Klinik AraÅŸtırmalarda Veri BütünlüÄŸü ve Dijital Hukuk: KVKK/GDPR ve ALCOA Prensipleri Ä°liÅŸkisi
Av. Saadet Kartı
​
GiriÅŸ
DijitalleÅŸen Klinik AraÅŸtırmalar ve Ä°kili Hukuki Koruma Modern tıp ve farmakoloji alanındaki geliÅŸmeler, klinik araÅŸtırmaların yürütülme ÅŸeklini köklü bir biçimde dijitalleÅŸtirmiÅŸtir. Elektronik Vaka Rapor Formları (eCRF), elektronik Hasta Bildirimli Sonuçlar (ePRO) ve giyilebilir teknolojiler gibi sistemlerin kullanımı, araÅŸtırmalarda toplanan verinin hacmini ve karmaşıklığını artırmıştır. Bu dijital ekosistemde elde edilen klinik veri, hukuki ve regülatif açıdan ikili bir öneme sahiptir. Bir yandan, bireylerin en mahrem bilgisi olan saÄŸlık durumlarına iliÅŸkin veriler içermesi sebebiyle anayasal ve evrensel bir insan hakkı olan mahremiyetin konusunu oluÅŸturur. DiÄŸer yandan ise yeni tıbbi ürünlerin etkinliÄŸini ve güvenliliÄŸini otoriteler nezdinde ispatlamaya yarayan, manipülasyondan uzak tutulması gereken kesin bir bilimsel ve regülatif kanıt niteliÄŸi taşır. Bu çifte önem, klinik araÅŸtırmalarda salt tıbbi etiÄŸin ötesine geçen; kiÅŸisel verilerin korunması hukuku ile elektronik sistemlerin validasyonunu düzenleyen dijital veri bütünlüÄŸü kurallarının bir arada ve uyum içinde uygulanmasını zorunlu kılmaktadır.
​
KiÅŸisel Veri Boyutu (KVKK ve GDPR)
Klinik araÅŸtırmalar doÄŸası gereÄŸi, 6698 sayılı KiÅŸisel Verilerin Korunması Kanunu (KVKK) ve Avrupa BirliÄŸi Genel Veri Koruma TüzüÄŸü (GDPR) kapsamında "özel nitelikli (hassas) kiÅŸisel veri" olarak sınıflandırılan saÄŸlık verilerinin ve genetik verilerin yoÄŸun bir biçimde iÅŸlendiÄŸi süreçlerdir. Hem KVKK madde 6 hem de GDPR Madde 9 uyarınca, bu tür verilerin iÅŸlenmesi kural olarak yasaklanmış olup, ancak yasada öngörülen katı istisnaların varlığı veya ilgili kiÅŸinin özgür iradesiyle açıkladığı "açık rıza" ile hukuka uygun hale gelmektedir. Klinik araÅŸtırma mevzuatı gereÄŸi alınan "BilgilendirilmiÅŸ Gönüllü Oluru (BGOF)", bireyin araÅŸtırmaya tıbbi ve etik olarak katılımını onaylayan bir belge niteliÄŸinde olup; verilerin sınır aÅŸan transferi veya ikincil bilimsel amaçlarla kullanımı gibi süreçler için kiÅŸisel verilerin korunması hukukunun aradığı spesifik "açık rıza" ÅŸartını tek başına karşılamayabilir.
​
Bu baÄŸlamda tarafların hukuki statülerinin belirlenmesi, sorumlulukların dağıtımı açısından kritiktir. Klinik araÅŸtırmanın baÅŸlatılmasına, yürütülmesine ve finanse edilmesine karar veren, toplanacak verilerin amacını ve vasıtalarını belirleyen Destekleyici (Sponsor), hukuken "Veri Sorumlusu" sıfatını taşır. Destekleyicinin maskelenmiÅŸ (kodlanmış) verilere eriÅŸiyor olması, onun veri sorumlusu sıfatını ve bu sıfattan doÄŸan aydınlatma, veri güvenliÄŸini saÄŸlama gibi hukuki yükümlülüklerini ortadan kaldırmaz. Veri sorumlusunun yetkisi ve talimatları doÄŸrultusunda veri iÅŸleme faaliyetlerini fiilen yürüten SözleÅŸmeli AraÅŸtırma KuruluÅŸları (CRO) ise "Veri Ä°ÅŸleyen" statüsündedir. Özellikle uluslararası çok merkezli araÅŸtırmalarda, verilerin yurt dışındaki veri tabanlarına veya laboratuvarlara aktarılması zorunluluÄŸu doÄŸduÄŸunda, KVKK Madde 9 uyarınca yeterlilik kararı bulunmayan ülkelere yapılacak transferler için ilgili kiÅŸinin açık rızasının veya Kurul onaylı standart sözleÅŸmeler ve taahhütnamelerin saÄŸlanması yasal bir mecburiyettir.
​
Sistem ve Kanıt Boyutu (ALCOA Prensipleri ve FDA 21 CFR Part 11)
Klinik araÅŸtırmalardan elde edilen verilerin kalitesi ve bilimsel dayanak olarak kabul edilebilirliÄŸi, veri bütünlüÄŸü (data integrity) ilkelerine sıkı sıkıya baÄŸlıdır. Uluslararası regülatörler tarafından iyi laboratuvar, klinik ve üretim uygulamalarının (GxP) temeli olarak kabul edilen ALCOA prensipleri; verilerin Atfedilebilir (Attributable), Okunaklı (Legible), EÅŸzamanlı (Contemporaneous), Orijinal (Original) ve DoÄŸru (Accurate) olmasını ÅŸart koÅŸar. Elektronik veri toplama (EDC) sistemlerinde eCRF'ler kullanılarak elde edilen verilerin bu özelliklere sahip olmasını yasal bir zemine oturtan en temel regülasyonlardan biri FDA 21 CFR Part 11'dir.
​
Bu regülasyon, klinik araÅŸtırmalarda kullanılan elektronik kayıtların ve elektronik imzaların, kâğıt üzerindeki ıslak imzalı kayıtlarla eÅŸdeÄŸer, güvenilir ve yasal olarak baÄŸlayıcı kabul edilebilmesi için kapalı sistemlerin taşıması gereken teknik kriterleri belirler. Bir sistemin ALCOA prensiplerine ve Part 11 standartlarına uyumlu olabilmesi için, veriyi kimin, ne zaman sisteme girdiÄŸini veya deÄŸiÅŸtirdiÄŸini gösteren, silinemez ve bilgisayar tarafından otomatik olarak üretilen denetim izlerine (audit trail) sahip olması zorunludur. EÅŸzamanlılık ilkesi gereÄŸi veriler gözlem anında kaydedilmeli, atfedilebilirlik ilkesi gereÄŸi ise her iÅŸlem eÅŸsiz bir kullanıcı kimliÄŸine (ÅŸifre/biyometrik vs.) baÄŸlanmalıdır. Denetim izleri, sisteme sonradan müdahale edilmesini, verilerin manipüle edilmesini veya geriye dönük tahrifat yapılmasını önleyerek elektronik kayıtların meÅŸruiyetini savunan yasal bir kalkan iÅŸlevi görür.
​
ALCOA Prensiplerinin Veri Ä°hlallerini Önleyici Bir Kalkan Olması
​
KiÅŸisel veri mevzuatı ile veri bütünlüÄŸü regülasyonları, sistem güvenliÄŸi noktasında birbirinin ayrılmaz bir parçası olarak kesiÅŸir. KVKK Madde 12 ve GDPR Madde 32, veri sorumlusu ve veri iÅŸleyenlere; kiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesini ve bu verilere hukuka aykırı ÅŸekilde eriÅŸilmesini önlemek amacıyla, riskin niteliÄŸine uygun her türlü teknik ve idari tedbiri alma yükümlülüÄŸü getirir. Veri güvenliÄŸinin (Data Security) teknolojik altyapı baÄŸlamında saÄŸlanmadığı, zafiyetler barındıran bir klinik veri tabanında KVKK ve GDPR uyumundan söz edilemez.
​
Ä°ÅŸte bu noktada ALCOA prensipleri, kiÅŸisel verilerin korunması hukukunun talep ettiÄŸi "teknik ve idari güvenlik tedbirleri” olarak karşımıza çıkar. ÖrneÄŸin; "Atfedilebilirlik" (Attributable) ilkesinin ihlal edilerek sisteme ortak ÅŸifrelerle girilmesi (shared logins), KVKK kapsamında yetkisiz eriÅŸimlerin kimin tarafından yapıldığının tespit edilememesi anlamına gelir ve veri ihlaline sebebiyet verir. Benzer ÅŸekilde, verilerin "OrijinalliÄŸi" (Original) ve sistemin "Ä°zlenebilirliÄŸi" (Traceable) için zorunlu olan denetim izlerinin bulunmaması, bir siber saldırı veya içeriden veri sızıntısı durumunda GDPR'ın hesap verilebilirlik ve veri bütünlüÄŸü ilkelerini doÄŸrudan ihlal eder. Dolayısıyla, FDA Part 11 gereklilikleri ve ALCOA standartları çerçevesinde kurgulanmış ÅŸifreleme, yetki matrisi, zaman damgası ve denetim izi mekanizmaları; aynı zamanda kiÅŸisel veri ihlallerini engelleyen, tespit eden ve veri mahremiyetini koruyan yasal otokontrol sistemleridir.
​
Sonuç
Klinik araÅŸtırmalarda veri yönetimi; salt bilgi iÅŸlem (IT) departmanlarının teknik bir operasyonu olmaktan çıkmış, doÄŸrudan uluslararası regülatif kabul edilebilirliÄŸi ve ağır hukuki/cezai yaptırımları belirleyen en kritik “Dijital Hukuk” alanı haline gelmiÅŸtir. Bir klinik araÅŸtırmanın tasarımından sonuçlandırılmasına kadar geçen süreçte, gönüllülerden toplanan biyometrik ve klinik verilerin güvenliÄŸi; bir tarafta FDA ve EMA gibi saÄŸlık otoritelerinin talep ettiÄŸi ALCOA/Part 11 uyumluluÄŸuna, diÄŸer tarafta veri koruma otoritelerinin denetlediÄŸi KVKK/GDPR normlarına dayanmaktadır. Ä°ster bilimsel geçerliliÄŸi kanıtlamak için isterse anayasal bir hak olan kiÅŸisel verilerin mahremiyetini korumak için olsun; elektronik veri bütünlüÄŸünün saÄŸlanamadığı hiçbir araÅŸtırma ne bilimsel otoriteler ne de hukuk düzeni tarafından meÅŸru kabul edilecektir. Bu nedenle klinik araÅŸtırmalar, regülatif veri bilimi ve dijital veri koruma hukukunun organik bir sentezi olarak tasarlanmak ve yürütülmek zorundadır.
​
© 2026. Bu makalenin tüm telif hakları saklıdır. Metnin tamamı veya bir kısmı, yazarın yazılı izni olmaksızın kopyalanamaz, çoÄŸaltılamaz veya dijital/basılı mecralarda yayınlanamaz. Bilimsel ve hukuki atıf kuralları çerçevesinde kaynak gösterilerek alıntı yapılabilir.