sicile kayıt yükümlülüğünü etkiler. Yani muaf olsanız bile veri güvenliği yükümlülükleriniz tam olarak devam eder.

Clinisyn ile kurulan uzman web sitesi örneği
Dijital varlık

Size özel uzman web siteniz dakikalar içinde

Tanıtım yönetmeliğine uygun, randevu alan profesyonel web siteniz hazır şablonlarla kurulsun.

Web Sitenizi Kurun

Pratik güvenlik: fiziksel dosyadan dijital sisteme

KVKK, veri sorumlusunun "uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbiri" almasını ister. Merkez pratiğinde bu üç başlıkta toplanır.

Fiziksel güvenlik

  • Basılı danışan dosyaları kilitli dolapta veya kilitli bir arşiv odasında tutulmalıdır.
  • Dosyalara erişim, yalnızca işini yapmak için ihtiyacı olan personelle sınırlandırılmalıdır.
  • Seans odasında ya da resepsiyonda açıkta dosya, not kâğıdı veya ekran bırakılmamalıdır.
  • Arşiv odasına giriş kayıt altına alınabiliyorsa daha iyidir.

Dijital güvenlik

  • Danışan verisi tutulan bilgisayar ve cihazlar şifre korumalı olmalı ve mümkünse disk şifrelemesi kullanılmalıdır.
  • Her personelin kendi kullanıcı hesabı olmalı; ortak/paylaşılan tek hesap kullanılmamalıdır. Erişim yetkileri role göre sınırlandırılmalıdır (erişim kontrolü).
  • Düzenli ve şifreli yedekleme yapılmalı; yedekler de en az ana sistem kadar korunmalıdır.
  • Güncel antivirüs, güvenlik duvarı ve işletim sistemi güncellemeleri ihmal edilmemelidir.
  • Danışan verisi WhatsApp, kişisel e-posta gibi denetimsiz kanallarda dolaştırılmamalıdır.

Seans notu güvenliği

Seans notları merkezin en hassas verisidir. Bu notlar fiziksel olarak tutuluyorsa kilit altında, dijital tutuluyorsa erişimi sınırlı ve şifreli bir sistemde olmalıdır. Notların kişisel cihazlarda, bulut hesaplarında ya da düzensiz dosyalarda dağınık biçimde durması ciddi bir risktir. Notlara kimin, ne zaman eriştiğinin izlenebilir olması (denetim izi) hem güvenlik hem de bir ihlal durumunda hesap verebilirlik açısından değerlidir.

Çalışan eğitimi ve gizlilik sözleşmesi

KVKK uyumu yalnızca teknolojiyle sağlanmaz; en zayıf halka çoğu zaman insandır. Merkez sahibinin iki yapısal adımı vardır.

Gizlilik ve veri koruma taahhüdü

Danışan verisine erişen her personel (psikolog, sekreter, stajyer dahil) yazılı bir gizlilik sözleşmesi veya taahhüdü imzalamalıdır. Bu belge, görev süresince ve sonrasında danışan verisinin gizli tutulacağını taahhüt eder. Sağlık meslek mensuplarının zaten taşıdığı sır saklama yükümlülüğü, bu yazılı taahhütle kurumsal olarak da pekiştirilir.

Düzenli farkındalık eğitimi

Personel; veriyi nereye kaydedeceğini, neyi paylaşamayacağını, bir cihaz kaybolduğunda ne yapacağını ve şüpheli bir durumu kime bildireceğini bilmelidir. Bu eğitimlerin yapıldığını kayıt altına almak, merkezin gerekli idari tedbirleri aldığını gösterir.

İhlal durumunda ne yapılır?

Veri ihlali, korunması gereken kişisel verinin yetkisiz kişilerce ele geçirilmesi, ifşası, kaybı ya da değiştirilmesidir. Çalınan bir bilgisayar, sızdırılan bir dosya, yanlış kişiye gönderilen bir e-posta veya bir fidye yazılımı saldırısı buna örnektir.

72 saat kuralı

Kişisel Verileri Koruma Kurulu kararına göre, veri sorumlusu bir ihlali öğrendiği andan itibaren makul bir süre içinde, bu süre en geç 72 saat olacak şekilde, Kurum'a bildirimde bulunmakla yükümlüdür. Ayrıca ihlalden etkilenen ilgili kişilere de uygun bir yöntemle bildirim yapılması beklenir. Bildirimler kvkk.gov.tr üzerinden ve Kurum'un belirlediği usule göre yapılır.

İhlal anında pratik adımlar

  1. Durdurun ve sınırlayın: İhlalin kaynağını tespit edip yayılmasını engelleyin (etkilenen hesabı kapatma, cihazı izole etme gibi).
  2. Kapsamı belirleyin: Hangi veriler, kaç kişi, ne ölçüde etkilendi?
  3. Belgeleyin: Ne olduğunu, ne zaman fark edildiğini ve atılan adımları kayıt altına alın.
  4. Bildirin: 72 saatlik süreyi gözeterek Kurum'a ve etkilenen danışanlara bildirim yapın.
  5. Önlem alın: Aynı ihlalin tekrarını önleyecek teknik/idari iyileştirmeleri uygulayın.

Bir ihlal anında zaman baskısı altında doğru karar verebilmek için, merkezinizin önceden hazırlanmış yazılı bir ihlal müdahale planı olması önemlidir. Süreci bir veri koruma danışmanıyla yürütmek, hem bildirimin doğru yapılmasını hem de olası yaptırımların azaltılmasını sağlar.

Yaptırım boyutu

KVKK'ya aykırılıkların, özellikle gerekli teknik ve idari tedbirlerin alınmaması halinde, ciddi idari para cezalarına yol açabileceğini bilmek önemlidir. Bu tutarlar her yıl yeniden değerleme oranıyla güncellendiği için bu yazıda kesin bir rakam vermiyoruz; güncel ceza bandını kvkk.gov.tr üzerindeki resmi duyurudan teyit edin. Asıl mesaj şudur: önleyici yatırımın maliyeti, bir ihlalin getireceği maddi ve itibari maliyetin yanında küçük kalır.

Veri işleyen ve yazılım seçerken nelere dikkat etmeli?

Merkezler danışan verisini çoğu zaman bir klinik yönetim yazılımı, bulut hizmeti ya da dış hizmet sağlayıcı üzerinden işler. Bu durumda yazılım sağlayıcısı sizin adınıza veri işleyen konumundadır; ama hukuki sorumluluk yine veri sorumlusu olarak sizde kalır. Bu yüzden seçtiğiniz yazılımın veri güvenliği kriterlerini taşıması doğrudan sizin uyumunuzu etkiler.

Yazılım veya hizmet sağlayıcı değerlendirirken bakılması gereken nötr, ürün bağımsız kriterler:

  • Verilerin nerede (hangi ülkede/sunucuda) barındırıldığı ve yurt dışı aktarım söz konusuysa bunun mevzuata uygunluğu
  • Aktarım ve depolamada şifreleme kullanılıp kullanılmadığı
  • Rol bazlı erişim kontrolü ve kullanıcı bazlı işlem kaydı (log) imkânı
  • Düzenli, şifreli yedekleme ve felaket kurtarma kapasitesi
  • Sağlayıcıyla imzalanacak veri işleme sözleşmesi / gizlilik taahhüdü
  • Veri silme/imha ve danışan talep yönetimi araçları

Clinisyn de bu kategoride bir klinik yönetim yazılımıdır; danışan kaydı, randevu ve seans takibini tek panelde toplar. Bir yazılımı değerlendirirken, marka adından bağımsız olarak yukarıdaki veri güvenliği kriterlerini sorgulamanız ve sağlayıcıdan yazılı taahhüt almanız doğru yaklaşımdır. Karar, merkezinizin uyum ihtiyacına ve sağlayıcının bu kriterleri karşılayıp karşılamadığına göre verilmelidir.

Sık sorulan sorular

Danışan verisi neden özel nitelikli kişisel veri sayılıyor? Çünkü seans notları, tanılar ve değerlendirmeler kişinin ruh sağlığına dair sağlık verisidir. KVKK'nın 6. maddesi sağlık verisini özel nitelikli kişisel veriler arasında sayar; bunlar açığa çıktığında kişiyi en çok mağdur edebilecek, en hassas kategoridir ve kanunun en sıkı koruma rejimine tabidir.

Küçük bir merkezim, yine de VERBİS'e kaydolmam gerekir mi? Genel kuralda küçük işletmeler için bir muafiyet olsa da, ana faaliyeti özel nitelikli (sağlık) veri işlemek olan veri sorumluları için bu muafiyet işlemeyebilir. Bir psikoloji merkezi sağlık verisi işlediği için kendi durumunu kvkk.gov.tr ve güncel Kurul kararları üzerinden teyit etmeli, gerekirse bir danışmana sormalıdır. Muafiyet olsa bile veri güvenliği ve aydınlatma yükümlülükleri devam eder.

Açık rıza almak tek başına yeterli mi? Açık rıza önemli bir hukuki dayanaktır, ancak 2024 değişiklikleriyle özel nitelikli verilerde tek yol olmaktan çıkmıştır. Tedavi ve sağlık hizmetinin yürütülmesi gibi durumlarda, sır saklama yükümlülüğü altındaki meslek mensupları başka hukuki sebeplere de dayanabilir. Hangi sebebe dayanacağınızı doğru belirlemek için bir danışmandan destek almanız önerilir. Ayrıca aydınlatma yükümlülüğü, açık rızadan ayrı ve her durumda yerine getirilmesi gereken bir yükümlülüktür.

Seans notlarını WhatsApp ya da kişisel e-postamda tutabilir miyim? Bu yüksek risklidir ve önerilmez. Danışan verisi, erişimi sınırlı, şifreli ve denetlenebilir bir sistemde tutulmalıdır. Denetimsiz kişisel kanallarda veri dolaştırmak hem güvenlik açığı yaratır hem de bir ihlal durumunda merkezin gerekli tedbirleri almadığını gösterir.

Bir veri ihlali yaşarsam ne yapmalıyım? Önce ihlali durdurup kapsamını belirleyin ve belgeleyin. Ardından Kurul kararı gereği en geç 72 saat içinde Kurum'a (kvkk.gov.tr üzerinden) ve etkilenen danışanlara bildirim yapın. Sürecin doğru yürütülmesi için önceden hazırlanmış bir ihlal müdahale planınızın olması ve bir veri koruma danışmanıyla çalışmanız önemlidir.

Yazılım sağlayıcısı veriyi işlerse sorumluluk ondan mı sorulur? Yazılım sağlayıcı sizin adınıza veri işleyen konumundadır, ancak veri sorumlusu olarak hukuki sorumluluk merkezde kalır. Bu yüzden sağlayıcının şifreleme, erişim kontrolü, yedekleme ve veri işleme sözleşmesi gibi güvenlik kriterlerini taşıdığını teyit etmeniz ve yazılı taahhüt almanız gerekir.

Çalışanlarımın gizlilik sözleşmesi imzalaması zorunlu mu? KVKK doğrudan bir sözleşme şablonu dayatmaz, ancak veri sorumlusundan gerekli idari tedbirleri almasını ister. Danışan verisine erişen her personelden yazılı gizlilik taahhüdü almak ve düzenli farkındalık eğitimi vermek, bu idari tedbirlerin en temel parçasıdır ve bir denetimde merkezin lehine sayılır.

İlgili yazılar

Merkez yönetiminin tüm başlıklarını bütünlüklü görmek isterseniz, psikoloji merkezi yönetimi rehberine göz atabilirsiniz.


İlgili Makaleler

Merkezde KVKK ve Danışan Verisi Güvenliği | Clinisyn