Sağlık Kuruluşları İçin PratikYedek

Bir gerçek senaryo

İstanbul'da bir özel diş kliniği (anonim referans: Klinik-B) Ocak 2025'te ransomware saldırısı yaşadı. Server odasındaki PC'ye USB'den bulaşan zararlı yazılım 8.400 hasta kaydı, 12.000 panoramik röntgen DICOM dosyası ve 3 yıllık fatura verilerini şifreledi. Saldırgan 18 BTC fidye istedi. Yedek varlığı sadece haftalık FTP'ye sınırlıydı ve son yedek 11 gün öncesine aitti — 11 günlük randevu, tedavi notları, faturalandırma kaybedildi.

Kök sebep: Yedek dosyaları aynı ağda erişilebilir konumda saklanıyordu; ransomware yedekleri de şifreledi.

PratikYedek ile çözüm

1. Klinik server'a masaüstü uygulaması kurulur — Hasta veri klasörü + DICOM görüntüleme klasörü + fatura klasörü.
2. İmmutable yedek — PratikYedek yedekleri yazma sonrası sadece okunabilir (immutable). Ransomware client tarafında dosyaları şifrelese bile yeni şifrelenmiş halini "değişmiş dosya" olarak ayrı snapshot yapar; eski temiz snapshot'a geri dönülebilir.
3. Saatlik snapshot — Sağlık verisi yoğun değişir; saatlik snapshot 30 gün retention önerilir.
4. Restore drill — Ayda bir 5 hasta kaydı rastgele seçilip restore test edilir.
5. DICOM görüntüleme arşivi ayrı kategori; büyük dosyalar (50-200 MB) için chunk dedup çalışır → depolama optimize.

KVKK § 6 + Sağlık Yönetmelik uyumu

Özel nitelikli veri

KVKK § 6 uyarınca sağlık verisi özel nitelikli kişisel veri sayılır. Standart önlemlere ek olarak:

• Açık rıza zorunluluğu (anestezi formuyla birlikte alınır)
• Şifreleme zorunluluğu (AES-256 ve üzeri — PratikYedek AES-256-GCM)
• Erişim denetim kayıtları (audit log 10 yıl retention)
• Veri sorumlusu kayıt yükümlülüğü (VERBİS'e bildirim)

• Kişisel Sağlık Verileri Hakkında Yönetmelik m.6: Verinin saklandığı sistem yetkilendirme ve şifreleme ile korunmalı → PratikYedek tüm paketler.
• Yönetmelik m.7: Erişim kayıtları en az 2 yıl saklanmalı → PratikYedek default 10 yıl (audit_log retention).
• Sağlık Bakanlığı genelgesi 2024/12: Yurt dışı transfer yasak → PratikYedek %100 Türkiye sunucu.

Hangi paket önerilir?

• Tek hekim muayenehanesi: Profesyonel paket + 2FA zorunlu + saatlik snapshot
• Klinik (5+ kullanıcı): Kurumsal paket (özel nitelikli veri için önerilen): 500 GB+, ekip yönetimi, 2FA zorunlu, audit retention 10 yıl, IP whitelist, SAML SSO

Sağlık sektöründe Başlangıç paketi önerilmez — 2FA opsiyonel ve audit retention kısa.

Sıkça sorulanlar

Hastam silinme talep ediyor (KVKK § 11/e), nasıl yapılır? Admin panelinden hastanın klasörü işaretlenir → silme talebi açılır → 30 gün retention sonrası tüm chunk'lar irreversibly silinir. Audit log silme kanıtı olarak 10 yıl saklanır (KVKK delili).

HSYS / e-Nabız entegrasyonu var mı? Şu an yok. Faz 5 sonrası değerlendirilecek (API genişletmesi).

DICOM görüntüleme dosyalarım çok büyük, depolama yetiyor mu? PratikYedek content-addressed deduplikasyon uygular — aynı görüntü iki kez yedeklendiğinde sadece bir kez depolanır. 12.000 DICOM (≈150 MB ort.) için tipik depolama 800 GB civarında olur (1.8 TB ham verinin %44'ü).

Hastam dava açtı, dosyaları silmem gerekiyor mu? Hayır — retention_locked bayrağı ile silme engellenebilir (yargı sürecinde delil korunması). Mahkeme süreci kapandıktan sonra silinir.