HASTA AYDINLATMA METNİ (KRATS Platformu Hakkında)
Yürürlük: 17 Mayıs 2026 Versiyon: 2.0 (Gerçek veri envanterine göre yeniden düzenlendi)
Bu metni size hizmet aldığınız sağlık kuruluşu ("Klinik") sunmaktadır. Klinik, sizin kişisel verilerinizin veri sorumlusudur (controller). KRATS, Klinik'in kullandığı yazılım altyapısını sağlayan bir veri işleyendir (processor).
1. KRATS NEDİR, BU METİN NE İÇİN?
KRATS, Klinik'inizin hasta yönetimi (randevu, klinik kayıt, faturalama vb.) için kullandığı bir yazılım platformudur. Klinik personeli (doktor, hemşire, sekreter, vb.) sizinle ilgili kayıtları KRATS yazılımı üzerinden tutar.
Bu metin, KRATS yazılımı içinde işlenen kişisel veriler hakkında bilgi verir. KVKK m.10 ve GDPR m.13/14 gereği yapılır.
ROL AYRIMI — ÖNEMLİ:
- Klinik = Veri Sorumlusu → Verinin nasıl, neden işleneceğine Klinik karar verir, size karşı asıl yasal sorumluluk Klinik'tedir.
- KRATS = Veri İşleyen → Klinik'in talimatıyla teknik depolama, şifreleme, yedekleme yapar. KRATS hasta verisini kendi pazarlama, satış, AI eğitimi vb. amaçla KESİNLİKLE kullanmaz.
1.5 VERİLERİNİZ NEREDE SAKLANIYOR? (Local-First Mimari)
KISA CEVAP: Verileriniz öncelikle Klinik'in kendi cihazında şifrelenmiş şekilde durur. Buluta gönderilen veri minimumdur, o da şifresi sadece Klinik'te olan sıfır-bilgi yedektir.
🏥 Birincil Depo: Klinik Cihazı (Yerel)
- Tüm sağlık verileriniz (tanı, klinik notları, görüntüleme, lab, ilaç, vital bulgular vs.) Klinik'in kendi bilgisayarında / sunucusunda saklanır
- Veritabanı SQLCipher AES-256 ile şifrelenmiştir — cihaz çalınsa bile şifresiz okunmaz
- KRATS yazılımı internet bağlantısı olmadan da çalışır (local-first)
- Klinik kapanırsa / KRATS aboneliği biterse veriler hâlâ Klinik cihazında
☁️ İkincil Depo: Cloudflare R2 Yedek (Sıfır-Bilgi)
- Yedekleme için Cloudflare R2 bulut depolama kullanılır
- Yedekler Klinik'in kendi şifresi (master key) ile şifrelenir — KRATS bile bu yedekleri okuyamaz
- "Sıfır-bilgi mimarisi" — bulut sağlayıcı (Cloudflare) ve KRATS verinizi göremez
- Yedek sadece klinik cihazı arızalanırsa kurtarmak için vardır
❌ Cloud'a Gitmeyenler:
- Tıbbi görüntüleme (DICOM) dosyalarınız → yerel kalır
- Ses kayıtlarınız → zaten transkript sonrası anlık silinir, cloud'a gitmez
- Lab raporları → yerel kalır
- Klinik fotoğrafları → yerel kalır
- Hasta dosyanızın orijinali → yerel kalır
✅ Cloud'a Giden Tek İstisna: AI Klinik Özet (Opt-in)
- Sadece Klinik bu özelliği aktive ederse ve siz açık rıza verirseniz
- Anonimleştirilmiş metin (TC, telefon, e-posta çıkarılmış) OpenAI veya Anthropic'e gider
- Anonim metin AI'da kalıcı saklanmaz (no-training, no log retention default)
- Sizden rıza almadıkça KESİNLİKLE AI'a veri gönderilmez
KARŞILAŞTIRMA — Geleneksel Cloud SaaS ile:
| Konu | Geleneksel SaaS (örn. çoğu hastane yazılımı) | KRATS (Local-First) |
|---|---|---|
| Veri nerede | Sağlayıcının cloud sunucusunda | Klinik'in kendi cihazında |
| Sağlayıcı verinizi okuyabilir mi | Evet (teknik olarak) | Hayır (sıfır-bilgi şifreleme) |
| Internet kesilirse | Çalışmaz | Çalışmaya devam eder |
| Sağlayıcı iflas ederse | Veri erişimi sorunu | Veri Klinik'te |
| Cloud ihlal olursa | Tüm müşteri verisi risk | Sadece şifreli yedek — açılmaz |
2. KRATS YAZILIMINDA İŞLENEN VERİLERİNİZ
Klinik, KRATS üzerinden aşağıdaki kişisel verilerinizi tutar:
A) Kimlik & İletişim
- Adınız, soyadınız, T.C. kimlik numaranız (varsa pasaport), doğum tarihi, cinsiyet
- Telefon, e-posta, adres
B) Acil Durum Yakını (Üçüncü Kişi)
- Acil durumda ulaşılacak yakınınızın adı + telefonu
- (Bu üçüncü bir kişinin verisidir — yakınınıza ait olduğunu Klinik personeli sorduğunda bilgilendirme yükümlülüğü Klinik'tedir.)
C) Sağlık Verisi (KVKK m.6 — "Özel Nitelikli")
KRATS şu sağlık verilerini saklar:
- Vital bulgular: Tansiyon, nabız, ateş, solunum, oksijen satürasyonu, kilo, boy, BMI, ağrı skoru
- Tanı: ICD-10 kodları, klinisyenin yazdığı tanı metni, aktif kronik problemler
- Klinik notlar: Anamnez (sizden öykü alma), muayene notları, randevu notları
- İlaç: Kullandığınız/önerilen ilaçların adı, aktif maddesi, dozu, sıklığı, uygulama yolu
- Tıbbi görüntüleme (DICOM): Eğer Klinik çekiyorsa — X-ray, MR, BT, ultrason gibi tıbbi görüntü dosyaları yazılıma yüklenir
- Laboratuvar raporları: Test sonuçları (PDF veya dijital dosya)
- Reçete dosyaları
- Diğer klinik dökümanlar: Konsültasyon raporu, ameliyat raporu, tedavi protokolü vb.; bazı estetik/dermatoloji klinikleri klinik fotoğrafları (örn. tedavi öncesi/sonrası) bu kategoride yükleyebilir — bunun için Klinik sizden ayrıca açık rıza alır
- Ses kaydı (opsiyonel): Klinisyen anamnez sırasında mikrofonla ses kaydı alabilir — bu kayıt anında metne dönüştürülür (Whisper modeli ile) ve ses dosyası silinir. Klinisyen bu özelliği kullanmadan önce sizden açık rıza alır
D) Randevu ve Görüşme Kayıtları
- Randevu tarih/saat/sebep/durumu, klinisyen, görüşme tarihi ve sonuçları
E) Klinik Branşı'na Özel Form Verisi
- Klinik dalı (estetik, fizyoterapi, radyoloji vb.) kendi özelleştirdiği formları doldurur
F) KVKK Aydınlatma Onay Kaydı
- Bu metni Klinik tarafından size sunulduğunun kaydı (bayrak)
G) Audit (İşlem Geçmişi)
- Verilerinize kimin, ne zaman, hangi cihazdan eriştiği (hash zinciriyle korumalı)
KRATS Şunları İŞLEMEZ ❌
- Biyometrik veri (yüz tanıma, parmak izi) — KRATS giriş için biyometri kullanmaz
- Genetik veri
- Cinsel hayat / cinsel yönelim verisi
- Din, inanç, siyasi görüş
- Sendika üyeliği
- Ceza mahkûmiyeti / güvenlik tedbiri kaydı
- Konum (GPS) takibi
3. NEDEN İŞLENİYOR? (Hukuki Sebep)
Klinik, verilerinizi şu sebeplere dayanarak işler:
| Veri | Hukuki Sebep |
|---|---|
| Kimlik, iletişim, tıbbi tanı, klinik not, ilaç, görüntüleme, lab | KVKK m.6/3 (sağlık hizmeti) + m.5/2-c (hizmet sözleşmesi) |
| AI klinik özet (opsiyonel özellik) | KVKK m.6/2 (açık rıza) |
| Klinik fotoğrafları | KVKK m.6/2 (açık rıza) |
| Ses kaydı (anamnez transkripti) | KVKK m.6/2 (açık rıza) |
| Faturalama / mali kayıt | m.5/2-a (kanunda öngörülen — VUK) |
| Resmi makamlara aktarım | m.5/2-ç (yasal yükümlülük) |
| Pazarlama (Klinik tarafından) | m.5/1 (açık rıza, opt-in) |
4. VERİLERİNİZ KİMLERE AKTARILIR?
A) Yurt İçi
- Klinik personeli (doktorlar, hemşireler, sekreterler — yetkilendirilmiş)
- Resmi makamlar (mahkeme, savcılık, KVKK Kurulu, SGK, Sağlık Bakanlığı) — yasal talep halinde
e-Nabız / MBYS (Sağlık Bakanlığı sistemi)— bu özellik ŞU AN aktif DEĞİLDİR. Kod modülü vardır ancak müşteri tarafına açılmamıştır. İleride aktive edilirse aydınlatma metni güncellenecek + ayrı açık rıza alınacaktır.- Mali müşavir / hukuk danışmanı — Klinik'in sözleşme/yasal süreçleri için
B) Yurt Dışı Aktarım — Hangi Veri, Hangi Koşulda?
ÖNEMLİ HATIRLATMA: KRATS local-first çalışır — hasta verilerinizin çoğu Klinik cihazında kalır, yurt dışına çıkmaz. Yurt dışı aktarım sadece aşağıdaki belirli ve sınırlı kullanım durumlarında olur:
🔒 OTOMATİK YEDEK (Cloudflare R2 — ABD/AB)
- Ne gider: Klinik'in kendi şifresiyle şifrelenmiş veri yedeği (sıfır-bilgi)
- Neden: Klinik cihazı arızalansa/çalınsa veri kaybı yaşanmasın
- Cloudflare ne görür: HİÇBİR ŞEY okunaklı değil — sadece şifreli byte'lar
- KRATS ne görür: Hiçbir şey — şifre Klinik'te, KRATS bile çözemez
- Güvence: EU-US Data Privacy Framework + Standart Sözleşme Şartları (SCC) + AES-256
🤖 AI KLİNİK ÖZET (OpenAI veya Anthropic — ABD) — OPT-IN
- Sadece Klinik bu özelliği aktive ederse + siz açık rıza verirseniz gider
- Ne gider: Sadece anonimleştirilmiş klinik metin (TC, telefon, e-posta otomatik filtrelenmiş)
- Ne gitmez: Adınız, kimliğiniz, fotoğrafınız, DICOM görüntünüz, ses kaydınız
- AI ne yapar: Klinisyene öneri üretir, kayıt modelinin eğitiminde kullanılmaz (no-training default)
- Güvence: EU-US DPF + sözleşmesel no-training + no log retention
🖥️ KRATS LİSANS / HESAP İŞLEMLERİ (Cloudflare Workers — ABD/AB)
- Ne gider: Klinik admin hesap doğrulama (Klinik admin verisi, hasta verisi DEĞİL)
- Neden: Lisans token'ı doğrulama
- Hasta verisi GİTMEZ — bu kanal sadece klinik abonelik yönetimi için
📧 İŞLEMSEL E-POSTA (Resend — ABD) — Klinik Admin İçin
- Ne gider: Klinik admin e-postası + işlem türü (örn. "faturanız hazır")
- Hasta verisi GİTMEZ
🐞 HATA İZLEME (Sentry — ABD) — OPT-IN
- Sadece Klinik bu özelliği opt-in ederse
- Ne gider: Anonimleştirilmiş hata izi — kişisel veri otomatik filtrelenir (before_send hook)
- Veri sahibi tanımlanabilir bilgi GİTMEZ
🚫 ASLA YURT DIŞINA GİTMEZ
- ❌ DICOM tıbbi görüntü dosyalarınız
- ❌ Laboratuvar rapor dosyalarınız
- ❌ Reçete dosyalarınız
- ❌ Klinik fotoğraflarınız (estetik, dermatoloji)
- ❌ Ses kayıtlarınız (zaten transkript sonrası anında silinir)
- ❌ Tam hasta kimlik bilgileriniz (TC + ad + adres beraber)
- ❌ Tam klinik dosyanız
GitHub sadece KRATS yazılımının kaynak kodu için kullanılır — hasta verisi GitHub'a hiçbir koşulda gitmez.
5. VERİLERİNİZ NEREDEN GELİR?
- Sizden doğrudan (form doldurma, klinikte sözlü beyan)
- Klinisyen muayene/inceleme sırasında girer (vital, tanı, not)
- Tıbbi cihazlardan otomatik (örn. tartı, tansiyon aleti — manuel ya da entegrasyonla)
- Laboratuvar / radyoloji raporu (Klinik yükler)
- Yakınınızdan (acil durum kişisi — siz beyan ederseniz)
6. NE KADAR SÜRE SAKLANIR?
| Veri | Süre |
|---|---|
| Hasta dosyası (tıbbi kayıtların tamamı) | 20 yıl (Hasta Hakları Yönetmeliği m.16) — son işlem tarihinden |
| Faturalama / mali kayıt | 10 yıl (VUK m.253, TTK m.82) |
| Ses kaydı | Transkript yapılır yapılmaz silinir (kalıcı saklanmaz) |
| AI klinik özet metadata (anonim) | 2 yıl |
| Audit log | 5 yıl |
| Pazarlama tercihleri | İptal/3 yıl |
Süre sonunda veriler silinir / yok edilir / anonimleştirilir (KRATS Saklama-İmha Politikası).
7. HAKLARINIZ (KVKK m.11 / GDPR m.15-22)
Kişisel verileriniz üzerinde şu haklara sahipsiniz:
| Hak | Açıklama |
|---|---|
| Bilgi alma | Verilerinizin işlenip işlenmediğini öğrenme |
| Erişim | Veri kopyasını isteme |
| Düzeltme | Yanlış/eksik veriyi düzelttirme |
| Silme / yok etme | Yasal saklama süreleri saklı kalmak üzere silme |
| İşlemeyi sınırlama / itiraz | Belirli işlemlere itiraz |
| Aktarımı öğrenme | Verilerinizin nereye aktarıldığını öğrenme |
| Otomatik karar itirazı | AI klinik özet sonucuna itiraz (otomatik teşhis YOK, sadece klinisyene öneri) |
| Zarar tazmini | Hukuka aykırı işleme nedeniyle zarar olursa tazmin talebi |
| Açık rızayı geri çekme | İstediğiniz zaman, gelecekteki işlemler için |
| KVKK Kurulu'na şikayet | Talebiniz cevaplanmazsa veya yetersiz bulursanız |
Hangi Yola Başvurmalısınız?
Veri sorumlusu KLİNİK'tir — talebinizi öncelikle hizmet aldığınız Klinik'in iletişim kanallarına iletmelisiniz. Klinik 30 gün içinde cevap vermek zorundadır (KVKK m.13).
Eğer talebiniz spesifik olarak KRATS platformu hakkındaysa (örn. cloud yedek silme, KRATS hesap kapatma) veya Klinik'e ulaşamıyorsanız, KRATS'a doğrudan başvurabilirsiniz; talebiniz Klinik'e iletilecektir:
KRATS İletişim:
- E-posta: support@kratsonline.com
- KEP: hatice.gucuk@hs03.kep.tr
- Posta: Akarca Mah. 313 Sk. Dımlıoğulları Apt. B Blok No: 18/1, Anamur / Mersin
- Telefon: 0850 346 86 01
KVKK Kurulu:
- Web: www.kvkk.gov.tr | E-posta: kvkk@kvkk.gov.tr
8. VERİ GÜVENLİĞİ (KRATS'IN TEDBİRLERİ)
KRATS, KVKK m.12 ve ISO/IEC 27001:2022 uyumunda şu tedbirleri uygular:
- SQLCipher AES-256 ile Klinik cihazındaki veritabanı şifreli (cihaz çalınsa bile şifresiz okunmaz)
- TLS 1.2+ tüm internet trafiği
- Cloudflare R2 sıfır-bilgi yedekleme — KRATS bile yedekleri okuyamaz
- bcrypt cost 12 ile parola güvenliği
- PII regex maskeleme AI çağrılarında (TC, telefon, e-posta anonimleştirilir)
- Audit log + hash zinciri — kim ne zaman erişti izlenir, müdahale edilemez
- Yıllık sızma testi (planlı)
- 72 saat ihlal bildirim prosedürü
- Personel KVKK eğitimi (KRATS 2 kişilik ekip)
9. KRATS'IN VERİ SAHİBİ BİLGİLERİ
KRATS, klinik müşterilerinin hasta verisi için işleyen sıfatıyla çalışır. KRATS'ın kendi tüzel kimliği:
| Alan | Bilgi |
|---|---|
| Unvan | HATİCE GÜCÜK (Şahıs Şirketi) |
| Ticari marka | KRATS |
| VKN/TCKN | 37786582680 |
| VERBİS Başvuru No | 1778852213 |
| Adres | Akarca Mah. 313 Sk. Dımlıoğulları Apt. B Blok No: 18/1, Anamur / Mersin |
| KEP | hatice.gucuk@hs03.kep.tr |
| Telefon | 0850 346 86 01 |
| E-posta | support@kratsonline.com |
10. KLİNİĞİN BİLGİLERİ
(Bu kısım Klinik tarafından doldurulur — Klinik veri sorumlusudur, kendi VERBİS kaydı ve aydınlatma metni yapmakla yükümlüdür.)
| Alan | Bilgi |
|---|---|
| Klinik adı | __________________________ |
| Veri Sorumlusu / VERBİS No | __________________________ |
| Klinik adres | __________________________ |
| Klinik iletişim | __________________________ |
| Klinik DPO/İrtibat Kişisi | __________________________ |
11. ÇOCUK HASTA
13 yaş altı hasta verisi işlenirken veli/vasi açık rızası Klinik tarafından alınır. KRATS sistem desteği sağlar; sorumluluk Klinik'tedir.
12. ÇEREZLER
KRATS web sitesi (kratsonline.com) çerez kullanır. Detay: Çerez Politikası