Güvenlik & KVKK
Klinik veri, klinikte kalır.
Mimari kararlarımızı baştan KVKK ve klinik denetim ihtiyacına göre verdik. Şifreleme, izolasyon ve denetim üç katman halinde yerleştirildi.
Yasal konum
Tanı veya tedavi cihazı değil, klinik destek yazılımı.
Remnema, klinik EMDR uygulayan lisanslı klinisyenler için tasarlanmış bir destek yazılım platformudur. EMDR'nin klinik protokolünü icra eden taraf klinisyendir; Remnema bu icrayı kolaylaştıran araç katmanını sağlar: bilateral stimülasyon, kayıt, lisans yönetimi, KVKK uyumu, denetim izi.
Yazılım, Türkiye İlaç ve Tıbbi Cihaz Kurumu (TİTCK) nezdinde tıbbi tanı veya tedavi cihazı olarak konumlanmamıştır. Tanı, tedavi planı, klinik karar ve uygulama her zaman lisanslı klinisyenin sorumluluğundadır. Remnema bu süreçte klinik veri akışını taşır; yerine geçmez.
Hardware tabanlı EMDR araçlarının (light-bar, buzzer, tonlu kulaklık) sağladığı bilateral stimülasyon işlevini yazılım katmanında sunarız. Çıktı klinik tarafından yorumlanmak üzere kayıt altına alınır; otomatize edilmiş klinik karar verme yoktur.
Şifreleme
Hassas veriler diskte plaintext bulunmaz.
- Algoritma
- AES-256-GCM (envelope encryption)
- Şema
- Tek blob: 12-byte IV ‖ ciphertext ‖ 16-byte tag
- AAD
- Satırın id'sine bağlanmış (forge-direnci)
- Anahtar versiyonu
- Danışan ve klinik metin için ayrı, rotasyona açık
- PII alanları
- Ad, soyad, doğum, telefon, e-posta tek envelope'ta
- Klinik metin
- Hedef anısı, biliş, beden, terapist notu ayrı envelope
İzolasyon
Her klinik, kendi kiracısı.
- Row-Level Security
- Tenant-bound her tabloda etkin (Organization, Profile, License, Patient, Session, …)
- GUC eşleştirme
- Her isteğe özel SET LOCAL app.current_org_id
- Fail-closed
- GUC yoksa policy reddeder; sızıntı sıfır
- Süper yönetici bypass
- Yalnızca app.is_super_admin GUC = true ile
- Çift uygulama
- ORM seviyesi + DB seviyesi — iki kat savunma
- Closed onboarding
- Public /signup yok. Yalnızca davet ile katılım.
KVKK uyumu
Kanunun talep ettiği her şey, sistem mimarisinde.
- Aydınlatma onayı
- Danışan kaydı sırasında alınır, timestamp ile kaydedilir
- Audit log
- Append-only — DB seviyesinde UPDATE/DELETE iptal edilmiş
- Erişim izi
- Danışan detayı, seans görüntüleme, liste — her biri log'lanır
- Silme hakkı
- Danışan soft-delete + planlı hard-delete; audit izi korunur
- Retansiyon
- Klinik anlaşmasına göre yapılandırılır, otomatik sweep
- Veri yerelliği
- Türkiye konumlu altyapı tercih edilir, klinik anlaşmasında yazılır
Sözleşmeler
Klinik anlaşması + işlem kayıt yetkisi.
Remnema, klinik düzeyinde anlaşma temelinde sağlanan bir hizmettir. Klinik yöneticisi onboarding sırasında klinik sözleşmesi ve KVKK veri işleme yetki belgesi imzalar.
Klinik adına bireysel terapistler için ek bir sözleşme gerekmez — kullanım yetkisi klinik anlaşmasından devrilir. Danışan verisi yalnızca anlaşma çerçevesinde işlenir.
Sözleşme örneği ve yetki belgelerinin kopyası için iletişim formundan talep edebilirsin.
Güvenlik denetimi yapmak ister misin?
Mimari diyagramlarımızı ve şifreleme raporumuzu klinik denetimcilerinle paylaşabiliriz.
İletişime geç →